Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.17 — Verlust von Geräten, Datenträgern oder Dokumenten

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.10A.5.11A.5.14A.5.28A.5.29A.6.2A.6.7A.7.7A.7.9A.7.10A.7.14A.8.1A.8.7A.8.10 BSI IT-GrundschutzISO 27001ISO 27002

Eine Speicherkarte, so groß wie ein Fingernagel, fällt auf einer Messe unbemerkt aus einer Aktentasche auf den Boden. Darauf: vertrauliche Kalkulationen und Kundendaten. Der Finder sichtet die Inhalte auf seinem Laptop. Wenige Tage später tauchen die Informationen bei einem Wettbewerber auf.

Der unbeabsichtigte Verlust von Geräten, Datenträgern und Dokumenten gehört zu den häufigsten Ursachen für Datenpannen. Das BSI führt diese Gefährdung als G 0.17. Anders als beim Diebstahl fehlt hier die kriminelle Absicht — die Auswirkungen können dennoch gravierend sein.

Was steckt dahinter?

Mobile Geräte und Datenträger gehen regelmäßig verloren — in Taxis, Zügen, Flughäfen, Konferenzräumen und Gaststätten. Auf modernen Micro-SD-Karten passen Hunderte Gigabyte; ein einzelner USB-Stick kann den gesamten Datenbestand einer Abteilung enthalten. Der Verlust betrifft unmittelbar die Verfügbarkeit und — bei unverschlüsselten Datenträgern — auch die Vertraulichkeit.

Verlustszenarien

  • Vergessen in öffentlichen Verkehrsmitteln — Notebooks, Smartphones und Dokumente werden in Zügen, Bussen und Flugzeugen liegengelassen. Hektik beim Umsteigen und Ablenkung sind die häufigsten Ursachen.
  • Herausfallen aus Taschen — Kleine Datenträger (USB-Sticks, Speicherkarten) rutschen unbemerkt aus Taschen, Jacken oder Laptophüllen.
  • Verlust auf dem Postweg — Datenträger oder Dokumente, die per Post verschickt werden, gehen verloren, ohne dass Absender oder Empfänger informiert werden.
  • Liegengebliebene Ausdrucke — Papierunterlagen werden in Besprechungsräumen, am Drucker oder in externen Büros vergessen.

Schadensausmass

Selbst wenn ein verlorenes Gerät wieder auftaucht, ist nicht mehr sichergestellt, dass die Daten unverändert und vertraulich geblieben sind. Es könnte manipulierte Software aufgespielt oder vertrauliche Informationen kopiert worden sein. Die Wiederbeschaffung des Geräts löst das Vertraulichkeitsproblem also nicht. Hinzu kommen Wiederbeschaffungskosten und — bei Dokumenten mit Unterschriften — der Aufwand, diese erneut einzuholen.

Praxisbeispiele

Dokumente in der Straßenbahn. Eine Mitarbeiterin sichtet auf der Fahrt zur Arbeit Unterlagen, die mehrere Unterschriften der Geschäftsleitung tragen. An der Zielhaltestelle steigt sie hektisch aus und lässt die Papiere auf dem Sitz liegen. Die Unterlagen sind zwar nicht vertraulich, aber die Beschaffung der Unterschriften dauert erneut mehrere Wochen und verzögert ein Genehmigungsverfahren.

Smartphone im Taxi. Ein Abteilungsleiter lässt sein Firmen-Smartphone im Taxi liegen. Auf dem Gerät sind E-Mail-Postfach, VPN-Zugangsdaten und die Authenticator-App für die Zwei-Faktor-Authentisierung. Bis das Gerät per Remote-Wipe gelöscht wird, vergehen vier Stunden — genug Zeit, um bei fehlendem Geräteschutz auf die gespeicherten Daten zuzugreifen.

Software-Update-CDs auf dem Postweg. Ein Softwarehersteller verschickt Datenträger mit Sicherheitsupdates per Post an Kunden. Mehrere Sendungen gehen verloren. Die betroffenen Kunden erhalten das Update nicht und arbeiten wochenlang mit einer verwundbaren Version — ohne es zu wissen.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 14 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.17 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • SYS.3.2.1 (Allgemeine Smartphones und Tablets) — Anforderungen an die Absicherung mobiler Endgeräte.
  • SYS.4.5 (Wechseldatenträger) — Sicherheitsanforderungen für USB-Sticks, Speicherkarten und externe Festplatten.
  • ORP.1 (Organisation) — Organisatorische Regelungen für den Umgang mit Betriebsmitteln.
  • CON.7 (Informationssicherheit auf Reisen) — Schutzmaßnahmen für den Transport von Geräten und Dokumenten.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.10 Akzeptable Nutzung von Informationswerten A.5.11 Rückgabe von Werten A.5.14 Informationstransfer A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.6.2 Beschäftigungsbedingungen A.6.7 Telearbeit A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.7 Schutz gegen Schadsoftware A.8.10 Löschung von Informationen

Häufig gestellte Fragen

Wo liegt der Unterschied zwischen Verlust (G 0.17) und Diebstahl (G 0.16)?

Beim Verlust geht das Gerät oder der Datenträger unbeabsichtigt verloren — etwa durch Vergessen in einem Zug oder Herausfallen aus einer Tasche. Beim Diebstahl entnimmt ein Angreifer das Objekt gezielt. Die Auswirkungen sind ähnlich (Verfügbarkeitsverlust, mögliche Offenlegung), aber der Angriffstyp unterscheidet sich: Verlust ist fahrlässig, Diebstahl vorsätzlich.

Muss ein verlorenes Gerät gemeldet werden?

Ja — und zwar unverzüglich. Selbst wenn das Gerät verschlüsselt ist, müssen Zugangsdaten vorsorglich gesperrt und der Vorfall dokumentiert werden. Bei personenbezogenen Daten ohne Verschlüsselung besteht eine DSGVO-Meldepflicht innerhalb von 72 Stunden.

Wie kann ich Verluste bei Speicherkarten verhindern?

Micro-SD-Karten und USB-Sticks sind so klein, dass sie leicht verloren gehen. Richtlinien sollten die Nutzung auf das Notwendige beschränken und Verschlüsselung vorschreiben. Wo möglich, sollten Cloud-Speicher mit Zugangskontrolle die physischen Datenträger ersetzen.