Mobile Endgeräte und Homeoffice nach ISO 27001: Das fordert Anhang 6.2

Annex A.6.2.1: Richtlinie zu Mobilgeräten

 Als Mobilgeräte gelten bspw. Laptops, Smartphones und Tablets, die von Mitarbeitern sowohl innerhalb des Büros als auch außerhalb (zum Beispiel zu Hause) verwendet werden. Sie stellen ein höheres Risiko dar als Desktop-Rechner, die ihren Platz auf dem Büroschreibtisch nie verlassen und per Netzwerkkabel mit Inter- und Intranet verbunden sind.

Hinzu kommen mitgebrachte Privatgeräte, wie das eigene Smartphone, auf dem Apps für den Business-Gebrauch installiert und geschäftliche E-Mails empfangen werden können (BYOD). 

Hacker nutzen bisweilen private Endgeräte, private E-Mail-Postfächer und mobile Endgeräte, die in öffentlichen WLAN-Netzen eingewählt sind, als Einfallstore. Denn hier sind die Schutzmechanismen eines Unternehmens leichter zu umgehen – IT-Sicherheitsmaßnahmen greifen u. U. nicht und Mitarbeiter sind weniger vorsichtig.  

Richtlinie für Mobilgeräte

Daher sollte Ihre Richtlinie für mobile Geräte Folgendes beinhalten:

• Erstellung einer Liste an genutzten mobilen Geräten (welche Mitarbeiten verwenden welche mobilen Endgeräte für ihre Arbeit)
• Anforderungen an den physischen Schutz (z. B., dass Arbeitslaptops über Nacht weggeschlossen werden müssen – auch im Homeoffice)
• Beschränkung der Softwareinstallation (z. B. über eine Liste mit geprüften, freigegebenen Apps)
• Anforderungen an Softwareversionen für mobile Geräte und an die Anwendung von Patches (also die Verpflichtung zu regelmäßigen Updates)
• Zugangskontrollen
• kryptographische Techniken (z. B. Pflicht zum Sperren von Mobilgeräten, sofern nicht in Benutzung)
• Schutz vor Malware (z. B. vorinstallierte Anti-Viren-Programme)
• Fernsperrung (z. B. von der Festplatte eines Laptops bei Diebstahl)
• Nutzung von Webdiensten und Webanwendungen (Einschränkung von Websites, die Mitarbeiter mit dem Gerät besuchen dürfen)
• Schritte beim Ausscheiden eines Mitarbeiters aus dem Unternehmen
• Verbindungseinschränkungen zu Informationsdiensten (gem. ISO 27002). 

Hier geht es zum Vergleich der ISO 27001 und ISO 27002. 

Schwieriger wird es beim Thema BYOD, denn hier geht es um die Regulierung von Geräten, die sich im Privatbesitz von Mitarbeitern befinden. Eine BYOD-Richtlinie brauchen Sie bereits, wenn Mitarbeiter sich mit ihren privaten Endgeräten im Unternehmens-WLAN einwählen können. Alternativ empfiehlt es sich, ein Gast-WLAN für Privatgeräte einzurichten.

Richtlinie für „Bring your own device“

Wichtig bei der BYOD-Richtlinie:

• Legen Sie fest, welche Unternehmensdaten auf privaten Geräten gespeichert werden dürfen (bzw. welche Daten als sensibel eingestuft und nur auf dem Geschäfts-Laptop / -Handy genutzt werden dürfen).
• Stellen Sie eine Liste an Business-Apps zusammen, die auf den eigenen Geräten genutzt werden können – und unter welchen Bedingungen (z. B. kann sich die Einrichtung eines „Containers“ anbieten, in dem Business-Anwendungen installiert werden können und der dem Unternehmen im Notfall Zugriff erlaubt).
• Entwickeln Sie Richtlinien und Verfahren zur Beilegung von Konflikten im Zusammenhang mit Eigentumsrechten, die sich aus der Verwendung von Geräten in Privatbesitz ergeben.
• Erklären Sie, was Mitarbeiter nach Ausscheiden aus dem Unternehmen tun müssen, um die Unternehmensdaten von ihren privaten Telefonen zu entfernen. Auch hier ist ein Container wieder hilfreich, der Ihnen einen einmaligen Zugriff zur Datenlöschung erlauben kann.

Für beide Richtlinien gilt: Machen Sie diese den Mitarbeitern zugänglich und dokumentieren Sie, welche Konsequenzen ein Regelverstoß nach sich zieht. 

Annex A.6.2.2: Telearbeit

Sobald Mitarbeiter ihre Arbeits-Laptops mit nach Hause nehmen können, gilt das als Telearbeit. Bei der Telearbeit arbeiten Mitarbeiter entweder zeitweise oder Vollzeit von außerhalb des Organisationsstandorts. Und Sie als Unternehmen müssen nach ISO 27001 entscheiden, wie diese Telearbeit aussieht und wie die Informationssicherheit auch von einem Heimarbeitsplatz aus gewährleistet werden kann.

Übrigens fallen auch externe Dienstleister wie Freelancer unter den Begriff des Telearbeiters und sollten in der Richtlinie erwähnt werden. 

In der Telearbeitsrichtlinie sollten folgende Punkte berücksichtigt werden:  

• Beschreibung der geplanten physische Telearbeitsumgebung für Mitarbeiter und deren physische Sicherheit (beispielweise könnten Sie definieren, dass Mitarbeiter, die mit besonders sensiblen Daten arbeiten, ein abschließbares Zimmer als Heimbüro einrichten müssen)
• Anforderungen an die Kommunikationssicherheit, unter Berücksichtigung der Notwendigkeit eines direkten Zugangs zu den internen Netzen der Organisation, der Sensibilität der über den Kontaktkanal zu beschaffenden und zu übermittelnden Informationen (z. B. Angaben zu einem VPN-Zugang)
• Einstufung des Risikos des unbefugten Zugriffs auf Informationen oder Ressourcen durch andere Personen, die die Einrichtungen nutzen, z. B. Familie und Freunde
• Nutzung von Heimnetzwerken und Anforderungen oder Einschränkungen für die Konfiguration des drahtlosen Netzwerkzugangs (z. B. Verbot zur Nutzung öffentlicher Netzwerke wie in der Bahn oder einem Café)
• Anforderungen an Malware-Schutz und Firewall

ISO 27001 Annex A.6.2: Wir helfen bei der Erstellung von Richtlinien

Vielleicht ist Ihnen bereits aufgefallen, dass die ISO 27001 sehr abstrakt formuliert ist und kaum konkrete Anforderungen und Handlungsempfehlungen enthält. Konkretere Umsetzungsempfehlungen finden sich in der ISO 27002, jedoch ist die Umsetzung mit branchenspezifischer Expertenberatung empfehlenswert.

Mit unserer „Informationssicherheit-as-a-Service“-Lösung unterstützen wir Sie bei der Einrichtung Ihres Informationssicherheits-Managementsystems (ISMS) und bei der Vorbereitung auf ein externes ISO 27001-Audit.

Buchen Sie Ihr kostenloses Erstgespräch und lernen Sie uns persönlich kennen: