TOM INFORMATIONSSICHERHEIT

6.2 Mobilgeräte und Telearbeit

Die meisten Mitarbeitenden der automIT AG arbeiten in Heimarbeit oder beim Kunden vor Ort. Nur wenige Mitarbeitende arbeiten on den Büroräumlichkeiten der automIT AG. welche Technische und Organisatorische Maßnahmen sich daraus für die Arbeitsumgebung und insbesondere die mobilen Geräte bedeutet, wird im Folgenden beschrieben.

6.2.1 Richtlinie zu Mobilgeräten

Eine Richtlinie und unterstützende Sicherheitsmaßnahmen sollten umgesetzt werden, um die Risiken, welche durch die Nutzung von Mobilgeräten bedingt sind, zu handhaben.

Bei der Verwendung von Mobilgeräten muss besonders darauf geachtet werden, dass Geschäftsinformationen nicht beeinträchtigt werden oder in falsche Hände fallen.

Bei der Verwendung von Mobilgeräten an öffentlichen Plätzen, in Besprechungsräumen und anderen ungeschützten Bereichen sollte mit Vorsicht vorgegangen werden. Es muss stets ein Schutz vorhanden sein, um unbefugten Zugriff auf Information auf diesen Geräten zu verhindern. Dies erfolgt zum einen durch Verwendung von Verschlüsselungsverfahren (siehe Abschnitt 10) und die zwingende Verwendung von geheimen Authentifizierungsdaten (siehe 9.2.4).

Mobilgeräte sollten auch physisch gegen Diebstahl geschützt sein, insbesondere wenn sie z.B. in Kraftfahrzeugen und anderen Verkehrsmitteln, in Hotels, Konferenzzentren und an Treffpunkten verwendet werden. Geräte die wichtige, sensible oder geschäftskritische Information beinhalten, sollten nicht unbeaufsichtigt gelassen und wenn möglich unter Verschluss gehalten werden.

Für den Fall des Diebstahls oder Verlusts von Mobilgeräten wurde ein spezielles Verfahren unter Berücksichtigung rechtlicher und versicherungstechnischer, sowie anderer Sicherheitsanforderungen entwickelt. Alle Geräte können von Remote gesperrt und die enthaltenen Daten von Gerät gelöscht werden.

Eine Nutzung von privaten Mobilgeräten ist nicht erlaubt.

6.2.1.1 Registrierung von Mobilgeräten

Jedes Mobilgerät wird bei Erhalt mit Gerätetyp, Seriennummer und Benutzername im Asset-Management via SnipeIT durch den IT-Sicherheitsbeauftragten hinterlegt. Die *Zustimmungserklärung zur Einhaltung der Mobilgeräterichtlinien wird von jedem Mitarbeitenden eingeholt und intern gespeichert.

Die Liste der registrierten Geräte wird regelmäßig überprüft und aktualisiert, um sicherzustellen, dass alle Geräte den aktuellen Sicherheitsanforderungen entsprechen.

Die Mobilgeräte dürfen ausschließlich für geschäftliche Zwecke genutzt. Jedwede private Nutzung ist untersagt.

6.2.1.2 Anforderungen für den physischen Schutz

Die Organisation bietet jährliche Schulungen zum Umgang mit und über den physischen Schutz von Mobilgeräten an. Die Mobilgeräte müssen sicher aufbewahrt und vor Diebstahl geschützt werden, wobei öffentliche Räume bei Verlassen abzuschließen sind oder das Mobilgerät stets beim Mitarbeiter zu tragen ist. Damit soll die unbeaufsichtigte Nutzung der Geräte oder dessen Diebstahl vermieden werden. Darüber hinaus sind alle Mobilgeräte mit einer passenden Schutzhülle sowie einem Bildschirmschutz (Folie oder Glas) ausgestattet. Laptops sind immer in der zur Verfügung gestellten Laptoptasche zu transportieren. Die Einhaltung dieser Regeln wird unregelmäßig und stichprobenartig durch die Geschäftsleitung oder den IT-Sicherheitsbeauftragten überprüft.

