(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Endpunktgeräte wie Laptops, Desktops, mobile Geräte, Tablets oder Thin Clients sind zentrale Zugriffspunkte auf Informationen und Systeme einer Organisation. Da sie häufig außerhalb kontrollierter Sicherheitszonen verwendet werden und potenziell Angriffen ausgesetzt sind, benötigen sie besondere Schutzmaßnahmen. Dieses Control stellt sicher, dass Benutzerendgeräte so konfiguriert, geschützt und überwacht werden, dass Risiken wie Datenverlust, Malware-Infektionen oder unbefugter Zugriff minimiert werden.

Zweck des Controls

Ziel von A 8.1 ist es, den sicheren Betrieb aller Benutzerendgeräte zu gewährleisten, die organisatorische Informationen verarbeiten oder auf diese zugreifen. Durch wirksame Sicherheitsmechanismen und klare Nutzungsrichtlinien sollen die Integrität, Verfügbarkeit und Vertraulichkeit der Informationen geschützt werden — unabhängig davon, wo und wie die Geräte eingesetzt werden.

Anforderungen und Maßnahmen

1. Sichere Basiskonfiguration und Hardening

Endpunktgeräte müssen nach definierten Standards konfiguriert und gehärtet werden. Dies umfasst:

• Installation eines sicheren, aktuell unterstützten Betriebssystems.
• Entfernung unnötiger Software, Dienste und Standardkonten.
• Aktivierung sicherer Systemeinstellungen (Sperrzeiten, Verschlüsselung, Firewall).
• Standardisierte, dokumentierte Build-Konfigurationen für verschiedene Gerätetypen.

Ziel ist eine einheitliche, robuste Ausgangsbasis für alle Benutzergeräte.

2. Schutz vor Schadsoftware und Angriffen

Alle Endgeräte müssen gegen Malware und andere Angriffsformen geschützt werden:

• Einsatz aktueller Anti-Malware-Lösungen, idealerweise zentral verwaltet.
• Aktivierung lokaler Firewalls oder Endpoint-Protection-Plattformen (EPP).
• Anwendung von Intrusion-Detection/Prevention-Funktionen (EDR/XDR) – je nach Schutzbedarf.
• Automatische Updates und zeitnahe Installation sicherheitsrelevanter Patches.

Diese Maßnahmen verringern die Gefahr von Infektionen und Angriffen, insbesondere bei mobilen Arbeitsformen.

3. Zugriffskontrolle und Authentifizierung

Der Zugriff auf Benutzergeräte muss kontrolliert und geschützt sein:

• Nutzung starker Authentifizierungsmethoden (z. B. MFA, biometrische Verfahren).
• Keine Geräte ohne Benutzeranmeldung oder mit gemeinsamen Accounts.
• Rollenbasierte Rechtevergabe, Minimierung lokaler Administratorrechte.
• Zentrale Verwaltung von Identitäten und Zugangsmitteln (z. B. MDM/IDM).
• Damit wird verhindert, dass unbefugte Personen Zugriff auf Informationen erhalten.

4. Schutz bei Verlust, Diebstahl oder unbefugter Nutzung

Da Benutzergeräte leicht verloren gehen oder gestohlen werden können, sind Maßnahmen zur Begrenzung des Schadens notwendig:

• Vollständige Festplattenverschlüsselung (z. B. für Laptops, Tablets, Smartphones).
• Möglichkeit zur Fernsperrung oder Fernlöschung über ein zentrales Managementsystem.
• Sichere Transportbehältnisse oder physische Sicherungen im Außeneinsatz.
• Richtlinien für Umgang mit Geräten in öffentlichen oder unkontrollierten Bereichen.

Dies reduziert das Risiko der Offenlegung sensibler Informationen.

5. Verwaltung und Überwachung der Geräte

Organisationen müssen sicherstellen, dass alle Endgeräte jederzeit unter Kontrolle sind:

• Registrierung aller Geräte, die Zugriff auf Unternehmensinformationen erlauben.
• Einsatz von Mobile-Device-Management- oder Endpoint-Management-Lösungen.
• Überwachung kritischer Sicherheitsparameter wie Patchstand, Antivirenstatus oder Verschlüsselung.
• Regelmäßige Reviews zur Identifikation veralteter oder nicht-konformer Geräte.

Dies stärkt die Transparenz und Handhabbarkeit des Gerätebestands.

6. Trennung geschäftlicher und privater Nutzung

Um unbeabsichtigte Datenverarbeitung oder Vermischung von privaten und geschäftlichen Informationen zu vermeiden, sind klare Regeln erforderlich:

• Keine unkontrollierte Installation privater Software auf Unternehmensgeräten.
• Maßnahmen zur Containerisierung oder Separation bei BYOD-Szenarien.
• Vorgaben zur Nutzung privater Cloud-Speicher, Messenger-Dienste oder Filesharing-Tools.
• Pflicht zur Verwendung genehmigter Applikationen und Dienste.

Die Trennung schützt sowohl die Organisation als auch die Mitarbeitenden.

7. Sicherer Anschluss an Netzwerke und Dienste

Endgeräte müssen vor unsicheren oder kompromittierten Netzwerken geschützt werden:

• Nutzung sicherer Kommunikationskanäle (z. B. VPN, verschlüsselte Protokolle).
• Automatische Blockade unsicherer WLANs oder Hotspot-Verbindungen.
• Prüfung der Geräte-Compliance beim Netzwerkzugang (Network Access Control).

Damit wird verhindert, dass Geräte über ungesicherte Verbindungen kompromittiert werden.

8. Schulung und Benutzerbewusstsein

Benutzende müssen über Risiken und Anforderungen informiert sein:

• Sensibilisierung für den sicheren Umgang mit mobilen Endgeräten.
• Schulungen zu Phishing, Social Engineering und sicherem Verhalten unterwegs.
• Hinweise zu sicheren Konfigurationen, Gerätesperren und Umgang bei Vorfällen.

Das Verhalten der Anwender ist ein entscheidender Faktor für die Sicherheit.

9. Lebenszyklus-Management und sichere Entsorgung

Die Sicherheit der Endgeräte muss über ihren gesamten Lebenszyklus gewährleistet sein:

• Sichere Erstkonfiguration und Auslieferung.
• Regelmäßige Sicherheitsüberprüfungen während des Betriebs.
• Sichere Löschung oder Zerstörung von Datenträgern bei Ausmusterung.
• Nachverfolgbare Dokumentation aller Lebenszyklusphasen.

Damit wird sichergestellt, dass Informationen auch bei Gerätewechsel oder Entsorgung geschützt bleiben.

Zusammenfassung

A 8.1 verlangt, dass Endpunktgeräte der Benutzer sicher konfiguriert, geschützt und verwaltet werden. Durch Basiskonfiguration, Zugriffskontrollen, Malware-Schutz, Verschlüsselung, Monitoring sowie klare Nutzungsrichtlinien wird das Risiko von Datenverlust, Angriffen und unbeabsichtigter Offenlegung deutlich reduziert. Das Control unterstützt den sicheren Betrieb moderner Arbeitsplätze — unabhängig davon, ob Geräte im Büro, mobil oder im Homeoffice verwendet werden.