Bundesamt für Sicherheit in der Informationstechnik

INF.9 Mobiler Arbeitsplatz

Schnell zum Abschnitt

Beschreibung

1.1 Einleitung

Eine gute Netzabdeckung sowie leistungsfähige IT-Geräte, wie z. B. Laptops, Smartphones oder Tablets, ermöglichen es Mitarbeitern, nahezu an jedem Platz bzw. von überall zu arbeiten. Das bedeutet, dass dienstliche Aufgaben häufig nicht mehr nur in den Räumen und Gebäuden der Institution erfüllt werden, sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen, z. B. in Hotelzimmern, Zügen oder bei Kunden. Die dabei verarbeitenden Informationen müssen angemessen geschützt werden.

Das mobile Arbeiten verändert einerseits die Dauer, Lage und Verteilung der Arbeitszeiten und es erhöht andererseits die Anforderungen an die Informationssicherheit, da in mobilen Arbeitsplatz-Umgebungen keine sichere IT-Infrastruktur, wie sie in einer Büroumgebung anzutreffen ist, vorausgesetzt werden kann.

1.2 Zielsetzung

Der Baustein beschreibt Sicherheitsanforderungen an mobile Arbeitsplätze. Ziel ist es, für solche Arbeitsplätze eine mit einem Büroraum vergleichbare Sicherheitssituation herbeizuführen.

1.3 Abgrenzung

Der Baustein enthält grundsätzliche Anforderungen, die zu beachten und zu erfüllen sind, wenn Mitarbeiter häufig nicht nur innerhalb der Räumlichkeiten der Institution arbeiten, sondern an wechselnden Arbeitsplätzen außerhalb.

Er bildet vor allem die organisatorischen, technischen und personellen Anforderungen an die gänzliche oder teilweise mobile Arbeit ab. Um IT-Systeme, Datenträger oder Unterlagen, die beim mobilen Arbeiten genutzt werden, abzusichern, müssen alle relevanten Bausteine wie zum Beispiel SYS.3.1 Laptop, SYS.3.2 Tablet und Smartphone, SYS.3.4 Mobile Datenträger, NET.3.3 VPN, SYS.2.1 Allgemeiner Client, INF.1 Gebäude oder INF.8 Häuslicher Arbeitsplatz gesondert berücksichtigt werden.

Ebenso sind die Sicherheitsanforderungen an Bildschirmarbeitsplätze, die vom Arbeitgeber fest eingerichtet werden (Telearbeitsplätze) nicht Gegenstand des vorliegenden Bausteins, sondern werden in OPS.1.2.4 Telearbeit beschrieben.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich des mobilen Arbeitsplatzes von besonderer Bedeutung:

2 1 Fehlende oder unzureichende Regelungen für mobile Arbeitsplätze

Ist das mobile Arbeiten nicht oder nur unzureichend geregelt, können der Institution unter anderem finanzielle Schäden entstehen. Ist beispielsweise nicht geregelt, welche Informationen außerhalb der Institution transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu beachten sind, können vertrauliche Informationen in fremde Hände gelangen. Diese können dann von Unbefugten möglicherweise zum schwerwiegenden Nachteil der Institution verwendet werden.

2 2 Beeinträchtigung durch wechselnde Einsatzumgebung

Da mobile Datenträger und Endgeräte in sehr unterschiedlichen Umgebungen eingesetzt werden, sind sie einer Vielzahl von Gefährdungen ausgesetzt. Dazu gehören beispielsweise schädigende Umwelteinflüsse (zum Beispiel hohe oder zu niedrige Temperaturen), ebenso wie Staub, Feuchtigkeit oder Transportschäden.

