Mobile Endgeräte und Homeoffice nach ISO 27001: Das fordert Anhang 6.2

Telearbeit – außerhalb der ISO 27001 eher bekannt als Homeoffice oder „Work from Home“ – und „Bring your own device“ (BYOD) sind zwei absolute Trend-Themen, mit denen sich so gut wie jedes Unternehmen spätestens seit der Coronapandemie auseinandersetzen muss. Denn Beruf und Privatleben verschwimmen zunehmend: Wer nur seinen Laptop und einen Internetzugang zum Arbeiten braucht, kann private Termine um den Job herumorganisieren – und andersrum. Das führt zu mehr Flexibilität für Angestellte sowie gesteigerter Produktivität und Job-Zufriedenheit. 

Doch wenn Mitarbeiter Zoom-Meetings beim Spaziergang vom privaten Smartphone aus erledigen, Arbeitslaptops ihr neues Heim zwischen Küchentisch und Café finden und plötzlich fast jeder Angestellte mit oder ohne VPN auf sensible Daten zugreifen muss, kommen IT-Security Teams (zurecht) ins Schwitzen.

Das Risiko, das von Telearbeit, mobilen Endgeräten außerhalb des Büros und BYOD ausgeht, findet auch in der ISO 27001 Erwähnung. Konkret fordert die Norm in Anhang A.6.2 die Erstellung von Richtlinien zu beiden Themen.

Annex A.6.2.1: Richtlinie zu Mobilgeräten

 Als Mobilgeräte gelten bspw. Laptops, Smartphones und Tablets, die von Mitarbeitern sowohl innerhalb des Büros als auch außerhalb (zum Beispiel zu Hause) verwendet werden. Sie stellen ein höheres Risiko dar als Desktop-Rechner, die ihren Platz auf dem Büroschreibtisch nie verlassen und per Netzwerkkabel mit Inter- und Intranet verbunden sind.

Hinzu kommen mitgebrachte Privatgeräte, wie das eigene Smartphone, auf dem Apps für den Business-Gebrauch installiert und geschäftliche E-Mails empfangen werden können (BYOD). 

Hacker nutzen bisweilen private Endgeräte, private E-Mail-Postfächer und mobile Endgeräte, die in öffentlichen WLAN-Netzen eingewählt sind, als Einfallstore. Denn hier sind die Schutzmechanismen eines Unternehmens leichter zu umgehen – IT-Sicherheitsmaßnahmen greifen u. U. nicht und Mitarbeiter sind weniger vorsichtig.  

Richtlinie für Mobilgeräte

Daher sollte Ihre Richtlinie für mobile Geräte Folgendes beinhalten:

  • Erstellung einer Liste an genutzten mobilen Geräten (welche Mitarbeiten verwenden welche mobilen Endgeräte für ihre Arbeit)
  • Anforderungen an den physischen Schutz (z. B., dass Arbeitslaptops über Nacht weggeschlossen werden müssen – auch im Homeoffice)
  • Beschränkung der Softwareinstallation (z. B. über eine Liste mit geprüften, freigegebenen Apps)
  • Anforderungen an Softwareversionen für mobile Geräte und an die Anwendung von Patches (also die Verpflichtung zu regelmäßigen Updates)
  • Zugangskontrollen
  • kryptographische Techniken (z. B. Pflicht zum Sperren von Mobilgeräten, sofern nicht in Benutzung)
  • Schutz vor Malware (z. B. vorinstallierte Anti-Viren-Programme)
  • Fernsperrung (z. B. von der Festplatte eines Laptops bei Diebstahl)
  • Nutzung von Webdiensten und Webanwendungen (Einschränkung von Websites, die Mitarbeiter mit dem Gerät besuchen dürfen)
  • Schritte beim Ausscheiden eines Mitarbeiters aus dem Unternehmen
  • Verbindungseinschränkungen zu Informationsdiensten (gem. ISO 27002). 

Hier geht es zum Vergleich der ISO 27001 und ISO 27002. 

Schwieriger wird es beim Thema BYOD, denn hier geht es um die Regulierung von Geräten, die sich im Privatbesitz von Mitarbeitern befinden. Eine BYOD-Richtlinie brauchen Sie bereits, wenn Mitarbeiter sich mit ihren privaten Endgeräten im Unternehmens-WLAN einwählen können. Alternativ empfiehlt es sich, ein Gast-WLAN für Privatgeräte einzurichten.

