Sicherheitsrichtlinie der REINHAUSEN Gruppe
Transcrição
Sicherheitsrichtlinie der REINHAUSEN Gruppe
Sicherheitsrichtlinie der REINHAUSEN Gruppe Version 1.2 (01.04.2012) Geltungsbereich: Die vorliegende Richtlinie ist für alle Mitarbeiter der unten aufgeführten Gesellschaften (nachfolgend REINHAUSEN Gesellschaften) verbindlich. Sie richtet sich ebenso an alle Lieferanten, an externe Dienstleister und Partnerunternehmen dieser Unternehmen, soweit dies nicht in den einzelnen Abschnitten anders angegeben ist. Gesellschaft Maschinenfabrik Reinhausen GmbH Reinhausen Plasma GmbH Reinhausen Power Composites GmbH Highvolt Prüftechnik Dresden GmbH Messko GmbH MR China Ltd. MR do Brasil Ltd. MR Japan Corp. MR Manufacturing Inc. MR Russland (OOO MR) PT Reinhausen Indonesia (RID) Reinhausen 2e d.o.o.(RSI) Reinhausen Asia-Pacific Sdn Bhd. Reinhausen Australia Pty. Ltd. Reinhausen Canada Inc. Reinhausen Italia S.r.I. Reinhausen Korea Ltd. Reinhausen Luxembourg S.A. Reinhausen Manufacturing Inc. Reinhausen Middle East FZE Reinhausen South Africa (Pty) Ltd. Gültig ab 01.10.2009 01.10.2009 01.10.2009 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.04.2012 01.04.2012 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 01.08.2010 Inhalt 1. Einleitung Informationssicherheit ...................................................................................................... 5 1.1 Organisation und Verantwortung .............................................................................................. 5 1.2 Rechte und Pflichten ................................................................................................................. 6 2. Nutzung der Informations- und Kommunikationssysteme (IuK-Systeme) .................................... 6 2.1 Rechtliche Grundlagen.............................................................................................................. 6 2.2 Zulässige Nutzung .................................................................................................................... 7 2.3 Unzulässige Nutzung ................................................................................................................ 7 3. Benutzerkonten .................................................................................................................................... 8 3.1 Benutzerkonten ......................................................................................................................... 8 3.2 Passwortschutz ......................................................................................................................... 8 3.3 Auswahl eines sicheren Passwortes......................................................................................... 8 3.4 Passwortalter ............................................................................................................................ 8 3.5 Sperrung eines Benutzerkontos / Vergessenes Passwort........................................................ 8 3.6 Benutzerkonten für Dienstleister ............................................................................................... 8 4. Softwarenutzung .................................................................................................................................. 9 4.1 Zulässige Nutzung .................................................................................................................... 9 4.2 Unzulässige Nutzung ................................................................................................................ 9 5. Schadsoftware (Viren, Trojaner, etc.) ................................................................................................ 9 5.1 Antivirensoftware ..................................................................................................................... 10 5.2 IuK-Systeme Dritter ................................................................................................................. 10 5.3 Benachrichtigung und Beseitigung ......................................................................................... 10 6. E-Mail-Nutzung ................................................................................................................................... 10 6.1 Zulässige Nutzung .................................................................................................................. 10 6.2 Unzulässige Nutzung .............................................................................................................. 11 6.3 Gruppenpostfächer ................................................................................................................. 11 7. Internet-Nutzung ................................................................................................................................ 12 7.1 Zulässige Nutzung .................................................................................................................. 12 7.2 Unzulässige Nutzung .............................................................................................................. 12 8. Telefonnutzung .................................................................................................................................. 12 8.1 Zulässige Nutzung .................................................................................................................. 12 8.2 Unzulässige Nutzung .............................................................................................................. 12 8.3 Sicherstellung der Identität des Gesprächspartners ............................................................... 13 9. Sicherer Umgang mit Daten und Datenträgern............................................................................... 13 9.1 Externe Datenträger ................................................................................................................ 13 9.2 Sicherung von Daten............................................................................................................... 13 9.3 Archivierung ............................................................................................................................ 13 10. Externer Zugriff auf IuK-Systeme der REINHAUSEN Gesellschaften .......................................... 14 11. Datenschutz ........................................................................................................................................ 14 11.1 Privatsphäre ............................................................................................................................ 14 11.2 Überwachung und Protokollierung .......................................................................................... 15 11.3 Überwachung sicherheitskritischer Bereiche .......................................................................... 15 11.4 Vertrauliche und personenbezogene Informationen, Kundendaten ....................................... 15 12. Handhabung von unternehmenskritischen Informationen ........................................................... 15 12.1 Umgang mit unternehmenskritischen Informationen .............................................................. 15 12.2 Weitergabeformat.................................................................................................................... 