6.2.1.3 Einschränkung von Software-Installation

Software darf ausschließlich aus vertrauenswürdigen Quellen, wie den offiziellen App-Stores der Betriebssystemhersteller, bezogen werden. Für die Installation von Anwendungen auf Mobilgeräten ist die Nutzung der genehmigten Liste sicherer Apps maßgebend. Jede Abweichung von diesen Vorgaben, wie die Installation von Software aus anderen Quellen, bedarf einer vorherigen Prüfung und Genehmigung durch die IT-Abteilung gemäß der unter 12.6.2 definierten Richtlinie zur “Einschränkung von Softwareinstallation”.

6.2.1.4 Anforderungen an Software-Versionen der Mobilgeräte und Anwendung von Patches

Die Mitarbeitenden der Organisation sind verpflichtet, sicherzustellen, dass alle Mobilgeräte stets mit den neuesten Betriebssystem- und Sicherheitsupdates ausgestattet sind. Die Mobilgeräte werden durch den IT-Sicherheitsbeauftragten so konfiguriert, dass eine Meldung über veralteter Geräte erfolgt. Geräte, deren Stand älter als die letzten zwei Software-Updates sind, dürfen keinen weiteren Zugriff auf Geschäftsinformationen erhalten.

Die Einhaltung der Patch-Management-Richtlinien wird regelmäßig durch interne Audits überprüft. Ergebnisse werden dokumentiert und bei Bedarf Maßnahmen zur Verbesserung eingeleitet.

Die verwendete Software sollte sich der unter 12.6.2 definierte Richtlinie zur “Einschränkung von Softwareinstallation” richten. Die Software sollte folgenden Kriterien entsprechen:

  • offizielle Quelle des Betriebssystemherstellers (wie z.B. MacOS App Store)
  • bei einer alternativen Quelle muss die Software aktualisierbar sein und unter ständiger Wartung sein
  • die Quelle von verwendeter Software muss vertrauenswürdig sein
  • Softwarequellen mit bekannten Schwachstellen, Datenschutzverstössen oder dem Ziel Schadsoftware zu verbreiten, ist zu meiden

6.2.1.5 Verbindungseinschränkungen zu Informationsdiensten

Die internen Systeme sind durch verschlüsselte Verbindungen, Authentifizierungsmechanismen sowie eine 2-Faktor-Authentifizierung abgesichert. Wo möglich, wird eine zentrale Authentifizierung verwendet.

Geschäftliche Mobilgeräte dürfen sich nur mit autorisierten und sicheren WLAN-Netzwerken verbinden. Die Nutzung öffentlicher Netzwerke ist nur in Verbindung mit einem aktiven VPN gestattet, um die Sicherheit der übertragenen Daten zu gewährleisten.

6.2.1.6 Maßnahmen zum Zugang zu Mobilgeräten

Die Organisation verpflichtet alle Mitarbeitenden ihre Mobilgeräte durch starke persönlich gewählte Passwörter oder PINs oder biometrische Authentifizierung zu schützen. Weiter ist ein Bildschirm-Time-out von maximal fünf Minuten an allen Geräten zu wählen. Beim Verlassen des Arbeitsplatzes oder bei unbeaufsichtigten Mobilgeräten durch den Nutzer sind alle Geräte zu sperren.

6.2.1.7 Verschlüsselungsverfahren

Es werden nur Geräte beschafft, die eine sichere Verschlüsselung der Daten auf dem Gerät gewährleiten. Auf den mobilen Endgeräten wird hierfür in der verwendeten MacOS Installation der FileVault aktiviert. Geräte ohne aktivierte Verschlüsselung dürfen nicht für geschäftliche Zwecke verwendet werden. Der Austausch sensibler Geschäftsdaten darf nur über verschlüsselte Kommunikationskanäle wie VPN oder Ende-zu-Ende-verschlüsselte Apps erfolgen.

6.2.1.8 Schutz vor Schadsoftware

Alle Mitarbeitenden sind verpflichtet, ihre Mobilgeräte regelmäßig die Antiviren-Software zu aktualisieren. Der IT-Sicherheitsbeauftragte überwacht den Status der Schutzmaßnahmen zentral und überprüft den Stand der Updates regelmässig. Anhänge in E-Mails oder Nachrichten aus unbekannten Quellen werden standardmäßig blockiert, bis eine Prüfung durch den Benutzer erfolgt ist. Um einen sicheren Download von Daten zu gewährleisten, ist auf jeder MacOS XProtect integriert.