Neben diesen Einflüssen sind auch die Einsatzumgebungen mit ihrem unterschiedlichen Sicherheitsniveau zu berücksichtigten. Besonders Smartphones, Tablets, Laptops und ähnliche mobile Endgeräte sind nicht nur beweglich, sondern können auch mit anderen IT-Systemen kommunizieren. Hierbei können beispielsweise Schadprogramme übertragen oder schützenswerte Informationen kopiert werden. So können eventuell Aufgaben nicht mehr erfüllt, Kundentermine nicht wahrgenommen oder IT-Systeme beschädigt werden.

2 3 Manipulation oder Zerstörung von IT-Systemen, Zubehör, Informationen und Software am mobilen Arbeitsplatz

IT-Systeme, Zubehör, Informationen und Software, die mobil genutzt werden, können unter Umständen einfacher manipuliert oder zerstört werden als in der Institution. Der mobile Arbeitsplatz ist oft für Dritte zugänglich. Auch sind hier die zentralen Schutzmaßnahmen der Institution nicht vorhanden, zum Beispiel Pförtnerdienste. Werden IT-Systeme, Zubehör, Informationen oder Software manipuliert oder zerstört, ist der Mitarbeiter am mobilen Arbeitsplatz oft nur noch eingeschränkt arbeitsfähig. Des Weiteren müssen womöglich zerstörte IT-Komponenten oder Softwarelösungen ersetzt werden, was sowohl finanzielle als auch zeitliche Ressourcen erfordert.

2 4 Verzögerungen durch temporär eingeschränkte Erreichbarkeit

Meist hat ein Mitarbeiter am mobilen Arbeitsplatz keine festen Arbeitszeiten und ist unterwegs mitunter auch schwer erreichbar. Dadurch kann sich der Informationsfluss deutlich verzögern. Selbst wenn die Informationen über E-Mail übermittelt werden, verkürzt sich nicht zwingend die Reaktionszeit, da nicht sichergestellt werden kann, dass der mobile Mitarbeiter die E-Mail zeitnah liest. Die temporär eingeschränkte Erreichbarkeit wirkt sich dabei je nach Situation und Institution unterschiedlich aus, kann aber die Verfügbarkeit von Informationen stark einschränken.

2 5 Ungesicherter Akten- und Datenträgertransport

Wenn Dokumente, Datenträger oder Akten zwischen der Institution und den mobilen Arbeitsplätzen transportiert werden, können diese Informationen und Daten verloren gehen oder auch von unbefugten Dritten entwendet, gelesen oder manipuliert werden. Dadurch können der Institution größere finanzielle Schäden entstehen. Der Akten- und Datenträgertransport kann auf verschiedene Arten unzureichend gesichert sein:

  • Werden Unikate transportiert (fehlendes Backup), können nach Verlust Ziele und Aufgaben nicht wie geplant erreicht werden.
  • Fallen unverschlüsselte Datenträger in falsche Hände, kann dies zu schwerwiegenden Vertraulichkeitsverlusten führen.
  • Ist unterwegs kein ausreichender Zugriffsschutz vorhanden, können Akten oder Datenträger unbemerkt kopiert oder manipuliert werden.

2 6 Ungeeignete Entsorgung der Datenträger und Dokumente

Ist es am mobilen Arbeitsplatz nicht möglich, Datenträger und Dokumente geeignet zu entsorgen, wandern diese meist in den Hausmüll. Auch dort, wo unterwegs gearbeitet wird, werfen Mitarbeiter häufig Entwürfe und andere vermeintlich unnütze Dokumente direkt in den nächsten Papierkorb oder lassen sie einfach liegen, sei es im Hotel oder in der Bahn. Wenn jedoch Datenträger oder Dokumente nicht geeignet entsorgt werden, können Angreifer hieraus wertvolle Informationen entnehmen, die sich gezielt für Erpressungsversuche oder zur Wirtschaftsspionage missbrauchen lassen. Die Folgen reichen vom Know-how-Verlust bis zur Existenzgefährdung der Institution, zum Beispiel wenn dadurch wichtige Aufträge nicht zustande kommen oder Partnerschaften scheitern.

