Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk; Anlagensicherheit; Information/Kommunikation

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 30.7.2014
-CIO-02850/0110-0003 -

Bezug ¹⁷ : Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -

1. Gegenstand und Geltungsbereich ¹⁷

Diese Informationssicherheitsrichtlinie über die Nutzung des E-Mail-Dienstes (ISRL-E-Mail-Nutzung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) -Bezugserlass -in Form von Mindestanforderungen die Grundsätze der Nutzung des E-Mail-Dienstes in der niedersächsischen Landesverwaltung.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit (Nummern 1.1 bis 1.3 des Bezugserlasses).

2. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister oder Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

3. Umsetzung

3.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 5) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

3.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und umsetzbar sind.

3.3 Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

3.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

3.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 5) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständigen Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

5. Sicherheitsanforderungen

5.1 Allgemeines

5.1.1 Die Behördenleitung regelt, wer den E-Mail-Dienst für welche Zwecke nutzen darf und veranlasst die Sensibilisierung der Anwenderinnen und Anwender für Bedrohungen der Informationssicherheit durch die Nutzung des E-Mail-Dienstes.

5.1.2 Die Behördenleitung legt fest, ob und unter welchen Bedingungen ein Zugriff auf E-Mails über ein Web-Portal erfolgen darf. Für den Zugriff aus dem Internet sind eine Risikoanalyse zu erstellen, das Ergebnis aktenkundig zu machen und das Einvernehmen mit dem für die zentrale Steuerung der IT zuständigen Ministerium herzustellen.

5.1.3 Die Behördenleitung regelt, wie mit dem E-Mail-Postfach von ausgeschiedenen und aus anderen Gründen nicht verfügbaren Anwenderinnen und Anwendern umzugehen ist.

5.2 E-Mail-Server

5.2.1 Der E-Mail-Server soll in geeigneter Weise mit dem amtlichen Zeitnormal synchronisiert werden.

5.2.2 Der E-Mail-Server ist in geeigneter Weise vor Missbrauch, insbesondere vor unverlangten E-Mails (sog. Spam-E-Mails), vor der fremdbestimmten Nutzung (z.B. Spam-Relay) und vor Beeinträchtigungen seiner Verfügbarkeit (z.B. Denialof-Service-Angriffen) zu schützen.

5.2.3 Der E-Mail-Server hat in geeigneter Weise auf übermittelte E-Mails mit schädlichen Inhalten (z.B. Schadsoftware, Phishing) zu reagieren.

5.3 E-Mail-Clients

Die E-Mail-Clients sind so zu konfigurieren, dass

• das Öffnen der Dateianhänge von eingehenden E-Mails und das Ausführen des in Dateianhängen enthaltenen Programmcodes sowie
• der Download von Bildern oder von anderen externen Inhalten bei HTML-formatierten Posteingängen

nicht automatisch, sondern erst nach ausdrücklicher Bestätigung durch die Anwenderin oder den Anwender erfolgt.

5.4 Posteingänge ¹⁷

Die Behördenleitung regelt, wie mit eingehenden E-Mails zu verfahren ist, die ein Bedrohungspotenzial erkennen lassen.

5.5 Postausgänge

5.5.1 ¹⁷ Personenbezogene Daten der Schutzstufen C, D und E gemäß Schutzstufenkonzept der oder des Landesbeauftragten für den Datenschutz (http://www.lfd.niedersachsen.de) sowie Informationen der Schutzkategorien "hoch" und "sehr hoch" gemäß der ISRL-Konzeption dürfen nur dann per E-Mail übertragen werden, wenn die Vertraulichkeit durch eine dem jeweiligen Schutzbedarf angemessene Verschlüsselungsmaßnahme bei der Übertragung gewährleistet ist.

5.5.2 Die Behördenleitung soll regeln, in welchen Fällen Dateianhänge von Postausgängen in ein nicht ohne Weiteres veränderbares Format (z.B.".pdf") konvertiert werden sollen und unter welchen Rahmenbedingungen Dateianhänge mit ausführbarem Programmcode versandt werden dürfen.

