Der kleine Knigge fürInformationssicherheitMit Tipps und Tricks überall sicher arbeiten

„Es gibt heute zwei Arten von Unternehmen: diejenigen, die gehackt wurden, und diejenigen, die nicht wissen, dass sie gehackt wurden.“ John Chambers, CEO von Cisco

Flexibel? Ja, klar. Sicher? Aber immer!

Überall und jederzeitArbeiten wird immer flexibler, vielfältiger und mobiler. Das bringt ganz neue Freiheiten in unseren Arbeitsalltag. Aber auch neue Verantwortung!

Daten müssen sicher seinWir arbeiten jeden Tag mit Daten und Informationen der Deutschen Bahn. Unterschiedliche Arbeitsorte und Arbeits- geräte wie Laptop, Smartphone, Tablet und Co. stellen jeden von uns vor die Frage: „Wie kann ich sicherstellen, dass die Daten und Informationen, mit denen ich arbeite, geschützt sind?“

Diese Tipps sind wichtigDie folgenden Seiten geben wertvolle Tipps und Tricks, wie wir bewusst und sicher mit Daten und Informationen in unserem Arbeitsalltag umgehen sollen – beachten Sie diese und tragen Sie aktiv Ihren Teil zur Sicherheit von Daten und Informationen bei. Teilweise sind es nur kleine Handgriffe. Jeder von uns kann etwas zum Schutz und zur Sicherheit von Daten und Informationen beitragen.

Schneller, als man glaubtDaten oder Informationen sind schnell preisgegeben – und damit auch ein potenzieller Schaden vorprogrammiert: etwa durch unabsichtliches Offenlegen von Unterneh-mensinformationen (z. B. Preisen, Einkaufskonditionen, Strategien) oder durch den Austausch von persönlichen Informationen in der Öffentlichkeit.

Sie sind gefragtIn allen diesen Fällen gibt es einen Hauptgaranten für die Sicherheit: Das sind Sie! Mit Ihrem Verhalten, Ihrer Vorsicht, Ihrer Umsicht und Ihrem bewussten Umgang mit Unter- nehmensinformationen und persönlichen Daten tragen Sie ganz wesentlich zum Informations- und Datenschutz bei.

Viel Spaß bei der Lektüre und viel Erfolg bei der Umsetzung! Ihr Team DB Datenschutz, IT-Sicherheit, Informationsschutz und DB Training.

Dezentral arbeiten – umsichtig surfen

54

Überall arbeiten – umsichtig surfen

Viele ZugriffswegeAuch unsere Arbeitswelten bei der Bahn verändern sich. Das digitale und mobile Arbeiten hat einen hohen Stellenwert (Stichwort: „flex@work“) und wird immer wichtiger.

Dienstreisen, Arbeiten im Zug, im Hotel, bei Geschäftspartnern sowie an anderen Standorten des Konzerns gehören mittlerweile zum Alltag.

Zugbegleiter, Triebfahrzeugführer und Kolleginnen und Kollegen aus der Instandhaltung arbeiten mit mobilen Datenerfassungsgeräten.

Mitarbeiter nutzen die Möglichkeit, von zu Hause aus, mit Einwahl über das Firmen-VPN in das Netzwerk der Bahn, zu arbeiten.

Allen gemeinsam und überall wichtig ist: Der Umgang mit Daten und Informationen unterwegs verlangt in jedem Fall erhöhte Aufmerksamkeit.

Phishing, Spam und Malware richtig begegnenDie Freiheit des Internets nutzt nicht jeder nur für gute Zwecke. Selbst die harmloseste Website platziert Cookies, und weniger harmlose Web- sites können Ihren Computer unbemerkt mit Malware, Viren, Trojanern und sonstigen Schädlingen infizieren. Schützen Sie sich davor:

Nicht auf zweifelhaften Websites surfen. Achten Sie bei einem Login auf eine https-Verschlüsselung (diese finden Sie in der Webadresse des Browsers).

Öffnen Sie keine zweifelhaften Mails, z. B. von unbekannten Absendern, merkwürdigen Mail-Adressen oder mit Tippfehlern im Betreff.

