ORP.2 Personal - BSI

i
Community Draft
ORP: Organisation und Personal
ORP.2: Personal
1 Beschreibung
IT-Grundschutz
1.1 Einleitung
Das Personal eines Unternehmens bzw. einer Behörde bildet die Grundlage für dessen bzw.
deren Erfolg oder Misserfolg. Gleichzeitig sind die Mitarbeiterinnen und Mitarbeiter ein
wesentlicher Bestandteil der Informationssicherheit. Wie die Erfahrung zeigt, sind selbst die
aufwendigsten Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter
wirkungslos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren
Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden
Informationen der Institution sind daher wesentlich.
1.2 Zielsetzung
Ziel dieses Bausteins ist es aufzuzeigen, welche personellen Sicherheitsmaßnahmen durch die
Personalabteilung oder die Vorgesetzten einer Institution zu ergreifen sind, damit die
Mitarbeiterinnen und Mitarbeiter sicher mit den Informationen der Institution umgehen und
sich so verhalten, wie es den Sicherheitszielen der Institution und den
Sicherheitsanforderungen der zu schützenden Informationen entspricht. Beginnend mit der
Einstellung von Mitarbeitern bis hin zu deren Weggang sind eine Vielzahl von Maßnahmen
erforderlich. Darüber hinaus dürfen natürlich auch nicht weitere Personengruppen, die mit den
Informationen der Institution in Berührung kommen, vergessen werden, wie Mitarbeiter von
Dienstleistern und Kunden. Auch für den Umgang mit Externen, wie z. B. Besuchern oder
Wartungstechnikern, müssen angemessene Sicherheitsmaßnahmen vorhanden sein.
1.3 Abgrenzung
Dieser Baustein beschäftigt sich mit den Anforderungen, die durch die Personalabteilung oder
die Vorgesetzten einer Institution zu beachten und zu erfüllen sind. Personelle Anforderungen,
die an eine bestimmte Funktion gebunden sind, wie z. B. die Ernennung des
Systemadministrators eines LAN, werden in den Bausteinen angeführt, die sich mit dem
jeweiligen Themengebiet beschäftigen.
2 Gefährdungslage
Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Personal von
besonderer Bedeutung:
2.1
Personalausfall
Der Ausfall von Personal kann dazu führen, dass bestimmte Aufgaben nicht mehr oder nicht
zeitnah wahrgenommen werden können (siehe auch G 0.33).
Zuletzt aktualisiert: 11.03.2016
Seite 1 von 8
IT-Grundschutz | SYS.2.1 Allgemeiner Client
2.2
Missbrauch von Berechtigungen
Jeder, der Informationen bearbeiten soll, benötigt dafür angemessene Berechtigungen. Nutzer können
diese missbrauchen, indem sie ausnutzen, um Informationen zu manipulieren, weiterzugeben oder auf
andere Weise der Institution zu schaden (siehe auch G 0.32).
2.3
Fehlende oder unzureichende Regelungen
Wenn Regelungen zur Informationssicherheit fehlen, unzureichend, nicht umsetzbar oder
unverständlich sind, kann das dazu führen, dass notwendige Sicherheitsmaßnahmen nicht umgesetzt
werden (siehe auch G 0.29 Verstoß gegen Gesetze oder Regelungen).
2.4
Unzureichende Kenntnis über Regelungen
Die Festlegung von Regelungen allein sichert noch nicht deren Beachtung und keinen störungsfreien
Betrieb. Allen Mitarbeiter müssen die geltenden Regelungen auch bekannt sein, vor allem den
Funktionsträgern. Ein Schaden, der entsteht, weil bestehende Regelungen nicht bekannt sind, darf sich
nicht mit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafür zuständig bin."
oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."
2.5
Fehlverhalten
Fehlverhalten von Personen aller Art kann dazu führen, dass Vertraulichkeit, Integrität oder
Verfügbarkeit von Informationen, Geschäftsprozessen oder IT-Systemen gestört werden. Je nach
Schutzbedarf der Informationen oder der Systeme und je nach Berechtigungen der Verursacher
können die Schäden gering oder kritisch sein.