16 12.3 Weitergabe von Datenträgern ................................................................................................. 16 12.4 Vernichtung von Dokumenten und Computermedien ............................................................. 16 13. Physische Sicherheit ......................................................................................................................... 16 13.1 Zutritt zu Gelände und Gebäuden ........................................................................................... 16 13.2 Firmenausweise ...................................................................................................................... 16 13.3 Allgemeine Bestimmungen ..................................................................................................... 17 13.4 Aufgeräumter Arbeitsplatz....................................................................................................... 17 Seite 2 von 22 13.5 13.6 13.7 13.8 Besprechungen ....................................................................................................................... 17 Sicherheits-, Überwachungs- und Schutzsysteme ................................................................. 17 Verlust oder Diebstahl ............................................................................................................. 17 Fotografierverbot ..................................................................................................................... 17 14. Besucherregelungen ......................................................................................................................... 18 14.1 Zutritt zu Gebäuden ................................................................................................................ 18 14.2 Medizinische Notfälle .............................................................................................................. 18 15. Security-Awareness & -Training ...................................................................................................... 19 16. Ansprechpartner, Rollen und Verantwortlichkeiten ....................................................................... 19 Glossar ....................................................................................................................................................... 20 Seite 3 von 22 1. Einleitung Informationssicherheit 1.1 • • • • • • • Organisation und Verantwortung Die Geschäftsführung der REINHAUSEN Gruppe verantwortet im Rahmen ihres Direktionsrechts die Sicherheit von Informationen und Daten des Unternehmens. Zur Wahrnehmung dieser Aufgabe und zur Koordination der in den oben beschriebenen drei Sicherheitsbereichen notwendigen Maßnahmen, hat die Geschäftsführung einen Leiter Konzernsicherheit ernannt. Der Leiter Konzernsicherheit wird fachlich unterstützt von - dem IT Security Manager - zuständig für die Sicherheit der Informationstechnologie - dem HR Security Manager der Personalabteilung - zuständig für organisatorische Fragen und Fragen im Bereich Personal - sowie dem Facility Security Manager - zuständig für die physische Sicherheit Die Bereichsleiter Organisation, Personal und Produktion, die von ihnen benannten Sicherheitsverantwortlichen (IT-Security Manager, HR Security Manager und Facility Security Manager) und der Leiter Konzernsicherheit bilden das Sicherheitsmanagement. Der Datenschutzbeauftragte der REINHAUSEN Gruppe unterstützt das Sicherheitsmanagement hinsichtlich Fragen des Datenschutzes. Ist der Datenschutzbeauftragte in Personalunion einer der vorhergenannten Personen, so ist er, solange er Datenschutzbeauftragter ist, nicht Mitglied des Sicherheitsmanagements. Eine Vertretung kann in diesem Fall benannt werden. Die Sicherheitsgrundsätze sind Bestandteil des Risikomanagements. Der Leiter Risikomanagement unterstützt das Sicherheitsmanagement hinsichtlich Fragen des Risikomanagements. Die Richtlinie beschreibt Ziele und Methoden. Soweit beschriebene Methoden aus technischen bzw. gesetzlichen Gründen an einem Standort nicht umsetzbar sind, bedürfen Abweichungen der Zustimmung des Leiters Konzernsicherheit. Die Beteiligungsrechte des Betriebsrates (soweit vorhanden) werden gewahrt . Informationen im REINHAUSEN GroupNet - Informationen rund um das Thema „Unternehmensweite Sicherheit“ finden Sie im REINHAUSEN Groupnet unter http://groupnet.reinhausen.com/desktopdefault.aspx/tabid-136. - Dort finden Sie ebenfalls eine Liste der aktuellen Namen und Verantwortlichkeiten unter http://groupnet.reinhausen.com/desktopdefault.aspx/tabid-35/?open=konzernsicherheit. Geschäftsleitung Leiter Konzernsicherheit IT Security Manager HR Security Manager Bereichsleiter Organisation Bereichsleiter Personal IT-Sicherheit Organisatorische Sicherheit Facility Security Manager Bereichsleiter Produktion Datenschutzbeauftragter Leiter Risikomanagement Betriebsrat Physische Sicherheit Sicherheitsmanagement Seite 5 von 22 1.2 Rechte und Pflichten • • • • • • 2. Geltungsbereich Diese Sicherheitsrichtlinie richtet sich an Mitarbeiter der REINHAUSEN Gruppe entsprechend des auf dem Deckblatt genannten Geltungsbereiches (nachfolgend REINHAUSEN Gesellschaften) und an alle Lieferanten, externe Dienstleister und Partnerunternehmen, soweit dies nicht in den einzelnen Abschnitten anders angegeben ist. Diese Sicherheitsrichtlinie ist für jeden Mitarbeiter verbindlich und wird jedem Mitarbeiter zugänglich gemacht (u.a. im REINHAUSEN GroupNet). Jede Nichteinhaltung dieser Sicherheitsrichtlinie kann eine Sicherheitsverletzung und somit ein unternehmensweites Risiko darstellen. Verstöße gegen diese Sicherheitsrichtlinie, alle potentiellen Gefährdungen, der Verlust oder die Korruption von Informationen und Geräten müssen von Ihnen umgehend den im REINHAUSEN GroupNet aufgeführten zuständigen Stellen gemeldet werden. Verschwiegenheitspflicht Jeder externe Dienstleister und Lieferant muss vor Aufnahme seiner Tätigkeit die Erklärung zur Verschwiegenheitspflicht (Non Disclosure Agreement, NDA) unterschreiben, sofern er potentiell Zugriff auf Daten oder Informationen der REINHAUSEN Gruppe hat. Verantwortlich ist der jeweilige Auftraggeber. Eine aktuelle Vorlage für ein NDA erhalten Sie bei der für Sie zuständigen Einkaufsabteilung. Jedes tatsächliche oder vermeintliche sicherheitsrelevante Ereignis muss als vertraulich behandelt werden. Alle Anfragen zu diesbezüglichen Ereignissen müssen Sie zuerst an den Leiter Konzernsicherheit weiterleiten. Verletzung der Richtlinie Verstöße gegen die Richtlinie können arbeits-, zivil- oder strafrechtliche Maßnahmen nach sich ziehen. Die zuständige Gesellschaft behält sich das Recht vor, die Einhaltung dieser Richtlinie regelmäßig zu überprüfen. Nutzung der Informations- und Kommunikationssysteme (IuK-Systeme) Die REINHAUSEN Gesellschaften stellen Ihnen als Mitarbeiter zur Erfüllung Ihrer Aufgaben eine moderne und dem Stand der Technik entsprechende Infrastruktur zur Verfügung (E-MailSystem, ERP System, verschiedene Datenspeicher, Telefonsysteme, usw.), zusammengefasst als IuK-Systeme (IuK = Information- und Kommunikation; siehe auch Glossar). 