IT-RICHTLINIE Der Vorstand der Deutschen Narkolepsie-Gesellschaft e.v. (DNG) verabschiedet hiermit folgende Richtlinie zur Informationssicherheit als Bestandteil ihres ehrenamtlichen Wirkens für den Verein: Einleitung (1) Als gemeinnütziger Verein verarbeiten wir eine Vielzahl von (insbesondere personenbezogenen) Daten, um unsere Aufgaben und Pflichten gegenüber unseren Vereinsmitgliedern, Behörden, Vertragspartnern, der Öffentlichkeit und sonstigen Dritten zu erfüllen. Dabei verarbeiten wir auch Daten, die einen hohen Schutzbedarf aufweisen und die vor der unberechtigten Kenntnisnahme durch Dritte besonders zu schützen sind. Die Sicherheit der Informationsverarbeitung spielt daher eine Schlüsselrolle für unsere Aufgabenerfüllung. (2) Diese IT-Richtlinie soll die vom Verein getroffenen Maßnahmen zum Schutz von Daten vor unbefugter Kenntnisnahme durch Dritte oder nichtberechtigte Mitglieder unterstützen und darüber hinaus eine grundlegende Information für alle Mitglieder im Hinblick auf den Umgang mit Daten sein. Geltungsbereich (3) Diese Richtlinie gilt für den gesamten Verein, insbesondere aber für die Geschäftsstelle, die Arbeitsumgebung der Vorsitzenden und des Kassenwarts, und aller für den Verein stellvertretend agierenden Vorstandsmitglieder und sonstigen ehrenamtlich Tätigen. (4) Auch externe Personen, die regelmäßig für unseren Verein tätig sind, sind verpflichtet, sich an diese Richtlinie zu halten. (5) Der Verein wird entsprechende Vorkehrungen treffen, damit diese Richtlinie auch für die externen Personen verbindlichen Charakter hat. Einhaltung von Rechtsvorschriften (6) Bei der Benutzung der IT-Systeme und Anwendungen, beim E-Mail-Verkehr und bei der redaktionellen wie technischen Administration der Webseite unseres Vereins sind von den Mitgliedern, allen voran vom Vorstand, die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit einzuhalten. Sollten Mitglieder unsicher sein, ob und inwieweit Rechtsvorschriften oder interne Regelungen einzuhalten sind, haben sie sich an den Vorstand zur Klärung zu wenden. Sicherheitsorganisation a. Personelle Maßnahmen (7) Zur Erreichung der Informationssicherheitsziele wird durch den Vorstand ein IT- Sicherheits- beauftragter benannt. Von der Benennung ausgeschlossen sind Mitglieder
des Vorstandes sowie der Datenschutzbeauftragte. Unterstützt wird dieser bei Bedarf durch Dritte, die bestenfalls ebenfalls Mitglied des Vereins und ehrenamtlich tätig sind. (8) Verantwortlich für die Sicherheitsorganisation ist der geschäftsführende Vorstand. Der IT-Sicherheitsbeauftragte berät diesen bei der Planung und Umsetzung der Informationssicherheit im Verein. Er berichtet in seiner Funktion anlassbezogen, mindestens jedoch einmal jährlich unmittelbar dem Vorstand. (9) Der IT-Sicherheitsbeauftragte hat die Pflicht, sich regelmäßig weiterzubilden und zu informieren. Sofern dafür finanzielle Ressourcen benötigt werden, entscheidet darüber der Vorstand. (10) Für die Betreuung und Beratung rund um IT-Themen kann der Vorstand einen technischen Administrator zu Rate ziehen. (11) Der Umfang der technischen Administration wird in der Geschäftsordnung nebst Anlagen, und falls notwendig einem gesonderten Vertrag näher definiert. b. Organisatorische Maßnahmen Arbeitsplatz (12) Beim Verlassen des Arbeitsplatzes muss der jeweilige Mitglied sich abmelden, so dass vor der erneuten Nutzung des IT-Systems oder der Anwendung eine Authentifizierung (Benutzername/Passwort) erforderlich wird. (13) In Bereichen mit Publikumsverkehr sind die IT-Systeme insbesondere die Bildschirme so auszurichten, dass das Risiko der Kenntnisnahme durch Besucher oder Dritte nach Möglichkeit ausgeschlossen wird. IT-Geräte (14) Auf den vom Verein