2.6
Social Engineering
Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen,
Angst oder Respekt vor Autorität ausgenutzt, um unberechtigten Zugang zu Informationen oder
IT-Systemen durch "Aushorchen" zu erlangen. Dadurch können Mitarbeiter so manipuliert werden,
dass sie unzulässig handeln (siehe auch G 0.42 Social Engineering).
2.7
Sorglosigkeit im Umgang mit Informationen
Häufig ist zu beobachten, dass in Institutionen zwar eine Vielzahl von organisatorischen und
technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit den
Vorgaben und der Technik wieder ausgehebelt werden. Ein typisches Beispiel hierfür sind die fast schon
sprichwörtlichen Zettel am Monitor, auf denen Zugangspasswörter notiert sind.
2.8
Unberechtigte Verwendung eigener IT-Systeme
Die unberechtigte Verwendung eigener IT-Systemen durch Mitarbeiter kann grundsätzlich nur schwer
verhindert werden. Der Verwendung des eigenen Laptops, USB-Sticks oder Smartphones innerhalb der
IT-Landschaft einer Institution kann zu diversen Sicherheitsrisiken, wie zum Beispiel dem
unbeabsichtigten Einbringen von Schadprogrammen, führen.
2.9
Missbrauch sozialer Netzwerke
Soziale Netzwerke sind als Plattformen sehr erfolgreich. Allerdings gibt es neben den diversen Vorteilen
auch Sicherheitsrisiken, die Benutzer nicht aus den Augen verlieren sollten. So können die in sozialen
Netzwerken veröffentlichten Daten zum geschickten Passwortraten verwendet werden. Darüber hinaus
eignen sich soziale Netze besonders für Social Engineering Angriffe, da hier zum einem viele
Hintergrundinformationen gesammelt werden können und zum anderen das unter "Bekannten"
angenommene Vertrauen ausgenutzt werden kann.
Zuletzt aktualisiert: 11.03.2016
Seite 2 von 8
IT-Grundschutz | SYS.2.1 Allgemeiner Client
2.10
Manipulation oder Zerstörung von Geräten, Informationen oder Software
Außen-, aber auch Innentäter können aus unterschiedlichen Beweggründen heraus versuchen, Geräte,
Informationen oder Software zu manipulieren oder zerstören. Die Auswirkungen reichen von der
unerlaubten Einsichtnahme in schützenswerte Daten bis zur Zerstörung von IT-Systemen, die
erhebliche Ausfallzeiten nach sich ziehen können.
3 Anforderungen
Im Folgenden sind spezifische Anforderungen für den Bereich Personal aufgeführt. Grundsätzlich ist
die Personalabteilung für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden
in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte
(ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür
verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und
überprüft werden.
Bausteinverantwortlicher
Personalabteilung
weitere Verantwortlichkeiten
Vorgesetzte, IT-Betrieb, IT-Sicherheitsbeauftragter
3.1 Basisanforderungen
Die folgenden Anforderungen MÜSSEN umgesetzt werden:
ORP.2.A1
Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte]
Die Personalabteilung sowie die Vorgesetzten MÜSSEN dafür sorgen, dass neue Mitarbeiter zu Beginn
ihrer Beschäftigung in ihre neuen Aufgaben eingearbeitet und über bestehende Regelungen,
Gepflogenheiten und Verfahrensweisen informiert werden. Dazu gehören eine Einweisung in die für
ihre Arbeit wesentlichen IT-Systeme und Anwendungen sowie die relevanten Sicherheitsmaßnahmen,
Meldewege und Verhaltensregeln. Außerdem sollten ihnen relevante Ansprechpartner wie zum Beispiel
der Korruptionsbeauftragte, der IT-Sicherheitsbeauftragte, aber auch Ansprechpartner im Bereich der
Verwaltung genannt und vorgestellt werden. Hierbei kann eine Checkliste unterstützend wirken.