2.1 a) b) c) d) e) f) g) Rechtliche Grundlagen Die IuK-Systeme dürfen Sie nur in rechtlich korrekter Weise nutzen. Es wird ausdrücklich darauf hingewiesen, dass nach dem Strafgesetzbuch unter Strafe gestellt sind: Ausspähen von Daten (§ 202a StGB); unbefugtes Verändern, Löschen, Unterdrücken oder Unbrauchbarmachen von Daten (§ 303a StGB); Computersabotage (§ 303b StGB) und Computerbetrug (§ 263a StGB); die Verbreitung von Propagandamitteln verfassungswidriger Organisationen (§ 86 StGB) oder rassistischem Gedankengut (§ 130 StGB); die Verbreitung gewisser Formen von Pornographie im Netz (§ 184 Ziffer 3 StGB); Abruf oder Besitz von Dokumenten mit Kinderpornographie (§ 184 Ziffer 5 StGB); Ehrdelikte wie Beleidigung oder Verleumdung (§ 185 ff StGB), Beschimpfungen von Bekenntnissen, Religionen oder Weltanschauungen (§ 166 StGB); Seite 6 von 22 h) Urheberrechtsverletzungen, z.B. durch urheberrechtswidrige Vervielfältigung von Software oder die Eingabe geschützter Werke in eine DV-Anlage (§§ 106 ff. UrhG). Gleiches gilt auch für andere urheberrechtlich geschützte Werke (i.S.v. § 2 UrhG). In einigen Fällen ist bereits der Versuch strafbar. Für Standorte in anderen Ländern, gelten entsprechend zudem die Gesetze vor Ort. 2.2 Zulässige Nutzung • • • • • • • • • • • 2.3 • • Allgemeine Nutzungsregelungen Sie dürfen Sicherheitsbeschränkungen nicht umgehen, um Zugriff auf geschützte Daten bzw. geschützte Bereiche zu erlangen. Ohne Zustimmung der Abteilung Systemtechnik (OIS) der Maschinenfabrik Reinhausen GmbH (zuständig für die IuK-Systeme der REINHAUSEN Gesellschaften; Kontakt siehe REINHAUSEN GroupNet http://groupnet.reinhausen.com/desktopdefault.aspx/tabid35/?open=konzernsicherheit) dürfen Sie keine Änderungen an der Konfiguration von IuKSystemen vornehmen. Änderungen an diesen Systemen dürfen nur durch von der Abteilung OIS befugtes Personal vorgenommen werden. Sie dürfen Ihre persönlichen Benutzerkonten nicht gemeinsam mit anderen Benutzern verwenden. Sie sind verantwortlich für den Schutz der auf ihren Benutzerkonten verwendeten bzw. gespeicherten Daten (z.B. benutzerspezifische Laufwerke, Outlook-Postfächer). Sie müssen sich mit den zulässigen Einsatzzwecken der IuK-Systeme vertraut machen. Geräte mit Zugang zu unternehmenskritischen Informationen müssen Sie bei Verlassen des Raumes durch angemessene Sperrmechanismen (z.B. passwortgeschützte Bildschirmschoner) sichern. Auf Dienstreisen müssen Sie die notwendigen Vorkehrungen treffen, um die Sicherheit der entsprechenden Gegenstände oder Unterlagen jederzeit gewährleisten zu können. Die Ausrüstung muss als Handgepäck mitgeführt werden und darf nie unbeaufsichtigt sein. Mobile Geräte müssen, wenn sie nicht verwendet werden, an einem sicheren bzw. abgeschlossenen Ort aufbewahrt werden. Den Verlust oder den Diebstahl von Geräten oder Daten der REINHAUSEN Gesellschaften müssen Sie unverzüglich Ihrem zuständigen IT-Helpdesk mitteilen. Geschäftliche Nutzung Sie dürfen die IuK-Systeme der REINHAUSEN Gesellschaften nur im Rahmen Ihrer geschäftlichen Tätigkeit für die REINHAUSEN Gesellschaften einsetzen. Eine Privatnutzung ist nur im Rahmen der Betriebsvereinbarung zur privaten Nutzung von Informations- und Kommunikationssystemen erlaubt. Die bei den REINHAUSEN Gesellschaften eingesetzte Software ist ausschließlich für den Einsatz in den REINHAUSEN Gesellschaften bestimmt und darf nur unter Einhaltung der anwendbaren urheberrechtlichen Gesetze und Vorschriften verwendet werden. Für die Durchführung der geschäftlichen Aufgaben dürfen Sie ausschließlich die von OIS freigegebenen IuK-Systeme verwenden. Unzulässige Nutzung Der Einsatz von IuK-Systemen für Aktivitäten, die den Betrieb der IT-Infrastruktur der REINHAUSEN Gesellschaften in erheblichen Umfang beeinträchtigen oder stören, ist Ihnen untersagt. Sie dürfen die IuK-Systeme der REINHAUSEN Gesellschaften nicht zum Herunterladen, Speichern oder Übertragen von anstößigen oder nicht angebrachten Material nutzen. Hierzu zählen beispielsweise sexuell ausgerichtete Inhalte, Hassbekundungen, rassistisches oder diffamierendes Material. Seite 7 von 22 3. Benutzerkonten Folgende Unterpunkte sollen Sie dabei unterstützen, den Umgang mit Passwörtern zu regeln und die erforderlichen Maßnahmen zu ergreifen, um den Zugriff auf Benutzerkonten ordnungsgemäß zu schützen. 3.1 • • • 3.2 • • • • 3.3 • • 3.4 • • 3.5 • • 3.6 • • • Benutzerkonten Benutzerkonten müssen über eine Berechtigungsanforderung beantragt werden. Jedes Benutzerkonto ist durch ein sicheres Passwort bzw. durch weitergehende Authentifizierungsmaßnahmen geschützt. Sollten Sie besondere administrative Rechte benötigen, erhalten Sie ein zweites Benutzerkonto mit Sonderrechten, über das Sie administrative Aufgaben wahrnehmen können. Sie dürfen „normale“ Benutzerkonten nicht für administrative Aufgaben nutzen. Passwortschutz Sie sind persönlich für den Schutz Ihrer Passwörter verantwortlich. Sie dürfen Passwörter nicht mit mehreren Personen gemeinsam nutzen oder an andere Personen weitergeben (auch nicht Ihrem IT-Helpdesk). Ausnahmen bilden Gruppenkennungen, die innerhalb einer Gruppe (z.B. Montagegruppen) bekannt sein müssen. Aufgeschriebene Passwörter müssen Sie sorgfältig, einem Dritten nicht zugänglich unter Verschluss aufbewahren. Sie dürfen persönliche Passwörter nicht in automatischen Anmeldeprozessen hinterlegen oder in einer Makro- oder Funktionstaste speichern. Auswahl eines sicheren Passwortes Passwörter müssen aus mindestens 8 Zeichen und aus mindestens drei der folgenden vier Zeichengruppen zusammengesetzt sein: Sonderzeichen, Zahlen, Klein- und Großbuchstaben. Die IuK-Systeme verifizieren die Korrektheit des eingegebenen Passwortes. Passwortalter Vor der ersten Anmeldung an einem System erhalten Sie zuerst ein Zufallspasswort, das Sie bei der ersten Anmeldung ändern müssen, bevor sie Zugriff auf das System erhalten. Jedes Passwort muss spätestens nach 90 Tagen geändert werden. Die meisten Systeme fordern Sie dazu auf. Änderungen am Passwort können Sie jederzeit vornehmen, falls Sie annehmen, dass das aktuelle (alte) Passwort nicht mehr sicher ist. Sperrung eines Benutzerkontos / Vergessenes Passwort Im Falle einer mehrfach aufeinander folgenden fehlerhaften Anmeldung wird Ihr Benutzerkonto gesperrt. In diesem Falle kann die Sperrung durch einen Mitarbeiter Ihres IT-Helpdesks aufgehoben werden. Wenn Sie Ihr Passwort vergessen haben, können Sie dies nach Rücksprache und schriftlicher Anforderung Ihres Vorgesetzten per E-Mail an den IT-Helpdesk zurücksetzen lassen. Benutzerkonten für Dienstleister Benutzerkonten für Dienstleister werden nur genehmigt, falls dies aus klar erkennbaren, geschäftlichen Gründen erforderlich ist. Jeder externe Benutzer muss diese Richtlinie befolgen. Benutzerkonten für Dienstleister müssen ebenfalls über eine Berechtigungsanforderung beantragt werden. Der Abschluss der Arbeiten ist vom Projektverantwortlichen dem IT-Helpdesk zu melden, damit das betreffende Benutzerkonto umgehend gelöscht werden kann. Seite 8 von 22 4. Softwarenutzung Es muss sichergestellt werden, dass die Urheberrechte und entsprechende weitere Vorschriften zur Softwarenutzung eingehalten werden und die Bedrohung durch Computer Viren reduziert wird. 4.1 Zulässige Nutzung In den REINHAUSEN Gesellschaften dürfen nur legale und lizenzierte Softwareprogramme eingesetzt werden. 