5.6 Umgang mit verschlüsselten E-Mails

5.6.1 Die Behördenleitung hat den Umgang mit verschlüsselt und/oder signiert eingehenden E-Mails zu regeln und stellt dabei sicher, dass geschäftsrelevante E-Mails dauerhaft lesbar und die Ergebnisse der Signaturprüfung solange wie erforderlich zugänglich sind.

5.6.2 Die Anwenderinnen und Anwender sind darauf hinzuweisen, dass die Übermittlung von Geheimnissen (z.B. Passwörter oder Entschlüsselungsschlüssel) an die Empfängerin oder den Empfänger von vertraulichen, verschlüsselten Dateianhängen in der betroffenen E-Mail zu unterbleiben hat.

5.7 Umgang mit Postfächern außerhalb des Landesnetzes ¹⁷

5.7.1 ¹⁷ Die automatische Weiterleitung von E-Mails auf Postfächer außerhalb des Landesnetzes ist unzulässig.

5.7.2 ¹⁷ Der dienstliche E-Mail-Verkehr mit Dritten über private E-Mail-Adressen ist den Anwenderinnen und Anwendern zu untersagen. Die Behördenleitung hat in den Ausnahmefällen, in denen sie den Anwenderinnen und Anwendern die sonstige Nutzung privater E-Mail-Adressen zu dienstlichen Zwecken generell oder im Einzelfall erlaubt, erhöhte Sorgfaltspflichten (insbesondere Dokumentations- und Vertraulichkeitspflichten) aufzuerlegen. In diesen Fällen finden die Regelungen der Nummer 5.7 Sätze 2 bis 4 der ISRL-IT-Nutzung keine Anwendung.

6. Schlussbestimmung ¹⁷

Dieser Gem. RdErl. tritt am 01.08.2014 in Kraft und mit Ablauf des 31.12.2021 außer Kraft.

.

1. Gegenstand und Geltungsbereich

Diese Dienstanweisung regelt die Grundsätze der dienstlichen Nutzung des E-Mail-Dienstes durch die Beschäftigten. Sie ergänzt die Dienstanweisung über die Nutzung von Informationstechnik durch die Anwenderinnen und Anwender in der jeweils geltenden Fassung.

Diese Dienstanweisung gilt für alle Beschäftigten der [ Behörde].

2. Eigenverantwortung

Die Beschäftigten sind selbst für den sicheren und rechtmäßigen Einsatz des E-Mail-Dienstes verantwortlich, soweit sie hierauf Einfluss nehmen können. Es sind die einschlägigen Gesetze sowie die im Verkehr erforderliche Sorgfalt zu beachten.

3. Grundsätze der Nutzung von E-Mails

E-Mails sind eine in [ Behörde] etablierte Form der Kommunikation, die in Hinblick auf die aktenmäßige Bearbeitung von Verwaltungsvorgängen grundsätzlich keine wesentlichen Besonderheiten aufweist (z.B. Beteiligung von Vorgesetzten, Veraktung). In den Arbeitsabläufen sind [gemäß § X GO (z.B. § 18 Abs. 1 GGO)] elektronische Verfahren soweit wie möglich zu nutzen.

3.1 Bearbeitung von Eingängen

3.1.1 Per E-Mail eingehende Dokumente sind Eingänge nach [ § X GO (z.B. § 17 GGO)] und gemäß den Vorgaben der GO zu bearbeiten.

3.1.2 Die Beschäftigten haben das E-Mail-Programm so einzustellen, dass Lesebestätigungen nicht automatisch versandt werden.

3.2 Bearbeitung von Ausgängen

3.2.1 Hinsichtlich der Betreffzeile, der Anrede, des Stils, der Grußformel, der Rechtschreibung und Grammatik gelten die gleichen Vorgaben wie für sonstigen behördlichen Schriftverkehr. Die Beschäftigten sehen von privaten Anmerkungen in dienstlichen E-Mails ab.

3.2.2 Betreffzeilen sollen aussagekräftig (z.B. Nennung des Aktenzeichens) gefasst sein. Lange, unübersichtliche Mail-Ketten infolge wiederholter Verwendung der Antwort- und Weiterleitenfunktion sollen vermieden werden. Die Beschäftigten verwenden bei der Antwort oder Weiterleitung grundsätzlich nur die erforderlichen Teile der Ursprungsnachricht.