Klicken Sie niemals zweifelhafte Mail-Anhänge an und öffnen Sie keine zip-Dateien von unbekannten Absendern.

Cookies möglichst sperren (in den Browser- einstellungen) und regelmäßig entfernen.

76

Was ist vertraulich … … und wie gehe ich damit um?

Vertraulichkeit richtig einsetzenIm Konzern klassifizieren wir Informationen so:

offen – alles, was jeder auch aus allgemein zugänglichen Quellen wissen oder erfahren könnte (Zeitung oder TV); hier gelten keine Einschränkungen.

intern – praktisch alles, was Belange der Bahn betrifft; Außen- stehende geht das nichts an. Eine Weitergabe der Informationen an Unberechtigte könnte nachteilig sein.

vertraulich – geschäftsrelevante Informationen zu Abläufen, Verfahren, Lieferanten, Geschäftspartnern, Preisgestaltung, Ausschreibungen, Personalthemen aller Art und vielem mehr; nichts für lange Ohren. Eine Weitergabe an Unberechtigte könnte zu einem großen wirtschaftlichen Schaden, rechtlichen Konsequenzen oder einem Imageschaden führen.

streng vertraulich – geschäftskritische Informationen zu Plänen über geplante Käufe/Verkäufe/Gründungen, Budgets, strategischen Zielen und vielem mehr; hier gilt besondere Vorsicht: Eine Weitergabe an Unberechtigte könnte zu sehr großem wirtschaftlichen Schaden, gravierenden rechtlichen Konsequenzen oder einem schweren Imageschaden führen.

So wenig wie möglichBeim Sammeln, Speichern von und im Umgang mit Daten fragen Sie sich immer: „Ist das jetzt wirklich nötig? Wie kann ich sicher speichern? Wann muss ich wieder löschen?“

Befolgen Sie die Regeln der „Datenvermeidung“ und „Datensparsamkeit“:

Legen Sie die Daten stets im geschützten DB Netzwerk (Gruppenlauf-werke, Office 365, DB Box etc.) ab, entweder sofort oder sobald es Ihnen möglich ist.

Tragen Sie möglichst wenig (vertrauliche) Informationen auf mobilen Geräten bei sich. Umso weniger kann Ihnen passieren, wenn mit dem Gerät etwas passieren sollte.

Fragen Sie! Die Klassifizierung erfolgt durch das Management; wenn Sie sich nicht sicher sind, wo Sie ein Thema ansiedeln sollen, fragen Sie Ihren Vorgesetzten – lieber einmal mehr als einmal zu wenig.

98

1110

Laptop anschließenWeil sich ein Laptop so schön leicht transportieren lässt, kann dieser auch leicht entwendet werden. Schließen Sie ihn deshalb per Notebookschloss am Schreibtisch an, wenn er in der Docking-Station verbleibt.

Kamera aus!Laptop-Kameras können Hackern ungewollte Einblicke bieten. Schalten Sie die Kamera nur an, wenn Sie diese nutzen. Sie können sich vor fremden Einblicken einfach mit einem Webcam-Sticker schützen, den Sie vor der Kamera anbringen (gibt’s kostenlos beim Helpdesk Konzerndatenschutz).

Sperren Sie Ihren BildschirmBildschirmschoner schützen Ihren Bild- schirm vor fremden Einblicken, wenn Sie nicht am Platz sind. Die Tasten WIN+L bei Windows oder CTRL+SHIFT+EJECT beim Mac verbergen den Bildschirm.

Am Arbeitsplatz und im Büro

Informationssicherheit beginnt analogWer in einem Büro am PC arbeitet, glaubt meist, vor Datenangriffen aller Art sicher zu sein. Trotzdem sollten Sie ein paar Vorsichtsmaß-nahmen beherzigen – denn Gelegenheit macht (Daten-)Diebe.

„Clean Desk Policy“Wenn Sie Ihren Arbeitsplatz verlassen, hinterlassen Sie bitte einen sauber aufgeräumten Schreibtisch („Clean Desk“): Bewahren Sie Ihre Unterlagen sicher auf, z. B. in abschließbaren Schubladen oder Schrankfächern. Die Gefahr ist zu groß, dass Unbefugte sich Informationen beschaffen und in nicht immer positiver Absicht verwenden.

