The Information Transfer Policy governs how information leaves your organisation — or changes hands within it. Email, cloud share, USB stick, courier, phone: each of these channels has its own risks, and for each the template defines concrete protection measures, graduated by classification level.
ISO 27001 captures the topic in a single control (A 5.14), but the template expands it into nine sections: general requirements, electronic transfer, physical transfer, verbal transfer and third-party agreements. BSI IT-Grundschutz covers the topic under CON.9 (Information Exchange). Further down you will find the complete template.
What does the template cover?
General requirements (Section 3) — Encryption, access control and integrity verification by classification. Chain of custody for CONFIDENTIAL+ (transfer log, digital signatures, receipt acknowledgement). Transfer contact directory. Incident responsibilities (sender, recipient, third party). Labelling throughout transfer. Availability requirements and failover for transfer services. Metadata sanitisation before external dispatch (tracked changes, comments, EXIF data).
Electronic transfer (Section 4) — Malware protection at email gateway and file transfer platforms. Encryption rules per classification (TLS, AES-256 archive, S/MIME/PGP, end-to-end). DLP rules against misdirected communications. Register of approved and prohibited external services (no personal Dropbox, no private Google Drive). VPN required from public networks. Auto-forwarding to external addresses technically disabled. SMS/messenger rules (no WhatsApp/Telegram for CONFIDENTIAL+). Fax rules (clear memory, verify number).
Physical transfer (Section 5) — Encryption of all media before dispatch (AES-256 full-disk or container). Dispatch and receipt responsibilities. Addressing without classification hints on outer packaging. Tracked delivery for CONFIDENTIAL+. Double envelope for STRICTLY CONFIDENTIAL. Approved courier list with annual review. Tamper-evident packaging (security tape, serialised bags, security cases). Standardised transfer log.
Verbal transfer (Section 6) — No confidential conversations in public places. Participant verification before classified discussions. Room controls (closed doors, soundproofing, no external visibility). No classified content on voicemail. Classification disclaimer at the start of the conversation.
Third-party agreements (Section 7) — Formal transfer agreements specifying scope, permitted channels, protection measures. NDA before the first transfer of CONFIDENTIAL+ information. Mutual incident reporting obligation. Annual review.
How to roll it out
- 01
Inventory transfer channels
Through which channels does information currently leave your organisation? Email, file share, messenger, USB, courier, phone, fax? List all channels and map them to the three categories (electronic, physical, verbal). This list shows you which sections of the template are immediately relevant.
- 02
Define approved services
The template requires a register of approved and prohibited external transfer services. Define which platforms are permitted for business use (e.g. M365, approved secure file transfer solution) and which are prohibited (personal Dropbox, WhatsApp for business). Publish the list on the intranet.
- 03
Set up DLP rules
Configure DLP rules at the email gateway that intercept emails with classification markers ([CONFIDENTIAL], [STRICTLY CONFIDENTIAL]) sent to external recipients. Hold such messages for sender confirmation or route them to the ISO for review. This is the most effective measure against accidental data disclosure.
- 04
Organise physical transfer
Create an approved courier list, differentiated by classification level. Procure tamper-evident materials (security tape, serialised bags). Set up the standardised transfer log. Train the mailroom in the new procedures.
- 05
Train personnel
Most transfer incidents arise from ignorance: wrong recipient, consumer services for business use, metadata in external documents. A short training session on the three key rules (correct encryption per level, approved services, sanitise metadata) reduces most risks.
Where it goes wrong in practice
1. Personal services for business. SharePoint is slow, so the presentation goes via WeTransfer. The file now sits on a server you do not control. The template is clear: only approved services.
2. Metadata in external documents. A confidential contract draft goes to a partner — with tracked changes that reveal the internal negotiation positions. The template requires metadata sanitisation before every external transfer.
3. No transfer log for physical shipments. USB sticks are sent by post, but nobody documents what is inside, who it goes to, or whether it arrived. The template requires a standardised log with seven data points.
4. Confidential voicemails. Project details left on the answering machine of a shared office phone. The template prohibits classified content on voicemail.
5. Missing third-party agreements. Information is regularly exchanged with a partner, but there is neither an NDA nor a formal transfer agreement. When an incident occurs, there is no contractual basis for liability or reporting obligations.
Template: Information Transfer Policy
Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]
1. Rechtliche/Regulatorische Grundlage
ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Organisatorische Maßnahmen:
- A 5.14 — Informationsübertragung
BSI IT-Grundschutz:
- CON.9 (Informationsaustausch)
- CON.1 (Kryptokonzept)
- CON.7.A9 (Sicherer Umgang mit mobilen Datenträgern)
- APP.5.3 (Allgemeine E-Mail-Clients und -Server)
- SYS.4.5 (Wechseldatenträger)
- SYS.4.1.A5 (Nutzungsrichtlinien für Drucker, Kopierer und Multifunktionsgeräte)
Weitere jurisdiktionsspezifische Gesetze — insbesondere Datenschutzrecht (DSGVO), Recht der elektronischen Signatur (eIDAS) und sektorspezifische Übertragungspflichten (NIS2, Finanz- und Gesundheitsvorschriften) — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.
2. Zweck & Geltungsbereich
Diese Richtlinie legt die Regeln, Verfahren und Vereinbarungen für den sicheren Transfer von Informationen bei [IHR_ORGANISATIONSNAME] fest. Sie deckt alle Formen des Informationstransfers ab — elektronisch, physische Datenträger und mündlich — sowohl innerhalb der Organisation als auch mit externen Parteien.
Diese Richtlinie gilt für:
- Alle Beschäftigten (unbefristet, befristet, Teilzeit)
- Externes Personal (Auftragnehmer, Berater, Leiharbeitskräfte), das im Auftrag der Organisation Informationen überträgt
- Dritte, mit denen Informationen im Rahmen formaler Vereinbarungen ausgetauscht werden
- Alle Informationen unabhängig vom Format: elektronische Daten, physische Dokumente und Datenträger, mündliche Kommunikation
Die Schutzmaßnahmen für Informationen während der Übertragung spiegeln die Klassifizierungsstufe der beteiligten Informationen gemäß der Richtlinie zur Informationsklassifizierung und Kennzeichnung wider. Vor jedem Transfer verifiziert der Absender, dass der Empfänger berechtigt ist, die Informationen zu erhalten, und dass ein geeigneter Übertragungskanal verwendet wird.
3. Allgemeine Übertragungsanforderungen (A 5.14)
Die folgenden Anforderungen gelten für alle Arten des Informationstransfers — elektronisch, physisch und mündlich. Sie bilden die Grundlage, die durch die kanalspezifischen Regeln in den nachfolgenden Abschnitten ergänzt wird.
3.1 Schutz von Informationen während der Übertragung
Informationen während der Übertragung werden gegen Abfangen, unbefugten Zugriff, Kopieren, Modifikation, Fehlleitung, Zerstörung und Denial of Service geschützt. Das Schutzniveau ist der Klassifizierungsstufe der Informationen angemessen:
- Verschlüsselung: Als VERTRAULICH oder höher klassifizierte Informationen werden während der Übertragung mit kryptographischen Verfahren verschlüsselt, die aktuellen Standards entsprechen (AES-256 für symmetrische Verschlüsselung, RSA-2048 / ECDSA P-256 oder höher für asymmetrische Verschlüsselung, TLS 1.2 als Minimum für Transportverschlüsselung — TLS 1.3 bevorzugt). Die Schlüssellängen folgen den Empfehlungen der BSI TR-02102 und werden jährlich überprüft.
- Zugriffskontrolle: Übertragungskanäle erzwingen Zugriffskontrollen, die der Klassifizierungsstufe angemessen sind. INTERN-Informationen nutzen mitgliedschaftsbasierte Kanäle (geteilte Laufwerke, Intranet). VERTRAULICH-Informationen nutzen individuell autorisierte, verschlüsselte Kanäle. STRENG VERTRAULICH-Informationen nutzen Ende-zu-Ende-verschlüsselte Kanäle mit Zugriff ausschließlich für benannte Empfänger.
- Integritätsprüfung: Übertragungen von als VERTRAULICH oder höher klassifizierten Informationen umfassen Integritätsprüfmechanismen (Prüfsummen, digitale Signaturen oder Hash-Werte), damit Empfänger bestätigen können, dass die Informationen während der Übertragung nicht verändert wurden.
- Fehlleitungsschutz: Automatisierte Übertragungssysteme enthalten Validierungsprüfungen (Empfängeradressprüfung, Domain-Whitelisting), um zu verhindern, dass Informationen an falsche Ziele gesendet werden.
Vor der externen Übertragung von Informationen verifiziert der Absender, dass der Empfänger berechtigt ist, Informationen der gegebenen Klassifizierungsstufe zu empfangen, und dass die Übertragungsmethode angemessenen Schutz bietet. Resterinformationen und Metadaten (Änderungsverfolgung, eingebettete Kommentare, versteckte Daten, EXIF-Daten) werden vor der Übertragung aus Dokumenten und Dateien entfernt, um unbeabsichtigte Offenlegung zu verhindern.
3.2 Nachvollziehbarkeit & Chain of Custody
Für als VERTRAULICH oder höher klassifizierte Informationen wird während der Übertragung eine Chain of Custody aufrechterhalten:
- Übertragungsprotokollierung: Jedes Übertragungsereignis wird protokolliert mit Absenderidentität, Empfängeridentität, Zeitstempel, Inhaltsreferenz (Dokumentenname oder Bezeichner — nicht der Inhalt selbst), verwendeter Übertragungsmethode und angewendeten Schutzmaßnahmen.
- Digitale Signaturen: Übertragungen kritischer Geschäftsinformationen (Verträge, Rechtsdokumente, aufsichtsrechtliche Meldungen) nutzen digitale Signaturen zur Nichtabstreitbarkeit — der Absender kann den Versand nicht leugnen, und der Empfänger kann Herkunft und Integrität verifizieren.
- Empfangsbestätigung: Bei STRENG VERTRAULICH-Übertragungen bestätigt der Empfänger den Empfang durch eine dokumentierte Bestätigung (digital signierte Antwort, unterzeichneter Lieferschein oder Gleichwertiges).
Übertragungsprotokolle werden gemäß dem Aufbewahrungsplan aufbewahrt und stehen für Audit- und Vorfalluntersuchungszwecke zur Verfügung.
3.3 Kontaktverzeichnis für Informationstransfer
Ein Kontaktverzeichnis für den Informationstransfer wird geführt, das die verantwortlichen Personen für jeden Übertragungstyp benennt:
- Informationseigentümer / Asset-Eigentümer: Autorisieren Übertragungen ihrer Informationen, genehmigen Empfängerlisten und definieren klassifizierungsspezifische Handhabungsanforderungen.
- Risikoeigentümer: Bewerten und akzeptieren Restrisiken im Zusammenhang mit bestimmten Übertragungskanälen oder Drittvereinbarungen.
- Informationssicherheitsbeauftragte/r: Berät zu Übertragungssicherheitsmaßnahmen, überprüft Transfervereinbarungen und ist Eskalationspunkt für übertragungsbezogene Sicherheitsanliegen.
- Informationsverwalter: Betreiben und pflegen die Übertragungsinfrastruktur (E-Mail-Gateways, Datei-Transferdienste, Kurierprozesse) und stellen sicher, dass die technischen Maßnahmen funktionieren.
Das Kontaktverzeichnis ist allen Beschäftigten im Intranet zugänglich und wird bei Rollenwechseln aktualisiert. Bei Unsicherheit über einen Transfer kontaktieren Beschäftigte den Informationseigentümer oder die/den Informationssicherheitsbeauftragte/n vor dem Fortfahren.
3.4 Verantwortlichkeiten & Haftung bei Vorfällen
Verantwortlichkeiten für Informationssicherheitsvorfälle während der Übertragung sind klar zugewiesen:
- Absenderverantwortung: Der Absender ist verantwortlich für die Auswahl einer geeigneten Übertragungsmethode, die Anwendung der korrekten Schutzmaßnahmen und die Verifizierung der Empfängerberechtigung. Wenn Informationen während der Übertragung verloren, abgefangen oder beschädigt werden, meldet der Absender den Vorfall sofort über den Vorfallmeldeprozess.
- Empfängerverantwortung: Der Empfänger bestätigt den Empfang erwarteter Übertragungen, meldet fehlende oder manipulierte Sendungen und behandelt empfangene Informationen gemäß ihrer Klassifizierungsstufe.
- Dritttransfers: Transfervereinbarungen mit externen Parteien enthalten Haftungsklauseln, die Verantwortlichkeiten im Fall von Datenverlust, unbefugtem Zugriff oder Vertraulichkeitsverletzung spezifizieren. Diese Klauseln werden vor der Unterzeichnung von der Rechtsabteilung geprüft.
3.5 Kennzeichnung übertragener Informationen
Informationen behalten ihre Klassifizierungskennzeichnung während des gesamten Übertragungsprozesses, damit jeder Bearbeiter und Empfänger die Schutzanforderungen unmittelbar versteht:
- Elektronische Übertragungen: E-Mail-Betreffzeilen enthalten das Klassifizierungsstufen-Tag (z. B. [VERTRAULICH]). Dateinamen oder Metadaten tragen die Klassifizierung. Klassifizierungsbanner werden in Kopf- und Fußzeilen von Dokumenten angewendet.
- Physische Übertragungen: Die äußere Verpackung zeigt die Klassifizierungsstufe. Für STRENG VERTRAULICH-Material wird eine doppelte Kuvertierung verwendet — der innere Umschlag trägt die Klassifizierungskennzeichnung, der äußere Umschlag zeigt nur Adressinformationen ohne Hinweis auf die Sensibilität des Inhalts.
- Mündliche Übertragungen: Die sprechende Person nennt die Klassifizierungsstufe zu Beginn des Gesprächs (siehe Abschnitt 6 zum mündlichen Transfer).
Das Kennzeichnungssystem ist in der Richtlinie zur Informationsklassifizierung und Kennzeichnung definiert. Beschäftigte verifizieren, dass die Kennzeichnungen vor Einleitung eines Transfers korrekt angewendet wurden.
3.6 Zuverlässigkeit & Verfügbarkeit von Übertragungsdiensten
Die von der Organisation genutzten Übertragungsdienste erfüllen die folgenden Zuverlässigkeits- und Verfügbarkeitsanforderungen:
- Interne Dienste: E-Mail, Dateifreigaben und Kollaborationsplattformen werden mit definierten Service-Leveln betrieben (Verfügbarkeitsziele, maximale Ausfallzeiten, Kapazitätsschwellen). Die IT überwacht diese Dienste und meldet Abweichungen.
- Externe / Drittanbieter-Dienste: Service Level Agreements (SLAs) mit externen Anbietern von Übertragungsdiensten spezifizieren Verfügbarkeitsgarantien, Reaktionszeiten bei Vorfällen und Datenschutzpflichten. Die SLA-Leistung wird mindestens jährlich überprüft.
- Failover: Für geschäftskritische Übertragungskanäle werden alternative Übertragungsmethoden dokumentiert und getestet, damit Informationen auch ausgetauscht werden können, wenn der primäre Kanal nicht verfügbar ist.
- Kompatibilität: Vor der Einrichtung eines neuen Übertragungskanals — intern oder mit einer dritten Partei — verifiziert die IT, dass die sendenden und empfangenden Systeme technisch kompatibel sind und die Sicherheitsmaßnahmen Ende-zu-Ende korrekt funktionieren.
3.7 Akzeptable Nutzung von Übertragungseinrichtungen
Die Nutzung der Informationsübertragungseinrichtungen bei [IHR_ORGANISATIONSNAME] richtet sich nach der Richtlinie zur akzeptablen Nutzung. Zusammenfassend:
- Übertragungseinrichtungen (E-Mail, Dateifreigabe, Messaging, Wechseldatenträger, Fax) werden für geschäftliche Zwecke bereitgestellt. Begrenzte private Nutzung ist zulässig, sofern sie die Sicherheit nicht beeinträchtigt.
- Nur von der IT genehmigte Übertragungsmethoden werden für organisatorische Informationen verwendet. Nicht genehmigte Dateifreigabedienste, private E-Mail-Konten und ungeprüfte Cloud-Plattformen werden nicht zur Übertragung organisatorischer Daten verwendet.
- Beschäftigte umgehen keine technischen Übertragungsmaßnahmen (DLP-Regeln, E-Mail-Verschlüsselung, Web-Filter) und nutzen keine Anonymisierungstools zur Umgehung der Überwachung.
3.8 Aufbewahrung & Entsorgung von Übertragungsaufzeichnungen
Geschäftsaufzeichnungen, die über Übertragungskanäle erstellt oder übermittelt werden, unterliegen dem Aufbewahrungsplan der Organisation:
- E-Mail-Nachrichten: Werden im E-Mail-Archivsystem für den im Aufbewahrungsplan festgelegten Zeitraum aufbewahrt. Automatische Löschung erfolgt nach Ablauf, sofern kein Legal Hold besteht.
- Chat- und Instant-Messaging-Protokolle: Werden für den definierten Zeitraum aufbewahrt. Beschäftigte sind sich bewusst, dass per Chat kommunizierte Geschäftsentscheidungen denselben Aufbewahrungsregeln unterliegen wie E-Mail.
- Datei-Transferprotokolle: Übertragungsmetadaten (Absender, Empfänger, Zeitstempel, Dateiname) werden zu Audit-Trail-Zwecken gemäß der Protokollierungsrichtlinie aufbewahrt.
- Entsorgung: Wenn Übertragungsaufzeichnungen das Ende ihres Aufbewahrungszeitraums erreichen, werden sie mit Methoden sicher entsorgt, die der Klassifizierungsstufe der Informationen angemessen sind.