4.2 Unzulässige Nutzung • • • • • • • Software im Privatbesitz Es ist Ihnen untersagt, Software aus Ihrem Privatbesitz auf IuK-Systemen der REINHAUSEN Gesellschaften zu installieren. • Kopien von Software und Multimediadaten Es ist Ihnen untersagt, illegale oder nicht genehmigte Kopien der von den REINHAUSEN Gesellschaften lizenzierten Software zu erstellen oder weiterzugeben. Es ist Ihnen weiterhin nicht gestattet, die IuK-Systeme der REINHAUSEN Gesellschaften zum Herunterladen, Verkaufen, Speichern, Vertreiben oder Erstellen von Kopien illegaler, urheberrechtlich geschützter oder nicht lizenzierter Software, Daten, Musik oder anderer Multimediadaten zu nutzen. • Nicht zugelassene Software Es ist Ihnen nicht gestattet, Anwendungen, die dem Aufspüren von Sicherheitsschwachstellen oder dem Ausspähen von Daten (z.B. Hacking-Tools) dienen, einzusetzen. • 5. Softwarelizenzierung Nur die Abteilung OIS kann die Nutzung von Software genehmigen. Es ist untersagt, ohne Rücksprache mit der Abteilung OIS, Anwendungen zur Standardsoftware-Ausstattung hinzuzufügen oder aus dieser zu entfernen. Das Herunterladen, Speichern oder Übertragen von Software aus dem Internet ist Ihnen ohne Zustimmung der Abteilung OIS untersagt. Der Einsatz von Shareware- oder Freeware-Programmen ist untersagt. Sollten Sie verdächtige Software auf einem IuK-System der REINHAUSEN Gesellschaften entdecken, müssen Sie dies unverzüglich dem IT-Helpdesk mitteilen. Nicht genehmigte oder illegale Kopien von Softwareprogrammen, die auf IuK-Systemen der REINHAUSEN Gesellschaften entdeckt werden, werden nach Rücksprache mit dem Betroffenen gelöscht. Schadsoftware (Viren, Trojaner, etc.) Computerviren, Trojaner und andere bösartige Programme stellen eines der größten Risiken für eine Unternehmung dar. Bei der Bekämpfung solcher Programme verfolgen die REINHAUSEN Gesellschaften eine restriktive und vorausschauende Strategie. Seite 9 von 22 5.1 • • • 5.2 Antivirensoftware Auf jedem IuK-System der REINHAUSEN Gesellschaften wird eine Antivirensoftware ausgeführt. Es ist Ihnen untersagt, die Antivirensoftware auf diesen IuK-Systemen zu deaktivieren oder die ordnungsgemäße Funktionsweise der Software zu behindern. Sie müssen Ihren IT-Helpdesk benachrichtigen, falls Sie feststellen, dass die Software nicht ausgeführt wird oder nicht mehr aktuell ist (z.B. durch eine Warnmeldung des AntiViren-Programms). Auf den E-Mail-Servern ist ein Antivirenprogramm für die Überprüfung aller eingehenden und ausgehenden E-Mail-Nachrichten implementiert. Trotzdem dürfen Sie Anhänge in E-MailNachrichten von unbekannten Absendern nicht ohne Rückfrage bei Ihrem Helpdesk öffnen. Updates für den Virenscanner werden in regelmäßigen Intervallen über das Netzwerk bereitgestellt. Es ist Ihnen untersagt, diese Aktualisierung zu verhindern. IuK-Systeme Dritter IuK Systeme Dritter dürfen nicht im Netzwerk der REINHAUSEN Gesellschaften betrieben werden. 5.3 • • 6. Benachrichtigung und Beseitigung Sie müssen Ihren IT-Helpdesk sofort benachrichtigen, wenn Sie vermuten oder feststellen, dass ein IuK-System der REINHAUSEN Gesellschaften von einem Virus oder einem bösartigen Programm infiziert wurde. Folgen Sie in diesem Fall unbedingt den Anweisungen Ihres IT-Helpdesks. E-Mail-Nutzung Die REINHAUSEN Gesellschaften sind bestrebt, für alle Mitarbeiter und Kommunikationspartner ein benutzerfreundliches, rechtskonformes und gefahrenfreies E-Mail-System zu gewährleisten. Um eine hohe Verfügbarkeit und Zuverlässigkeit sicherzustellen, müssen die REINHAUSEN Gesellschaften auf der Einhaltung bestimmter Vorschriften bezüglich des Einsatzes von E-Mail bestehen. 6.1 • • • • • Zulässige Nutzung Die Nutzung des von den REINHAUSEN Gesellschaften zur Verfügung gestellten E-MailKontos ist Ihnen grundsätzlich nur für dienstliche Zwecke erlaubt. Sie sind dafür verantwortlich, dass Ihre Benutzerkontoinformationen insbesondere Ihr Passwort geheim bleiben. Sie tragen die Verantwortung für sämtliche Aktivitäten, die über Ihr dienstliches E-Mail-Konto erfolgen. An E-Mails für externe Empfänger müssen Sie eine Signatur anfügen. Eine Vorlage für diese Signatur finden Sie im Intranet. Sie müssen Ihren Vorgesetzten über jede unbefugte Nutzung Ihres Benutzerkontos oder Passwortes durch eine andere Person unmittelbar informieren. Sämtliche E-Mail-Nachrichten, die unternehmenskritische Informationen enthalten, müssen Sie entweder über sichere Verbindungen (MR LAN oder angeschlossene Tochtergesellschaften) übertragen oder vor dem Senden mit WinZip verschlüsseln. Eine Beschreibung dazu finden Sie im Reinhausen Groupnet unter http://groupnet.reinhausen.com/PortalData/2/Resources/MR/Rund_um_den_PC/Tipps/WinZip__Verschluesseln_und_Splitten.pdf. Eine WLAN-Verbindung via Citrix stellt eine sichere Verbindung dar. Seite 10 von 22 • • • • 6.2 • • • • • 6.3 Sie müssen sich über die speziellen Sicherheitsrisiken im Klaren sein, die mit der Verwendung von E-Mail verbunden sind, z.B. Viren oder andere gefährliche Codes. Aus diesem Grund müssen Sie besondere Vorkehrungen treffen, um derartige Risiken zu minimieren. Insbesondere sind folgende Regelungen zu beachten: - E-Mail-Anhänge, die nachweislich oder vermeintlich Viren oder andere Inhalte enthalten, die zu Schäden für die REINHAUSEN Gesellschaften führen können, dürfen nicht geöffnet werden. Sie müssen sich mit den Mitarbeitern Ihres IT-Helpdesks in Verbindung setzen, um Anweisungen zum Entfernen ausgeführter oder empfangener Viren zu erhalten. - Viruswarnungen dürfen Sie nur an Ihren IT-Helpdesk weiterleiten. - Sie dürfen nicht leichtfertig auf Nachrichten unbekannter Absender antworten (Ausnahme: Abwesenheitsassistent). - Eingehende und ausgehende E-Mails werden auf unerlaubte Anhänge geprüft und gegebenenfalls nicht zugestellt. Eine Liste der aktuell nicht zulässigen Dateitypen kann im Intranet unter http://groupnet.reinhausen.com/desktopdefault.aspx/tabid-246/534_read-487 eingesehen werden. Ihre Postfächer (Posteingang inkl. Spam-Ordner) müssen Sie mindestens einmal pro Arbeitstag überprüfen. Sollte dies nicht möglich sein (arbeitsbedingt, Urlaub etc.), so ist in jedem Fall eine automatische E-Mail-Antwort (Abwesenheitsassistent) zu aktivieren und gegebenenfalls eine Stellvertreterregelung im E-Mail-System einzurichten. Die Abwesenheitsnotiz muss den Zeitraum der Abwesenheit sowie den Stellvertreter benennen und einen Vermerk enthalten, falls die E-Mail nicht weitergeleitet wird. Vorlagen hierfür finden Sie im Intranet. Sollten Sie unvorhergesehen länger abwesend und nicht ansprechbar sein (z.B. durch Krankenhausaufenthalt nach einem Unfall) erhält Ihr Vorgesetzter nach Genehmigung durch den Bereichsleiter und schriftlicher Anforderung (z.B. analog MR Berechtigungsanforderung) an den zuständigen IT-Helpdesk Zugang (Leseberechtigung) zu Ihrem Postfach. Dieser Zugang wird protokolliert und Ihnen bekanntgemacht. Unzulässige Nutzung Sie dürfen das E-Mail-Konto für Ihr Postfach nicht gemeinsam mit einem anderen Benutzer verwenden. Bei Vertretungs- oder Assistenzregelungen muss der Zugriff über Stellvertreterregelungen des E-Mail-Programms erfolgen und nicht durch Weitergabe des persönlichen Passworts. Es ist Ihnen untersagt, E-Mail-Systeme der REINHAUSEN Gesellschaften für die Übermittlung von nicht angemessenen, anstößigen, bedrohenden, illegalen oder belästigenden Material zu nutzen. Sie dürfen kein illegales, rassistisches oder urheberrechtlich geschütztes Material speichern oder in einer E-Mail-Nachricht versenden. Es ist Ihnen nicht gestattet, E-Mail-Konten der REINHAUSEN Gesellschaften für geschäftliche Aktivitäten anderer und geschäftlich nicht verbundener Unternehmen zu nutzen. Sie dürfen die E-Mail-Konten der REINHAUSEN Gesellschaften nicht zum Senden inoffizieller, unerwünschter E-Mail-Nachrichten (Stichwort: Spam) an eine große Gruppe von Personen verwenden. Gruppenpostfächer Gruppenpostfächer werden von mehreren Mitarbeitern gemeinsam genutzt. Daher gelten für sie bestimmte Regeln: • • Der Zugang zu diesen Postfächern wird gemeinsam genutzt, insofern wird hier auch das E-Mail-Konto gemeinsam verwendet (in Ausnahme zu 6.2.). Bei Gruppenpostfächern ist der Versand von E-Mails nur innerhalb der REINHAUSEN Gesellschaften möglich. Seite 11 von 22 7. Internet-Nutzung Die Nutzung des Internets bringt gewisse Gefahren mit sich (z.B. Ausspähen lokaler Daten, Virenbefall). Die folgenden Unterpunkte gewährleisten, dass eine Gefährdung durch das Internet möglichst gering gehalten wird und die Nutzung im rechtlich zulässigen Rahmen erfolgt. 