Informationen werden innerhalb und außerhalb der Organisation über unterschiedliche Kommunikationswege übertragen. Dabei besteht das Risiko, dass Informationen abgefangen, manipuliert, verloren oder unbefugt offengelegt werden. Dieses Control stellt sicher, dass die Übertragung von Informationen – unabhängig von Medium, Übertragungsweg oder beteiligten Parteien – angemessen geschützt wird und den definierten Sicherheitsanforderungen entspricht.
Zweck des Controls
A 5.14 soll gewährleisten, dass Informationen während der Übertragung angemessen geschützt sind. Ziel ist es, Vertraulichkeit, Integrität und – sofern erforderlich – Verfügbarkeit von Informationen auch außerhalb der kontrollierten Umgebung sicherzustellen. Durch definierte Regeln, technische Schutzmaßnahmen und klare Verantwortlichkeiten werden Risiken bei der Informationsübertragung wirksam reduziert.
Anforderungen und Maßnahmen
1. Festlegung von Regeln für die Informationsübertragung
Organisationen müssen verbindliche Regeln für die sichere Übertragung von Informationen definieren, insbesondere für:
elektronische Kommunikation (z. B. E-Mail, Dateiübertragung, Kollaborationstools)
Übertragung über öffentliche oder externe Netzwerke
physische Übertragung von Datenträgern oder Dokumenten
Austausch von Informationen mit externen Parteien
Die Regeln müssen dokumentiert, verständlich und organisationsweit bekannt sein.
2. Berücksichtigung der Informationsklassifizierung
Die Schutzmaßnahmen für die Übertragung müssen sich am Schutzbedarf der Informationen orientieren:
unterschiedliche Anforderungen je Klassifizierungsstufe
Einschränkungen für besonders schützenswerte Informationen
Vorgaben zu zulässigen Übertragungswegen
besondere Maßnahmen für personenbezogene oder regulatorisch relevante Daten
So wird sichergestellt, dass Informationen ihrem Schutzbedarf entsprechend übertragen werden.
3. Einsatz geeigneter technischer Schutzmaßnahmen
Für die sichere Informationsübertragung müssen geeignete technische Maßnahmen eingesetzt werden, zum Beispiel:
Verschlüsselung während der Übertragung
sichere Kommunikationsprotokolle
Authentifizierung der Kommunikationspartner
Integritätsprüfungen und Schutz vor Manipulation
Die eingesetzten Verfahren müssen dem Stand der Technik entsprechen.
4. Regelung der Informationsübertragung mit externen Parteien
Beim Austausch von Informationen mit externen Parteien sind zusätzliche Maßnahmen erforderlich:
vertragliche Regelungen zur sicheren Informationsübertragung
Definition zulässiger Kommunikationswege
Abstimmung der Sicherheitsanforderungen
Einschränkung des Informationsumfangs auf das notwendige Maß
Die Verantwortung für den Schutz der Informationen verbleibt bei der Organisation.
5. Umgang mit physischer Informationsübertragung
Auch die physische Übertragung von Informationen muss abgesichert werden:
sichere Verpackung und Transport von Datenträgern oder Dokumenten
Nutzung vertrauenswürdiger Transportwege
Schutz vor Verlust, Diebstahl oder Manipulation
Nachverfolgbarkeit bei besonders schützenswerten Informationen
Physische Übertragungen sind ebenso risikobehaftet wie elektronische.
6. Vermeidung unbeabsichtigter Offenlegung
Organisationen müssen Maßnahmen ergreifen, um unbeabsichtigte Offenlegung zu vermeiden, zum Beispiel:
Überprüfung von Empfängern vor der Übertragung
Nutzung von Verteilerregeln und Freigabeprozessen
Einschränkung automatischer Weiterleitungen
Sensibilisierung für typische Fehlerquellen
Dies reduziert Risiken durch menschliche Fehlhandlungen.
7. Dokumentation und Nachvollziehbarkeit
Die Regeln und Verfahren zur Informationsübertragung müssen dokumentiert sein:
Richtlinien zur sicheren Übertragung
Festgelegte technische Standards
Nachweise über eingesetzte Schutzmaßnahmen
Dokumentation besonderer Vereinbarungen mit externen Parteien
Die Dokumentation unterstützt Transparenz und Auditierbarkeit.
8. Schulung und Sensibilisierung
Mitarbeitende müssen über die sichere Informationsübertragung informiert sein:
Schulungen zu sicheren Kommunikationswegen
Sensibilisierung für Risiken bei der Informationsübertragung
klare Anleitungen für den Umgang mit schützenswerten Informationen
regelmäßige Awareness-Maßnahmen
Dies stellt sicher, dass die Regeln im Alltag korrekt angewendet werden.
Zusammenfassung
A 5.14 fordert, dass Organisationen die Übertragung von Informationen angemessen absichern. Durch klare Regeln, Orientierung an der Informationsklassifizierung, den Einsatz geeigneter technischer Maßnahmen, die Einbindung externer Parteien sowie Schulung der Mitarbeitenden wird sichergestellt, dass Informationen während der Übertragung vor Verlust, Manipulation und unbefugter Offenlegung geschützt sind. Das Control trägt wesentlich dazu bei, Informationssicherheit auch außerhalb der unmittelbaren Organisationsgrenzen zu gewährleisten.
Leave a comment