Die Mitarbeitenden von Behörden befinden sich aufgrund ihrer öffentlichen Tätigkeit in einer Schlüsselrolle innerhalb der IT-Sicherheitskette. Zur Erfüllung des gesetzlichen Auftrags ist es unumgänglich, dass sie schutzwürdige Daten speichern, bearbeiten und in bestimmten Fällen weitergeben. Zudem stehen sie täglich mit internen und externen Partnern via diverse Kommunikationskanäle in engem Kontakt. Aus den genannten Gründen ist es wichtig, auf eine sichere Kommunikation zu achten. Hier einige Tipps und Tools dazu:
Digitale Signatur
Das Ziel einer digital signierten E-Mail ist es, Informationen so vom Absender zum Empfänger zu senden, dass der Sender eindeutig feststellbar ist und niemand die E-Mail unbemerkt auf dem Weg vom Sender zum Empfänger manipulieren kann. Dies wird mit Hilfe von asymmetrischer Kryptographie erreicht. Die E-Mail-Signatur erfüllt somit das Bedürfnis nach Authentizität und Integrität.
Wichtig:
Verwechseln Sie die digitale Signatur nicht mit der E-Mail-Signatur bestehend aus zum Beispiel Ihrem Namen und Ihrer Webadresse, die Sie an eine E-Mail anhängen können.
E-Mail-Verschlüsselung
Eine digital signierte E-Mail stellt zwar die Integrität, jedoch nicht die Vertraulichkeit sicher; hierzu benötigt es die E-Mail-Verschlüsselung. Wir unterscheiden die Transportverschlüsselung und die End-zu-End-Verschlüsselung. Bei der Transportverschlüsselung ist der Weg zwischen den Kommunikationspartnern mit TLS (Transport Layer Security) verschlüsselt, die Nachricht selbst wird aber unverschlüsselt gespeichert. Bei der End-zu-End-Chiffrierung ist die Nachricht selbst verschlüsselt und wird in der Regel auch so gespeichert.
OpenPGP verfolgt ein dezentrales Vertrauensmodell, S/MIME verwendet Zertifikate einer anerkannten Certificate Authority (CA) und ist damit ein zentralisiertes Vertrauensmodell (die CA ist die Trusted Third Party).
Über unverschlüsselte Kanäle sollten grundsätzlich keine vertraulichen Informationen und Daten weitergegeben werden. Vertrauliche Informationen sollten konsequent verschlüsselt oder mit Briefpost an externe Stellen gesendet werden. Gibt es keine Möglichkeit eines verschlüsselten Austausches mit S/MIME oder OpenPGP kann eine Nachricht auch in ein verschlüsseltes ZIP-Archiv gepackt werden und ein sicheres Passwort dafür gewählt werden. Es muss beachtet werden, dass dabei eine AES (Advanced Encryption Standard )-Verschlüsselung verwendet wird und nicht die alte ZIP 2.0 Verschlüsselung. Die Zustellung des Passwortes muss danach auf sicherem Kanal erfolgen (z. B. via Threema oder Signal oder per Telefon).
Telefon
Für vertrauliche Telefongespräche empfiehlt das BACS eine End-zu-End-Verschlüsselung zwischen den Kommunikationspartnern. End-zu-End-Verschlüsselung bedeutet, dass Nachrichten beim Sender verschlüsselt und erst beim vorgesehenen Empfänger wieder entschlüsselt werden. Sie dürfen dazwischen niemals in unverschlüsselter Form vorliegen. Es können somit nur die Gesprächsteilnehmenden den Anruf entschlüsseln.
Achtung:
Achten Sie auf Mithörer und Mithörerinnen in Ihrer Umgebung während des Telefonierens
Vertrauliche Sitzungen
Bei vertraulichen Sitzungen sollten Mobiltelefone und Wearables grundsätzlich ausserhalb des Sitzungszimmers bleiben. Wurde ein Gerät zu einem früheren Zeitpunkt beispielsweise mit Malware infiziert oder ist eine bösartige App installiert, so können Kriminelle potentiell über die integrierte Kamera auf Ton und Bild der Sitzung zugreifen.
Arbeiten in der Öffentlichkeit
Heute haben Behördenmitarbeitende aufgrund von flexiblen Arbeitsmodellen die Möglichkeit, auch im ÖV, einem Restaurant oder einem Café zu arbeiten. Dies bringt sehr viel Vorteile für die Mitarbeitenden, birgt aber auch gewisse Risiken. Um schutzwürdige Daten vor neugierigen Blicken von Mitbürgerinnen und Mitbürgern zu schützen, empfiehlt das BACS, in der Öffentlichkeit eine Sichtschutzfolie für den Bildschirm zu verwenden (Alternative für hp-Geräte: Tasten «fn+F2»).
Letzte Änderung 01.01.2024
