Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

3L5 Informations- und Kommunikationssicherheitsplan

Facility Management: Empfangs- und Kontaktzentrum » Ausschreibung » Service-Eingangsvertrag » 3L5 Informations- und Kommunikationssicherheitsplan

Informations- und Kommunikationssicherheitsplan – Empfangs- und Concierge-Dienste

Informations- und Kommunikationssicherheitsplan – Empfangs- und Concierge-Dienste

| Document Title: | Informations- und Kommunikationssicherheitsplan – Empfangs- und Concierge-Dienste |

| Tender Reference No.: | ___________________________ |

| Projekt / Standort: | ___________________________ |

| Auftraggeber (Contracting Authority): | ___________________________ |

| Dienstleister (Bieter): | ___________________________ |

| Einreichungsdatum: | ___________________________ |

Einführung

Zweck dieses Informations- und Kommunikationssicherheitsplans ist es, ein umfassendes Konzept zum Schutz aller Informations- und Kommunikationssysteme im Empfangsbereich eines modernen Industriegebäudes darzulegen. Der Plan beschreibt, wie der Dienstleister vertrauliche Informationen sowie Kommunikationskanäle absichert, um Integrität, Vertraulichkeit und Verfügbarkeit sensibler Daten zu gewährleisten. Der Empfangs- und Concierge-Service umfasst dabei neben der persönlichen Besucherbetreuung auch die Verwaltung von Post- und Nachrichtenzustellungen sowie die Bedienung der Telefonanlage und weiterer Kommunikationssysteme.

Der Geltungsbereich dieses Plans erstreckt sich auf alle Kommunikationskanäle und -geräte des Empfangs- und Concierge-Services, insbesondere:

  • Empfangsrelevante E-Mail-Postfächer und Nachrichtendienste

  • Telefonanlagen, Voicemail- und Weiterleitungssysteme

  • Sonstige Kommunikationsschnittstellen wie Infoterminals oder Besuchermanagement-Software

Dieser Plan steht im Einklang mit den geltenden Datenschutz- und IT-Sicherheitsvorgaben. Insbesondere erfüllt er:

  • Gesetzliche Vorgaben: Er entspricht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

  • Interne Richtlinien: Alle Maßnahmen orientieren sich an den IT-Sicherheitsrichtlinien und Datenschutzvorgaben des Auftraggebers.

  • Vertraulichkeitsverpflichtung: Der Dienstleister verpflichtet sich, alle personenbezogenen und vertraulichen Daten gemäß den geltenden Vorschriften zu behandeln und vor unbefugtem Zugriff zu schützen.

Phishing- und Spam-Schutz (E-Mail-Postfächer) - Technische Schutzmaßnahmen

Die E-Mail-Systeme am Empfang werden durch eine mehrstufige Sicherheitsarchitektur geschützt.

Wesentliche technische Maßnahmen sind:

  • Aktualisierte Spam-Filter: Der Dienstleister setzt leistungsfähige Spam-Filter ein, die täglich automatisch aktualisiert werden, um neue Phishing- und Spam-Muster zu erfassen.

  • Anti-Phishing-Software: Spezialisierte Anti-Phishing-Tools sind in die E-Mail-Clients integriert. Sie analysieren eingehende Nachrichten auf Phishing-Merkmale (z. B. gefälschte Links oder verdächtige Anhänge).

  • Quarantäne-Postfach: Verdächtige E-Mails werden automatisch in einem separaten Quarantäne-Ordner abgelegt. Dieser Ordner wird regelmäßig geprüft und nur durch die IT-Sicherheitsverantwortlichen des Auftraggebers freigegeben oder gelöscht.

  • Sicherheitsupdates: Alle Kommunikationssysteme werden regelmäßig mit den neuesten Sicherheitsupdates versorgt, um bekannte Schwachstellen zu schließen.

Mitarbeitersensibilisierung

Der Empfangsmitarbeiter ist die erste Schutzinstanz.

Daher umfasst das Schulungs- und Sensibilisierungsprogramm:

  • Phishing-Erkennung: Mitarbeiter werden gezielt geschult, Merkmale von Phishing-E-Mails zu erkennen (z. B. gefälschte Absenderadressen, ungewöhnliche Links, Rechtschreibfehler oder unerwartete Aufforderungen).

  • Umgang mit verdächtigen Inhalten: Mitarbeiter dürfen keine Anhänge oder Links in zweifelhaften E-Mails öffnen. Im Unsicherheitsfall ist sofort die IT- oder Sicherheitsabteilung zu konsultieren.