3.9 Rechtliche, regulatorische & vertragliche Anforderungen
Informationstransfers entsprechen allen geltenden rechtlichen, gesetzlichen, regulatorischen und vertraglichen Verpflichtungen:
- Datenschutz: Personenbezogene Daten werden in Übereinstimmung mit der DSGVO und den geltenden nationalen Datenschutzgesetzen übertragen. Grenzüberschreitende Transfers außerhalb des EWR nutzen genehmigte Übermittlungsmechanismen (Angemessenheitsbeschlüsse, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften).
- Elektronische Signaturen: Wenn gesetzliche oder regulatorische Anforderungen authentifizierte Dokumente verlangen (Verträge, aufsichtsrechtliche Meldungen, Auditberichte), können qualifizierte elektronische Signaturen gemäß der eIDAS-Verordnung (EU) 910/2014 oder gleichwertigem nationalen Recht verwendet werden.
- Sektorspezifische Vorschriften: Transfers, die sektorspezifischen Regeln unterliegen (z. B. Finanzregulierung, Anforderungen an Gesundheitsdaten, Pflichten für kritische Infrastrukturen nach NIS2), halten die in diesen Vorschriften festgelegten zusätzlichen Maßnahmen ein. Das von der Organisation geführte Rechts- und Regulierungsregister dokumentiert, welche Vorschriften gelten.
- Vertragliche Verpflichtungen: Transfers zu oder von Vertragspartnern folgen den im jeweiligen Vertrag oder Dienstleistungsvertrag festgelegten Sicherheitsanforderungen. Geheimhaltungsvereinbarungen (NDAs) bestehen vor dem Austausch von VERTRAULICH oder höher klassifizierten Informationen mit externen Parteien.
4. Elektronischer Transfer
Elektronischer Transfer umfasst E-Mail, Dateifreigabeplattformen, Kollaborationstools, Instant Messaging, Cloud-Speicher und alle anderen digitalen Kommunikationskanäle. Die folgenden Regeln ergänzen die oben genannten allgemeinen Übertragungsanforderungen.
4.1 Malware-Schutz
Alle elektronischen Informationstransfers durchlaufen Malware-Erkennungsmaßnahmen:
- E-Mail-Gateway: Eingehende und ausgehende E-Mails werden am E-Mail-Gateway auf Malware gescannt. Anhänge mit ausführbarem Code, makroaktivierte Dokumente oder Dateitypen auf der Sperrliste der Organisation werden in Quarantäne gestellt und der Absender/Empfänger wird benachrichtigt.
- Datei-Transferdienste: Dateien, die in organisatorische Dateifreigabe- und Kollaborationsplattformen hochgeladen oder daraus heruntergeladen werden, werden von der plattformintegrierten Anti-Malware-Engine gescannt, bevor sie den Empfängern zur Verfügung stehen.
- Wechseldatenträger: Daten, die auf Wechseldatenträger (USB-Sticks, externe Festplatten, optische Medien) geschrieben oder von diesen gelesen werden, werden vor der Verarbeitung auf Malware gescannt (siehe auch Abschnitt 5 zu physischen Datenträgern).
- Verschlüsselte Transfers: Wo Ende-zu-Ende-Verschlüsselung einen Scan auf Gateway-Ebene verhindert, führt der Endgeräteschutz auf dem empfangenden Gerät den Malware-Scan bei der Entschlüsselung durch. Empfänger öffnen verschlüsselte Anhänge nicht auf Geräten ohne aktiven, aktuellen Endpunktschutz.
Malware-Schutzmaßnahmen sind auf die Richtlinie zu Endpunktsicherheit und Malware-Schutz der Organisation abgestimmt.
4.2 Sichere Anhang- & Datei-Handhabung
Sensible elektronische Informationen, die als Anhänge übertragen werden, werden ihrer Klassifizierungsstufe entsprechend geschützt:
- INTERN: Standardmäßige Transportverschlüsselung (TLS) zwischen E-Mail-Servern ist ausreichend. Für interne Übertragungen innerhalb des Netzes der Organisation ist keine zusätzliche Anhangverschlüsselung erforderlich.
- VERTRAULICH: Extern versendete Anhänge werden verschlüsselt (passwortgeschütztes Archiv mit AES-256 oder S/MIME- / PGP-verschlüsselte E-Mail). Der Entschlüsselungsschlüssel wird über einen separaten Kanal übermittelt (z. B. Telefonat, SMS, separate E-Mail).
- STRENG VERTRAULICH: Ende-zu-Ende-Verschlüsselung ist verpflichtend. Anhänge werden nur über genehmigte sichere Datei-Transferdienste mit Zugriff durch benannte Empfänger, Audit-Logging und automatischem Verfall versendet. E-Mail wird für STRENG VERTRAULICH-Anhänge nicht verwendet, sofern nicht sowohl Absender als auch Empfänger Ende-zu-Ende-Verschlüsselung (S/MIME oder PGP) einsetzen.
- Große Dateien: Dateien, die das E-Mail-Größenlimit überschreiten, werden über den genehmigten sicheren Datei-Transferdienst der Organisation übertragen — nicht über private Cloud-Speicher, Consumer-Dateifreigabeplattformen oder unverschlüsseltes FTP.
4.3 Vermeidung fehlgeleiteter Kommunikation
Maßnahmen sind etabliert, um zu verhindern, dass Informationen an falsche Empfänger gesendet werden:
- Adressverifizierung: Die E-Mail-Autovervollständigung ist so konfiguriert, dass externe Empfänger mit einer visuellen Warnung gekennzeichnet werden. Beschäftigte verifizieren die Empfängeradresse vor dem Versand, insbesondere wenn die Nachricht klassifizierte Informationen enthält oder an Verteilerlisten gerichtet ist.
- Benachrichtigung bei externen Empfängern: E-Mails an externe Empfänger enthalten automatisch einen Banner oder Disclaimer, der die Nachricht als extern gerichtet kennzeichnet und den Absender zur Bestätigung auffordert, dass eine externe Weitergabe beabsichtigt ist.
- DLP-Regeln: Data-Loss-Prevention-Regeln (DLP) kennzeichnen E-Mails und Dateitransfers, die Klassifizierungsmarkierungen (VERTRAULICH, STRENG VERTRAULICH) enthalten und an externe oder unbefugte Empfänger gerichtet sind. Gekennzeichnete Transfers werden zur Absenderbestätigung zurückgehalten oder zur Prüfung an die/den Informationssicherheitsbeauftragte/n weitergeleitet.
- Rückruf und Löschung: Wird ein fehlgeleiteter Transfer erkannt, benachrichtigt der Absender sofort die IT und die/den Informationssicherheitsbeauftragte/n. Die IT initiiert einen Rückruf (für E-Mail) oder einen Zugriffsentzug (für Dateifreigabelinks), und der Vorfall wird über den Vorfallmeldeprozess gemeldet.
4.4 Genehmigung externer Übertragungsdienste
Externe öffentliche Dienste zur Informationsübertragung erfordern eine vorherige Genehmigung:
- Genehmigungsprozess: Bevor ein externer Dienst (Instant Messaging, soziale Netzwerke, Dateifreigabe, Cloud-Speicher) zur Übertragung organisatorischer Informationen genutzt wird, wird ein formaler Antrag an die IT gestellt. Die IT führt in Abstimmung mit der/dem Informationssicherheitsbeauftragten und der/dem Datenschutzbeauftragten eine Sicherheits- und Datenschutzbewertung durch.
- Register genehmigter Dienste: Ein Register genehmigter und verbotener externer Übertragungsdienste wird von der IT geführt und im Intranet veröffentlicht. Nur als genehmigt gelistete Dienste werden für geschäftliche Zwecke genutzt.
- Periodische Überprüfung: Das Register genehmigter Dienste wird mindestens halbjährlich überprüft. Dienste, die die Sicherheits- oder Datenschutzanforderungen nicht mehr erfüllen, werden entfernt, und Nutzer werden über genehmigte Alternativen informiert.
- Verbotene Dienste: Consumer-Dateifreigabe (z. B. privates Dropbox, Google Drive mit Privatkonten), ungeprüfte Messaging-Plattformen und Direktnachrichten in sozialen Medien werden nicht zur Übertragung von Informationen genutzt, die als INTERN oder höher klassifiziert sind.
4.5 Authentifizierung in öffentlichen Netzen
Wenn Informationen über öffentlich zugängliche Netze übertragen werden, gelten stärkere Authentifizierungs- und Verschlüsselungsmaßnahmen:
- VPN-Anforderung: Der Zugriff auf interne Übertragungsdienste (E-Mail, Dateifreigaben, Kollaborationsplattformen) aus öffentlichen oder nicht vertrauenswürdigen Netzen wird über das VPN der Organisation geleitet. Direkter Zugriff ohne VPN aus öffentlichen Netzen ist technisch blockiert.