3.2.3 Sind Empfängerinnen und Empfänger elektronisch erreichbar und haben sie den Zugang für die elektronische Kommunikation eröffnet, so sind Dokumente soweit wie möglich elektronisch zu versenden. Hierzu ist [in der Regel] das Portable Document Format (".pdf") zu nutzen. Von einer zusätzlichen Übersendung in Papierform ist abzusehen, denn das Verwaltungsverfahren ist grundsätzlich formfrei (vgl. § 1 Abs. 1 NVwVfG i. V. m. § 10 VwVfG). Soweit das Gesetz ausnahmsweise die Schriftform anordnet, nutzen die Beschäftigten [im Rahmen der gesetzlichen Möglichkeiten] [ Verfahren (z.B. die qualifizierte elektronische Signatur, De-Mail)].

3.2.4 Die Beschäftigten wählen die Adressatinnen und Adressaten einer E-Mail sorgfältig aus und stellen sicher, dass der jeweils genutzte E-Mail-Verteiler aktuell ist. Der Kreis der Empfängerinnen und Empfänger soll sich auf das erforderliche Maß beschränken. Für den Kreis der Adressatinnen und Adressaten unter "An" soll im E-Mail-Text ein konkretes Anliegen (z.B."mit der Bitte um Stellungnahme") formuliert sein. Empfängerinnen und Empfänger unter "Cc" erhalten eine E-Mail nur zur Information.

3.2.5 Bei neuen Vorgängen sind E-Mails an andere Organisationen oder Organisationseinheiten grundsätzlich an das Funktionspostfach (z.B. poststelle@organisation.niedersachsen.de oder referat99@organisation.niedersachsen.de) der jeweiligen Organisation oder Organisationseinheit zu adressieren.

3.2.6 Die Beschäftigen wahren, soweit geboten, die Anonymität der Empfängerinnen und Empfänger einer E-Mail untereinander dadurch, dass sie von der "Bcc"-Funktion Gebrauch machen.

3.2.7 Sofern der Inhalt einer E-Mail eine sofortige Bearbeitung erfordert, machen die Beschäftigten dies in der E-Mail kenntlich (z.B. Wichtigkeit "Hoch").

3.2.8 Lese- und Übermittlungsbestätigungen werden nur bei Bedarf angefordert.

3.2.9 Die Beschäftigten versenden keinen ausführbaren Programmcode.

3.2.10 Die Beschäftigten versenden keine Dateianhänge, soweit ein Zugriff auf das Dokument auf anderem Wege (z.B. gemeinsam genutzte Dokumentbibliotheken) eingerichtet ist. Kurze Informationen werden nach Möglichkeit in den Nachrichtentext aufgenommen und nicht als Anhang versandt.

3.3 Bearbeitung von Kenntnisnahmen und Mitzeichnungen

3.3.1 Die Bearbeitung von Kenntnisnahmen im Dienstverkehr ist soweit wie möglich per E-Mail vorzunehmen. Kenntnisnahmen vor Abgang sind durch Vermerk in der E-Mail zu zeichnen (z.B."Kenntnis genommen") und anschließend weiterzuleiten bzw. zurückzusenden. Bei sonstigen Kenntnisnahmen wird von einer Kenntnisnahme ausgegangen, wenn die E-Mail versandt worden ist.

3.3.2 Mitzeichnungen sind ebenfalls soweit wie möglich per E-Mail vorzunehmen. Sie erfolgen durch Vermerk in der E-Mail und anschließender Versendung (Weiterleitung) bis zurück an die Bearbeiterin oder den Bearbeiter

3.3.3 In der Betreffzeile einer E-Mail ist kenntlich zu machen, ob es sich beispielsweise um eine "Kenntnisnahme" oder "Mitzeichnung" handelt.

3.4 Dienstliche Nutzung

Der E-Mail-Dienst darf ausschließlich für dienstliche Zwecke verwendet werden. [ Alternativ: Die private Nutzung des E-Mail-Dienstes richtet sich nach der Dienstvereinbarung über die private Nutzung von dienstlichen IT-Systemen.]