Das gilt auch für Ihr Mobilgerät (Tablet, Smartphone etc.), sofern Sie es nicht mitnehmen.

Tür zu!Bei vertraulichen Gesprächen schließen Sie die Tür hinter sich. Sonst leisten Sie einen ungewollten Beitrag zum Flurfunk.

1312

Ruhe im TankWas also tun? Für vertrauliche Telefonate oder auch persönliche Ge- spräche haben wir in allen Großraumbüros die sogenannten „Think Tanks“ eingerichtet. Das sind schallgeschützte Räume, in die Sie sich zurück- ziehen können und sollen, um ungestört vertrauliche Gespräche zu führen.

Telko und Co.Dazu gehören auch Telefon- und Videokonferenzen. Schließen Sie die Tür und achten Sie bei Videokonferenzen darauf, dass nicht versehent-lich vertrauliche Informationen mit übertragen werden. Die aktuellen Geschäftszahlen oder gar private Fotos sind keine Informationen für Ihren Gesprächspartner.

Arbeiten im Großraum

Reden ist Silber …Informationsschutz betrifft auch das gesprochene Wort. Überlegen Sie sich immer vorher, welche Informationen Sie mit wem teilen. Nicht jeder muss alles wissen – beachten Sie den Grundsatz: „Kenntnis nur, wenn nötig“! Das gilt sowohl für personenbezogene Daten als auch für Unternehmensinformationen.

… Schweigen ist GoldIm Großraumbüro stößt Vertraulichkeit schnell an Grenzen. Lautes Telefonieren lenkt die Kollegen von ihrer Arbeit ab, und sie können oft auch jedes Wort mithören – ohne dass sie die Informationen etwas angehen.

Ihre Gesprächspartner am Telefon vertrauen darauf, dass ihre Infor- mationen bei Ihnen sicher aufgehoben sind. Wer das Gefühl hat, dass immer viele Ohren mithören, kann Vertrauen nur schwer aufbauen. Dies gilt auch für „mobile“ Gespräche unterwegs: Suchen Sie sich für solche Gespräche einen sicheren Ort.

1514

Zu Hause arbeiten

Nicht nur die Arbeit mit nach Hause nehmenAuch unterwegs oder beim gelegentlichen Arbeiten zu Hause steht Sicherheit an erster Stelle.

Lassen Sie keine vertraulichen Informationen offen liegen.

(Alte) Unterlagen gehören nicht in den Papierkorb – sondern in den Schredder.

Schützen Sie Ihr WLAN zu Hause immer mit einem Passwort.

Wählen Sie sich immer über die RAS-VPN-Verbindung in das DB Netzwerk ein.

Befolgen Sie beim Einloggen ins Konzern- Netzwerk alle Sicherheitsregeln.

Sperren Sie auch zu Hause den Bildschirm, wenn Sie sich nicht am Arbeitsplatz befinden.

Lassen Sie die Geräte nicht von anderen nutzen.

1716

Keine Chance für Mithörer …Wer geschäftlich viel reist, wird unterwegs auch arbeiten müssen. Smartphones sind für unterwegs hilfreiche Kommunikationsmittel, aber leider auch anfällig für ungewollte Zuhörer. Deshalb vermeiden Sie besser vertrauliche Telefonate in öffentlichen Räumen mit Publikumsverkehr.

... und für Mitleser auch nichtSchützen Sie Ihr Mobilgerät vor fremden Einblicken. Beugen Sie dem ungewollten Blick über die Schulter vor.

Unterwegs arbeiten

Nutzen Sie spezielle Sichtschutzfolien.

Ganz wichtig: Vertrauen Sie Ihrem gesunden Menschenverstand – bearbeiten Sie keine vertraulichen Informationen, wenn Sie Mitleser nicht ausschließen können.

Lassen Sie Laptop, Tablet oder Smartphone nicht unbeaufsichtigt. Nehmen Sie die Geräte besser mit.

Hinterlassen Sie beim Aussteigen keine Ausdrucke und Unterlagen im Zug.

Vorsicht bei Telefonaten in der Öffentlichkeit: Geben Sie keine vertraulichen Informa- tionen preis.