- Multi-Faktor-Authentifizierung (MFA): Alle über das Internet zugänglichen Übertragungsdienste erfordern MFA. Einfache Passwort-Authentifizierung wird für internetzugängliche Übertragungsdienste nicht akzeptiert.
- Zertifikatsbasierte Authentifizierung: Automatisierte System-zu-System-Transfers über öffentliche Netze nutzen zertifikatsbasierte gegenseitige TLS-Authentifizierung. API-Schlüssel oder Token werden nicht in URLs oder Query-Strings übertragen.
- Öffentliches WLAN: Bei Nutzung von öffentlichem WLAN (Hotels, Flughäfen, Konferenzorte) läuft der gesamte organisatorische Datenverkehr — einschließlich Informationstransfers — durch das VPN. Keine organisatorischen Daten werden ohne VPN-Schutz über öffentliches WLAN übertragen.
4.6 Einschränkungen elektronischer Kommunikation
Die folgenden technischen Einschränkungen werden für elektronische Kommunikationseinrichtungen durchgesetzt, um Datenabfluss zu verhindern:
- Automatische Weiterleitung: Die automatische Weiterleitung organisatorischer E-Mails an externe E-Mail-Adressen ist technisch deaktiviert. Die manuelle Weiterleitung klassifizierter Informationen an private oder externe E-Mail-Konten ist untersagt.
- Inhalt automatischer Antworten: Abwesenheitsantworten an externe Empfänger enthalten keine sensiblen Informationen wie interne Projektnamen, Kundennamen oder Details zum Aufenthaltsort oder Reiseplan des Beschäftigten.
- Anhangsgrößenlimits: Maximale Anhangsgrößen werden am E-Mail-Gateway konfiguriert. Dateien, die das Limit überschreiten, werden an den genehmigten sicheren Datei-Transferdienst umgeleitet.
- Druckaufträge: Klassifizierte Dokumente, die an Netzwerkdrucker gesendet werden, nutzen Secure Print (Badge-Freigabe oder PIN). Druckdaten auf dem internen Speicher des Druckers werden verschlüsselt, sofern das Gerät dies unterstützt, und werden nach dem Drucken automatisch gelöscht.
4.7 SMS & Instant Messaging
Kurznachrichtendienste (SMS) und Instant Messaging bergen inhärente Risiken für die Informationssicherheit:
- SMS-Nachrichten und Standard-Instant-Messages (WhatsApp privat, Telegram, Consumer-Signal-Gruppen) werden nicht zur Übermittlung von Informationen verwendet, die als VERTRAULICH oder höher klassifiziert sind. Diese Dienste können Nachrichten auf Servern außerhalb der Kontrolle der Organisation speichern, Inhalte auf Sperrbildschirmen für Umstehende sichtbar anzeigen und verfügen nicht über unternehmensweites Audit-Logging.
- Für zeitkritische Kommunikation, die mobile Erreichbarkeit erfordert, wird stattdessen die genehmigte Enterprise-Messaging-Plattform der Organisation (mit Ende-zu-Ende-Verschlüsselung und Enterprise-Schlüsselverwaltung) verwendet.
- Wenn eine kurze, nicht klassifizierte Benachrichtigung per SMS oder Consumer-Messaging versendet wird (z. B. „Bitte prüfe deine E-Mail"), enthält sie keinen klassifizierten Inhalt, keine Kundennamen und keine Projektdetails.
4.8 Fax & Legacy-Kommunikation
Faxgeräte und Fax-over-IP-Dienste weisen spezifische Sicherheitsrisiken auf:
- Eingebaute Nachrichtenspeicher: Faxgeräte können Kopien gesendeter und empfangener Dokumente im internen Speicher behalten, auf die unbefugte Personen zugreifen können. Nach der Übertragung klassifizierter Dokumente wird der Fax-Speicher gelöscht.
- Fehlwahlrisiko: Versehentliches oder absichtliches Fehlprogrammieren von Faxnummern kann dazu führen, dass klassifizierte Informationen an falsche Empfänger gesendet werden. Beschäftigte verifizieren die Faxnummer mit dem Empfänger telefonisch, bevor sie VERTRAULICH-Informationen senden.
- Bevorzugte Alternativen: Wo möglich, werden verschlüsselte elektronische Übertragungsmethoden anstelle von Fax verwendet. Ist Fax der einzige verfügbare Kanal (z. B. für bestimmte behördliche oder rechtliche Kommunikation), wird eine sichere Fax-over-IP-Lösung mit Verschlüsselung und Zugriffsprotokollierung gegenüber traditionellem analogen Fax bevorzugt.
5. Transfer auf physischen Datenträgern
Physischer Transfer umfasst den Versand, Transport und Empfang von Dokumenten, USB-Sticks, externen Festplatten, Backup-Bändern, optischen Medien und anderen materiellen Medien, die Informationen enthalten. Alle physischen Datenträger, die klassifizierte Informationen enthalten, werden vor dem Versand verschlüsselt (AES-256-Vollverschlüsselung oder Container-Verschlüsselung); der Entschlüsselungsschlüssel wird über einen separaten Kanal übermittelt.
5.1 Verantwortlichkeiten bei Versand & Empfang
Klare Verantwortlichkeiten sind für jede Phase des physischen Informationstransfers zugewiesen:
- Autorisierung: Der Informationseigentümer autorisiert den Versand physischer Datenträger mit VERTRAULICH oder höher klassifizierten Informationen. Für INTERN-Informationen genehmigt der Leiter der versendenden Abteilung den Versand.
- Versandbenachrichtigung: Der Absender benachrichtigt den Empfänger vorab (über einen separaten Kanal wie E-Mail oder Telefon), dass ein physischer Transfer unterwegs ist, einschließlich des erwarteten Liefertermins und einer Referenznummer.
- Empfangsbestätigung: Der Empfänger bestätigt den Empfang gegenüber dem Absender innerhalb eines Werktages unter Verwendung der Referenznummer. Wird die Bestätigung nicht innerhalb des erwarteten Zeitraums empfangen, eskaliert der Absender an die/den Informationssicherheitsbeauftragte/n.
5.2 Adressierung & Transport
Physische Transfers werden sicher adressiert und transportiert:
- Adressierung: Der vollständige Name, die Abteilung und die Organisationsadresse des Empfängers sind deutlich auf der äußeren Verpackung aufgedruckt. Für klassifiziertes Material enthält die äußere Verpackung keinen Hinweis auf die Sensibilität des Inhalts — nur die Routing-Informationen.
- Sendungsverfolgung: Transfers von VERTRAULICH oder höher klassifizierten Datenträgern nutzen nachverfolgte Lieferdienste mit Sendungsnummern. Die Sendungsnummer wird im Transferprotokoll erfasst.
- Zustellungsausfälle: Wenn eine Zustellung fehlschlägt, zurückgesendet oder als verloren gemeldet wird, werden der Absender und die/der Informationssicherheitsbeauftragte umgehend benachrichtigt. Der Vorfall wird auf potenzielle Datenoffenlegung bewertet und über den Vorfallmeldeprozess behandelt.
5.3 Verpackung & Umweltschutz
Die Verpackung schützt den Inhalt während des Transports vor physischen Schäden und Umwelteinflüssen:
- Papierdokumente: Als VERTRAULICH und höher klassifizierte Dokumente werden in undurchsichtigen, versiegelten Umschlägen versandt. Für STRENG VERTRAULICH-Material wird doppelte Kuvertierung verwendet.
- Datenträger: USB-Sticks, Festplatten, Bänder und optische Medien werden in gepolsterten, antistatischen Behältern verpackt, die gemäß den Lager- und Transportspezifikationen des Herstellers vor Stößen, Hitze, Feuchtigkeit und elektromagnetischen Feldern schützen.
- Mindeststandard: Alle physischen Transfers nutzen mindestens undurchsichtige Verpackung. Transparente Beutel, offene Ablagen oder unversiegelte Umschläge werden für klassifiziertes Material nicht verwendet.
5.4 Kurier- & Transportdienst-Management
- Liste autorisierter Kuriere: Eine von der Geschäftsleitung genehmigte Liste autorisierter und zuverlässiger Kurierdienste wird geführt. Kuriere werden anhand von Sicherheitsfähigkeiten, Erfolgsbilanz, Versicherungsschutz und relevanten Zertifizierungen bewertet. Die Liste wird jährlich und nach jedem kurierbezogenen Sicherheitsvorfall überprüft.
- Klassifizierungsbasierte Dienstkategorien: Die Liste genehmigter Kuriere differenziert nach Klassifizierungsstufe. Standardmäßige Post- oder Paketdienste sind für INTERN-Material akzeptabel. VERTRAULICH- und STRENG VERTRAULICH-Material wird ausschließlich durch Kurierdienste transportiert, die verfolgte, unterschriftspflichtige und versicherte Zustellung mit definierten Chain-of-Custody-Verfahren anbieten.