7.1 • • 7.2 • • Zulässige Nutzung Das Internet dürfen Sie grundsätzlich nur geschäftlich nutzen. In Fällen eines zur Aufgabenerfüllung notwendigen Surfens auf offensichtlich kritischen Internetseiten, muss die Nutzung des Internets von speziellen Internetzugängen aus erfolgen (z.B. DSL oder ISDN-Einwahl in Besprechungsräumen) und mit dem IT-Helpdesk von OIS abgesprochen werden. Unzulässige Nutzung Sie müssen sich mit den Risiken vertraut machen, die mit der Nutzung des Internet verbunden sind. Zum Schutz der Interessen der REINHAUSEN Gesellschaften ist Ihnen folgendes untersagt: - Das Herunterladen bzw. Installieren von Software aus dem Internet. - Das unverschlüsselte Übertragen vertraulicher Informationen über das Internet. - Der Zugriff auf illegales oder nicht angebrachtes Material (insbesondere das Anzeigen, Herunterladen oder Vertreiben), siehe dazu auch Kapitel 2.3. - Unternehmenskritische Daten über die REINHAUSEN Gesellschaften oder Kunden bzw. Lieferanten über das Internet zu versenden oder zu veröffentlichen. - Den Internetzugang für geschäftliche Aktivitäten anderer Unternehmen zu nutzen soweit dies nicht im Interesse der REINHAUSEN Gesellschaften liegt. Ausnahmen, die zur Erfüllung des Arbeitsauftrages nötig sind, werden vom zuständigen Abteilungsleiter in Rücksprache mit dem Leiter Konzernsicherheit oder soweit es das Herunterladen bzw. Installieren von Software aus dem Internet betrifft, in Rücksprache mit dem IT Security Manager genehmigt. 8. Telefonnutzung 8.1 Zulässige Nutzung Das Telefonsystem der REINHAUSEN Gesellschaften sowie die von den REINHAUSEN Gesellschaften zur Verfügung gestellten Mobiltelefone sind grundsätzlich für dienstliche Zwecke zu nutzen. Bei Urlaub oder Krankheit (Abwesenheit länger als ein Tag) ist das Telefon auf den jeweiligen Vertreter umzustellen (Rufumleitung). • • 8.2 Unzulässige Nutzung Nachrichten, die unternehmenskritische Informationen enthalten, dürfen Sie nicht auf Anrufbeantwortern oder Voicemail-Systemen hinterlassen. So wird unterstützt, dass die Informationen nur an den vorgesehenen Empfänger gelangen. Seite 12 von 22 8.3 Sicherstellung der Identität des Gesprächspartners Treffen Sie stets die notwendigen Vorkehrungen, um die Identität eines Anrufers oder einer Person, die Informationen anfordert, zu überprüfen um sicherzustellen, dass Unbefugte nicht in den Besitz unternehmenskritischer Informationen gelangen. Achten Sie darauf, dass Dritte nur mit Ihrer Zustimmung dem Gespräch folgen können (Lautsprecher, Freisprecheinrichtungen im Auto, etc.). Alle möglichen Ausspähversuche sind umgehend an Ihren IT-Helpdesk zu melden. 9. Sicherer Umgang mit Daten und Datenträgern 9.1 Externe Datenträger Die Verwendung von externen Datenträgern (USB-Stick, CD, usw.) birgt Gefahren. Es kann Schadsoftware von Dritt-Systemen auf IuK-Systeme der REINHAUSEN Gesellschaften übertragen werden oder Informationen – für Sie nicht sichtbar – abgezogen werden. Daher müssen Sie folgende Regeln berücksichtigen: Prinzipiell dürfen Sie nur Datenträger (Produkte) einsetzen, die von den REINHAUSEN Gesellschaften bereitgestellt bzw. beschafft wurden. Sie dürfen Datenträger von Dritten nur einsetzen, wenn diese aus einer vertrauenswürdigen Quelle (z.B. langjähriger Geschäftspartner) stammen. • • 9.2 • • 9.3 • • • Sicherung von Daten Geschäftlich wichtige Daten müssen Sie, um ihre Sicherung zu ermöglichen, auf Netzlaufwerken abspeichern. Ihre lokal abgelegten Daten (z.B. auf Laptops) werden nicht gesichert. Sollten Sie bei mobilen IT-Systemen nicht die Möglichkeit der Speicherung auf Netzlaufwerke haben (z.B. auf Dienstreisen) tragen Sie selbst die Verantwortung für die Sicherung der lokal gespeicherten Daten (z.B. durch Speichern auf externen Datenträgern). Archivierung Eine langfristige Aufbewahrung von Daten (Archivierung) kann auf Antrag an den IT-Helpdesk durchgeführt werden. Beachten Sie dabei: Die standardmäßige Datensicherung dient nur dazu, bei Schadensfällen, wie bei einem defektem Plattenspeicher, Daten wiederherstellen zu können. Dazu werden Daten in gewissen Zeitabständen (z.B. täglich, wöchentlich) gesichert und maximal einige Monate aufbewahrt. Diese standardmäßige Datensicherung ist keine Archivierung. Daher ist es damit nicht möglich, ältere Daten oder Daten zu einem beliebigen Änderungszeitpunkt zurückzusichern. Die Archivierung dient dazu, Daten z.B. gemäß gesetzlicher Regelungen für einen längeren Zeitraum (z.B. mehrere Jahre) aufzubewahren. Sie wird im Allgemeinen von Ihnen oder in Ihrem Auftrag mit einem festgelegten Aufbewahrungszeitraum angestoßen. Die zum Archivierungszeitpunkt vorliegenden Daten können Ihnen über den vorher definierten Aufbewahrungszeitraum wieder zur Verfügung gestellt werden (gem. Vereinbarung beim Archivierungsprozess). Die Datensicherung auf CD/DVD ist aus folgenden Gründen als Archivierungsmedium ungeeignet: - Es gibt keine Gewährleistung für die Lebensdauer von CD/DVD‘s. - Die Berechtigungen auf die einzelnen Dateien gehen beim Zurückspielen verloren. Seite 13 von 22 10. Externer Zugriff auf IuK-Systeme der REINHAUSEN Gesellschaften Da der externe Zugriff (Remotezugang) von einem Arbeitsplatz außerhalb der REINHAUSEN Gesellschaften auf das interne System einen der anfälligsten Angriffspunkte für unbefugte Zugänge darstellt, sind besondere Vorkehrungen getroffen worden, um Unbefugte am Zugang auf IuK-Systeme der REINHAUSEN Gesellschaften zu hindern. Dies gilt insbesondere für VPNAccess und Outlook Web Access. • • • • • • • • 11. Eine Autorisierung für den Remotezugang kann bei berechtigtem Interesse mit Einverständnis des Abteilungsleiters bei der Abteilung OIS per Berechtigungsanforderung beantragt werden. Bei berechtigtem Interesse wird Ihnen, dem Remote-Benutzer, eine Zugangsmöglichkeit mittels RSA-Token oder einem vergleichbarem Authentifizierungs-Tool gegeben. Das Benutzerkonto und den Remotezugang allgemein dürfen Sie nur zu geschäftlichen Zwecken der REINHAUSEN Gesellschaften benutzen. Es ist Ihnen nicht gestattet, Benutzerkonten, Passwörter bzw. PINs oder RSA-Token für den Remotezugang mit anderen Personen gemeinsam zu nutzen. Remoteverbindungen dürfen Sie nur über den genehmigten Zugangspunkt der REINHAUSEN Gesellschaften herstellen. Sie dürfen nicht zusätzliche Hardware installieren, um den genehmigten Zugangspunkt zu umgehen. Ebenso dürfen Sie nicht Remote-Tools für den Remotezugang von anderen Netzwerken aus installieren. Bei der