1918

Auf Nummer sicher

Drum prüfe, wer sich (ver-)binden möchteDie Datensicherheit mobiler Geräte ist überall dort ein beson- deres Problem, wo ein öffentliches WLAN angeboten wird.

Loggen Sie sich ins DB Netzwerk nur über eine sichere Verbindung ein (z. B. über RAS-VPN, weitere Informationen erhalten Sie beim DB Systel Helpdesk).

Vermeiden Sie kostenlose No-Name-Angebote fürs Surfen unterwegs.

2120

Mit DB Office 365 virtuell arbeiten

Auf gute ZusammenarbeitDie konzernweite Bürokommunikation wird bis 2020 auf eine komplett neue Plattform gestellt: DB Office 365. Diese neue Software-lösung eröffnet neue Perspektiven in Kommunikation und Zusammen-arbeit – schnell, flexibel, gemeinsam und überall auf jedem Gerät. Vor allem ist DB Office 365 sicher.

Die Umstellung bringt viele VorteileDB Office 365 unterstützt Verfügbarkeit, Einheitlichkeit, Zusammen- arbeit und Mobilität. Und bei der Sicherheit: Daten werden künftig primär in der Cloud gespeichert (Server-Standort: Deutschland). Weil die Daten der DB gehören, werden sie auch von der DB verwaltet und bleiben in der geschützten DB Cloud.

Erhöhte Sicherheit auch für SieDie Zusammenarbeit geht künftig viel einfacher. Mit OneDrive for Business erhält jeder Anwender Speicherplatz und kann sein X-Lauf-werk abbestellen. Über SharePoint-Teamsites können Inhalte mit Kollegen oder Kunden und Geschäftspartnern geteilt werden. Dadurch können die Gruppenlaufwerke nach und nach abgelöst werden.

Konkret heißt das:

Legen Sie Ihre Dokumente in OneDrive oder SharePoint ab.

Geben Sie diese per Link an Ihre Kolleginnen und Kollegen frei. So bleiben die Daten im geschützten DB Office 365-Umfeld. Selbst falls Sie aus Versehen einem falschen Empfänger den Link schicken sollten, kann dieser die Dateien nicht öffnen oder lesen.

Achten Sie darauf, für wen Sie Dokumente freigeben und welche Berechtigungsstufen diese haben („nur lesen“ oder auch „bearbeiten“).Falls Sie vertrauliche Informationen mit Externen austauschen müssen, schließen Sie im Voraus eine Vertraulichkeitserklärung ab.

Mit DB Office 365 arbeiten Sie in einer sicheren Umgebung. Die Daten sind alle an einem Platz, automatisch abgesichert und immer auffindbar. Das macht die Zusammenarbeit rundum einfacher – und sicherer. Und so soll es sein.

2322

Erste Hilfe bei Verlust

Laptops, Tablets und Smartphones sind mobil, wertvoll und daher auch für Diebe attraktiv. Nur zu schnell gehen sie verloren oder werden gar gestohlen. Was nun, wenn das passiert?

Rufen Sie Ihr eigenes Handy anOft ist das Dienst-Handy gar nicht weg, sondern nur aus dem Blickfeld. Klingelt’s dann in Ihrer Tasche, ist die Erleichterung groß! Und nicht selten antwortet auch ein ehrlicher Finder, der Ihnen Ihr Smartphone zurückgibt.

SIM-Karte sofort sperren lassenIst Ihr DB-Dienst-Handy wirklich weg, wenden Sie sich unverzüglich an Ihren Mobilfunkanbieter oder den bundesweiten Sperr-Notruf (116 116), damit die SIM-Karte gesperrt wird.

Fundbüro und PolizeiVerständigen Sie auch das Fundbüro und zeigen Sie ggf. einen Diebstahl bei der Polizei an. Dazu brauchen Sie die Gerätenummer „IMEI“: *#06# eintippen, und die IMEI wird auf dem Display angezeigt. (Jetzt probieren und notieren!)

In der Bahn liegen gelassenMelden Sie Ihren Verlust (Bahn oder Bahnhof) auch beim Fundservice der DB. Vielleicht taucht Ihr Gerät dort wieder auf: www.fundservice.bahn.de

Bei DB Systel den Verlust meldenIst es wirklich weg oder können Sie einen Diebstahl nicht ausschließen, melden Sie den Verlust auch beim DB Systel Helpdesk (intern 91-5555, extern +49 361 430-8200).

