Überprüfen Sie das Niveau der Klassifizierung der gefragten Informationen. Dann sollten Sie sich versichern, dass:

• der Antragsteller klar identifizierbar ist, entsprechend dem Kritikalitätsniveau der Information (handelt es sich um eine geheime oder vertrauliche Information, muss die Identität des Antragstellers mit absoluter Sicherheit bekannt sein);

• der Antragsteller überhaupt berechtigt ist, diese Information zu erfragen (Leitlinie zur Zugangskontrolle);

• die Kritikalität der Information den vorgeschlagenen Kommunikationskanal genehmigt (Leitlinie zur Klassifikation und Ressourcen-Management).

Werden diese drei Voraussetzungen erfüllt, kann die Weitergabe stattfinden. Wenn Sie selber zweifeln, sollten Sie sich weigern, Informationen preiszugeben.

Es ist sehr schwierig, Gewissheit über die Identität einer Person zu erlangen:

• Die Identität des Absenders einer E-Mail kann nur dann überprüft werden, wenn die Mail elektronisch unterschrieben wurde mittels Verfahren, das der nötigen Vertraulichkeitsstufe gerecht wird.

• Die Identität eines Anrufers am Telefon zu überprüfen, ist sehr schwierig. Die angezeigte Anrufernummer kann gefälscht sein ("caller id spoofing"). Es gibt auch Mittel um die Stimme zu verfälschen. Eine gewisse Sicherheit besteht darin, die angezeigte Nummer zurückzurufen, um sich zu vergewissern, dass sie auch wirklich zur vermeintlichen Person gehört.

Bevor Sie einer identifizierten Person Information übermitteln, vergewissern Sie sich, dass diese Person auch berechtigt ist, diese Infos zu erhalten. Dies hängt natürlich von der jeweiligen Situation ab, genau wie vom gesunden Menschenverstand, von der Sicherheitspolitik und weiteren Regeln, die innerhalb der Organisation ausgearbeitet wurden.

Bevor Sie eine Information übermitteln, sollten Sie sich vergewissern, dass der gewählte Kommunikationskanal dem Kritikalitätsniveau der zu übermittelnden Daten gerecht wird. Bedenken Sie, dass:

• E-Mails niemals vertraulich sind. Nur mithilfe von Kryptografie kann der Gebrauch von E-Mails in Erwägung gezogen werden.  Allerdings muss dann der Chiffrierschlüssel auf abgesicherte Art und Weise übermittelt werden (nicht per E-Mail!). Dafür sollte man auf geschützte Mittel zum Schlüssel-Tausch zurückgreifen oder aber auf die asymetrische Kryptografie. Sehen Sie auch E-Mail: Leitfaden und OpenPGP.

• Festnetz-Telefonanschlüsse sowie Handy-Netzwerke sind sicherer (sogar wenn ein Mithören in einigen Fällen möglich ist) und können zur Übermittlung von Passwörtern genutzt werden.