2 7 Vertraulichkeitsverlust schützenswerter Informationen

Am mobilen Arbeitsplatz können Angreifer einfacher auf vertrauliche Informationen zugreifen, die sich auf Festplatten, auf austauschbaren Speichermedien oder auf Papier befinden, besonders wenn sie professionell agieren. Auch können sie Kommunikationsverbindungen abhören. Werden Informationen unberechtigt gelesen oder preisgegeben, hat das jedoch schwerwiegende Folgen für die gesamte Institution. Unter anderem kann der Verlust der Vertraulichkeit dazu führen, dass die Institution gegen Gesetze verstößt oder dass Wettbewerbsnachteile und finanzielle Schäden entstehen.

2 8 Diebstahl oder Verlust von Datenträgern oder Dokumenten

Der mobile Arbeitsplatz ist nicht so gut abgesichert wie der Arbeitsplatz in einem Unternehmen oder einer Behörde. Während einer Bahnfahrt, aus einem Hotelzimmer oder mitunter auch aus Konferenzräumen bei Kunden, können dienstliche IT und Dokumente daher leichter gestohlen werden.

Zudem können IT-Systeme oder Komponenten verloren gehen. Neben dem rein materiellen Schaden durch den unmittelbaren Verlust des mobilen Gerätes kann durch die Offenlegung schützenswerter Daten (z. B. E-Mails, Notizen von Besprechungen, Adressen oder sonstige Dokumente) weiterer (finanzieller und/oder Reputations-)Schaden entstehen.

2 9 Fehlendes Sicherheitsbewusstsein und Sorglosigkeit im Umgang mit Informationen

Häufig ist zu beobachten, dass in Institutionen organisatorische Regelungen und technische Sicherheitsmaßnahmen für tragbare IT-Systeme und mobile Datenträger vorhanden sind, diese jedoch durch den sorglosen Umgang mit den Vorgaben und der Technik wieder ausgehebelt werden. So ist z. B. immer wieder zu beobachten, dass mitgebrachte mobile Datenträger während der Pausen unbeaufsichtigt im Besprechungsraum oder auch im Zugabteil zurückgelassen werden.

Darüber hinaus werden zum Teil Geschenke in Form von Datenträgern, wie z. B. USB-Sticks, von Mitarbeitern angenommen und unüberlegt an das eigene Notebook angeschlossen. Hier kann dann das Notebook mit Schadsoftware infiziert und dadurch können schützenswerte Informationen gestohlen, manipuliert oder verschlüsselt und damit vorübergehend unbrauchbar gemacht werden.

In öffentlichen Verkehrsmitteln oder auch während Geschäftsessen ist immer wieder zu beobachten, dass Menschen offene Gespräche über geschäftskritische Informationen führen. Diese können dann von Außenstehenden leicht mitgehört und möglicherweise zum schwerwiegenden Nachteil des Mitarbeiters oder seiner Institution verwendet werden.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Schutz von mobilen Arbeitsplätzen aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherInformationssicherheitsbeauftragter (ISB)
Weitere VerantwortlicheBenutzer, Haustechnik, Leiter IT, Leiter Personal, Mitarbeiter, Personalabteilung, Vorgesetzte

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

INF.9.A1 Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes [Vorgesetzte, Benutzer]

Die Institution MUSS ihren Mitarbeitern vorschreiben, wie mobile Arbeitsplätze geeignet ausgewählt und benutzt werden sollen. Es MÜSSEN Eigenschaften definiert werden, die für einen mobilen Arbeitsplatz wünschenswert sind, aber auch Ausschlusskriterien, die gegen einen mobilen Arbeitsplatz sprechen. Mindestens MUSS geregelt werden:

  • unter welchen Arbeitsplatzbedingungen schützenswerte Informationen bearbeitet werden dürfen,
  • wie sich Mitarbeiter am mobilen Arbeitsplatz vor ungewollten Einsichtnahmen von Dritten schützen,
  • ob eine permanente Netz- und Stromversorgung gegeben sein muss und
  • welche Arbeitsplatzumgebungen komplett verboten sind.