DB Systel veranlasst bei über EMM verwalteten Geräten die Löschung der Daten und das Austragen aus dem Bestand.

Bitte beachten Sie Folgendes: DB Systel führt keine Sperrung der SIM-Karte durch und liefert Ihnen kein Ersatzgerät. Bitte stimmen Sie die Bestellung eines neuen Gerätes mit Ihrem Kostenstellenverantwortlichen ab.

2524

Vermeiden Sie zu viele oder unnötige Daten auf Ihren mobilen Geräten. Stellen Sie sich rechtzeitig alle Geräteangaben zusammen, bevor etwas passiert:

Laptop: P Rechnername

Handy/Tablet mit SIM: P Rufnummer P IMEI-Nummer (Seriennummer) P SIM-Kartennummer P Kundenkennwort und -nummer

Aus der Ferne

Daten löschen aus der FerneWenn Sie einen Diebstahl vermuten, sollten Sie bei Ihrem Smart- phone alle Daten „remote“ (also aus der Ferne) löschen, damit sie nicht in unbefugte Hände gelangen.

Dazu müssen vorher allerdings die Ortungsdienste aktiviert und die entsprechende Einstellung vorgenommen werden (Anleitung geben die Support-Websites der Hersteller).

Gut vorgesorgt, weniger Ärger

2726

E-Mail-Anhänge oder Links

£ Kennen Sie den Absender?

£ Erscheint Ihnen die E-Mail merkwürdig? Z. B. viele Tipp-Fehler, inkorrekte Sprache, kein Bezug zum Inhalt, PINs werden abgefragt etc.

£ Erscheint Ihnen die E-Mail-Adresse merkwürdig, z. B. falscher Unternehmensname, kein richtiger Name, falsch geschriebene Namen etc.

£ Überprüfen Sie die Links: Kennen Sie diese Webseiten?

£ Überprüfen Sie die Anhänge: zip-Datei eines unbekannten Absenders oder dubioser Datei-Name?

£ Im Zweifelsfall keine Links anklicken und keine Anhänge öffnen.

Zusammengefasst

Phishing, Spam und Malware richtig begegnen

£ Webadresse prüfen.

£ Beim Login: Ist die Seite durch „https://“ verschlüsselt? (Dies finden Sie in der Webadresse im Browser.)

£ Cookies möglichst sperren (in den Browsereinstellungen) und regelmäßig entfernen.

Vertraulichkeit richtig einsetzen

£ Überprüfen Sie, ob die Informationen offen, intern, vertraulich oder streng vertraulich sind.

£ Wenn Sie sich unsicher sind, fragen Sie Ihren Vorgesetzten.

£ Kennzeichnen Sie Ihre Dokumente entsprechend den Vertraulichkeitsklassen.

2928

Sicherheit am Arbeitsplatz und im Büro

£ Räumen Sie Ihren Schreibtisch auf („Clean Desk“).

£ Lassen Sie keine vertraulichen Informationen offen liegen.

£ Tür schließen.

£ Schließen Sie Ihren Laptop an der Docking-Station am Schreibtisch an.

£ Schalten Sie Ihre Webcam aus oder besorgen Sie sich einen Sticker.

£ Sperren Sie beim Verlassen des Schreibtischs den Desktop.

Zusammengefasst

Richtiger Umgang mit Daten

£ Sammeln und speichern Sie Daten nur, wenn sie wirklich wichtig sind.

£ Daten nur geschützt ablegen.

£ Möglichst wenige vertrauliche Daten auf mobilen Geräten speichern.

£ DB Office 365: Dokumente in OneDrive oder SharePoint speichern und freigeben.

£ DB Office 365: Versenden Sie Links.

£ DB Office 365: Prüfen Sie, für wen Sie Dokumente mit welcher Berechtigung freigeben.

3130

Unterwegs arbeiten

£ Setzen Sie eine Sichtschutzfolie ein.

£ Oder suchen Sie sich einen Platz, der nicht eingesehen werden kann.