- Standards zur Kurieridentifikation: Kurierpersonal identifiziert sich bei Abholung und Zustellung mit einem gültigen Lichtbildausweis und Unternehmensausweis. Für STRENG VERTRAULICH-Transfers ist zusätzlich eine vorab ausgetauschte Referenznummer zur Verifizierung erforderlich.
- Verifizierungsverfahren: Personen an Abhol- und Zustellpunkten verifizieren die Identität des Kuriers durch Abgleich des Lichtbildausweises mit dem vorregistrierten Namen, Bestätigung der Zugehörigkeit zum Kurierunternehmen und Validierung der Sendungsreferenznummer. Die Identitätsdetails des Kuriers werden im Versand-/Empfangsprotokoll erfasst.
5.5 Manipulationsschutz
Manipulationssichtbare oder manipulationssichere Maßnahmen werden abhängig von der Klassifizierungsstufe der transportierten Informationen angewendet:
- INTERN: Standardmäßige versiegelte Umschläge oder Pakete sind ausreichend.
- VERTRAULICH: Manipulationssichtbare Siegel (Sicherheitsklebeband, serialisierte manipulationssichtbare Beutel) werden angebracht. Die Siegelnummer wird im Transferprotokoll erfasst und dem Empfänger über einen separaten Kanal mitgeteilt.
- STRENG VERTRAULICH: Manipulationssichere Behälter (abschließbare Taschen, Sicherheitskoffer) werden zusätzlich zu manipulationssichtbaren Siegeln verwendet. Behälter und Siegel werden vom Empfänger bei Ankunft geprüft; jegliche Anzeichen von Manipulation werden umgehend der/dem Informationssicherheitsbeauftragten gemeldet.
5.6 Protokollierung physischer Transfers
Für alle physischen Informationstransfers wird ein standardisiertes Protokoll geführt, das Folgendes erfasst:
- Inhaltsbeschreibung (was übertragen wird — Dokumententitel, Medientyp, Anzahl der Elemente)
- Klassifizierungsstufe der übertragenen Informationen
- Angewendete Schutzmaßnahmen (Verschlüsselung, manipulationssichtbare Siegel mit Seriennummern, Verpackungsart)
- Liste autorisierter Empfänger
- Übergabezeitpunkt an den Kurier oder Transitverwalter
- Zeitpunkt der Empfangsbestätigung am Zielort
- Identität der an jeder Phase beteiligten Personen (Absender, Kurier, Empfänger)
Die Vorlage für das physische Transferprotokoll ist im Intranet verfügbar. Abgeschlossene Protokolle werden gemäß dem Aufbewahrungsplan aufbewahrt.
6. Mündlicher Transfer
Mündlicher Transfer umfasst persönliche Gespräche, Telefonate, Videokonferenzen und Sprachnachrichten. Obwohl mündliche Kommunikation weniger Spuren hinterlässt als elektronischer oder physischer Transfer, unterliegt sie gleichermaßen den Risiken des Abfangens und Abhörens.
6.1 Gesprächssicherheit
- Ortsbewusstsein: Vertrauliche mündliche Gespräche werden nicht an öffentlichen Orten (Restaurants, Zügen, Flughafen-Lounges, offenen Coworking-Spaces) oder über unsichere Kommunikationskanäle (unverschlüsselte Telefonleitungen, Consumer-Videokonferenzen ohne Ende-zu-Ende-Verschlüsselung) geführt. Ist ein sensibles Gespräch während einer Reise notwendig, findet es in einer privaten Umgebung statt (geschlossenes Hotelzimmer, gebuchter Besprechungsraum) unter Nutzung der genehmigten verschlüsselten Kommunikationstools der Organisation.
- Teilnehmerprüfung: Vor der Diskussion von als VERTRAULICH oder höher klassifizierten Informationen verifiziert die Besprechungsorganisation, dass alle Teilnehmer (persönlich und remote) berechtigt sind, Informationen dieser Klassifizierungsstufe zu empfangen. Nicht eingeladene oder unverifizierte Teilnehmer werden gebeten, den Raum zu verlassen, bevor klassifizierte Informationen besprochen werden.
- Raumkontrollen: Sensible Gespräche finden in Räumen mit angemessenen physischen Maßnahmen statt — geschlossene Türen, ausreichende Schalldämmung, keine Sicht auf Bildschirme oder Whiteboards von außen. Für STRENG VERTRAULICH-Gespräche werden designierte sichere Besprechungsräume mit verifizierter Schalldämmung verwendet. Mobiltelefone nicht essentieller Teilnehmer werden draußen gelassen oder in einen signalblockierenden Behälter gelegt, sofern die Sensibilität dies rechtfertigt.
6.2 Voicemail & Anrufbeantworter
Nachrichten mit klassifizierten Informationen werden nicht auf Voicemail-Systemen oder Anrufbeantwortern hinterlassen. Diese Systeme können:
- Von unbefugten Personen, die sich Zugang zur Mailbox teilen, abgespielt werden
- Auf gemeinsam genutzten Systemen mit unzureichenden Zugriffskontrollen gespeichert werden
- Aufgrund von Fehlwahlen versehentlich auf der falschen Mailbox aufgezeichnet werden
Ist der beabsichtigte Empfänger nicht erreichbar, hinterlässt der Anrufer eine nicht sensible Rückrufbitte (Name, Telefonnummer, „Bitte rufen Sie wegen Projekt X zurück"), ohne klassifizierten Inhalt preiszugeben. Die inhaltliche Diskussion findet statt, wenn direkter Sprachkontakt hergestellt ist.
6.3 Klassifizierungshinweis
Sensible Gespräche beginnen mit einem kurzen Klassifizierungshinweis, damit alle Teilnehmer die Handhabungsanforderungen verstehen:
- Die sprechende Person kündigt die Klassifizierungsstufe der zu besprechenden Informationen an (z. B. „Die folgenden Informationen sind als VERTRAULICH klassifiziert und werden nach dem Need-to-know-Prinzip geteilt").
- Deckt das Gespräch Themen unterschiedlicher Klassifizierungsstufen ab, kündigt die sprechende Person den Übergang an, wenn zu einer höheren Stufe gewechselt wird.
- Am Ende des Gesprächs erinnert die sprechende Person die Teilnehmer an etwaige Handhabungsbeschränkungen (z. B. „Bitte besprechen Sie diese Details nicht außerhalb dieser Gruppe").
7. Transfervereinbarungen mit Dritten
Wo [IHR_ORGANISATIONSNAME] regelmäßig Informationen mit externen Parteien (Kunden, Lieferanten, Partner, Regulierungsbehörden) austauscht, werden formale Transfervereinbarungen etabliert und gepflegt:
- Geltungsbereich der Vereinbarung: Die Vereinbarung spezifiziert die Arten der ausgetauschten Informationen, die beteiligten Klassifizierungsstufen, die zulässigen Übertragungskanäle, die erforderlichen Schutzmaßnahmen und die Verantwortlichkeiten jeder Partei.
- Empfängerauthentifizierung: Die Vereinbarung definiert, wie sich Empfänger authentifizieren, bevor sie klassifizierte Informationen erhalten (z. B. vorab ausgetauschte Referenznummern, digitale Zertifikate, benannte Ansprechpersonen).
- Vertraulichkeitsklauseln: Für VERTRAULICH oder höher klassifizierte Informationen wird vor dem ersten Transfer eine Geheimhaltungsvereinbarung (NDA) oder gleichwertige Vertraulichkeitsklausel unterzeichnet. Die NDA spezifiziert, wie die empfangende Partei die Informationen speichert, schützt und letztlich zurückgibt oder vernichtet.
- Vorfallmeldung: Die Vereinbarung enthält eine gegenseitige Verpflichtung, Sicherheitsvorfälle, die übertragene Informationen betreffen, innerhalb eines vereinbarten Zeitraums zu melden.
- Überprüfung: Transfervereinbarungen werden jährlich überprüft und aktualisiert, wenn sich der Umfang des Informationsaustauschs ändert, wenn sich Sicherheitsanforderungen ändern oder nach einem Sicherheitsvorfall, an dem die dritte Partei beteiligt ist.
8. Rollen & Verantwortlichkeiten
- Geschäftsleitung: Genehmigt diese Richtlinie und Transfervereinbarungen mit Dritten, die STRENG VERTRAULICH-Informationen betreffen. Stellt angemessene Ressourcen für die sichere Übertragungsinfrastruktur bereit.
- Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, definiert Übertragungssicherheitsmaßnahmen, überprüft Transfervereinbarungen, untersucht übertragungsbezogene Vorfälle und pflegt das Kontaktverzeichnis für den Informationstransfer.
- IT-Abteilung: Betreibt und überwacht die Übertragungsinfrastruktur (E-Mail-Gateways, Datei-Transferdienste, DLP-Systeme, VPN). Pflegt das Register genehmigter Dienste. Setzt technische Maßnahmen um (Blockierung automatischer Weiterleitung, Malware-Scan, Durchsetzung von Verschlüsselung). Bewertet neue Übertragungsdienste auf Sicherheit und Kompatibilität.
