Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.16 — Diebstahl von Geräten, Datenträgern oder Dokumenten

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.14A.5.15A.5.29A.6.6A.6.7A.7.1A.7.2A.7.4A.7.7A.7.8A.7.9A.7.10A.7.11A.7.14A.8.1A.8.10A.8.13A.8.20 BSI IT-GrundschutzISO 27001ISO 27002

Freitagnacht, ein Einbruch in ein Bundesamt. Die Täter kommen durch ein ungesichertes Fenster, das bereits in der Vergangenheit als Schwachstelle bekannt war. Neben Bargeld und Elektronik verschwinden mobile IT-Systeme. Ob Akten kopiert oder manipuliert wurden, lässt sich im Nachhinein nicht zweifelsfrei klären.

Der Diebstahl von Geräten, Datenträgern und Dokumenten verursacht doppelten Schaden: Wiederbeschaffungskosten und Verfügbarkeitsverlust auf der einen Seite, die unkontrollierte Offenlegung vertraulicher Daten auf der anderen. Das BSI führt diese Gefährdung als G 0.16.

Was steckt dahinter?

Gestohlen wird, was wertvoll, unauffällig und leicht zu transportieren ist. Notebooks, Smartphones und USB-Sticks erfüllen alle drei Kriterien. In vielen Fällen ist der Dieb gar nicht an der Hardware interessiert — die gespeicherten Daten sind das eigentliche Ziel.

Diebstahlformen

  • Opportunistischer Diebstahl — Unbeaufsichtigte Geräte in öffentlichen Räumen, Fahrzeugen oder Hotelzimmern. Mobile Geräte sind besonders gefährdet, weil sie klein, wertvoll und leicht weiterverkäuflich sind.
  • Gezielter Diebstahl — Ein Angreifer zielt bewusst auf bestimmte Geräte oder Datenträger ab, die vertrauliche Informationen enthalten. Solche Angriffe werden oft durch Insider-Wissen ermöglicht.
  • Innentäter — Mitarbeiter mit legitimem Zugang kopieren kurz vor ihrem Ausscheiden große Mengen vertraulicher Daten auf private Datenträger und nehmen diese mit. Technisch kein klassischer Diebstahl, in der Wirkung identisch.
  • Einbruch — Gezielte Einbrüche in Bürogebäude oder Rechenzentren, bei denen Server, Festplatten oder Akten entwendet werden.

Schadensausmass

Der unmittelbare Schaden umfasst Wiederbeschaffungskosten und Betriebsunterbrechungen. Der schwerwiegendere Schaden entsteht durch die Offenlegung vertraulicher Daten: Kundendaten, Geschäftsgeheimnisse, personenbezogene Informationen, Zugangsdaten. Bei Verlust personenbezogener Daten ohne Verschlüsselung besteht eine Meldepflicht nach DSGVO — inklusive möglicher Bußgelder.

Praxisbeispiele

Notebook-Diebstahl aus dem Fahrzeug. Eine Vertriebsmitarbeiterin lässt ihr Firmen-Notebook über Nacht im Kofferraum des Dienstwagens. Das Fahrzeug wird aufgebrochen, das Gerät gestohlen. Auf der unverschlüsselten Festplatte befinden sich Kundenlisten, Preiskalkulationen und Vertragsdetails. Die DSGVO-Meldung wird notwendig, die Kunden müssen informiert werden.

USB-Stick mit Kundendaten in der Schublade. Ein Call-Center-Mitarbeiter kopiert kurz vor seiner Kündigung große Mengen vertraulicher Kundendaten auf einen privaten USB-Stick. Nach dem Ausscheiden verkauft er die Daten an einen Wettbewerber. Das Call-Center verliert in der Folge mehrere Großkunden, weil der Vorfall öffentlich wird.

Einbruch mit Festplattendiebstahl. In einem mittelständischen Unternehmen brechen Täter nachts in den Serverraum ein und entwenden mehrere Festplatten aus einem Speichersystem. Die Daten enthalten Konstruktionspläne und Patentunterlagen. Da keine Backups an einem separaten Standort vorhanden sind, ist auch die Verfügbarkeit betroffen.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 18 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.16 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • INF.7 (Büroarbeitsplatz) — Sicherheitsanforderungen an Büroräume, einschließlich Zugangsschutz und Aufbewahrung.
  • INF.8 (Häuslicher Arbeitsplatz) — Schutz von Geräten und Dokumenten im Homeoffice.
  • SYS.3.1 (Laptops) — Spezifische Anforderungen an die Sicherung mobiler Rechner.
  • CON.6 (Löschen und Vernichten) — Sichere Entsorgung von Datenträgern und Dokumenten.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.29 Informationssicherheit bei Störungen A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.7.1 Physische Sicherheitsbereiche A.7.2 Physischer Zutritt A.7.4 Physische Sicherheitsüberwachung A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.8 Platzierung und Schutz von Geräten A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.11 Unterstützende Versorgungseinrichtungen A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.10 Löschung von Informationen A.8.13 Informationssicherung (Backup) A.8.20 Netzwerksicherheit

Häufig gestellte Fragen

Warum ist Diebstahl ein Problem für die Informationssicherheit und nicht nur für die Versicherung?

Der Wiederbeschaffungswert des Geräts ist häufig der geringste Schaden. Das eigentliche Risiko liegt in den gespeicherten Daten: Kundendaten, Zugangsdaten, Geschäftsgeheimnisse oder personenbezogene Informationen. Ohne Verschlüsselung hat der Dieb sofortigen Zugang zu diesen Daten — und der Schaden kann die Kosten des Geräts um ein Vielfaches übersteigen.

Schützt eine Festplattenverschlüsselung zuverlässig?

Vollständige Festplattenverschlüsselung (z. B. BitLocker, FileVault, LUKS) bietet einen sehr guten Schutz, solange das Gerät zum Zeitpunkt des Diebstahls ausgeschaltet oder gesperrt war und das Passwort stark genug ist. War das Gerät im laufenden Betrieb, liegen die Schlüssel unter Umständen im Arbeitsspeicher.

Was tun bei Diebstahl eines Firmengeräts?

Sofortige Meldung an die IT-Abteilung, damit Zugangsdaten gesperrt, Remote-Wipe ausgelöst und der Vorfall dokumentiert werden kann. Parallel Anzeige bei der Polizei erstatten. Bei personenbezogenen Daten ohne Verschlüsselung besteht eine Meldepflicht nach DSGVO.