6.2.1.9 Remote-Deaktivierung, Löschung oder Sperrung

Jedes mobile Gerät wird im Rahmen des On-Boardings als corporate managed device aufgenommen. Mithilfe des Microsoft Endpoint Managers und Microsoft Intune wird es den IT-Administratoren ermöglicht, Unternehmensgeräte bei Verlust jederzeit remote zu sperren, zu deaktivieren oder alle Daten von diesen zu löschen.

6.2.1.10 Backups

Geschäftliche Daten auf Mobilgeräten werden einmal wöchentlich automatisch oder manuell vom Benutzer auf sicheren internen Servern oder verschlüsselten Speicherlösungen (z.B. OneDrive oder lokale, verschlüsselte Festplatte) gesichert.

6.2.1.11 Nutzung von Web-Diensten und Web-Anwendungen

Der Zugriff auf Web-Dienste und Web-Anwendungen ist ausschließlich über genehmigte Browser und Apps gestattet. Nicht autorisierte Anwendungen werden blockiert. Sicherheitsrichtlinien wie die Nutzung von HTTPS-Verbindungen und die Deaktivierung von Cookies in unsicheren Anwendungen werden enforced.

6.2.1.12 Trennung von privater und geschäftlicher Nutzung

Die private Nutzung der Firmengeräte ist untersagt und muss daher hier nicht betrachtet werden.

6.2.1.13 Verpflichtung durch Endnutzerverträge

Gemäß der Datenschutzbestimmungen der Organisation erhält der Benutzer nur Zugriff auf geschäftliche Daten, wenn ein Endnutzervertrag unterzeichnet wurde, der die Einhaltung der Sicherheitsrichtlinien (z. B. physischer Schutz und regelmäßige Updates) regelt. Der Vertrag stellt zudem sicher, dass der Benutzer im Verlustfall der Fernlöschung geschäftlicher Daten zustimmt. Der Endnutzervertrag berücksichtigt geltendes Datenschutzrecht und klärt transparent über das Verbot der privaten Nutzung sowie die Datenlöschung auf.

6.2.1.14 Umgang mit Sicherheitsprotokollen für drahtlose Verbindungen

Jeder Mitarbeiter achtet darauf, dass sich Mobilgeräte nur mit Netzwerken verbinden, die aktuelle, sichere Verschlüsselungsprotokolle verwenden. DerZugriff auf Unternehmensdaten erfolgt über ein VPN.

6.2.1.15 Sicherung von Daten auf Mobilgeräten

Auf Mobilgeräten gespeicherte geschäftliche Daten werden automatisch verschlüsselt, sodass sie auch ohne Netzwerkzugriff sicher sind. Die Verschlüsselung erfolgt nach definierten Standards, die den Sicherheitsrichtlinien der Organisation entsprechen. Mobilgeräte werden so konfiguriert, dass lokale Backups erstellt und beim nächsten verfügbaren Netzwerkzugang automatisch synchronisiert werden. Regelmäßige Prüfungen durch den Benutzer stellen sicher, dass keine kritischen Daten durch fehlende Verbindungen verloren gehen.

6.2.2 Heimarbeit/Telearbeit

Diese Richtlinie beschreibt die in der automIT aktive Heimarbeitsrichtlinie. Telearbeit nach der ArbStättV wird in der automIT nicht angeboten. Die Heimarbeit lehnt sich an die gesetzlichen Vorgaben des Heimarbeitsgesetz BGBl. 2024 I Nr. 323 zuletzt geändert durch Art. 51 G v. 23.10.2024 I Nr. 323. In dieser Richtlinie für Heimarbeit werden die unterstützenden Sicherheitsmaßnahmen zum Schutz von Information, auf die von Heimarbeitsplätzen aus zugegriffen wird oder die dort verarbeitet oder gespeichert werden.

Die Organisation führt regelmäßige Schulungen durch, um sicherzustellen, dass alle Mitarbeitenden mit den Sicherheitsanforderungen für Heimarbeit vertraut sind.

6.2.2.1 Sicherheitsanforderungen für die Kommunikation

Zwei-Faktor-Authentifizierung: Der Zugriff auf geschäftliche Systeme wird durch die verpflichtende Nutzung von Zwei-Faktor-Authentifizierung abgesichert. Diese Authentifizierung muss regelmäßig auf Aktualität getestet werden.