Zur geregelten Einarbeitung neuer Mitarbeiter MÜSSEN diese auf bestehende Regelungen und
Handlungsanweisungen zur Informationssicherheit hingewiesen werden. Alle Mitarbeiter MÜSSEN
über Regelungen zur Informationssicherheit, deren Veränderungen und ihre spezifischen
Auswirkungen auf einen Geschäftsprozess oder auf das jeweilige Arbeitsumfeld unterrichtet werden.
Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlägige Gesetze, Vorschriften und
interne Regelungen einzuhalten. Außerdem sollten alle Mitarbeiter darauf hingewiesen werden, dass
alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt
sind, solange sie nicht anders gekennzeichnet sind.
ORP.2.A2
Geregelte Verfahrensweise beim Weggang von Mitarbeitern [IT-Betrieb]
Wenn Mitarbeiter, die Institution verlassen oder andere Funktionen übernehmen, hat dies
Auswirkungen auf die unterschiedlichsten Bereiche einer Institution. Mit jedem Mitarbeiter geht auch
Know-How verloren, so dass vor dem Weggang eine rechtzeitige Einweisung des Nachfolgers,
idealerweise durch den ausscheidenden Mitarbeiter, durchgeführt werden MUSS. Außerdem MÜSSEN
von ausscheidenden Mitarbeitern alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und
Geräte sowie Ausweise und Zutrittsberechtigungen eingezogen werden. Die IT-Administration MUSS
außerdem dafür Sorge tragen, dass ehemaligen Mitarbeitern sämtliche Zugriffsberechtigungen auf
IT-Systeme entzogen bzw. diese bei Aufgabenwechseln angepasst werden. Vor der Verabschiedung
MUSS noch einmal explizit auf Verschwiegenheitsverpflichtungen hingewiesen werden. Weiterhin
MÜSSEN Notfall- und andere Ablaufpläne aktualisiert werden. Alle betroffenen Stellen innerhalb der
Institution, wie zum Beispiel das Sicherheitspersonal, MÜSSEN ebenfalls über das Ausscheiden des
Zuletzt aktualisiert: 11.03.2016
Seite 3 von 8
IT-Grundschutz | SYS.2.1 Allgemeiner Client
Mitarbeiters informiert werden. Um alle Aktivitäten, die mit dem Weggang von Mitarbeitern
einhergehen, geregelt abarbeiten zu können, KANN ähnlich der Einstellung auch hier die Erstellung
und die Abarbeitung einer Checkliste hilfreich sein.
ORP.2.A3
Vertretungsregelungen [Vorgesetzte]
Die Vorgesetzten MÜSSEN für die Einführung und Aufrechterhaltung von Vertretungsregelungen
Sorge tragen. Vertretungsregelungen dienen dazu, bei Ausfällen von Mitarbeitern, sei es durch
vorhersehbare Ausfälle, wie Urlaub, oder unvorhersehbare Ausfälle, wie Krankheiten, die Fortführung
der Aufgabenwahrnehmung zu gewährleisten. Sie regeln, wer in einem solchen Fall wen mit welchen
Kompetenzen vertritt. Dabei MUSS sichergestellt werden, dass für alle wesentlichen Geschäftsprozesse
und Aufgaben entsprechende und praktikable Vertretungsregelungen vorhanden sind. Bei diesen
Regelungen MUSS der Aufgabenumfang der Vertretung im Vorfeld klar definiert werden. Hierbei reicht
das einfache Benennen eines Vertreters nicht aus, sondern es MUSS sichergestellt werden, dass dieser
über das für die Vertretung benötigte Wissen verfügt. Ist dies nicht der Fall, MUSS überprüft werden,
wie der Vertreter zu schulen ist oder ob es ausreicht, den aktuellen Verfahrens- oder Projektstand
ausreichend zu dokumentieren. Ist es im Ausnahmefall nicht möglich, für einzelne Mitarbeiter einen
kompetenten Vertreter zu benennen oder zu schulen, MUSS frühzeitig überlegt werden, ob und wenn
ja, welche externen Kräfte für den Vertretungsfall eingesetzt werden können.
