(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Mobile Geräte wie Smartphones, Tablets und hybride Endgeräte ermöglichen flexible und ortsunabhängige Arbeit, erhöhen jedoch gleichzeitig das Risiko unbefugter Zugriffe, Datenverluste oder Kompromittierungen. Eine klare, verbindliche Richtlinie für Mobilgeräte stellt sicher, dass der mobile Zugriff auf Unternehmensinformationen kontrolliert, sicher und nachvollziehbar erfolgt. Sie bildet die Grundlage für organisatorische, technische und verhaltensbasierte Schutzmaßnahmen im Umgang mit mobilen Endgeräten.

Zweck des Controls

A 8.1-1 stellt sicher, dass mobile Geräte innerhalb der Organisation nur unter klar definierten Sicherheitsanforderungen genutzt werden. Die Richtlinie legt fest, welche Geräte zugelassen sind, wie sie konfiguriert werden müssen, welche Schutzmaßnahmen verpflichtend sind und wie Risiken aus mobiler Nutzung minimiert werden. Dadurch wird die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen auch außerhalb gesicherter Umgebungen gewährleistet.

Anforderungen und Maßnahmen

1. Geltungsbereich und Zielsetzung der Richtlinie

Die Richtlinie muss eindeutig definieren:

• welche Gerätetypen umfasst sind (Smartphones, Tablets, 2-in-1-Devices, Wearables, IoT-Geräte mit Unternehmensbezug),
• welche Nutzungsszenarien gelten (Dienstgeräte, BYOD, COPE – Corporate Owned Personally Enabled),
• welcher Informations- und Netzwerkzugriff zulässig ist,
• welche Risiken adressiert werden sollen.

Durch klare Abgrenzung wird die Richtlinie verständlich und anwendbar.

2. Zulässige Gerätetypen und Betriebssysteme

Die Richtlinie muss festlegen:

• welche Betriebssysteme oder Geräteplattformen zugelassen sind,
• Mindestanforderungen an Versionen, Sicherheitsfeatures und Supportstatus,
• Vorgaben für Jailbreak- oder Root-Erkennung und deren Konsequenzen,
• Anforderungen an Herstellerupdates und Patching.

Damit wird verhindert, dass unsichere oder nicht unterstützte Geräte in den Unternehmenskontext gelangen.

3. Sicherheitskonfiguration und Hardening von Mobilgeräten

Alle zugelassenen Mobilgeräte müssen standardisiert konfiguriert sein:

• Aktivierung einer Gerätesperre mit starkem Passwort, PIN oder biometrischem Verfahren,
• Verschlüsselung des Gerätespeichers,
• Aktivierung sicherer Boot-Mechanismen,
• Deaktivierung unsicherer Schnittstellen oder Funktionen (z. B. unsichere Bluetooth-Profile),
• Kontrolle über App-Installationen (nur signierte oder aus genehmigten Stores).

Diese Maßnahmen schaffen die technische Basis für sicheren Betrieb.

4. Verwendung eines Mobile-Device-Management-Systems (MDM)

Die Richtlinie sollte den Einsatz zentraler Verwaltungssysteme vorgeben:

• Registrierung aller dienstlich genutzten Mobilgeräte im MDM,
• Erzwingen sicherheitsrelevanter Konfigurationen und Compliance-Checks,
• zentrale Verwaltung von Updates, Richtlinien und Zugriffsrechten,
• Fernsperrung oder Remote Wipe bei Verlust, Diebstahl oder Kompromittierung,
• Protokollierung sicherheitsrelevanter Ereignisse.

MDM-Systeme ermöglichen die wirksame Durchsetzung der Richtlinie.

5. Trennung privater und geschäftlicher Daten (bei BYOD oder COPE)

Die Richtlinie muss die strikte Trennung von Organisationsdaten und persönlichen Daten sicherstellen:

• Containerisierung oder Dual-Persona-Anwendungen,
• Verbot der Nutzung privater Cloud-Dienste für Unternehmensdaten,
• Beschränkung von Copy-Paste zwischen privaten und geschäftlichen Apps,
• transparente Kommunikation über Datenzugriffe des MDM (Datenschutz).

So bleiben Unternehmensdaten geschützt, ohne in die Privatsphäre der Nutzenden einzugreifen.

6. Zugriff auf Unternehmensressourcen

Die Richtlinie muss Vorgaben für den sicheren Zugriff auf interne Systeme definieren:

• verpflichtender Einsatz von Multi-Faktor-Authentifizierung (MFA),
• Nutzung abgesicherter Verbindungen (VPN, Zero-Trust-Zugänge),
• Einschränkungen für Hochrisiko-Netzwerke (öffentliche WLANs),
• automatische Blockierung nicht konformer Geräte.

Damit wird verhindert, dass kompromittierte oder unsichere Geräte Unternehmensdaten gefährden.

7. Umgang mit Daten und Anwendungen

Die Richtlinie muss klar regeln:

• welche Apps installiert werden dürfen oder verboten sind,
• Nutzung von sicheren Mail- und Kalender-Clients,
• Verschlüsselung und sichere Speicherung sensibler Dateien,
• Vorgaben für Datenfreigaben (Bluetooth, AirDrop, Filesharing),
• Löschregeln für temporäre Dateien und Caches.

So wird der Schutz sensibler Informationen auch im mobilen Kontext sichergestellt.

8. Physische Sicherheit mobiler Geräte

Da Mobilgeräte leicht entwendet oder verloren gehen:

• dürfen Geräte nicht unbeaufsichtigt in öffentlichen Bereichen gelassen werden,
• sind physische Sicherungsmaßnahmen (Transporttaschen, Kabelschlösser bei Tablets) zu nutzen,
• müssen Verlust oder Diebstahl unverzüglich gemeldet werden,
• wird eine sofortige Remote-Sperrung veranlasst.

Die physische Sicherheit ist ein wesentlicher Bestandteil der Gesamtabsicherung.

9. Meldepflichten und Incident Management

Die Richtlinie muss sicherstellen, dass Sicherheitsvorfälle im Zusammenhang mit Mobilgeräten korrekt behandelt werden:

• unverzügliche Meldung von Verlust, Diebstahl, Fehlverhalten von Apps oder Malwareverdacht,
• automatische Maßnahmen des MDM bei Abweichungen,
• Integration in das Incident-Management-Verfahren nach A 5.24/5.25,
• Dokumentation und Bewertung des Vorfalls.

Dies ermöglicht schnelles Handeln und minimiert Schäden.

10. Schulung und Sensibilisierung der Nutzenden

Eine effektive Richtlinie braucht ein angemessenes Bewusstsein:

• Schulungen zu sicherem Verhalten in mobilen Arbeitsumgebungen,
• Hinweise zu Risiken (öffentliche WLANs, Shoulder Surfing, Social Engineering),
• klare Anleitungen für Sicherung, Updates und Meldeprozesse,
• regelmäßige Awareness-Kampagnen.

Das Verhalten der Nutzenden ist entscheidend für die Sicherheit.

Zusammenfassung

A 8.1-1 verlangt die Etablierung einer verbindlichen Richtlinie für Mobilgeräte. Diese muss festlegen, welche Geräte zugelassen sind, wie sie konfiguriert werden, welche Sicherheitsmaßnahmen verpflichtend sind und wie mobile Zugriffe auf Unternehmensdaten abgesichert werden. Durch klare Regeln, MDM-Kontrollen, technische Maßnahmen und Sensibilisierung wird gewährleistet, dass mobile Arbeitsformen sicher und kontrolliert stattfinden.