 

 

Richtlinie für „Bring your own device“

Wichtig bei der BYOD-Richtlinie:

  • Legen Sie fest, welche Unternehmensdaten auf privaten Geräten gespeichert werden dürfen (bzw. welche Daten als sensibel eingestuft und nur auf dem Geschäfts-Laptop / -Handy genutzt werden dürfen).
  • Stellen Sie eine Liste an Business-Apps zusammen, die auf den eigenen Geräten genutzt werden können – und unter welchen Bedingungen (z. B. kann sich die Einrichtung eines „Containers“ anbieten, in dem Business-Anwendungen installiert werden können und der dem Unternehmen im Notfall Zugriff erlaubt).
  • Entwickeln Sie Richtlinien und Verfahren zur Beilegung von Konflikten im Zusammenhang mit Eigentumsrechten, die sich aus der Verwendung von Geräten in Privatbesitz ergeben.
  • Erklären Sie, was Mitarbeiter nach Ausscheiden aus dem Unternehmen tun müssen, um die Unternehmensdaten von ihren privaten Telefonen zu entfernen. Auch hier ist ein Container wieder hilfreich, der Ihnen einen einmaligen Zugriff zur Datenlöschung erlauben kann.

Für beide Richtlinien gilt: Machen Sie diese den Mitarbeitern zugänglich und dokumentieren Sie, welche Konsequenzen ein Regelverstoß nach sich zieht. 

Annex A.6.2.2: Telearbeit

Sobald Mitarbeiter ihre Arbeits-Laptops mit nach Hause nehmen können, gilt das als Telearbeit. Bei der Telearbeit arbeiten Mitarbeiter entweder zeitweise oder Vollzeit von außerhalb des Organisationsstandorts. Und Sie als Unternehmen müssen nach ISO 27001 entscheiden, wie diese Telearbeit aussieht und wie die Informationssicherheit auch von einem Heimarbeitsplatz aus gewährleistet werden kann.

Übrigens fallen auch externe Dienstleister wie Freelancer unter den Begriff des Telearbeiters und sollten in der Richtlinie erwähnt werden. 

In der Telearbeitsrichtlinie sollten folgende Punkte berücksichtigt werden:  

  • Beschreibung der geplanten physische Telearbeitsumgebung für Mitarbeiter und deren physische Sicherheit (beispielweise könnten Sie definieren, dass Mitarbeiter, die mit besonders sensiblen Daten arbeiten, ein abschließbares Zimmer als Heimbüro einrichten müssen)
  • Anforderungen an die Kommunikationssicherheit, unter Berücksichtigung der Notwendigkeit eines direkten Zugangs zu den internen Netzen der Organisation, der Sensibilität der über den Kontaktkanal zu beschaffenden und zu übermittelnden Informationen (z. B. Angaben zu einem VPN-Zugang)
  • Einstufung des Risikos des unbefugten Zugriffs auf Informationen oder Ressourcen durch andere Personen, die die Einrichtungen nutzen, z. B. Familie und Freunde
  • Nutzung von Heimnetzwerken und Anforderungen oder Einschränkungen für die Konfiguration des drahtlosen Netzwerkzugangs (z. B. Verbot zur Nutzung öffentlicher Netzwerke wie in der Bahn oder einem Café)
  • Anforderungen an Malware-Schutz und Firewall

ISO 27001 Annex A.6.2: Wir helfen bei der Erstellung von Richtlinien

Vielleicht ist Ihnen bereits aufgefallen, dass die ISO 27001 sehr abstrakt formuliert ist und kaum konkrete Anforderungen und Handlungsempfehlungen enthält. Konkretere Umsetzungsempfehlungen finden sich in der ISO 27002, jedoch ist die Umsetzung mit branchenspezifischer Expertenberatung empfehlenswert.

Mit unserer „Informationssicherheit-as-a-Service“-Lösung unterstützen wir Sie bei der Einrichtung Ihres Informationssicherheits-Managementsystems (ISMS) und bei der Vorbereitung auf ein externes ISO 27001-Audit.

Buchen Sie Ihr kostenloses Erstgespräch und lernen Sie uns persönlich kennen: 

Kostenlose Erstberatung vereinbaren

 
 
ISo 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000