3.5 Umgang mit Postfächern außerhalb des Landesnetzes ¹⁷

3.5.1 ¹⁷ Die automatische Weiterleitung von E-Mails auf Postfächer außerhalb des Landesnetzes ist unzulässig.

3.5.2 ¹⁷ Die Nutzung privater E-Mail-Adressen für dienstliche Zwecke ist unzulässig. (Alternativ: Der dienstliche E-Mail-Verkehr mit Dritten über private E-Mail-Adressen ist unzulässig. Die übrige Nutzung privater E-Mail-Adressen für innerdienstliche Zwecke ist zulässig, soweit die Dokumentationspflichten [sowie ...] beachtet werden. In diesen Fällen gelten erhöhte Sorgfaltspflichten, insbesondere hinsichtlich der Gewährleistung der Vertraulichkeit [sowie ...].)

4. Erreichbarkeit und Hinweispflichten

4.1 Prüfung des E-Mail-Eingangs

Die Beschäftigten prüfen regelmäßig [alternativ: im Abstand von ... ], ob neue E-Mails eingegangen sind.

4.2 Sicherstellung der Erreichbarkeit

4.2.1 Die Beschäftigten ermöglichen ihrer Abwesenheitsvertreterin oder ihrem Abwesenheitsvertreter die Einsicht in eingehende E-Mails, indem sie den oder die Posteingangsordner im E-Mail-Programm freigeben und den Lesezugriff ermöglichen.

4.2.2 Dies gilt nicht für Beschäftigte, deren Tätigkeit den Eingang vertraulicher E-Mails erwarten lässt (z.B. Mitglieder des Personalrats, Gleichstellungsbeauftragte und Vertrauenspersonen der Schwerbehinderten). Die in Satz 1 Genannten informieren die Absenderinnen und die Absender von E-Mails mittels des Abwesenheitsassistenten über [die voraussichtliche Dauer der Abwesenheit und] die Möglichkeiten, die Vertretung zu erreichen.

4.3 Verhalten bei Unzuständigkeit

Ist die oder der Beschäftigte, die oder der eine E-Mail empfangen hat, für die Bearbeitung nicht zuständig, leitet sie oder er die E-Mail an die zuständige Stelle im Haus weiter. Ist die Behörde insgesamt unzuständig, informiert die oder der Beschäftigte die Absenderin oder den Absender in der jeweils angemessenen Form.

4.4 Reaktion bei Formverstoß

Genügt eine E-Mail einem gesetzlichen Formerfordernis nicht, ist die Absenderin oder der Absender auf diesen Umstand unverzüglich hinzuweisen.

5. Aufbewahrung von E-Mails

Für die Vorgangsbearbeitung relevante E-Mails sind [elektronisch im Dokumentenmanagementsystem (z.B. Fabasoft eGov-Suite)/in Papierform] zu den Akten zu nehmen. E-Mails sind in [ Programm (z.B. MS Outlook)] schnellstmöglich zu löschen. [Programm (z.B. MS Outlook)] ist zur Aktenführung nicht geeignet und deshalb hierfür nicht zu verwenden.

6. Signatur

6.1 Die Beschäftigten versehen abgehende E-Mails mit einer Signatur nach folgendem Muster:

• Vorname und Nachname,
• Behörde,
• Organisationseinheit,
• postalische Anschrift,
• Telefonnummer,
• Faxnummer,
• E-Mail-Adresse,
• Homepage und
• [ggf. weitere Hinweise].

6.2 Sie nutzen dabei ausschließlich die Schriftart [ Schriftart] in der Schriftgröße [ Schriftgröße] und setzen den Namen der Behörde in Fettdruck. Unterhalb der Signatur verwenden die Beschäftigten keine individuellen Belehrungen [oder andere Hinweise] an die Empfängerin oder den Empfänger der E-Mail.

7. Informationssicherheit und Datenschutz

7.1 Verdächtige E-Mails

7.1.1 Die Beschäftigten prüfen die Gesamtumstände einer eingegangenen E-Mail, insbesondere die angegebene Absenderin oder den angegebenen Absender und den Inhalt der E-Mail, auf Plausibilität und wenden sich im Zweifel an [zuständige Stelle], bevor sie Inhalte (z.B. Bilder) nachladen, Dateianhänge öffnen oder Links anklicken. Spam-E-Mails sind unverzüglich zu löschen.