6.2.2.2 Unbefugter Zugriff durch Personen im selben Haushalt

Mitarbeitende müssen ihre Geräte stets durch Passwörter, biometrische Authentifizierung oder PINs sichern. Die Passwortrichtlinie befindet sich unter “9 Passwortrichtlinie”. Die Geräte werden sofort gesperrt, wenn sie unbeaufsichtigt bleiben.

Halten sich weitere Personen im Arbeitsbereich auf, gilt im Home-Office (beim mobilen Arbeiten) die Clear Desk Policy entsprechend und der Rechner ist auch bei kurzzeitigem Verlassen des Arbeitsplatzes zu sperren. Beim mobilen Arbeiten außerhalb geschützter Räumlichkeiten, darf der Rechner nicht unbeaufsichtigt zurückgelassen werden.

6.2.2.3 Zugriff auf private Geräte für Sicherheitsüberprüfungen

Die Verwendung von privaten Endgeräten sind in der automIT untersagt. Daher ist ein Zugriff auf private Gerät nicht notwendig.

6.2.2.4 Software-Lizenzvereinbarungen

Mitarbeitende dürfen nur von der Organisation genehmigte Software auf ihren Geräten installieren, um Lizenzverletzungen zu vermeiden. Diese Software wird zentral vom IT-Sicherheitsbeauftragten verwaltet und bereitgestellt. Die Organisation dokumentiert und veröffentlicht detaillierte Richtlinien, welche Software für geschäftliche Zwecke erlaubt ist. Diese Richtlinien sind regelmäßig auf Aktualität zu überprüfen. (vgl. hierzu Kapitel 6.2.1.3 f und Kapitel 12.6.2)

6.2.2.5 Anforderungen an Schadsoftwareschutz und Firewalls

Mitarbeitende müssen eine von der Organisation vorgegebene Antivirensoftware und Firewall auf allen genutzten Geräten installieren. Die IT-Abteilung prüft regelmäßig, ob diese Schutzsoftware aktuell ist. Mitarbeitende sind verpflichtet, automatische Updates für Schutzsoftware zu aktivieren. Manuelle Aktualisierungen müssen sofort nach Veröffentlichung installiert werden, um Sicherheitslücken zu schließen. (vgl. hierzu Kapitel 6.2.1.8 und Kapitel 12.6.2)

6.2.2.6 Weitere Weisungen zum Umgang mit Heimarbeit bzw. Telearbeit

a) Bereitstellung geeigneter Geräte und Aufbewahrungsmöbel

Die Organisation stellt Mitarbeitenden ausschließlich geschäftliche Geräte zur Verfügung, um geschäftliche Informationen sicher aufzubewahren. Die Nutzung privater elektronischer Geräte für geschäftliche Zwecke ist untersagt.

b) Festlegung gestatteter Arbeit, Arbeitszeit und Zugriffsbeschränkungen

Die gestattete Arbeit ist im Arbeitsvertrag festgelegt, ergibt sich aus dem im Handelsregister eingetragen Zweck des Unternehmens und wird in der Firma über Kanban Boards sowie Ticket Systeme geregelt. Im Projekt auflaufende Tätigkeiten sind im Projektrahmenvertrag definiert und werden selbstständig mit den Auftraggebern abgestimmt. Darüber hinaus werden die Zugriffsrechte entsprechend der Projekte zugewiesen bzw. entzogen. Die Arbeitszeit ist im Arbeitsvertrag festgelegt und unterliegt den Richtlinien des Arbeitszeitschutzgesetzes sowie dem Heimarbeitsgesetz.

c) Verbindungseinschränkungen zu Informationsdiensten

Die internen Systeme sind über verschlüsselte Verbindungen abgesichert, mit Authentifizierung abgesichert sowie unterliegen einem 2-Faktor Schutz. Wo es möglich ist, wird eine zentrale Authentifizierung genutzt.

d) Bereitstellung von Hard- und Software-Support und Wartung

Die Organisation bietet regelmäßige Updates und Support für die geschäftlich genutzten Geräte an, einschließlich der Behebung technischer Probleme. Wartungsfenster werden vorher angekündigt, um die Verfügbarkeit sicherzustellen. Erweiterter Support sowie Wartung werden je nach Produkt bei Bedarf erworben.

