(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die aufgeräumte Arbeitsumgebung („Clean Desk“) und die Nutzung von Bildschirmsperren („Clear Screen“) dienen dem Schutz vertraulicher Informationen, unabhängig davon, ob sich diese in physischer oder digitaler Form am Arbeitsplatz befinden. Das Control soll verhindern, dass unbefugte Personen Einblick in Informationen erhalten oder dass Unterlagen, mobile Geräte oder andere Informationsträger unbeabsichtigt offengelegt oder entwendet werden.

Zweck des Controls

Ziel von A 7.7 ist es sicherzustellen, dass Informationen am Arbeitsplatz – ob in Papierform, auf Bildschirmen oder auf mobilen Geräten – jederzeit geschützt sind. Durch organisatorische Vorgaben und technische Maßnahmen soll das Risiko unbeabsichtigter Offenlegung reduziert werden. Das Control unterstützt sowohl den Schutz vor internen Bedrohungen (z. B. Mitarbeiter ohne Berechtigung) als auch vor externen Personen (z. B. Besucher, Reinigungskräfte, Dienstleister).

Anforderungen und Maßnahmen

1. Vorgaben zur aufgeräumten Arbeitsumgebung (Clean Desk Policy)

Organisationen müssen klare Regeln für eine aufgeräumte Arbeitsumgebung definieren und umsetzen. Diese beinhalten insbesondere:

• Entfernung von Dokumenten, Notizen, Akten, mobilen Datenträgern und anderen vertraulichen Informationen vom Arbeitsplatz beim Verlassen des Büros.
• Sichere Aufbewahrung sensibler Unterlagen in abschließbaren Schränken, Containern oder Tresoren.
• Geregelter Umgang mit Ausdruckergebnissen – insbesondere bei Druckern in Gemeinschaftsbereichen.
• Sensibilisierung der Mitarbeitenden für den Schutz physischer Informationswerte.

Das Ziel besteht darin, die unbeabsichtigte Offenlegung vertraulicher Informationen zu minimieren.

2. Schutz sensibler Informationen in offenen oder gemeinsam genutzten Bereichen

In Bereichen wie Großraumbüros, Besprechungsräumen, Empfangszonen oder flexiblen Arbeitsbereichen müssen zusätzliche Vorsichtsmaßnahmen gelten:

• Keine vertraulichen Unterlagen auf Tischen, Sideboards oder Whiteboards zurücklassen.
• Mobile Geräte (Laptops, Tablets, Smartphones) gegen Wegnahme sichern, z. B. durch Kabelschlösser oder sichere Verwahrung.
• Nutzung von Sichtschutzfolien an Arbeitsplätzen mit erhöhtem Publikumsverkehr.
• Klare Zuständigkeiten für das Abschließen von Räumen und Aufbewahrungseinrichtungen.

Diese Maßnahmen unterstützen die Wahrung der Vertraulichkeit selbst in Umgebungen mit hohem Personendurchlauf.

3. Nutzung von Bildschirmsperren (Clear Screen Policy)

Mitarbeiter müssen verpflichtet werden, ihre Endgeräte konsequent zu sperren, wenn sie den Arbeitsplatz verlassen – unabhängig davon, ob dies nur für kurze Zeit geschieht. Die Anforderungen umfassen:

• Automatische Aktivierung der Bildschirmsperre nach einer definierten Inaktivitätszeit (z. B. 5 bis 10 Minuten, abhängig vom Schutzbedarf).
• Manuelle Aktivierung durch die Mitarbeitenden bei Verlassen des Arbeitsplatzes.
• Passwort- oder biometriegesteuerte Reaktivierung.
• Berücksichtigung aller Endgeräte (PCs, Laptops, Tablets, mobile Geräte, Verwaltungsoberflächen für Maschinen oder Anlagen).

Eine wirksame Bildschirmsperre verhindert, dass unbefugte oder zufällige Beobachter Einsicht in vertrauliche Informationen erhalten.

4. Schutz digitaler Informationen bei Präsentationen und Besprechungen

Speziell in Besprechungsräumen und Präsentationsumgebungen gelten besondere Anforderungen:

• Keine Anzeige vertraulicher Informationen auf Bildschirmen, wenn externe Personen anwesend sind.
• Abschluss aller Dokumente, Anwendungen und Browserfenster vor Beginn von Meetings.
• Vermeidung von automatisch aufpoppenden Benachrichtigungen auf Präsentationsgeräten.
• Verantwortung für das Löschen temporärer Dateien und lokal gespeicherter Präsentationen.

Dies schützt Informationen vor ungewollter Einsichtnahme während oder nach Besprechungen.

5. Organisatorische und technische Unterstützung

Die Wirksamkeit des Controls hängt von klaren Vorgaben und unterstützenden Maßnahmen ab:

• Schulungen und Awareness-Kampagnen zur Sensibilisierung der Mitarbeitenden.
• Regelmäßige Stichproben oder interne Kontrollen zur Überprüfung der Umsetzung.
• Bereitstellung geeigneter Aufbewahrungsmöglichkeiten, Sichtschutzlösungen und abschließbarer Container.
• Technische Vorgaben zur zentralen Einstellung von automatischen Bildschirmsperrzeiten.

Eine gute Kombination aus Organisation, Technik und Bewusstsein der Mitarbeitenden sorgt für eine nachhaltige Umsetzung.

6. Umgang mit Homeoffice- und mobilen Arbeitsplätzen

Da mobile Arbeitsformen künftig Standard sind, muss die Clean-Desk- und Clear-Screen-Policy auch außerhalb des Büros gelten:

• Vertrauliche Unterlagen dürfen zu Hause nicht offen herumliegen.
• Geräte müssen gesperrt oder verschlüsselt aufbewahrt werden, insbesondere bei gemeinsam genutzten Wohnbereichen.
• Nutzung von Sichtschutzfiltern oder abgeschirmten Positionen in Co-Working-Spaces oder im öffentlichen Raum.
• Sicherer Transport von Unterlagen und Geräten (z. B. verschließbare Taschen, keine unbewachte Ablage im Auto).

Dies erweitert den Schutz sensibler Informationen auf jede Arbeitsumgebung, nicht nur das Büro.

7. Regelmäßige Überprüfung und kontinuierliche Verbesserung

Auch für dieses Control gilt: Es muss regelmäßig bewertet und verbessert werden. Relevant sind:

• Interne Audits und Stichprobenkontrollen.
• Bewertung von Sicherheitsvorfällen, bei denen Clean-Desk-Verstöße eine Rolle spielten.
• Anpassung der Policy an neue Arbeitsformen, Technologien oder Risiken.
• Einbindung der Mitarbeitenden, um praktikable und wirksame Lösungen zu entwickeln.

Durch kontinuierliche Verbesserungen bleibt das Control auch bei veränderten Rahmenbedingungen wirksam.

Zusammenfassung

A 7.7 verlangt klare Regeln und technische Maßnahmen, um Informationen sowohl physisch als auch digital am Arbeitsplatz zu schützen. Die Clean-Desk- und Clear-Screen-Prinzipien stellen sicher, dass vertrauliche Daten nicht unbeabsichtigt offengelegt werden – unabhängig davon, ob Mitarbeitende vor Ort, mobil oder im Homeoffice arbeiten. Das Control verbindet organisatorische Vorgaben, technische Sicherheitsmechanismen und das Bewusstsein der Mitarbeitenden zu einem ganzheitlichen Schutzkonzept.