Verwendung eines Citrix-Zugangs dürfen Sie keine Dateien des lokalen Systems (lokale Festplatte, Laufwerk C:) in das Netzwerk der REINHAUSEN Gesellschaften hochladen. Datenschutz IuK-Systeme und Maßnahmen, die zur Sicherheit von Informationen und informationsverarbeitender Systeme durchgeführt werden, berühren in einigen Punkten auch den Datenschutz. Der Datenschutzbeauftragte der REINHAUSEN Gesellschaften prüft die Einhaltung des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz und arbeitet im Rahmen dieser Richtlinie mit dem Sicherheitsmanagement zusammen. Die Datenschutzrichtlinie der REINHAUSEN Gesellschaften bleibt von den folgenden Regelungen unberührt 11.1 • • Privatsphäre Sie können bei der Nutzung von IuK-Systemen der REINHAUSEN Gesellschaften erwarten, dass Ihre Privatsphäre geachtet wird. Die Privatsphäre wird nur durch die gesetzlichen Bestimmungen und die Maßnahmen zur Gewährleistung eines sicheren und funktionalen Umfeldes für die REINHAUSEN Gesellschaften und aller Mitarbeiter eingeschränkt. Durch die Nutzung der IuK-Systeme der REINHAUSEN Gesellschaften erklären Sie Ihr Einverständnis mit der Überwachung oder Protokollierung der Nutzung. Es wird darauf hingewiesen, dass die Systemadministratoren mit Hilfe automatisierter Überwachungsverfahren die unsachgemäße Nutzung der IuK-Systeme feststellen können. Seite 14 von 22 11.2 Überwachung und Protokollierung Soweit personenbezogene oder –beziehbare Daten aufgezeichnet werden, werden diese ausschließlich für die genannten Zwecke dieser Richtlinie verwendet (analog § 31 BDSG). Daten über das Benutzerverhalten werden ausschließlich zur Gewährleistung der Systemsicherheit, zur Optimierung und Steuerung des Systems, zur Fehleranalyse und -korrektur sowie zur kostenstellenbezogenen Abrechnung der Systemkosten verwendet. Die Zugriffe auf diese Funktionen bleiben auf die mit der technischen Administration des Systems betrauten Personen begrenzt, diese Personen sind gem. § 5 BDSG und § 88 TKG verpflichtet. 11.3 • Überwachung sicherheitskritischer Bereiche Die REINHAUSEN Gesellschaften setzen Kameras oder andere elektronische Geräte für die Überwachung von Aktivitäten in sicherheitskritischen Bereichen ein. Bereiche, in denen die Privatsphäre geachtet werden muss (z.B. Waschräume, Garderoben oder Umkleideräume) werden nicht überwacht. Die REINHAUSEN Gesellschaften setzen Systeme ein, die den Zutritt zu bestimmten Bereichen auf autorisierte Personen beschränken. Der erfolgreiche Zutritt zu diesen Bereichen sowie erfolglose Versuche, sich Zutritt zu diesen Bereichen zu verschaffen, werden protokolliert. • 11.4 • • 12. Vertrauliche und personenbezogene Informationen, Kundendaten Sie dürfen vertrauliche Informationen, Kundendaten oder persönliche Informationen über andere Personen nur mit dienstlicher Veranlassung und – falls notwendig – nur mit der Zustimmung des Datenschutzbeauftragten weitergeben. Kundendaten dürfen Sie nicht an unbefugte Dritte weitergeben. Diese Daten müssen mit großer Sorgfalt behandelt werden, und es muss sichergestellt sein, dass die notwendigen Vorkehrungen getroffen werden, um die unbefugte Weitergabe zu verhindern. Handhabung von unternehmenskritischen Informationen Bei Ihrer Arbeit kommen Sie in Verbindung mit mehr oder weniger unternehmenskritischen Informationen. Unternehmenskritische Informationen wie z.B. Produktdaten, Finanzdaten, Kundendaten, Qualitätsdaten oder Unternehmensstrategie bedürfen eines besonderen Schutzes. Die Offenlegung dieser Informationen an Unbefugte (z.B. Wettbewerber) kann zu einem Schaden für die REINHAUSEN Gesellschaften führen. Daher ist eine eigene Richtlinie zur Informationsklassifizierung und -handhabung in Bearbeitung. In der Zwischenzeit gelten folgende Regelungen. 12.1 • • • • • Umgang mit unternehmenskritischen Informationen Jeder Mitarbeiter ist für den Schutz von unternehmenskritischen Informationen verantwortlich. Dies betrifft alle unternehmenskritischen Informationen, die erstellt, gedruckt, eingegeben oder erhalten wurden. Zuständig für die Klassifizierung einer Information (Richtlinie zur Informationsklassifizierung ist in Bearbeitung) ist der Informationsverantwortliche, das ist derzeit der Abteilungsleiter der Abteilung, dem die Information zugeordnet ist. Sind Sie im Zweifel über die Einstufung einer Information, wenden Sie sich an ihn. Es gilt der Grundsatz, dass nur diejenigen Mitarbeiter Zugang zu Informationen erhalten, die diese Informationen nachweislich zur Erfüllung ihrer Aufgaben benötigen. Dies betrifft auch die Weitergabe und Vernichtung unternehmenskritischer Informationen. Gedruckte unternehmenskritische Informationen müssen Sie immer an einem sicheren, dafür vorgesehenen Ort aufbewahren, zu dem nur Mitarbeiter mit nachweisbarer Berechtigung Zugang haben. Seite 15 von 22 • • • • Unternehmenskritische Informationen dürfen Sie nie unbeaufsichtigt am Arbeitsplatz zurücklassen. Unternehmenskritische Informationen in Speichersystemen müssen Sie entsprechend der Berechtigungsstruktur speichern. Sie müssen dafür Sorge tragen, dass unternehmenskritische Informationen nicht an Unbefugte weitergegeben werden. Unternehmenskritische Informationen dürfen Sie nicht in der Öffentlichkeit erörtern, lesen oder bearbeiten. Wenn Sie eine nicht autorisierte Weitergabe vermuten oder entdecken, müssen Sie unverzüglich Ihren Vorgesetzten oder Ihren Helpdesk darüber informieren. 12.2 Weitergabeformat Unternehmenskritische Informationen oder Informationen von weitreichender Bedeutung, die elektronisch weitergegeben werden, müssen Sie in PDF-Dateien (Portable Document Format) konvertieren, um Änderungen am Dokument zu verhindern. 12.3 • Weitergabe von Datenträgern Um sicherzustellen, dass unternehmenskritische Informationen nicht versehentlich außenstehenden Dritten zugänglich gemacht werden, dürfen Sie externe Datenträger (z. B.: USB-Sticks) auf denen unternehmenskritische Informationen gespeichert sind oder waren nicht weitergeben. Wenn Sie Informationen an Außenstehende auf Datenträger weitergeben wollen, müssen Sie dazu einen neuen, leeren Datenträger verwenden. • 12.4 • • 13. Vernichtung von Dokumenten und Computermedien Unternehmenskritische Dokumente oder sicherheitsrelevante Daten müssen Sie vor ihrer Entsorgung mit Hilfe eines Reißwolfs oder anderer, geeigneter Verfahren (z.B. Datenschutzbox) vernichten. Wechselmedien, z.B. CDs, USB-Sticks oder externe Festplatten, auf denen Informationen der REINHAUSEN Gesellschaften gespeichert sind oder waren, dürfen Sie nicht normal entsorgen (Müll) sondern müssen Sie grundsätzlich durch Ihren IT-Helpdesk vernichten lassen. Physische Sicherheit Der Schutz physischer Wirtschaftsgüter (z.B. von Gebäuden oder IuK-Systemen) trägt zur Steigerung der Sicherheit jedes Beschäftigten und der Ressourcen der REINHAUSEN Gesellschaften bei. 13.1 • • • 13.2 • • • Zutritt zu Gelände und Gebäuden Zutritt zu Betriebsgeländen und -gebäuden erhalten Sie ausschließlich über den dafür vorgesehenen Personalzugang mit Firmenausweis. Sie dürfen nur die Bereiche und Räume der REINHAUSEN Gesellschaften betreten, für die Sie autorisiert sind. Den Verlust oder Diebstahl von Ausweisen, Schlüsseln usw., die den Zutritt zu den Gebäuden ermöglichen, müssen Sie unverzüglich dem Empfang melden. Firmenausweise Sie müssen den Firmenausweis auf dem Firmengelände und in den Gebäuden der REINHAUSEN Gesellschaften stets offen tragen. Spezielle Regelungen bestehen in Bereichen, die aus Gründen der Arbeitssicherheit ein offenes Tragen der Ausweise verbieten (z.B. in der Produktion). Beim Verlassen des Firmengeländes ist der Ausweis abzunehmen und sicher vor Einsichtnahme Dritter, Beschädigung, Verlust oder Diebstahl zu verwahren. Seite 16 von 22 • Bei Verlust oder Diebstahl Ihres Firmenausweises wenden Sie sich umgehend an den Empfang. 