e) Bereitstellung von Versicherungen

Die Organisation schließt Versicherungen für geschäftlich bereitgestellte Geräte ab (z.B. AppleCare für Apple-Produkte), um Schäden oder Verlust abzusichern. Mitarbeitende sind verpflichtet, Vorfälle unverzüglich zu melden und die Geräte gemäß den Vorgaben zu schützen.

f) Verfahren für Backups und Business Continuity

Die Organisation stellt das Standard Cloud System für dezentrale Backups oder alternativ lokale Festplatten zur Datensicherung zur Verfügung. Die Mitarbeitenden stellen eigenständig sicher, dass sämtliche Backups aktuell und zugreifbar sind.

g) Auditierung und Überwachung der Sicherheit

Der Zugriff auf die Unternehmensinfrastruktur wird auditiert und unterliegt für alle Zugriffe einer Authentifizierung sowie Autorisierung. Die Sicherheitsstandards sind in der Passwortrichtlinie definiert sowie in der Notwendigkeit der 2 Faktor basierten Authentifizierung für die Dienste des Unternehmens festgelegt. Regelmäßige Aktualisierungen und Software aus geprüften vertrauenswürdigen Quellen ist auf den Arbeitsgeräten zu verwenden.

h) Widerruf von Befugnissen und Rückgabe von Geräten

Bei Beendigung des Geschäftsverhältnisses zwischen der Organisation und den Mitarbeitenden sind alle Geräte unverzüglich an die Organisation zurückzugeben. Bei der Beendigung der Telearbeit ist eine Rückgabe nicht notwendig, da die Geräte auch für Tätigkeiten in Kundenprojekten benötigt werden. Widerruf von Befugnissen erfolgt je nach Bedarf und Zuordnung der Mitarbeitenden zu Projekten und Aufgaben im Unternehmen.

i) Klassifizierung möglicherweise aufbewahrter Informationen

Der Umgang mit aufbewahrten Informationen von Projekten ist in den Projektverträgen geregelt. Alle automIT-Mitarbeitenden haben bei Eintritt eine Verpflichtungserklärung zur Vertraulichkeit erhalten und gezeichnet. Diese regelt nach den datenschutzrechtlichen Vorschriften den Umgang mit sensiblen Daten.

j) Die Bereitstellung geeigneter Telekommunikationseinrichtungen, einschließlich Methoden zur Sicherung des Fernzugriffs

Eine geschützte Verbindung zu Kundeninfrastrukturen sowie internen Infrastrukturen sollte wenn möglich immer über VPN Verbindungen durchgeführt werden.

k) Weiterleiten von E-Mails an Privat

Es ist untersagt, berufliche E-Mails auf private E-Mail- Postfächer weiterzuleiten.

l) Umgang mit gedruckten, vertraulichen Unterlagen

Die Nutzung gedruckter vertraulicher Unterlagen sollte vermieden werden; ist das nicht möglich, sind sie bei Abwesenheit in einem abgeschlossenen Schrank aufzubewahren. Solche Unterlagen dürfen nicht einfach im Hausmüll entsorgt werden. Ist eine angemessene Vernichtung und Entsorgung nicht möglich, sind die Unterlagen beim nächsten Büroaufenthalt zu entsorgen und bis dahin gesichert zu verwahren.

6.2.3 Richtlinie zum Umgang mit Laptops des Kunden

Datensicherheit

Sicherstellung, dass alle Daten auf Laptops des Kunden gemäß den Sicherheitsanforderungen des Kunden und der automIT AG verschlüsselt sind.

Patch-Management

Regelmäßiges Einspielen von Patches und Updates auf den Laptops des Kunden in Abstimmung mit den IT-Sicherheitsvorgaben des Kunden.

Sicherheitsmaßnahmen des Kunden

Teilnahme an Sicherheitsmaßnahmen und -anforderungen des Kunden, einschließlich regelmäßiger Sicherheitsüberprüfungen und Compliance-Prüfungen.

physische Sicherheit

Die Geräte sind nur von dem/der vorgesehenen Mitarbeiter*innen zu verwenden. Der Zugang zu Hardware durch Dritte ist ist zu verhindern.

Last updated: April 10, 2025: feat(ISO-1139-Kap6): improved Kap 6 (faaecb7)
Bearbeiten