ORP.2.A4
Regelungen für den Einsatz von Fremdpersonal
Bei der Beschäftigung von externem Personal MUSS dieses grundsätzlich wie alle eigenen Mitarbeiter
auf die Einhaltung der geltenden Gesetze, Vorschriften und internen Regelungen verpflichtet werden.
Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal kann wie Besucher behandelt und
MUSS in sicherheitsrelevanten Bereichen nicht unbeaufsichtigt gelassen werden. Bei längerfristig
beschäftigtem Fremdpersonal wiederum MUSS dieses ähnlich der eigenen Mitarbeiter in seine
Aufgaben eingewiesen werden. Für solche Mitarbeiter MUSS außerdem eine Vertretungsregelung
eingeführt werden. Bei ihrem Weggang MUSS analog zu eigenem Personal eine geregelte Über- und
Rückgabe der Arbeitsergebnisse und eventuell ausgehändigter Zugangsberechtigungen erfolgen.
ORP.2.A5
Vertraulichkeitsvereinbarungen
Bevor Externe Zugang und Zugriff zu vertraulichen Informationen erhalten, MÜSSEN mit ihnen
Vertraulichkeitsvereinbarungen abgeschlossen werden. Durch die verwendeten
Vertraulichkeitsvereinbarungen MÜSSEN alle wichtigen Aspekte zum Schutz von
organisationsinternen Informationen berücksichtigt werden.
3.2 Standardanforderungen
Gemeinsam mit den Basisanforderungen entsprechen die folgenden Anforderungen dem Stand der
Technik im Bereich Personal. Sie SOLLTEN grundsätzlich umgesetzt werden.
ORP.2.A6
Überprüfung von Kandidaten bei der Auswahl von Personal
Bei der Auswahl von neuen Mitarbeitern SOLLTEN die erforderlichen Qualifikationen und Fähigkeiten
genau formuliert sein. Anschließend SOLLTE anhand der Unterlagen und im Bewerbungsgespräch
geprüft werden, ob diese bei den Bewerbern tatsächlich vorhanden sind. Besonders SOLLTE darauf
geachtet werden, dass keine Interessenkonflikte auftreten, beispielsweise durch frühere Stellen oder
durch anderweitige Verpflichtungen. Um nach einem Stellenwechsel Interessenkonflikte zu vermeiden,
KÖNNEN Konkurrenzverbote und Karenzzeiten vereinbart werden.
ORP.2.A7
Überprüfung der Vertrauenswürdigkeit von Mitarbeitern
Personen, die sicherheitsrelevante Aufgaben ausüben, müssen vertrauenswürdig und zuverlässig sein.
Neue Mitarbeiter SOLLTEN vor ihrer Einstellung auf ihre Vertrauenswürdigkeit hin überprüft werden.
Hierzu gehört eine Prüfung des vorgelegten Lebenslaufs auf Vollständigkeit, Plausibilität und
Korrektheit. Dabei kann es sinnvoll sein, zusätzlich zu den Aussagen der Bewerber einzelne Punkte wie
zum Beispiel akademische und berufliche Qualifikationen durch Nachfragen bei den Universitäten
oder früheren Arbeitgebern zu verifizieren. Außerdem sollte auf jeden Fall die Identität des Bewerbers
Zuletzt aktualisiert: 11.03.2016
Seite 4 von 8
IT-Grundschutz | SYS.2.1 Allgemeiner Client
bestätigt werden, z. B. durch die Vorlage eines geeigneten Ausweispapiers.
ORP.2.A8
Aufgaben und Zuständigkeiten von Mitarbeitern [IT-Sicherheitsbeauftragter]
Die Aufgaben und Zuständigkeiten von Mitarbeitern müssen in geeigneter Weise dokumentiert sein,
beispielsweise durch Arbeitsverträge oder Vereinbarungen. Der IT-Sicherheitsbeauftragte muss dafür
sorgen, dass alle Mitarbeiter ihre Aufgaben und Zuständigkeiten im Sicherheitsprozess kennen.
