G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen

Aufgrund von Nachlässigkeit und fehlenden Kontrollen kommt es immer wieder vor, daß Personen die ihnen empfohlenen oder angeordneten IT-Sicherheitsmaßnahmen nicht oder nicht im vollen Umfang durchführen. Es können Schäden entstehen, die sonst verhindert oder zumindest vermindert worden wären. Je nach der Funktion der Person und der Bedeutung der mißachteten Maßnahme können sogar gravierende Schäden eintreten.

Vielfach werden IT-Sicherheitsmaßnahmen aus einem mangelnden Sicherheitsbewußtsein heraus nicht beachtet. Ein typisches Indiz dafür ist, daß wiederkehrende Fehlermeldungen nach einer gewissen Gewöhnungszeit ignoriert werden.

Beispiele:

• Der verschlossene Schreibtisch zur Aufbewahrung von Disketten bietet keinen hinreichenden Schutz gegen einen unbefugten Zugriff, wenn der Schlüssel im Büro aufbewahrt wird, z. B. auf dem Schrank oder im Zettelkasten.
• Geheimzuhaltende Paßwörter werden schriftlich fixiert in der Nähe eines Terminals oder PCs aufbewahrt.
• Obwohl die schadensmindernde Eigenschaft von Datensicherungen hinreichend bekannt ist, treten immer wieder Schäden auf, wenn Daten unvorhergesehen gelöscht werden und aufgrund fehlender Datensicherung die Wiederherstellung unmöglich ist. Dies zeigen insbesondere die dem BSI gemeldeten Schäden, die z. B. aufgrund von Computer-Viren entstehen.
• Der Zutritt zu einem Rechenzentrum sollte ausschließlich durch die mit einem Zutrittskontrollsystem (z. B. Magnetstreifenleser) gesicherte Tür erfolgen. Die Fluchttür wird jedoch, obwohl sie nur im Notfall geöffnet werden darf, als zusätzlicher Ein- und Ausgang genutzt.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000