ALPS GmbH

Drehscheibe: Sicherer Umgang mit Informationen

Mai 2018 Security Awareness Adrian Lambeck

ALPS Drehscheibe - Sicherer Umgang mit Informationen

ALPS Drehscheibe – Sicherer Umgang mit Informationen

Drehscheibe und Richtlinie

Willkommen auf der Informationsseite zur ALPS Drehscheibe „Sicherer Umgang mit Informationen“.

Die Drehscheibe verteilen wir im Rahmen von Schulungen, Veranstaltungen oder auch informellen Treffen. Diese Seite gibt Ihnen weitere Informationen zum Zweck und Umgang mit der Drehscheibe und beantwortet häufig gestellte Fragen. Sollten Sie weitere Fragen haben, können Sie uns gerne über info@alps-gmbh.de kontaktieren.

Wofür ist die Drehscheibe gedacht?

Die Drehscheibe „Sicherer Umgang mit Informationen“ hilft den Mitarbeitern eines Unternehmens:

  1. Informationen zu klassifizieren
  2. Entsprechend den Regeln des Unternehmens die Vertraulichkeit der Information zu schützen

Die Drehscheibe kann als Security Awareness Maßnahmen eingesetzt werden, damit jedem Mitarbeiter klar ist welche Regeln zu befolgen sind und wie jeder Einzelne einen Beitrag zum Schutz von Informationen leisten kann. Insbesondere ist die Drehscheibe dazu gedacht beim Mitarbeiter am Arbeitsplatz zur verbleiben und das Lesen der eigentlichen Richtlinie zu ersparen. Manche Unternehmen legen die Drehscheibe auch in Besprechungsräumen ab. Es hat sich gezeigt, dass es den Mitarbeitern mit der Drehscheibe leichter fällt die Regeln zu verstehen, zu akzeptieren und auch einzuhalten.

Warum wurde die Drehscheibe entwickelt?

Die Inhalte der Drehscheibe werden in den meisten Unternehmen in Form eine Richtlinie für die Mitarbeiter verbindlich vorgeschrieben. Die anzuwendenden Regeln können, von denen der ALPS Drehscheibe abweichen. Falls es bei Ihnen bisher keine Regeln gibt, können Sie gerne die Regeln der ALPS Drehscheibe als Grundlage verwenden. Insbesondere wenn sich Ihr Unternehmen an die Anforderungen der ISO 27001:2013 hält, müssen Sie den sicheren Umgang mit Informationen regeln. Die se werden beispielsweise in den Maßnahmen

  • A.8.2.1 Klassifikation von Informationen
  • A.8.2.2 Kennzeichnung von Informationen
  • A.8.3.2 Sichere Entsorgung von Datenträgern

gefordert.

Eine Herausforderung von Richtlinien ist die Kommunikation zu den Endanwendern. Die Drehscheibe erleichtert die Kommunikation erheblich und reduziert den Aufwa nd für den Endanwender auf das Wesentliche. Durch die Haptik der Drehscheibe kann jeder Mitarbeiter Regeln zur Informationssicherheit „anfassen“ und diese am Arbeitsplatz griffbereit ablegen.

Wie funktioniert die Drehscheibe?

Beispiel: ein Mitarbeiter möchte eine E-Mail mit Kundendaten an einen externen Partner schicken.

Schritt 1: Klassifikation der Daten: der Mitarbeiter liest auf der Vorderseite der Drehscheibe ab, dass es sich bei Kundendaten um Daten der Kategorie „Vertraulich“ handelt. Diese sind mit zwei Schlössern als Symbol gekennzeichnet.

Schritt 2: Schutzmaßnahmen der Daten: auf der Rückseite der Drehscheibe liest der Mitarbeiter anhand der zwei Schlosssymbole ab: Kennzeichnung: Die E-Mail kann mit der Funktion von Microsoft Outlook für den Empfänger als „Vertraulich“ gekennzeichnet werden und Verschlüsselung: Vertrauliche Daten müssen verschlüsselt übertragen werden.

Wenn der Empfänger z.B. den S/MIME Standard für die Verschlüsselung unterstützt, kann der Mitarbeiter die Funktion „Verschlüsseln“ von Outlook verwenden.

Kann ich die Drehscheibe für mein Unternehmen anpassen?

Gerne können wir die Drehscheibe auf Ihr Unternehmen (Logo, Farben) und insbesondere Ihre Regeln zum sicheren Umgang mit Informationen anpassen und drucken lassen. Das Design wird professionell erstellt, abgestimmt und direkt an die Druckerei unseres Vertrauens geschickt. Alles aus einer Hand.

Wir haben bisher keine Regeln für den sicheren Umgang mit Informationen. Kann uns die ALPS GmbH unterstützen?

Sollten Sie bisher den Umgang mit Informationen in Ihrem Unternehmen nicht geregelt haben, können wir Sie gerne unterstützen. Wir verfügen über eine Vorlage der Richtlinie (in Deutsch und Englisch) und können diese mit geringem Aufwand an Ihr Unternehmen und Ihre Informationen anpassen. Die Drehscheibe deckt das Schutzziel Vertraulichkeit ab – Verfügbarkeit und Integrität sind absichtlich nicht berücksichtigt. In der Richtlinie müssen die Maßnahmen für die zwei weiteren Schutzziele abgebildet sein. In den meisten Fällen sind die Maßnahmen zur Verfügbarkeit und Integrität durch Mitarbeiter in der IT oder durch Dienstleister umzusetzen weshalb für diese eine Drehscheibe nicht sinnvoll ist.

Warum gibt es keine Informationskategorie „öffentlich“?

Jedes Unternehmen verfügt über öffentliche Informationen und beschreibt diese in der Richtlinie. Wie der Name „öffentlich“ schon umschreibt, sind öffentliche Informationen für Außenstehende einsehbar und daher nicht schützenswert. Dem Unternehmen entsteht kein Schaden, wenn öffentliche Informationen an die Öffentlichkeit gelangen. Insbesondere sind für diese Kategorie kaum Schutzmaßnahmen vorgesehen. In den meisten Fällen überprüft z.B. die Abteilung „Marketing“, ob Information tatsächlich öffentlich sind. Beispielsweise kann eine Präsentation für eine öffentliche Konferenz überprüft und freigegeben werden. Wir haben uns daher bewusst dagegen entschieden die Kategorie „öffentlich“ auf der Drehscheibe abzubilden.

Welche Möglichkeiten habe ich Daten sicher zu löschen bzw. woher bekomme ich das Tool „Eraser“?

Digitale Informationen sicher zu löschen ist heutzutage immer schwieriger. Selbst wenn die Datei von Windows gelöscht wurde und der Papierkorb geleert ist, existiert die Information auf der Festplatte, Speicherkarte oder USB Stick noch immer und läs st sich durch frei verfügbare Software selbst durch Laien problemlos wiederherstellen. Es gab mehrfach Berichte in den Medien, die solche Fälle dokumentieren. Für besonders schützenswerte Informationen muss sichergestellt sein, dass die Daten sich nicht widerherstellen lassen. Eine Möglichkeit zur Umsetzung sind die folgenden, frei verfügbaren Softwaretools: Eraser Tool

Gerne können Sie Ihre individuelle Drehscheibe bei uns anfordern: info@alps-gmbh.de