- Datenschutzbeauftragte/r (DSB): Überprüft Übertragungsregelungen mit Bezug zu personenbezogenen Daten auf DSGVO-Konformität. Berät zu grenzüberschreitenden Übermittlungsmechanismen und Auftragsverarbeitungsverträgen mit Anbietern von Übertragungsdiensten.
- Informationseigentümer / Asset-Eigentümer: Autorisieren Übertragungen ihrer Informationen, pflegen autorisierte Empfängerlisten, definieren klassifizierungsspezifische Handhabungsanforderungen und genehmigen Transfervereinbarungen mit Dritten für ihre Informationswerte.
- Gebäudemanagement / Poststelle: Betreibt physische Übertragungsprozesse (Versand, Empfang, Kurierkoordination). Verifiziert die Kurieridentifikation. Pflegt das physische Transferprotokoll.
- Alle Beschäftigten: Halten diese Richtlinie bei jeder Art von Informationstransfer ein. Verifizieren die Berechtigung des Empfängers und die Eignung des Übertragungskanals. Melden fehlgeleitete, verlorene oder manipulierte Transfers unverzüglich.
9. Überprüfung & Pflege
Diese Richtlinie wird überprüft:
- Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
- Wenn neue Übertragungstechnologien oder -dienste eingeführt werden (z. B. neue Kollaborationsplattform, neuer Dateifreigabedienst, neuer Kurierdienstleister).
- Nach wesentlichen Sicherheitsvorfällen im Zusammenhang mit dem Informationstransfer (Datenabfluss, fehlgeleitete Kommunikation, Kurierverlust).
- Wenn Änderungen im geltenden Recht die Übertragungsanforderungen betreffen (z. B. neue Regeln für grenzüberschreitende Datenübermittlungen, aktualisierte Vorschriften zu elektronischen Signaturen, sektorspezifische Übertragungspflichten).
- Wenn das Klassifizierungsschema oder die Kennzeichnungsverfahren der Organisation wesentlich aktualisiert werden.
Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]
1. Legal/Regulatory Basis
ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Organisational Controls:
- A 5.14 — Information Transfer
BSI IT-Grundschutz:
- CON.9 (Information Exchange)
- CON.1 (Crypto Concept)
- CON.7.A9 (Secure Handling of Mobile Storage Media)
- APP.5.3 (General E-Mail Clients and Servers)
- SYS.4.5 (Removable Media)
- SYS.4.1.A5 (Usage Policies for Printers, Copiers and All-in-One Devices)
Additional jurisdiction-specific laws — in particular data protection law (GDPR), electronic signature law (eIDAS) and sector-specific transfer obligations (NIS2, financial and healthcare regulations) — are listed in the Legal Register and incorporated by reference.
2. Purpose & Scope
This policy defines the rules, procedures and agreements for the secure transfer of information at [YOUR_ORGANISATION_NAME]. It covers all forms of information transfer — electronic, physical storage media and verbal — both within the organisation and with external parties.
This policy applies to:
- All employees (permanent, temporary, part-time)
- External personnel (contractors, consultants, temporary staff) who transfer information on behalf of the organisation
- Third parties with whom information is exchanged under formal agreements
- All information regardless of format: electronic data, physical documents and storage media, verbal communications
The protection measures applied to information in transit reflect the classification level of the information involved as defined in the Information Classification & Labelling Policy. Before any transfer, the sender verifies that the recipient is authorised to receive the information and that an appropriate transfer channel is used.
3. General Transfer Requirements (A 5.14)
The following requirements apply to all types of information transfer — electronic, physical and verbal. They form the baseline that is supplemented by the channel-specific rules in subsequent sections.
3.1 Protection of Information in Transit
Information in transit is protected against interception, unauthorised access, copying, modification, misrouting, destruction and denial of service. The level of protection is commensurate with the classification level of the information:
- Encryption: Information classified CONFIDENTIAL or above is encrypted during transfer using cryptographic techniques that meet current standards (AES-256 for symmetric encryption, RSA-2048 / ECDSA P-256 or higher for asymmetric encryption, TLS 1.2 as minimum for transport encryption — TLS 1.3 preferred). Key lengths follow BSI TR-02102 recommendations and are reviewed annually.
- Access control: Transfer channels enforce access controls commensurate with the classification level. INTERNAL information uses membership-based channels (shared drives, intranet). CONFIDENTIAL information uses individually authorised, encrypted channels. STRICTLY CONFIDENTIAL information uses end-to-end encrypted channels with named-recipient access only.
- Integrity verification: Transfers of CONFIDENTIAL or higher information include integrity verification mechanisms (checksums, digital signatures or hash values) so that recipients can confirm the information has not been altered in transit.
- Anti-misrouting: Automated transfer systems include validation checks (recipient address verification, domain whitelisting) to prevent information from being sent to incorrect destinations.
Before transferring information externally, the sender verifies that the recipient is authorised to receive information at the given classification level and that the transfer method provides adequate protection. Residual information and metadata (tracked changes, embedded comments, hidden data, EXIF data) are removed from documents and files before transfer to prevent unintended disclosure.
3.2 Traceability & Chain of Custody
A chain of custody is maintained for information classified CONFIDENTIAL or above during transfer:
- Transfer logging: Each transfer event is logged with sender identity, recipient identity, timestamp, content reference (document name or identifier — not the content itself), transfer method used and protection measures applied.
- Digital signatures: Transfers of critical business information (contracts, legal documents, regulatory filings) use digital signatures to provide non-repudiation — the sender cannot deny having sent the information, and the recipient can verify its origin and integrity.
- Acknowledgement of receipt: For STRICTLY CONFIDENTIAL transfers, the recipient confirms receipt through a documented acknowledgement (digitally signed response, signed delivery note or equivalent).
Transfer logs are retained in accordance with the retention schedule and are available for audit and incident investigation purposes.
3.3 Transfer Contact Directory
A contact directory for information transfer is maintained, identifying the responsible persons for each transfer type:
- Information owners / asset owners: Authorise transfers of their information, approve recipient lists and define classification-specific handling requirements.
- Risk owners: Assess and accept residual risks associated with specific transfer channels or third-party agreements.
- Information Security Officer: Advises on transfer security controls, reviews transfer agreements and is the escalation point for transfer-related security concerns.
- Information custodians: Operate and maintain transfer infrastructure (email gateways, file transfer services, courier processes) and ensure technical controls are functioning.
The contact directory is accessible to all personnel on the intranet and is updated whenever roles change. In case of uncertainty about a transfer, personnel contact the information owner or the Information Security Officer before proceeding.
3.4 Incident Responsibilities & Liabilities
Responsibilities for information security incidents during transfer are clearly assigned:
- Sender responsibility: The sender is responsible for selecting an appropriate transfer method, applying the correct protection measures and verifying the recipient's authorisation. If information is lost, intercepted or corrupted during transfer, the sender reports the incident immediately through the incident management process.
- Recipient responsibility: The recipient confirms receipt of expected transfers, reports missing or tampered deliveries and handles received information in accordance with its classification level.
- Third-party transfers: Transfer agreements with external parties include liability clauses specifying responsibilities in the event of data loss, unauthorised access or breach of confidentiality. These clauses are reviewed by the legal department before signing.
3.5 Labelling of Transferred Information
Information retains its classification label throughout the transfer process so that every handler and recipient immediately understands the protection requirements:
- Electronic transfers: Email subject lines include the classification level tag (e.g. [CONFIDENTIAL]). File names or metadata carry the classification. Classification banners are applied to document headers and footers.
- Physical transfers: Outer packaging displays the classification level. For STRICTLY CONFIDENTIAL material, double enveloping is used — the inner envelope carries the classification marking, the outer envelope shows only addressing information with no indication of the sensitivity of the contents.
- Verbal transfers: The speaker states the classification level at the beginning of the conversation (see Section 6 on Verbal Transfer).
The labelling system is defined in the Information Classification & Labelling Policy. Personnel verify that labels are correctly applied before initiating any transfer.
3.6 Transfer Service Reliability & Availability
Transfer services used by the organisation meet the following reliability and availability requirements:
- Internal services: Email, file sharing and collaboration platforms are operated with defined service levels (availability targets, maximum downtime windows, capacity thresholds). IT monitors these services and reports deviations.
- External / third-party services: Service level agreements (SLAs) with external transfer service providers specify availability guarantees, incident response times and data protection obligations. SLA performance is reviewed at least annually.
- Failover: For business-critical transfer channels, alternative transfer methods are documented and tested so that information can still be exchanged if the primary channel is unavailable.
- Compatibility: Before establishing a new transfer channel — internally or with a third party — IT verifies that the sending and receiving systems are technically compatible and that security controls function correctly end-to-end.
3.7 Acceptable Use of Transfer Facilities
The use of information transfer facilities at [YOUR_ORGANISATION_NAME] is governed by the Acceptable Use Policy. In summary:
- Transfer facilities (email, file sharing, messaging, removable media, fax) are provided for business purposes. Limited personal use is permitted provided it does not compromise security.