Insbesondere SOLLTE vereinbart sein, dass jeder Mitarbeiter auch außerhalb der Arbeitszeit und
außerhalb des Betriebsgeländes eine Verantwortlichkeit für Informationssicherheit hat.
ORP.2.A9
Schulung von Mitarbeitern
Die Mitarbeiter SOLLTEN entsprechend ihrer Tätigkeit regelmäßig geschult werden, damit sie im Bezug
auf die ihnen übertragenen Tätigkeiten immer auf einem entsprechend aktuellen Stand sind. Dies ist
gerade im Bereich der IT-Administration und Wartung der Informationstechnik wichtig, da sich in
diesem Bereich die schnellsten Veränderungen ergeben. Aber auch in allen anderen Bereichen SOLLTE
sichergestellt werden, dass kein Mitarbeiter basierend auf einem veralteten Wissensstand seiner Arbeit
nachgeht. Weiterhin SOLLTE den Mitarbeitern während ihrer Beschäftigung die Möglichkeit gegeben
werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden.
Alle Mitarbeiter müssen in die Geräte, Anwendungen und Aktivitäten eingewiesen sein, die zur
sicheren Verarbeitung von Informationen dienen, beispielsweise Schredder,
Verschlüsselungsprogramme oder Authentisierungstoken. Darüber hinaus SOLLTEN alle Mitarbeiter
regelmäßig im Bereich der Informationssicherheit geschult und über alltägliche Risiken und mögliche
Gegenmaßnahmen unterrichtet werden. Die Mitarbeiter SOLLTEN darüber hinaus motiviert werden,
Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Bei größerem
Schulungsbedarf KANN es möglich sein, einzelne Mitarbeiter gesondert zu schulen und innerhalb des
Tätigkeitsbereichs als Multiplikatoren für die restlichen Mitarbeiter einzusetzen, um mögliche
Ausfallzeiten durch Schulungen zu minimieren.
ORP.2.A10
Vermeidung von Störungen des Betriebsklimas
Das Betriebsklima hat einen wesentlichen Einfluss auf die Bereitschaft der Mitarbeiter zur Einhaltung
von Sicherheitsmaßnahmen. Gleichzeitig bietet ein negatives Betriebsklima Boden für fahrlässige und
vorsätzliche Handlungen, die den Betrieb stören können. Aus diesem Grund SOLLTE auch aus Sicht der
Informationssicherheit, für ein positives Betriebsklima gesorgt werden. Dies KANN zum Einen durch
eine Auswahl unterschiedlicher Maßnahmen wie zum Beispiel einer gleichmäßigen Bezahlung oder
einer geregelten Aufgabenverteilung geschehen. Zum Anderen ist es für ein positives Betriebsklima
wichtig, die Mitarbeiter rechtzeitig und ausführlich über getroffene Entscheidungen, gerade im Bezug
auf neue oder zusätzliche Sicherheitsmaßnahmen, zu informieren. Auf diesem Weg KANN einer
grundsätzliche Ablehnung von Entscheidungen und einer Störung des Betriebsklimas durch die
Entstehung von Gerüchten entgegen gewirkt werden.
3.3 Anforderungen bei erhöhtem Schutzbedarf
Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand
der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in
Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse.
Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die
Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).
ORP.2.A11
Analyse der Sicherheitskultur (CIA)
Der Begriff Sicherheitskultur umfasst die sicherheitsbezogenen Einstellungen, Werte und
grundlegende Überzeugungen einer Institution und aller ihrer Mitarbeiter. Die für die Institution
ausgewählten Sicherheitsmaßnahmen SOLLTEN sich daher immer an der Institution und ihren
Mitarbeitern orientieren. Die Erfahrung zeigt, dass selbst die aufwendigsten technischen und
organisatorischen Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter wertlos sind.