  • Meldung von Vorfällen: Verdächtige E-Mails werden umgehend gemäß festgelegtem Verfahren dem IT-Sicherheitsbeauftragten gemeldet. Jeder gemeldete Vorfall wird dokumentiert, um eine schnelle Bewertung und Reaktion zu ermöglichen.

  • Sensibilisierungskampagnen: Durch regelmäßige Informationsrundschreiben, Aushänge oder kurze Inhouse-Trainings wird das Bewusstsein für aktuelle Phishing-Maschen aufrechterhalten.

Eskalationsprozess - Bei Auftreten eines Phishing-Verdachts sorgt der Dienstleister für umgehende Eskalation:

  • Weiterleitung an IT/Sicherheit: Verdächtige E-Mails werden sofort an die IT- oder Sicherheitsabteilung des Auftraggebers weitergeleitet.

  • Protokollierung: Alle Vorfälle werden im Kommunikationssicherheitsprotokoll erfasst (mit Datum, Uhrzeit, Absender, Betreff und kurzer Beschreibung des Verdachts).

  • Blockierung bösartiger Absender: Identifizierte schädliche E-Mail-Adressen oder Domains werden durch zentrale Filterregeln blockiert, um weitere Zustellungen zu verhindern.

  • Überprüfung und Nachverfolgung: Der Verlauf des Vorfalls wird im Protokoll nachverfolgt, bis eine abschließende Bewertung durch die Sicherheitsexperten erfolgt ist. Schwachstellen oder Lücken werden analysiert und behoben.

Technische Maßnahmen - Auch das Telefonsystem am Empfang ist mit speziellen Filtern ausgestattet, um unerwünschte Anrufe zu reduzieren:

  • Anruferkennung (Caller ID): Jeder eingehende Anruf wird automatisch identifiziert. Unbekannte oder als verdächtig erkannte Nummern werden gesondert markiert.

  • Spam- und Blacklist-Filter: Das Telefonnetz nutzt automatisierte Filter, die bekannte Spam- oder Werbeanrufer blockieren oder direkt auf die Mailbox umleiten.

  • Freigabe-Listen (Whitelists): Es werden Listen autorisierter Rufnummern (z. B. wichtiger Lieferanten, Dienstleister oder interner Leitungen) geführt. Anrufe von außerhalb dieser Listen können bei Bedarf blockiert oder zurückgewiesen werden.

  • Regelmäßige Aktualisierung: Listen mit blockierten Nummern und Whitelist-Einträgen werden fortlaufend gepflegt und bei wiederholtem Missbrauch aktualisiert.

Mitarbeiterverfahren - Das Empfangspersonal folgt definierten Verfahrensregeln beim Umgang mit Telefonanrufen:

  • Keine Datenauskunft: Am Telefon werden keine vertraulichen Firmen- oder Personendaten preisgegeben.

  • Standardisierte Antworten: Für häufige Fälle (z. B. unerwünschte Werbeanrufe) stehen vorgefertigte Gesprächsleitfäden zur Verfügung, mit denen das Personal höflich und sicher ablehnt.

  • Dokumentation hartnäckiger Anrufer: Wiederholt auftauchende Spam- oder Marketinganrufer werden mit Datum und Uhrzeit im Kommunikationsprotokoll notiert, um bei Bedarf weitere Maßnahmen zu ermöglichen.

  • Ansprechpartner für Unklarheiten: Treten Unsicherheiten auf, kann das Personal Rücksprache mit einem Vorgesetzten oder der IT-Sicherheitsstelle halten.

Eskalationsmaßnahmen - Stellt sich heraus, dass Spam- oder Werbeanrufe zunehmen, leitet der Dienstleister entsprechende Schritte ein:

  • Meldung an Facility Management: Der Empfang informiert das zuständige Facility-Management oder die Sicherheitsabteilung über die steigende Anzahl unerwünschter Anrufe.

  • Kontakt zum Telekom-Anbieter: Mit Zustimmung des Auftraggebers kann der Dienstleister den Telefonanbieter einschalten, um Nummern auf Netzwerkebene sperren zu lassen oder andere technische Lösungen zu prüfen.

  • Interne Analyse: Alle Maßnahmen und Kommunikationen werden dokumentiert. Die internen Sicherheitsverantwortlichen werten die Vorfälle aus, um langfristige Lösungen zu entwickeln.

Der Dienstleister führt ein lückenloses Kommunikationsprotokoll für sicherheitsrelevante Vorfälle:

  • Tägliche Protokollierung: Jede Meldung über verdächtige E-Mails oder Anrufe wird mit Datum, Uhrzeit, beteiligten Personen und allen ergriffenen Maßnahmen aufgezeichnet.