£ Nehmen Sie Ihren Laptop, Ihr Tablet und Smartphone immer mit.

£ Lassen Sie keine Ausdrucke und Unterlagen beim Verlassen Ihres Orts zurück.

£ Nutzen Sie nur gesicherte WLAN-Verbindungen, kein kostenloses No-Name-WLAN.

Von zu Hause aus arbeiten

£ Zu Hause: Lassen Sie keine Unterlagen liegen.

£ Sichern Sie Ihr Heim-WLAN mit einem sicheren Passwort.

Zusammengefasst

Arbeiten im Großraum

£ Telefonieren Sie leise.

£ Daten nur geschützt ablegen.

£ Oder gehen Sie in den Think Tank bzw. an einen anderen ruhigen Ort.

£ Achten Sie auf die Informationen, die Sie beim Telefonieren im Büro oder unterwegs preisgeben.

Telefon- und Videokonferenzen

£ Schließen Sie die Türen.

£ Achten Sie auf den Hintergrund des Videoausschnitts.

3332

Zusammengefasst

Was tun, wenn’s weg ist?

£ Notieren Sie sich präventiv zu Ihren mobilen Dienstgeräten alle relevanten Informationen, wie Rechnername, Gerätenummer, IMEI und Kundenkennwort.

£ Rufen Sie Ihr eigenes Handy an.

£ SIM-Karte sofort sperren lassen.

£ Verlust in der Bahn/am Bahnhof: Meldung bei www.fundservice.bahn.de

£ Anzeige bei der Polizei bzw. Meldung im Fundbüro.

£ Meldung beim DB Systel Helpdesk:

£ über das Serviceportal im Menüpunkt „Bestandsdaten > Mobile Services“

£oder telefonisch unter extern: +49 361 430-8200 oder intern: 91-5555

£ Löschen Sie die Daten aus der Ferne (remote).

3534

Fit im Datenschutz mit DB TrainingDie DB Lernwelt steht allen Mitarbeitern und Führungskräften des DB Konzerns kostenfrei zur Verfügung.

Registrieren Sie sich auf der DB Lernwelt und bringen Sie Ihr Datenschutz-Wissen auf den neuesten Stand – absolvieren Sie einfach den Kurs „Grundlagen des Datenschutzes“.

Melden Sie sich direkt hier anhttps://registrierung.dblernwelt.de/

Sind Sie schon fit für die DSGVO?

3736

Ihr Kontakt zu Fragen der IT-SicherheitWenden Sie sich gerne an das Team unter der folgenden E-Mail-Adresse: ICT-security@deutschebahn.com

Weitere Informationen finden Sie auf DB Planet:https://db-planet.deutschebahn.com/pages/ awareness-cybersecurity-db/apps/content/was-sie-hier-finden

Wenden Sie sich bei Fragen an den Datenschutz-Helpdesk

Telefon: extern unter +49 69 265-27737, intern unter 955-27737;E-Mail: helpdesk-konzerndatenschutz@deutschebahn.com

Weitere Informationen und Kontakte finden Sie auf DB Planet:https://db-planet.deutschebahn.com/pages/ neues-zum-datenschutz

Beim Helpdesk können Sie auch die Webcam-Sticker bestellen.

Die Sichtschutzfolie für Laptops bestellen Sie bitte über dasServiceportal von DB Systel (s. u.)

Der Informationsschutz berät Sie gerneE-Mail: konzernsicherheit@deutschebahn.com

Weitere Informationen finden Sie auf DB Planet:https://db-planet.deutschebahn.com/pages/ konzernsicherheit-des-db-konzerns/

So erreichen Sie den DB Systel Helpdesk

Im Intranet: https://serviceportal-call.intranet.deutschebahn.com

Telefonisch: extern unter +49 361 430-8200 oder intern unter 91-5555

Wer sind meine Ansprechpartner?

3938

KontaktDeutsche Bahn AG

DB Training, Learning & ConsultingSolmsstraße 18

60486 Frankfurt am Main

www.db-training.de/info-sicherheitsknigge

HerausgeberDeutsche Bahn AG

MarketingkommunikationKarlstraße 6

60329 Frankfurt am Main