- Only transfer methods approved by IT are used for organisational information. Unapproved file-sharing services, personal email accounts and unvetted cloud platforms are not used to transfer organisational data.
- Personnel do not circumvent technical transfer controls (DLP rules, email encryption, web filtering) or use anonymising tools to bypass monitoring.
3.8 Retention & Disposal of Transfer Records
Business records created or transmitted through transfer channels are subject to the organisation's retention schedule:
- Email messages: Retained in the email archiving system for the period specified in the retention schedule. Automatic deletion is applied after expiry unless a legal hold is in effect.
- Chat and instant messaging logs: Retained for the defined period. Personnel are aware that business decisions communicated via chat are subject to the same retention rules as email.
- File transfer logs: Transfer metadata (sender, recipient, timestamp, file name) is retained for audit trail purposes in accordance with the logging policy.
- Disposal: When transfer records reach the end of their retention period, they are securely disposed of using methods appropriate to the classification level of the information.
3.9 Legal, Regulatory & Contractual Requirements
Information transfers comply with all applicable legal, statutory, regulatory and contractual obligations:
- Data protection: Personal data is transferred in compliance with the GDPR and applicable national data protection laws. Cross-border transfers outside the EEA use approved transfer mechanisms (adequacy decisions, standard contractual clauses, binding corporate rules).
- Electronic signatures: Where legal or regulatory requirements demand authenticated documents (contracts, regulatory filings, audit reports), qualified electronic signatures conforming to eIDAS Regulation (EU) 910/2014 or equivalent national law can be used.
- Sector-specific regulations: Transfers subject to sector-specific rules (e.g. financial regulations, healthcare data requirements, critical infrastructure obligations under NIS2) comply with the additional controls specified in those regulations. The legal and regulatory register maintained by the organisation documents which regulations apply.
- Contractual obligations: Transfers to or from contractual partners follow the security requirements stipulated in the relevant contract or service agreement. Non-disclosure agreements (NDAs) are in place before exchanging CONFIDENTIAL or higher information with external parties.
4. Electronic Transfer
Electronic transfer includes email, file sharing platforms, collaboration tools, instant messaging, cloud storage and any other digital communication channel. The following rules supplement the general transfer requirements above.
4.1 Malware Protection
All electronic information transfers pass through malware detection controls:
- Email gateway: Inbound and outbound email is scanned for malware at the email gateway. Attachments containing executable code, macro-enabled documents or file types on the organisation's blocked list are quarantined and the sender/recipient is notified.
- File transfer services: Files uploaded to or downloaded from organisational file-sharing and collaboration platforms are scanned by the platform's integrated anti-malware engine before they become available to recipients.
- Removable media: Data written to or read from removable media (USB drives, external hard drives, optical discs) is scanned for malware before processing (see also Section 5 on Physical Storage Media).
- Encrypted transfers: Where end-to-end encryption prevents gateway-level scanning, endpoint protection on the receiving device performs the malware scan upon decryption. Recipients do not open encrypted attachments on devices without active, up-to-date endpoint protection.
Malware protection controls are aligned with the organisation's Endpoint Security & Malware Protection Policy.
4.2 Secure Attachment & File Handling
Sensitive electronic information transmitted as attachments is protected commensurate with its classification level:
- INTERNAL: Standard transport encryption (TLS) between email servers is sufficient. No additional attachment encryption is required for internal transfers within the organisation's network.
- CONFIDENTIAL: Attachments sent externally are encrypted (password-protected archive with AES-256, or S/MIME / PGP encrypted email). The decryption key is transmitted via a separate channel (e.g. phone call, SMS, separate email).
- STRICTLY CONFIDENTIAL: End-to-end encryption is mandatory. Attachments are only sent via approved secure file transfer services with named-recipient access, audit logging and automatic expiration. Email is not used for STRICTLY CONFIDENTIAL attachments unless end-to-end encryption (S/MIME or PGP) is in place for both sender and recipient.
- Large files: Files exceeding the email size limit are transferred via the organisation's approved secure file transfer service — not via personal cloud storage, consumer file-sharing platforms or unencrypted FTP.
4.3 Prevention of Misdirected Communications
Controls are in place to prevent information from being sent to incorrect recipients:
- Address verification: Email auto-complete is configured to flag external recipients with a visual warning. Personnel verify the recipient address before sending, especially when the message contains classified information or is addressed to distribution lists.
- External recipient notification: Emails to external recipients automatically include a banner or disclaimer identifying the message as external-bound, prompting the sender to confirm that external sharing is intended.
- DLP rules: Data loss prevention (DLP) rules flag emails and file transfers that contain classification markers (CONFIDENTIAL, STRICTLY CONFIDENTIAL) and are directed to external or unauthorised recipients. Flagged transfers are held for sender confirmation or routed to the Information Security Officer for review.
- Recall and deletion: If a misdirected transfer is detected, the sender immediately notifies IT and the Information Security Officer. IT initiates recall (for email) or access revocation (for file-sharing links) and the incident is reported through the incident management process.
4.4 Approval of External Transfer Services
External public services used for information transfer require prior approval:
- Approval process: Before any external service (instant messaging, social networking, file sharing, cloud storage) is used to transfer organisational information, a formal request is submitted to IT. IT conducts a security and data protection assessment in coordination with the Information Security Officer and the Data Protection Officer.
- Approved service register: A register of approved and prohibited external transfer services is maintained by IT and published on the intranet. Only services listed as approved are used for business purposes.
- Periodic review: The approved service register is reviewed at least semi-annually. Services that no longer meet security or data protection requirements are removed and users are notified of approved alternatives.
- Prohibited services: Consumer-grade file-sharing (e.g. personal Dropbox, Google Drive with private accounts), unvetted messaging platforms and social media direct messages are not used to transfer information classified INTERNAL or above.
4.5 Authentication on Public Networks
When information is transferred via publicly accessible networks, stronger authentication and encryption controls apply:
- VPN requirement: Access to internal transfer services (email, file shares, collaboration platforms) from public or untrusted networks is routed through the organisation's VPN. Direct access without VPN from public networks is technically blocked.
- Multi-factor authentication (MFA): All transfer services accessible over the internet require MFA. Single-factor password authentication is not accepted for internet-facing transfer services.
- Certificate-based authentication: Automated system-to-system transfers over public networks use certificate-based mutual TLS authentication. API keys or tokens are not transmitted in URLs or query strings.
- Public Wi-Fi: When using public Wi-Fi (hotels, airports, conference venues), all organisational traffic — including information transfers — passes through the VPN. No organisational data is transferred over public Wi-Fi without VPN protection.
4.6 Electronic Communication Restrictions
The following technical restrictions are enforced on electronic communication facilities to prevent data leakage:
- Auto-forwarding: Automatic forwarding of organisational email to external email addresses is technically disabled. Manual forwarding of classified information to personal or external email accounts is prohibited.
- Auto-reply content: Out-of-office replies to external recipients do not include sensitive information such as internal project names, customer names or details about the employee's location or travel plans.
- Attachment size limits: Maximum attachment sizes are configured on the email gateway. Files exceeding the limit are redirected to the approved secure file transfer service.
- Print jobs: Classified documents sent to network printers use secure print (badge-release or PIN). Print data stored on printer internal storage is encrypted where the device supports it, and is automatically deleted after printing.
4.7 SMS & Instant Messaging
Short message services (SMS) and instant messaging carry inherent risks for information security:
- SMS messages and standard instant messages (WhatsApp personal, Telegram, consumer Signal groups) are not used to transmit information classified CONFIDENTIAL or above. These services may store messages on servers outside the organisation's control, display content on lock screens visible to bystanders and lack enterprise audit logging.
- For time-critical communications that require mobile reach, the organisation's approved enterprise messaging platform (with end-to-end encryption and enterprise key management) is used instead.
- If a brief, non-classified notification is sent via SMS or consumer messaging (e.g. "please check your email"), it contains no classified content, no customer names and no project details.
4.8 Fax & Legacy Communication
Fax machines and fax-over-IP services present specific security risks:
- Built-in message stores: Fax machines may retain copies of sent and received documents in internal memory, which can be accessed by unauthorised persons. After transmitting classified documents, the fax memory is cleared.
- Misdial risk: Accidental or deliberate misprogramming of fax numbers can result in classified information being sent to incorrect recipients. Personnel verify the fax number with the recipient by phone before sending CONFIDENTIAL information.
- Preferred alternatives: Where possible, encrypted electronic transfer methods are used instead of fax. If fax is the only available channel (e.g. for certain government or legal communications), a secure fax-over-IP solution with encryption and access logging is preferred over traditional analogue fax.
5. Physical Storage Media Transfer
Physical transfer includes the dispatch, transport and receipt of documents, USB drives, external hard drives, backup tapes, optical discs and other tangible media containing information. All physical media containing classified information are encrypted before dispatch (AES-256 full-disk or container encryption); the decryption key is transmitted via a separate channel.