  • Maßnahmen- und Ergebnisaufzeichnung: Im Protokoll werden alle Reaktionen festgehalten (z. B. Quarantänelegung, Abweisung, Eskalation) sowie der jeweilige Bearbeitungsstatus.

  • Regelmäßige Auswertung: Der Sicherheits- oder Facility-Manager des Auftraggebers sichtet die Protokolle in festgelegten Intervallen (monatlich oder vierteljährlich) und beurteilt die Wirksamkeit der Schutzmaßnahmen.

  • Aufbewahrung: Protokolldaten werden revisionssicher abgelegt und sind für Audits oder Nachvollziehbarkeitsprüfungen jederzeit verfügbar.

Schulungs- und Sensibilisierungsprogramme - Der Dienstleister sorgt für eine fundierte Schulung des Personals:

  • Einarbeitungsschulung: Neue Empfangsmitarbeiter erhalten bei Dienstantritt eine umfassende Einführung in IT-Sicherheits- und Datenschutzthemen mit besonderem Schwerpunkt auf Phishing- und Spam-Prävention.

  • Jährliche Auffrischung: Mindestens einmal jährlich findet ein Auffrischungskurs oder Workshop statt, in dem aktuelle Bedrohungen und Best Practices besprochen werden.

  • Aktualisierungsrunden: Die IT- oder Sicherheitsabteilung informiert in regelmäßigen Abständen über neue Trends (z. B. neue Phishing-Methoden) und ergänzt die Schulungsunterlagen entsprechend.

  • Sensibilisierungsmaterial: Durch Plakate, Handouts oder Kurzmitteilungen im Empfangsbereich werden Mitarbeiter kontinuierlich an Sicherheitsgrundsätze erinnert.

Test- und Wartungsplan - Um die Wirksamkeit der Maßnahmen zu gewährleisten, werden folgende Überprüfungen durchgeführt:

  • Monatliche Tests: Einmal pro Monat wird die Funktion der Spam- und Phishing-Filter getestet (z. B. durch das Zusenden einer Test-Spam-E-Mail) und die Telefonfiltersysteme werden auf ihre Reaktion geprüft.

  • Vierteljährliche Kontrolle: Jede drei Monate werden die gesperrten Absenderadressen und Telefonnummern überprüft und die Filterlisten bei Bedarf aktualisiert.

  • Jährlicher Audit: Mindestens einmal jährlich führt der IT-Sicherheitsbeauftragte gemeinsam mit dem Dienstleister einen formellen Audit aller Kommunikationssicherheitssysteme durch. Gefundene Schwachstellen werden dokumentiert und Maßnahmen zur Behebung eingeleitet.

  • Software-Wartung: Alle eingesetzten Kommunikationssysteme (E-Mail-Server, Telefonanlage etc.) erhalten regelmäßig alle sicherheitsrelevanten Updates und Patches.

Der Dienstleister implementiert einen kontinuierlichen Verbesserungsprozess:

  • Mitarbeiter-Feedback: Rückmeldungen des Empfangspersonals zu neuen oder geänderten Phishing- bzw. Spam-Vorfällen werden aufgenommen und fließen in die Optimierung der Prozesse ein.

  • Anpassung von Richtlinien: Bei Veränderung der Bedrohungslage oder nach Vorfällen werden Richtlinien und Verfahren entsprechend überarbeitet.

  • Technologische Weiterentwicklung: Der Dienstleister beobachtet den Markt für Sicherheitstechnologien und integriert fortlaufend verbesserte Lösungen (z. B. KI-basierte Filter oder erweiterte Authentifizierungsverfahren).

  • Qualitätssicherung: Die Ergebnisse von Tests, Übungen und Audits werden analysiert, um das Sicherheitsniveau stetig anzuheben.

Schlussfolgerung

Der Dienstleister verpflichtet sich, die beschriebenen Maßnahmen konsequent umzusetzen und fortlaufend zu überprüfen. Durch die Kombination technischer Schutzvorkehrungen, klarer Verfahrensanweisungen und regelmäßiger Schulung wird sichergestellt, dass die Kommunikationssicherheit am Empfang den höchsten Standards entspricht. Alle Vorgaben des Auftraggebers bezüglich IT-Sicherheit und Datenschutz werden eingehalten. Damit garantiert der Empfangsdienst eine professionelle und vertrauenswürdige Betreuung von Besuchern sowie einen sicheren Umgang mit Informationen und Kommunikation im Empfangsbereich.

Unterschriften und Bestätigungen

Für den Dienstleister (Bieter):

| Firmenname: | ___________________________ |

| Bevollmächtigter Vertreter: | ___________________________ |

| Funktion/Position: | ___________________________ |

| Unterschrift: | ___________________________ |

| Datum: | ___________________________ |