INF.9.A2 Regelungen für mobile Arbeitsplätze [Leiter IT, Benutzer]

Für alle Arbeiten unterwegs MUSS geregelt werden, welche Informationen außerhalb des Unternehmens bzw. der Behörde transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind. Dabei MUSS auch geklärt werden, unter welchen Rahmenbedingungen Mitarbeiter mit mobilen IT-Systemen auf interne Informationen ihrer Institution zugreifen dürfen.

Darüber hinaus MUSS die Mitnahme von IT-Komponenten und Datenträgern klar geregelt werden. So MUSS festgelegt werden, welche IT-Systeme und Datenträger mitgenommen werden dürfen, wer diese mitnehmen darf und welche grundlegenden Sicherheitsanforderungen beachtet werden müssen. Es MUSS zudem protokolliert werden, wann und von wem, welche mobile Endgeräte außer Haus eingesetzt wurden.

Die Benutzer von mobilen Endgeräten MÜSSEN für den Wert mobiler IT-Systeme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. Sie MÜSSEN über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden. Außerdem MÜSSEN sie darüber informiert werden, welche Art von Informationen auf mobilen IT-Systemen verarbeitet werden dürfen. Alle Benutzer MÜSSEN auf die geltenden Regelungen hingewiesen werden, die von ihnen einzuhalten sind und entsprechend geschult werden.

INF.9.A3 Zutritts- und Zugriffsschutz [Mitarbeiter]

Den Mitarbeitern MUSS bekanntgegeben werden, welche Regelungen und Maßnahmen zum Einbruchs- und Zutrittsschutz am mobilen Arbeitsplatz zu beachten sind. So MUSS darauf hingewiesen werden, Fenster zu schließen und Türen abzuschließen, wenn der mobile Arbeitsplatz nicht besetzt ist (dies ist z. B. bei Hotelzimmern möglich). Ist dies nicht möglich (z. B. im Zug), MÜSSEN die Mitarbeiter alle Unterlagen und IT-Systeme an sicherer Stelle verwahren, wenn sie abwesend sind. Es MUSS sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können.

Werden Räume nur kurz verlassen, MÜSSEN die eingesetzten Clients gesperrt oder heruntergefahren werden, sodass sie nur nach erfolgreicher Authentisierung wieder benutzt werden können.

INF.9.A4 Arbeiten mit fremden IT-Systemen [Vorgesetzte, Benutzer]

Die Institution MUSS regeln, wie Mitarbeiter mit fremden IT-Systemen arbeiten sollen. Da sich das Schutzniveau solcher IT-Systeme von dem der eigenen Institution stark unterscheiden kann, MUSS jeder mobile Mitarbeiter über die Gefahren unterrichtet sein, die bestehen, wenn fremde IT-Systeme genutzt werden. Die Regelungen MÜSSEN vorgeben, ob und wie schützenswerte Informationen an fremden IT-Systemen bearbeitet werden dürfen und wie verhindert wird, das nicht autorisierte Personen die Informationen einsehen können. Wenn Mitarbeiter mit fremden IT-Systemen arbeiten, MUSS grundsätzlich sichergestellt sein, dass alle währenddessen entstandenen temporären Daten gelöscht werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Mobiler Arbeitsplatz. Sie SOLLTEN grundsätzlich umgesetzt werden.

INF.9.A5 Zeitnahe Verlustmeldung [Mitarbeiter]

Mitarbeiter SOLLTEN ihrer Institution umgehend melden, wenn Informationen, IT-Systeme oder Datenträger verloren oder gestohlen wurden. Hierfür SOLLTE es klare Meldewege und Ansprechpartner innerhalb der Institution geben.