bereitgestellten IT-Geräten ist nur die eigens dafür frei gegebene Software zu betreiben. Die Installation von zusätzlicher Software wie auch die Ablage von persönlichen Daten ist generell untersagt oder ist im Einzelfall durch den IT- Sicherheitsbeauftragten zu genehmigen. (15) Die Mitglieder, die zum Arbeit ihre private Hardware einsetzen, verpflichten sich, dass die vom Verein festgelegten Regelungen zum Datenschutz nach allen Kräften eingehalten werden. Schulung (16) Der Vorstand trägt Sorge dafür, dass die an der Vereinsarbeit mitwirkenden Mitglieder die erforderlichen Anweisungen erhalten, die für den jeweiligen Umgang mit den IT- Systemen und Anwendungen (in erster Linie E-Mail-Zugriff und Pflege der Webseite) erforderlich sind. (17) Die Instruktionen werden schriftlich festgehalten, damit sie jederzeit nachvollziehbar und für neue ermächtigte Mitwirkende verfügbar sind. 2
c. Technische Maßnahmen Passwort-Gebrauch (18) Soweit technisch möglich sind alle IT-Systeme und Anwendungen erst nach hinreichender Authentifizierung des Nutzers zu nutzen. Die Authentifizierung erfolgt in der Regel durch die Verwendung der Kombination Benutzername/Passwort. (19) Aufgrund der Vielzahl von privat genutzten IT-Geräten wird auf eine zentrale Vergabe und Verwaltung der Passwörter verzichtet. Jeder Nutzer ist verpflichtet für die IT-Geräte, auf denen Vereinsinformationen und insb. personenbezogene Daten der Mitglieder verarbeitet werden, einen Zugangsschutz mit Passwort gem. der Empfehlungen Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist alphanumerisch (Buchstaben und Zahlen/Zeichen mit Sonderzeichen) zu gestalten. bis Passwörter sollten regelmäßig gewechselt werden. Bereits genutzte Passwörter dürfen nicht noch einmal wieder verwendet werden. einzurichten. Bei Fragen hilft ihnen der IT- Sicherheitsbeauftragte. (20) Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist alphanumerisch (Buchstaben und Zahlen/Zeichen mit Sonderzeichen) zu gestalten. (21) Die Passwörter sind so zu wählen, das sie nicht durch Dritte leicht zu erraten sind. Vorund Familiennamen oder Geburtstage sowie Namen von Angehörigen sind nicht zur Passwortwahl geeignet. Gleiches gilt für trivial angeordnete Zahlenkombinationen (z.b. 12345). (22) Passwörter sollten regelmäßig gewechselt werden. Bereits genutzte Passwörter dürfen nicht noch einmal wieder verwendet werden. Schutz vor Schad-Inhalten (23) Zum Schutz vor Schad-Inhalten ist auf allen IT-Geräten, auf denen Vereinsinformationen und insb. personenbezogene Daten der Mitglieder verarbeitet werden, ein Virenschutzprogramm einzusetzen. (24) Die Postfächer der vom Verein eingerichteten zentralen E-Mail-Konten werden zentral geschützt. Insbesondere eingehende E-Mail-Kommunikation wird durch diese Vorrichtung überprüft. Dabei kann es im Einzelfall auch zur Löschung von E-Mails und Dateianhängen kommen. (25) Für den Fall, dass ein Mitglied eine E-Mail mit einem unbekannten bzw. verdächtigen Dateianhang erhält, ist dieses verpflichtet sich unverzüglich an den IT- Sicherheitsbeauftragten zu wenden. Der unbekannte bzw. verdächtige Dateianhang soll erst nach Freigabe durch den Beauftragten geöffnet werden. Schutz vor unverlangter Werbung ( Spam ) (26) Zum Schutz vor unverlangter Werbung durch E-Mail werden die vom Verein eingerichteten zentralen E-Mail-Konten mit so genannten Spam-Filter versehen. Dadurch kann es dazu kommen, dass im Einzelfall E-Mails unterdrückt oder gelöscht werden. Die Mitglieder sollen Sorge dafür tragen, dass zum Beispiel beim erwünschten Erhalt von E- Mail-Newsletter die entsprechenden Absender-Adressen in ihr E-Mail-Adressbuch gespeichert werden, um fehlerhafte Klassifizierungen als Spam zu vermeiden.