13.3 • Allgemeine Bestimmungen Schlüssel und Ausweise für Fremdfirmen dürfen Sie nur gegen Unterschrift auf einem Ausgabeprotokoll oder im Gästebuch ausgeben. Hierfür existieren jeweils eigene Prozesse. Sie müssen Schlüssel sorgfältig aufbewahren. Der Verlust oder Diebstahl eines Schlüssels ist unverzüglich dem Empfang zu melden. Die Fenster sämtlicher Räumlichkeiten müssen Sie vor Verlassen schließen. Dies gilt insbesondere auch für Besprechungsräume. Sie müssen die notwendigen Vorkehrungen treffen, um Unbefugten die Möglichkeit der Ausspähung von Daten (z.B. Ablesen von Passworteingaben etc.) zu verhindern. Sie müssen portable Geräte wie Notebooks auch auf dem Firmengelände gegen Diebstahl schützen oder unter Verschluss halten. • • • • 13.4 • • • 13.5 • • • 13.6 • • • • Aufgeräumter Arbeitsplatz Am Ende des Arbeitstages, während der Mittagspausen, Besprechungen usw. müssen Sie die ihnen anvertrauten unternehmenskritischen Informationen und Geräte angemessen sichern. Sperren Sie PCs und Laptops bei Verlassen des Arbeitsplatzes durch Drücken der Tasten Alt+Strg+Entf und anschließend Enter. Fahren Sie am Ende eines Arbeitstages Ihren PC herunter und schalten Sie Peripheriegeräte soweit wie möglich aus. Besprechungen Vor jeder Besprechung müssen Sie Vorkehrungen treffen, um zu vermeiden, dass Unbefugte durch geöffnete Fenster oder Türen Kenntnis von unternehmenskritischen Informationen erhalten. Vertrauliche Fragen dürfen Sie nur an Orten erörtern, die einen entsprechenden Schutz bieten. Sie müssen sicherstellen, dass keine unternehmenskritischen Informationen im Besprechungsraum zurückgelassen werden (z.B. auf Whiteboards oder Flipcharts, liegengelassene Unterlagen, etc.). Sicherheits-, Überwachungs- und Schutzsysteme Um Bereiche und Räume mit wichtigen Systemen, Anlagen und Informationen vor Einbruch zu schützen, ist eine Überwachungsanlage, die sowohl über akustischen Alarm verfügt als auch Alarm bei einer Sicherheitszentrale auslöst, installiert. Ebenso werden wichtige Bereiche durch Feuerlöschsysteme vor Feuer geschützt. Ein Alarm der Überwachungsanlage oder der Brandmeldeanlage erfolgt am Empfang. Sollten Sie feststellen, dass eine der o.g. Schutzsysteme nicht funktioniert, müssen Sie unverzüglich den Empfang informieren. 13.7 Verlust oder Diebstahl Den Verlust oder Diebstahl von sich im Besitz der REINHAUSEN Gesellschaften befindlichen Geräten müssen Sie unverzüglich der zuständigen Fachabteilung melden. 13.8 • Fotografierverbot Auf den Firmengeländen und -gebäuden der REINHAUSEN Gesellschaften besteht ein generelles Fotografierverbot (Ausnahmen: Kantinenbereiche, Pausenräume und Besprechungszimmer). Dienstlich begründete Ausnahmen bedürfen der Genehmigung des Leiters Konzernsicherheit. • Seite 17 von 22 14. Besucherregelungen Durch die Besucherregelungen wird sichergestellt, dass die Einrichtungen des Unternehmens nicht ohne explizite Berechtigung der REINHAUSEN Gesellschaften betreten werden können. 14.1 • • • • • • • 14.2 • • Zutritt zu Gebäuden Nur autorisierte Mitarbeiter dürfen die Einrichtungen der REINHAUSEN Gesellschaften betreten. Alle anderen Personen müssen sich am Empfang mit folgenden Daten in der Besucherverwaltung registrieren lassen: - Name und Firma des Besuchers - Zu besuchende Mitarbeiter der REINHAUSEN Gesellschaft - Datum und Uhrzeit des Besuchs Den Besuchern werden Besucherausweise ausgegeben. Diese sind während der Dauer des Aufenthalts in den Einrichtungen der REINHAUSEN Gesellschaften gut sichtbar an der Kleidung zu tragen. Der Besucherausweis muss beim Verlassen zurückgegeben werden. Eine Ausnahme besteht bei geführten Gruppen (z.B. Schulklassen). Diese können ohne Ausgabe von Besucherausweisen geführt werden. Der Mitarbeiter der REINHAUSEN Gesellschaften, der die Führung durchführt, ist dafür verantwortlich, dass während der Führung keine Person die Gruppe verlässt und am Ende der Führung alle Personen die REINHAUSEN Gesellschaft wieder verlassen. Folgende Regelungen haben Sie beim Umgang mir Ihren Besuchern zu berücksichtigen: - Soweit möglich, melden Sie Ihren Besuch beim Empfang vorher an. Damit beschleunigen Sie den Prozess der Besucheranmeldung. - Holen Sie Ihren Besuch am Empfang ab. Stellen Sie hier sicher, dass die Prozedur der Besucheranmeldung korrekt durchgeführt wurde. Weisen Sie Ihre Besucher darauf hin, dass der Besucherausweis stets offen zu tragen ist. - Begleiten Sie Ihren Besuch zu einem möglichen Anschlusstermin und übergeben ihn da an den betreffenden Kollegen. - Begleiten Sie Ihren Besuch zurück zum Empfang. Stellen Sie hier abschließend sicher, dass der Besucher korrekt ausgetragen wird und seinen Besucherausweis zurückgibt. Externe Dienstleister, die regelmäßig in den Räumen der REINHAUSEN Gesellschaften arbeiten, sind in einer Liste gekennzeichnet, die dem Empfang vorliegt. Damit ist der externe Dienstleister zum Zutritt ohne Begleitung autorisiert. Ihm wird ein besonders gekennzeichneter Besucherausweis ausgestellt. Eine „Neuaufnahme“ in diese Liste geschieht mit Hilfe eines festgelegten Prozesses, der am Empfang zu erfahren ist. Wenn Sie Besucher oder unbekannte Personen unbegleitet und/oder ohne gültigen Besucherausweis antreffen, sprechen Sie diese an und begleiten Sie sie zum Empfang. Bei Widerstand informieren Sie umgehend den Empfang. Weisen Sie Ihren Besuch darauf hin, dass auf den Firmengeländen und in den Gebäuden der REINHAUSEN Gesellschaften für Besucher ein generelles Fotografierverbot besteht. Medizinische Notfälle Bei medizinischen Notfällen müssen Sie dem angeforderten medizinischen Personal Zugang gewähren. Das medizinische Personal ist zu begleiten. Im Zweifelsfall ist umgehend der Empfang zu informieren. Seite 18 von 22 15. Security-Awareness & -Training Die Umsetzung der Richtlinie wird durch ergänzende Informationen, Kampagnen und Veranstaltungen bevorzugt über das REINHAUSEN GroupNet unterstützt. 