Telearbeit, mobiles Arbeiten und Homeoffice sind fester Bestandteil moderner Arbeitsformen. Dabei entstehen besondere Risiken für die Informationssicherheit, da Informationen und Systeme außerhalb der kontrollierten Umgebung der Organisation genutzt werden. Unzureichende Regelungen oder technische Schutzmaßnahmen können zu Datenverlust, unbefugtem Zugriff oder Sicherheitsvorfällen führen. Dieses Control stellt sicher, dass Informationssicherheit auch bei Telearbeit angemessen gewährleistet wird.
Zweck des Controls
A 6.7 soll gewährleisten, dass Informationssicherheitsanforderungen bei Telearbeit systematisch berücksichtigt und umgesetzt werden. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auch außerhalb der Unternehmensräume zu schützen und Risiken durch dezentrale Arbeitsformen wirksam zu minimieren.
Anforderungen und Maßnahmen
1. Festlegung von Richtlinien für Telearbeit
Organisationen müssen klare Regelungen für Telearbeit definieren, insbesondere:
zulässige Formen der Telearbeit
Anforderungen an Arbeitsumgebung und Arbeitsmittel
Vorgaben zur Nutzung privater oder dienstlicher Geräte
Regeln für den Umgang mit Informationen außerhalb des Unternehmens
Die Richtlinien müssen dokumentiert und bekannt sein.
2. Sichere technische Rahmenbedingungen
Für Telearbeit müssen geeignete technische Maßnahmen umgesetzt werden:
sichere Authentifizierungs- und Zugriffslösungen
verschlüsselte Verbindungen (z. B. VPN)
aktuelle Sicherheitsupdates und Schutzsoftware
sichere Konfiguration von Endgeräten
Dies reduziert technische Risiken.
3. Schutz der Arbeitsumgebung
Auch die physische Arbeitsumgebung muss berücksichtigt werden:
Schutz vor Einsichtnahme durch unbefugte Dritte
sichere Aufbewahrung von Unterlagen und Geräten
Regelungen zur Nutzung öffentlicher oder gemeinsamer Räume
Vermeidung unbeaufsichtigter Arbeitsplätze
So wird der Schutz sensibler Informationen gewährleistet.
4. Zugriffskontrolle und Berechtigungsmanagement
Zugriffe bei Telearbeit müssen angemessen gesteuert werden:
Vergabe von Zugriffsrechten nach dem Need-to-know-Prinzip
Einschränkung privilegierter Zugriffe
regelmäßige Überprüfung von Berechtigungen
zeitliche oder kontextbezogene Zugriffsbeschränkungen
Dies verhindert unbefugte Zugriffe.
5. Umgang mit Informationen und Daten
Der Umgang mit Informationen bei Telearbeit muss geregelt sein:
sichere Verarbeitung und Speicherung von Informationen
Schutz vor Verlust oder unbefugter Offenlegung
Regelungen zur Übertragung von Daten
sichere Entsorgung von Ausdrucke oder Datenträgern
So wird Informationssicherheit im Alltag umgesetzt.
6. Sensibilisierung und Schulung
Mitarbeitende müssen für Risiken der Telearbeit sensibilisiert werden:
Schulungen zu sicherem Arbeiten außerhalb des Unternehmens
Awareness für typische Bedrohungen (z. B. Phishing, unsichere Netzwerke)
klare Meldewege bei Sicherheitsvorfällen
regelmäßige Auffrischungen
Bewusstsein ist entscheidend für Sicherheit im Homeoffice.
7. Überwachung und Kontrolle
Die Einhaltung der Anforderungen muss überprüft werden:
Überprüfung technischer Sicherheitsmaßnahmen
Bewertung von Vorfällen im Zusammenhang mit Telearbeit
Kontrollen im Rahmen von Audits oder Reviews
Behandlung von Abweichungen
So bleibt die Wirksamkeit erhalten.
8. Anpassung und kontinuierliche Verbesserung
Regelungen zur Telearbeit müssen regelmäßig überprüft werden:
Anpassung an neue Arbeitsformen oder Technologien
Berücksichtigung geänderter Bedrohungslagen
Integration von Lessons Learned aus Vorfällen
Einbindung in Management Reviews
Dies stellt eine nachhaltige Umsetzung sicher.
Zusammenfassung
A 6.7 fordert, dass Organisationen Informationssicherheitsanforderungen bei Telearbeit systematisch umsetzen. Durch klare Richtlinien, geeignete technische und organisatorische Maßnahmen, Schutz der Arbeitsumgebung, Sensibilisierung der Mitarbeitenden sowie regelmäßige Überprüfung wird sichergestellt, dass dezentrale Arbeitsformen nicht zu erhöhten Informationssicherheitsrisiken führen. Das Control ist ein zentraler Baustein für sichere und flexible Arbeitsmodelle im Informationssicherheitsmanagementsystem.