Nutzung von E-Mail (27) Für die Mitglieder des Vorstands, für die Leiter der Selbsthilfegruppen und für weitere funktionale Rollen werden zentrale E-Mail-Konten im einheitlichen Format und gleichlautend der Domain der Webseite des Vereins (www.dng-ev.de) eingerichtet. (28) Soweit nicht ausdrücklich eine Zustimmung des Vereins erfolgt ist, darf die Nutzung dieser E-Mail-Adressen nur für den Verein betreffende Kommunikation genutzt werden. (29) Die Kommunikation im Sinne des Vereins über die zentral eingerichteten Mail-Konten des Vereins ist der über persönliche, private Postfächer bei anderen Anbietern vorzuziehen. (30) Alle E-Mail-Konten sind passwortgeschützt und müssen entweder online auf dem E-Mail- Server über die Webmail-Schnittstelle eingesehen oder über ein verschlüsseltes Protokoll abgerufen werden, damit die enthaltenen Informationen bei Sicherheitsproblemen Unbefugten nicht zugänglich sind. Der Versand von E-Mails erfolgt zu diesem Verfahren analog. Die nötige Software und Konfiguration ist mit dem IT- Sicherheitsbeauftragten abzustimmen. (31) Die genauen Bezeichnungen E-Mail-Adressen und Einzelheiten zum Gebrauch regelt die Geschäftsordnung nebst Anlagen. Internetpräsenz/Webseite (32) Im Impressum der Website der DNG e.v. wird der offiziell Verantwortliche benannt mit einem Verweis auf 5 des Telemediengesetzes (TMG). Generell ist dies der 1. Vorsitzende, da dieser auch als verantwortlich im Vereinsregister eingetragen ist. Der Vorstand kann über eine Delegierung der Verantwortung entscheiden. (33) Die Website der DNG e.v. wird bezüglich ihres Inhaltes und Aufbaus/Layouts durch den Vorstand und den technischen Administrator bestimmt. (34) Die Betreuung der Website obliegt den Mitgliedern des Vorstandes. Der in Im Impressum der Website der DNG e.v. wird der offiziell Verantwortliche benannt mit einem Verweis auf 5 des Telemediengesetzes (TMG). Generell ist dies der 1. Vorsitzende, da dieser auch als verantwortlich im Vereinsregister eingetragen ist. genannte Verantwortliche kann mit der Mehrheit des Vorstandstimmen weitere Personen (z.b. die Leiter der Selbsthilfegruppen, die Redaktion der Vereinszeitung, die Landesverbände) in die Betreuung der Webseite einbinden. Für diese Personen gelten die gleichen Bedingungen dieser IT-Richtlinie. (35) Auf den technischen Administrator Für die Betreuung und Beratung rund um IT- Themen kann der Vorstand einen technischen Administrator zu Rate ziehen. ist eine Vollmacht auszustellen, Änderungen an der Webseite in Absprache mit dem Vorstand durchführen zu dürfen. Ehrenamtliche Tätigkeit wird bevorzugt vor einer bezahlten Tätigkeit durch Vereins-Externe. (36) Die Bearbeitung der Website ist über persönliche, mit Passwort geschützten Accounts möglich. Der Account wird spätestens gelöscht oder deaktiviert, wenn der Vorstand dem Beauftragten die Vollmacht zur Bearbeitung entzieht. 4
Verhalten bei Sicherheitsvorfällen (37) Sollte ein Mitglied merken, dass der Schutz oder die Sicherheit von Daten in irgendeiner Weise gefährdet sein könnte, hat dieses sich unverzüglich an den IT- Sicherheitsbeauftragten und den Vorstand zu wenden. Dies gilt insbesondere dann, wenn die Gefährdung sich auf personenbezogene Daten bezieht. Verbesserung der Sicherheit (38) Diese IT-Richtinie sowie das IT-Sicherheitskonzept werden regelmäßig auf ihre Aktualität und Wirksamkeit geprüft und angepasst. Der Vorstand unterstützt die ständige Verbesserung des Sicherheitsniveaus. Alle Mitglieder des Vereins sind angehalten, mögliche Verbesserungen oder Schwachstellen an den IT- Sicherheitsbeauftragten weiterzugeben. Weisungen (39) Die mitwirkenden Mitglieder sind verpflichtet, den Weisungen des IT- Sicherheitsbeauftragten Folge zu leisten. Sofern Zweifel an der Richtigkeit oder der Sinnhaftigkeit von Weisungen des IT- Sicherheitsbeauftragten bestehen, kann der Vorstand eingebunden werden.