Daher KANN es sinnvoll sein zu analysieren, wie genau sich die Mitarbeiter aus Sicherheitssicht
Zuletzt aktualisiert: 11.03.2016
Seite 5 von 8
IT-Grundschutz | SYS.2.1 Allgemeiner Client
verhalten. Darauf aufbauen KANN dann untersucht werden, wo die personelle und organisatorische
Sicherheit noch verbessert werden kann, beispielsweise durch gezielte Sensibilisierung und zusätzliche
Schulungen zur Informationssicherheit.
ORP.2.A12
Benennung separater Ansprechpartner (CIA)
Trotz aller Bemühungen, dass die Mitarbeiter die Informationssicherheit akzeptieren, können gerade
größere organisatorische oder technische Veränderungen dazu führen, dass die Zufriedenheit der
Mitarbeiter mit den geplanten Informationssicherheitsmaßnahmen sinkt. Aus diesem Grund KANN es
sinnvoll sein, in solchen Phasen den Mitarbeitern einen Verantwortlichen als vertrauenswürdigen
Ansprechpartner zu benennen.
ORP.2.A13
Sicherheitsüberprüfung (CIA)
Im Hochsicherheitsbereich reicht die grundlegende Überprüfung der Vertrauenswürdigkeit von
Mitarbeitern, wie zuvor beschrieben nicht aus. Hier SOLLTE eine zusätzliche Sicherheitsüberprüfung
durchgeführt werden, zum Beispiel durch die Anforderung eines polizeilichen Führungszeugnisses
oder anderer schriftlicher Versicherungen von Seiten der Mitarbeiter.
4 Weiterführende Informationen
Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Personalwesen
finden sich unter anderem in folgenden Veröffentlichungen:
• Archivierter IT-Grundschutz-Baustein: B 1.2 Personal (2013),
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Download/download_node.html
• NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information
Systems and Organizations, insbesondere APPENDIX F-PS PAGE F-145, FAMILY: PERSONNEL
SECURITY, http://csrc.nist.gov/publications/PubsSPs.html
• ISO/IEC 27001:2013, insbesondere Annex A, A.7 Human resource security
• The Standard of Good Practice, ISF, June 2014, insbesondere Area CF2 Human Resource Security
Mit dem IT-Grundschutz publiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen zur
Informationssicherheit. Kommentare und Hinweise können von Lesern an [email protected] gesendet werden.
Zuletzt aktualisiert: 11.03.2016
Seite 6 von 8
IT-Grundschutz | SYS.2.1 Allgemeiner Client
5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen
Die folgenden elementaren Gefährdungen sind für Personal von Bedeutung:
G 0.14 Ausspähen von Informationen / Spionage
G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
G 0.19 Offenlegung schützenswerter Informationen
G 0.22 Manipulation von Informationen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.32 Missbrauch von Berechtigungen
G 0.33 Personalausfall
G 0.34 Anschlag
G 0.35 Nötigung, Erpressung oder Korruption
G 0.36 Identitätsdiebstahl
G 0.37 Abstreiten von Handlungen
G 0.38 Missbrauch personenbezogener Daten
G 0.41 Sabotage
G 0.42 Social Engineering
G 0.44 Unbefugtes Eindringen in Räumlichkeiten
G 0.45 Datenverlust
G 0.46 Integritätsverlust schützenswerter Informationen
Zuletzt aktualisiert: 11.03.2016
Seite 7 von 8
A2
X
A4
X
X
G0.46
G0.45
G0.44
G0.42
G0.41
G0.38
G0.37
X
X X X X X X X X X
A6
X
X X
X
X
X
A8
X
A9
X
A10
X
X
X X
X
A11
X
A12
X
Zuletzt aktualisiert: 11.03.2016
G0.36
X
A5
A13
G0.35
X
X
A3
A7
G0.34
G0.33
G0.32
G0.29
G0.29
G0.22
X
G0.19
A1
G0.17
Maßnahmen
G0.14
Bedrohungen / Schwachstellen
G0.16
IT-Grundschutz | SYS.2.1 Allgemeiner Client
X
X X
X
Seite 8 von 8

Download Report