16. Ansprechpartner, Rollen und Verantwortlichkeiten Ihre Ansprechpartner im Notfall finden Sie im REINHAUSEN GroupNet unter http://groupnet.reinhausen.com/desktopdefault.aspx/tabid-35/?open=konzernsicherheit Seite 19 von 22 Glossar Angriff Bewusster oder absichtlicher Versuch, eine Verwundbarkeit in einem System auszunutzen oder zu suchen Authentifizierung Überprüfen einer Identität Authentizität überprüfte und bestätigte zweifelsfreie Herkunft bzw. Identität Autorisierung erteilte Berechtigung BDSG Bundesdatenschutzgesetz Bedrohung Umstand, der direkt oder indirekt zu einem Schaden oder Sicherheitsverlust führen kann Ein Benutzerkonto (engl. user account) ist eine Zugangsberechtigung zu einem zugangsbeschränkten IT-System. Üblicherweise muss ein Anwender sich beim Login mit Benutzername und Passwort (Kennwort) authentisieren. Einem Benutzerkonto können häufig (je nach Aufgabe) verschiedene Privilegien zugeordnet werden, zum Beispiel Zugriffsrechte. Berechtigung zur Nutzung von Computerdiensten (Mail, PC-Fax, Internet …) Benutzerkonto Benutzungsberechtigung Daten Gebilde aus Zeichen zur Abbildung von Informationen und Medien (Sprache, Bilder), die gespeichert oder verarbeitet werden DoS-Attack Denial-of-Service-Attack. Im Bereich der IT-Sicherheit ein Angriff, der darauf abzielt, bestimmte Dienste oder auch einen Rechner vollständig zu blockieren. Download Herunterladen einer Datei von fernen Rechnern auf den eigenen mit Hilfe eines Übertragungsprotokolls; der umgekehrte Vorgang heißt Upload. Firewall Als Firewall oder Zugangsschutzsystem bezeichnet man bei Rechnernetzwerken ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege. Firewalls sitzen an den Schnittstellen zwischen einzelnen Netzen und kontrollieren den Netzwerkverkehr zwischen den Netzen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr weiterzuleiten. Personen, die in fremde Rechner eindringen oder eindringen wollen um Daten auszuspähen oder zu missbrauchen. Hacking oder Cracking, auch als Einbrechen bezeichnet. - Email-System - Internet (http und ftp) - Telefonanlage - Funk / Walkie-Talkie - Gegensprechanlage - Mobiltelefone - Arbeitsplatzcomputer (PC) - Server, Laptops - Netzwerk - Handheld Computer (Palm Pilot, iPaq, Blackberry, und weitere) - Speichermedien (SD-Karten, externe Festplatten, CD-RW, Disketten, etc.) - Scanner - Digitalkameras - Tonaufzeichnungsgeräte (mp3-Player, Minidisc-Player, Kassettenrecorder, Laptop, etc.) - Tonwiedergabegeräte (Radio, mp3-Player, MiniDisc Player, etc.) - Sonstige Hardware zur Übertragung von Daten (Modem, Kabel, Switch, Hub, etc.) Hacker Information und Kommunikation (IuK) Seite 20 von 22 Informationen im Rahmen von Geschäftsabläufen interpretierte Daten Integrität Eigenschaft, dass IT-Systeme und Daten, die genutzt bzw. gespeichert, verarbeitet oder übertragen werden, ausschließlich zulässigen Veränderungen unterlagen IP-Spoofing Vortäuschen eines falschen Absenders von IP-Paketen (IP-Spoofing), eines anderen Domainnamens (DNS-Spoofing) oder des gesamten World Wide Web (Web) durch Umleitung von Anfragen über einen Zwischenrechner (WebSpoofing) Fachgebiet, das sich mit der Sicherheit von IT-Prozessen befasst. IT-Sicherheit entsteht aus einem sinnvollen Zusammenspiel von technischen und organisatorischen Maßnahmen Managementaufgabe, die sich mit der Sicherheit von IT-Prozessen und der Erfassung und Minimierung von Risiken befasst IT-Sicherheit IT-Sicherheitsmanagement Kettenbrief Mailbomben Mailheader MP3 Nachweisbarkeit Dabei handelt es sich meist um Mails mit der Aufforderung, Bekannte, Freunde, Kollegen anzuschreiben und ihnen den Inhalt der Mail bekannt zu geben. Meist wird vor Viren gewarnt, die dann gar keine sind (Hoaxe), es wird um Unterschriften zu einem Ereignis gebeten, es wird der Anschein von Gewinnen erzeugt, usw. also Mails ohne ernsthaften Hintergrund. Unter einer Mail-Bomb versteht man das automatische "Bombardieren" eines Mailservers mit E-Mails (auch Werbe-Mails). Dadurch werden die Kapazitäten des Rechners völlig ausgeschöpft und ausgelastet, sodass es zu einem Totalausfall des Systems kommen kann. Mailheader ist der vorangestellte Teil einer Mail, der administrative Informationen enthält. Beispielsweise die Adresse des Absenders, wann die Nachricht abgesandt wurde etc. MP3 ist Teil der Familie der MPEG-Standards (MPEG, Moving Picture Experts Group) zur digitalen Kompression von Audio- und Videosignalen, wie sie heute im digitalen Rundfunk und im Internet eingesetzt werden. MP3 erlaubt die Kompression von Musiksignalen auf ca. 8% der sonst notwendigen Bitrate fast ohne hörbare Unterschiede zum Originalsignal. Verbindlicher Nachweis, so dass an Veränderungen Beteiligte über keinerlei Mittel verfügen, ihre Beteiligung zu bestreiten NSR Netiquette sind ungeschriebene Gesetze über das Verhalten des Users im Internet, insbesondere in den sog. Chatrooms. Sie sollen den freizügigen Datenverkehr wahren und zu einem verantwortungsbewussten Agieren im Netz beitragen (z.B. Verbot, radikale und obszöne Inhalte öffentlich zu verbreiten; keine Verbreitung von Werbesendungen, Urheberrecht beachten). IT-Nutzungs- und Sicherheitsrichtlinien Passwort Zeichenkette, die als Authentifizierungsinformation dient Portscan Das Abfragen (scannen) von Ports (Schnittstellen von Internetzugängen von Firmennetzen oder einzelnen Computern) mit dem Ziel, den Zugangscode zu ermitteln, um sich unberechtigten Zugang in fremde Netze/Computer zu verschaffen. Restrisiko Risiko, das zwar erkannt, aus technischen, organisatorischen oder finanziellen Gründen nicht, oder nur mit unverhältnismäßigem Aufwand, beseitigt werden kann Möglichkeit, einen Schaden zu erleiden. Im IT-Bereich ergeben sich Risiken aufgrund der Tatsache, dass real existierende Bedrohungen auf Verwundbarkeiten treffen können. Zustand des Geschütztseins vor Gefahr oder Schaden Netiquette Risiko Sicherheit Seite 21 von 22 Sniffer Das Prinzip der so genannten "Sniffer Tools" besteht darin, dass beim Hochfahren eines Arbeitsplatzrechners eine Client-Software die aktuell erkannte Hardund Software-Konfiguration an eine Serversoftware weitergibt. Diese Informationen werden dann in einer Datenbank gespeichert (wie z.B. bei Microsoft SMS). Spam Internet-Jargon für einen der Netiquette widersprechenden Umgang der Medien E-Mail und USENET für Rundsendungen. Beispiel: Kommerzielle Wurfsendungen in elektronischer Form, die durch sog. "make money fast"-Anbieter an viele, nicht daran interessierte Empfänger gesendet werden. "Spam" leitet sich ab von "Spiced Pork And HaM" (dt. etwa "Frühstücksfleisch") und durch einen Sketch der englischen Gruppe "Monty Python" allgemein bekannt. Das Einfügen einer falschen IP-Absenderadresse in eine Internet-Übertragung. Das Ziel dieser Aktion ist der unberechtigte Zugriff auf ein Computersystem. Spoofing Token (SecureID) Ein SecureID Token ist ein zweistufiges Authentifizierungssystem. Ein Token (in Form eines Schlüsselanhängers) generiert einen mehrstelligen Code, der mit dem Zugangsserver synchronisiert wird und sich alle 60 Sekunden ändert. Durch Eingabe des Codes authentifiziert sich der Nutzer des SecureID Tokens. Trojanische Pferde Sabotageprogramme, die sich äußerlich wie normale Anwendungs-Software verhalten, intern aber Anweisungen enthalten, die Schaden anrichten können. Während Trojanische Pferde den Benutzern der Anwendungs-Software normale Programmaktionen vortäuschen, laufen im Hintergrund andere Aktionen, die dem Benutzer verborgen bleiben. Gewährleistung der Durchführung genehmigter Zugriffe und Veränderungen auf Daten und Systeme innerhalb einer definierten Zeit Verfügbarkeit Vertraulichkeit VPN Würmer/Worms Zugangsberechtigung Gewährleistung, dass nur berechtigten Nutzern der Zugang zu einem definierten Zweck möglich ist Virtual Private Network (dt. virtuelles privates Netz; kurz VPN) dient der sicheren Einbindung von Geräten eines benachbarten Netzes an das eigene Netz, ohne dass die Netzwerke zueinander kompatibel sein müssen. Sabotageprogramme, die im Gegensatz zu Viren unabhängig von anderen Programmen laufen (Würmer benötigen keine Wirtsprogramme) und sich selbstständig in einem Netzwerk ausbreiten können. Die Zugangsberechtigung umfasst alle Maßnahmen zur Regelung des Netzwerkzugangs. Einfachste Form der Reglementierung ist die Vergabe von Passwörtern und Benutzernamen. Darüber hinaus können Zeit- oder Anwendungsbeschränkungen vergeben werden. Seite 22 von 22