7.1.2 Eine besonders sorgfältige Prüfung ist bei E-Mails unbekannter oder zweifelhafter Herkunft erforderlich, denen

• Dateien mit der Endung ".pdf",
• komprimierte Dateien (z.B. mit den Endungen ". zip" oder ".rar"),
• Dateien, die Makros enthalten können (z.B. mit der Endung ".docx"), oder
• Dateien in unterschiedlichen Bilddateiformaten (z.B. mit den Endungen ".bmp", ".gif", ".jpg", ".jpeg", ".png", ".tif")

beigefügt sind.

7.1.3 Die Beschäftigten öffnen ohne Genehmigung der [zuständigen Stelle] keine Dateianhänge, die einen erkennbar ausführbaren Programmcode enthalten. Dies trifft insbesondere auf Dateien mit den Endungen ".bat", ".com", ".exe", ".scr", ".vbs" und ".wsh" zu.

7.2 Schutz der Vertraulichkeit beim Versand von E-Mails

7.2.1 ¹⁷ Personenbezogene Daten der Schutzstufen C, D und E gemäß Schutzstufenkonzept der oder des Landesbeauftragten für den Datenschutz (http://www.lfd.niedersachsen.de) und Daten der Schutzkategorie "hoch" und "sehr hoch" gemäß der ISRL-Konzeption dürfen nur dann elektronisch versandt werden, wenn die Vertraulichkeit der Informationen durch eine dem jeweiligen Schutzbedarf angemessene Verschlüsselung sichergestellt ist. Die Beschäftigen beachten zur Einhaltung des Grundsatzes nach Satz 1 folgende Maßgaben:

[ Beispiele für eine Konkretisierung abhängig von dem jeweiligen Ergebnis der Vorabkontrolle gemäß § 7 NDSG und der Sicherheitskonzeption gemäß der ISRL-Konzeption:

• Informationen der Schutzstufe [ Schutzstufe] oder der Schutzkategorie [ Schutzkategorie] können ohne weitere von den Beschäftigten zu veranlassende Sicherheitsmaßnahmen an Empfängerinnen und Empfänger innerhalb der Domäne [@organisation.niedersachsen.de] übertragen werden.
• Werden E-Mails an andere Empfängerinnen und Empfänger versandt oder werden Informationen der Schutzstufe [ Schutzstufe] oder der Schutzkategorie [ Schutzkategorie] übertragen, verschlüsseln die Beschäftigten entweder die E-Mail in ihrer Gesamtheit mittels [ Menüpunkt (z.B. in MS Outlook)] oder die E-Mail-Anhänge mittels [ Programm (z.B. 7-Zip)].
• Informationen der Schutzstufe(n) [ Schutzstufe(n)] oder der Schutzkategorie(n) [ Schutzkategorie(n)] dürfen nicht per E-Mail übertragen werden.]

7.2.2 Die Beschäftigten stellen im Fall von verschlüsselt versandten E-Mail-Anhängen sicher, dass Passwörter oder Entschlüsselungsschlüssel nicht in der betroffenen E-Mail selbst übertragen werden.

7.2.3 Für Verschlusssachen ist § 47 der Verschlusssachenanweisung (VS-Anweisung/VSA) für das Land Niedersachsen (Bek. des MI vom 30.11.1982, Nds. MBl. S. 2175, zuletzt geändert durch RdErl. des MI vom 17.11.1998, Nds. MBl. 1999 S. 22) in der jeweils geltenden Fassung zu beachten.

8. Verschlüsselte E-Mails, elektronische Signaturen

Eingehende verschlüsselte E-Mails sind unverzüglich zu entschlüsseln. Soweit eine eingehende elektronische Signatur nicht automatisiert verifiziert wird, ist die Signatur unverzüglich von den Beschäftigten mittels [ Menüpunkt (z.B. in MS Outlook)] zu verifizieren.

9. Inkrafttreten

Diese Dienstanweisung tritt am Tag nach ihrer Bekanntgabe in Kraft.

ENDE