A.5.14 — Informationsübertragung

Eine Mitarbeiterin sendet eine Excel-Datei mit 50.000 Kundendatensätzen als unverschlüsselten E-Mail-Anhang an einen externen Berater. Der Berater leitet die E-Mail an einen Kollegen weiter, der auf einem privaten Gmail-Konto arbeitet. Innerhalb von zwei Weiterleitungen hat die Datei die Kontrolle der Organisation vollständig verlassen. A.5.14 fordert Regeln, die dieses Szenario verhindern — für jeden Übertragungskanal.

Zweck: Sicherheit von Informationen bei der Übertragung innerhalb der Organisation und mit externen Parteien gewährleisten.
Wirkungsrichtung: Präventiv
Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Thema: Organisatorische Kontrolle
BSI-Bausteine: CON.9, CON.1, APP.1.2, APP.5.3, SYS.3.2.1, SYS.4.5, CON.7.A9, APP.5.3.A6, SYS.4.1.A5, SYS.4.1.A15
KPI: % der Informationsübertragungen, die über freigegebene und sichere Übertragungswege erfolgen

Responsible	ISB / (C)ISO
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, DSB, Abteilungsleitung, Facility Manager, HR, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, ISB, Rechtsberatung, Risikoverantwortliche, Lieferantenmanagement
Informed	Alle Beschäftigten, Asset-Eigentümer, Abteilungsleitung, IT-Leitung, ISB, Lieferantenmanagement, Geschäftsführung

Was verlangt die Norm?

Übertragungsregeln definieren. Für jede Kombination aus Klassifizierungsstufe und Übertragungskanal existieren dokumentierte Regeln.
Alle Kanäle abdecken. Elektronisch (E-Mail, Cloud, Messaging), physisch (Kurier, Post, USB) und mündlich (Meetings, Telefonate).
Vereinbarungen mit externen Parteien. Wenn Informationen an externe Parteien übertragen werden, regelt eine Vereinbarung (NDA, Vertrag) die Schutzverpflichtungen.
Technische Schutzmaßnahmen einsetzen. Verschlüsselung, sichere Filesharing-Dienste, DLP-Systeme — je nach Klassifizierung und Kanal.

In der Praxis

Freigegebene Übertragungswege definieren. Liste die erlaubten Dienste und Kanäle: zugelassener Cloud-Speicher, verschlüsselter E-Mail-Dienst, sicherer Filesharing-Dienst, VPN für Remote-Zugriff. Alles, was nicht auf der Liste steht, ist nicht erlaubt.

E-Mail-Verschlüsselung implementieren. Für vertrauliche und streng vertrauliche Informationen per E-Mail: S/MIME, PGP oder Gateway-Verschlüsselung. Für die meisten Organisationen ist eine Gateway-Lösung am praktikabelsten, da sie keine Aktion der Nutzenden erfordert.

USB und mobile Datenträger regulieren. Optionen: USB-Ports technisch sperren, nur verschlüsselte USB-Sticks zulassen oder mobile Datenträger vollständig verbieten. Die gewählte Lösung hängt von der Risikobereitschaft ab. Dokumentiere die Entscheidung.

Mündliche Übertragung adressieren. Keine vertraulichen Gespräche in Aufzügen, Kantinen oder öffentlichen Verkehrsmitteln. Bei Telefonaten mit sensiblem Inhalt: geschlossene Räume, keine Lautsprecherfunktion in Großraumbüros. Diese Regeln gehören in die Awareness-Schulung.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.14 typischerweise diese Nachweise:

Informationsübertragungsrichtlinie — Regeln für alle Kanäle und Klassifizierungsstufen (→ Informationstransfer im Starter Kit)
Handhabungsmatrix — Übersicht der Regeln pro Stufe und Kanal
Liste freigegebener Dienste — welche Übertragungswege sind zugelassen
Verschlüsselungskonfiguration — Nachweis implementierter Verschlüsselung
NDA/Vereinbarungen — Vertraulichkeitsvereinbarungen mit externen Empfängern

KPI

% der Informationsübertragungen, die über freigegebene und sichere Übertragungswege erfolgen

Gemessen über DLP-Berichte oder Stichproben. Ziel: über 95%. 100% ist unrealistisch, da mündliche Übertragung nicht vollständig kontrollierbar ist. Der KPI erfasst primär den elektronischen und physischen Kanal.

Ergänzende KPIs:

Anzahl der durch DLP blockierten unautorisierten Übertragungsversuche
Anteil der E-Mails mit vertraulichem Inhalt, die verschlüsselt versendet wurden
Anzahl der festgestellten Nutzungen nicht freigegebener Übertragungswege

BSI IT-Grundschutz

A.5.14 mappt auf ein breites Spektrum von BSI-Bausteinen:

CON.9 (Informationsaustausch) — regelt den sicheren Austausch von Informationen mit internen und externen Stellen.
CON.1 (Kryptokonzept) — definiert die Verschlüsselungsanforderungen für die Übertragung.
APP.5.3 (E-Mail) — spezifische Anforderungen an die sichere E-Mail-Kommunikation.
SYS.4.5 (Wechseldatenträger) — Regelungen für USB-Sticks und andere mobile Datenträger.
CON.7.A9 (Sichere Entsorgung) — sichere Handhabung von Datenträgern nach der Übertragung.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.14 — Informationsübertragung
ISO/IEC 27002:2022 Abschnitt 5.14 — Umsetzungshinweise
BSI IT-Grundschutz, CON.9 — Informationsaustausch

Häufig gestellte Fragen

Was fällt alles unter Informationsübertragung?

Alles: E-Mail, Cloud-Sharing, USB-Sticks, Kurierversand physischer Dokumente, mündliche Weitergabe in Meetings oder Telefonaten, Fax (ja, das gibt es noch), API-Schnittstellen zwischen Systemen. A.5.14 deckt jeden Kanal ab — elektronisch, physisch und mündlich.

Brauche ich für jeden Übertragungsweg eine eigene Regel?

Nicht pro Weg, aber pro Klassifizierungsstufe und Übertragungskanal. Eine Handhabungsmatrix (Stufe × Kanal = Regel) ist der effizienteste Ansatz. Beispiel: ‚Vertraulich + E-Mail = Verschlüsselung erforderlich'; ‚Intern + Cloud = freigegebener Dienst ausreichend'.

Wie sichere ich mündliche Informationsübertragung?

Sensibilisierung ist der Schlüssel. Regeln wie: keine vertraulichen Gespräche in öffentlichen Räumen, Hinweis auf Vertraulichkeit zu Beginn eines Meetings, keine Lautsprecher-Telefonate mit sensiblen Inhalten in Großraumbüros. Diese Regeln gehören in die Awareness-Schulung.