5.1 Dispatch & Receipt Responsibilities
Clear responsibilities are assigned for each stage of physical information transfer:
- Authorisation: The information owner authorises the dispatch of physical media containing CONFIDENTIAL or higher information. For INTERNAL information, the sending department head approves dispatch.
- Dispatch notification: The sender notifies the recipient in advance (via a separate channel such as email or phone) that a physical transfer is en route, including the expected delivery date and a reference number.
- Receipt confirmation: The recipient confirms receipt to the sender within one business day using the reference number. If confirmation is not received within the expected timeframe, the sender escalates to the Information Security Officer.
5.2 Addressing & Transportation
Physical transfers are addressed and transported securely:
- Addressing: The recipient's full name, department and organisational address are clearly printed on the outer packaging. For classified material, the outer packaging carries no indication of the sensitivity of the contents — only the routing information.
- Tracking: Transfers of CONFIDENTIAL or higher media use tracked delivery services with shipment tracking numbers. The tracking number is recorded in the transfer log.
- Delivery failures: If a delivery fails, is returned or is reported as lost, the sender and the Information Security Officer are notified immediately. The incident is assessed for potential data exposure and handled through the incident management process.
5.3 Packaging & Environmental Protection
Packaging protects the contents against physical damage and environmental factors during transit:
- Paper documents: CONFIDENTIAL and above documents are placed in opaque, sealed envelopes. For STRICTLY CONFIDENTIAL material, double enveloping is used.
- Storage media: USB drives, hard drives, tapes and optical discs are packaged in padded, anti-static containers that protect against impact, heat, moisture and electromagnetic fields in accordance with the manufacturer's storage and transport specifications.
- Minimum standard: All physical transfers use opaque packaging at minimum. Transparent bags, open trays or unsealed envelopes are not used for classified material.
5.4 Courier & Transport Service Management
- Authorised courier list: A management-approved list of authorised and reliable courier services is maintained. Couriers are evaluated based on security capabilities, track record, insurance coverage and relevant certifications. The list is reviewed annually and after any courier-related security incident.
- Classification-based service tiers: The approved courier list differentiates by classification level. Standard postal or parcel services are acceptable for INTERNAL material. CONFIDENTIAL and STRICTLY CONFIDENTIAL material is transported only by courier services that offer tracked, signed-for and insured delivery with defined chain-of-custody procedures.
- Courier identification standards: Courier personnel identify themselves upon pickup and delivery with a valid photo ID and company credentials. For STRICTLY CONFIDENTIAL transfers, a pre-shared reference number is additionally required for verification.
- Verification procedures: Personnel at pickup and delivery points verify the courier's identity by checking photo ID against the pre-registered name, confirming the courier company affiliation and validating the shipment reference number. The courier's identity details are recorded in the dispatch/receipt log.
5.5 Tamper Protection
Tamper-evident or tamper-resistant controls are applied based on the classification level of the information being transported:
- INTERNAL: Standard sealed envelopes or packages are sufficient.
- CONFIDENTIAL: Tamper-evident seals (security tape, serialised tamper-evident bags) are applied. The seal number is recorded in the transfer log and communicated to the recipient via a separate channel.
- STRICTLY CONFIDENTIAL: Tamper-resistant containers (locked bags, security cases) are used in addition to tamper-evident seals. The container and seal are inspected by the recipient upon arrival; any signs of tampering are immediately reported to the Information Security Officer.
5.6 Physical Transfer Logging
A standardised log is maintained for all physical information transfers, capturing:
- Content description (what is being transferred — document title, media type, number of items)
- Classification level of the transferred information
- Protection measures applied (encryption, tamper-evident seals with serial numbers, packaging type)
- List of authorised recipients
- Handover time to the courier or transit custodian
- Receipt confirmation time at the destination
- Identity of persons involved at each stage (sender, courier, recipient)
The physical transfer log template is available on the intranet. Completed logs are retained in accordance with the retention schedule.
6. Verbal Transfer
Verbal transfer includes face-to-face conversations, telephone calls, video conferences and voice messages. While verbal communication leaves fewer traces than electronic or physical transfer, it is equally subject to interception and eavesdropping risks.
6.1 Conversation Security
- Location awareness: Confidential verbal conversations are not conducted in public places (restaurants, trains, airport lounges, open co-working spaces) or over insecure communication channels (unencrypted phone lines, consumer video conferencing without end-to-end encryption). If a sensitive discussion is necessary while travelling, it takes place in a private setting (closed hotel room, booked meeting room) using the organisation's approved encrypted communication tools.
- Participant screening: Before discussing information classified CONFIDENTIAL or above, the meeting organiser verifies that all participants (in person and remote) are authorised to receive information at that classification level. Uninvited or unverified participants are asked to leave before classified information is discussed.
- Room controls: Sensitive conversations take place in rooms with appropriate physical controls — closed doors, adequate sound insulation, no visibility of screens or whiteboards from outside. For STRICTLY CONFIDENTIAL discussions, designated secure meeting rooms with verified soundproofing are used. Mobile phones of non-essential attendees are left outside or placed in a signal-blocking container where the sensitivity warrants it.
6.2 Voicemail & Answering Machines
Messages containing classified information are not left on voicemail systems or answering machines. These systems can be:
- Replayed by unauthorised persons who share access to the mailbox
- Stored on shared or communal systems with insufficient access controls
- Accidentally recorded on the wrong mailbox due to misdialling
If the intended recipient is unavailable, the caller leaves a non-sensitive callback request (name, phone number, "please call back regarding project X") without disclosing classified content. The substantive discussion takes place when direct voice contact is established.
6.3 Classification Disclaimer
Sensitive conversations begin with a brief classification disclaimer so that all participants understand the handling requirements:
- The speaker announces the classification level of the information about to be discussed (e.g. "The following information is classified CONFIDENTIAL and is shared on a need-to-know basis").
- If the conversation covers topics at different classification levels, the speaker announces the transition when moving to a higher level.
- At the end of the conversation, the speaker reminds participants of any handling restrictions (e.g. "Please do not discuss these details outside this group").
7. Third-Party Transfer Agreements
Where [YOUR_ORGANISATION_NAME] regularly exchanges information with external parties (customers, suppliers, partners, regulators), formal transfer agreements are established and maintained:
- Agreement scope: The agreement specifies the types of information exchanged, the classification levels involved, the permitted transfer channels, the protection measures required and the responsibilities of each party.
- Recipient authentication: The agreement defines how recipients authenticate themselves before receiving classified information (e.g. pre-shared reference numbers, digital certificates, designated contact persons).
- Confidentiality clauses: For CONFIDENTIAL or higher information, a non-disclosure agreement (NDA) or equivalent confidentiality clause is signed before the first transfer. The NDA specifies how the receiving party stores, protects and eventually returns or destroys the information.
- Incident reporting: The agreement includes a mutual obligation to report security incidents affecting transferred information within an agreed timeframe.
- Review: Transfer agreements are reviewed annually and updated when the scope of information exchange changes, when security requirements change or after a security incident involving the third party.
8. Roles & Responsibilities
- Top Management: Approves this policy and third-party transfer agreements that involve STRICTLY CONFIDENTIAL information. Ensures adequate resources for secure transfer infrastructure.
- Information Security Officer (ISO): Maintains this policy, defines transfer security controls, reviews transfer agreements, investigates transfer-related incidents and maintains the transfer contact directory.
- IT Department: Operates and monitors transfer infrastructure (email gateways, file transfer services, DLP systems, VPN). Maintains the approved service register. Implements technical controls (auto-forwarding blocks, malware scanning, encryption enforcement). Evaluates new transfer services for security and compatibility.
- Data Protection Officer (DPO): Reviews transfer arrangements involving personal data for GDPR compliance. Advises on cross-border transfer mechanisms and data processing agreements with transfer service providers.
- Information Owners / Asset Owners: Authorise transfers of their information, maintain authorised recipient lists, define classification-specific handling requirements and approve third-party transfer agreements for their information assets.
- Facility Management / Mail Room: Operates physical transfer processes (dispatch, receipt, courier coordination). Verifies courier identification. Maintains the physical transfer log.
- All Personnel: Follow this policy when transferring information by any means. Verify recipient authorisation and transfer channel appropriateness. Report misdirected, lost or tampered transfers immediately.
9. Review & Maintenance
This policy is reviewed:
- At least annually as part of the ISMS management review cycle.
- When new transfer technologies or services are introduced (e.g. new collaboration platform, new file-sharing service, new courier provider).
- After significant security incidents involving information transfer (data leakage, misdirected communication, courier loss).
- When changes to applicable law affect transfer requirements (e.g. new cross-border data transfer rules, updated electronic signature regulations, sector-specific transfer obligations).
- When the organisation's classification scheme or labelling procedures are materially updated.
Sources
- ISO/IEC 27002:2022 clause 5.14 — Information transfer
- BSI IT-Grundschutz CON.9 — Information exchange
- GDPR Chapter V, Art. 44–49 — Third-country transfers