INF.9.A6 Entsorgung von vertraulichen Informationen [Mitarbeiter, Haustechnik]

Vertrauliche Informationen SOLLTEN sicher entsorgt werden, also nicht einfach in den Hausmüll. Bevor ausgediente oder defekte Datenträger und Dokumente entsorgt werden, MUSS überprüft werden, ob diese sensible Informationen enthalten. Ist dies der Fall, MÜSSEN die Datenträger und Dokumente wieder mit zurück transportiert werden und auf institutseigenem Wege entsorgt bzw. vernichtet werden.

INF.9.A7 Rechtliche Rahmenbedingungen für das mobile Arbeiten [Leiter Personal, Personalabteilung]

Für das mobile Arbeiten SOLLTEN arbeitsrechtliche und arbeitsschutzrechtliche Rahmenbedingungen beachtet und geregelt werden. Alle relevanten Punkte SOLLTEN entweder durch Betriebsvereinbarungen oder durch zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen dem mobilen Mitarbeiter und Arbeitgeber geregelt werden.

INF.9.A8 Sicherheitsrichtlinie für mobile Arbeitsplätze [Leiter IT]

Alle relevanten Sicherheitsanforderungen für mobile Arbeitsplätze SOLLTEN in einer für die mobilen Mitarbeiter verpflichtenden Sicherheitsrichtlinie dokumentiert werden. Sie SOLLTE zudem mit den bereits vorhandenen Sicherheitsrichtlinien der Institution sowie mit allen relevanten Fachabteilungen abgestimmt werden. Auch SOLLTE die Sicherheitsrichtlinie für mobile Arbeitsplätze regelmäßig aktualisiert werden. Ebenso SOLLTE sie festlegen, dass für jeden mobilen Mitarbeiter ein Vertreter benannt und der Vertretungsprozess regelmäßig geprobt wird. Die Mitarbeiter der Institution SOLLTEN hinsichtlich der aktuellen Sicherheitsrichtlinie sensibilisiert und geschult sein.

INF.9.A9 Verschlüsselung tragbarer IT-Systeme und Datenträger [Benutzer]

Damit schützenswerte Informationen nicht durch unberechtigte Dritte eingesehen werden können, SOLLTE sichergestellt werden, dass diese entsprechend den internen Richtlinien abgesichert sind. Mobile Datenträger und Clients SOLLTEN dabei verschlüsselt werden. Die kryptographischen Schlüssel SOLLTEN getrennt vom verschlüsselten Gerät aufbewahrt werden.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.9.A10 Einsatz von Diebstahlsicherungen(CIA)

Bietet das verwendete IT-System eine Diebstahlsicherung an, SOLLTE sie benutzt werden. Die Diebstahlsicherungen SOLLTEN stets dort eingesetzt werden, wo ein erhöhter Publikumsverkehr herrscht oder die Fluktuation von Benutzern sehr hoch ist. Dabei SOLLTEN die Mitarbeiter immer beachten, dass der Schutz der auf den IT-Systemen gespeicherten Informationen meist einen höheren Wert besitzt, als die Wiederanschaffungskosten des IT-Systems betragen. Die Beschaffungs- und Einsatzkriterien für Diebstahlsicherungen SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden.

INF.9.A11 Verbot der Nutzung unsicherer Umgebungen(CIA)

Es SOLLTEN Kriterien für die Arbeitsumgebung festgelegt werden, die mindestens erfüllt sein müssen, damit Informationen mit erhöhtem Schutzbedarf mobil bearbeitet werden dürfen. Die Kriterien sollten mindestens folgende Themenbereiche abdecken:

  • Einsicht und Zugriff durch Dritte,
  • geschlossene und falls nötig abschließbare oder bewachte Räume,
  • gesicherte Kommunikationsmöglichkeiten und
  • eine ausreichende Stromversorgung.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Mobiler Arbeitsplatz" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A11.2] ISO/ IEC 27001:2013 - Annex A.11.2 Equipment

    Information technology- Security techniques- Information security management systems- Requirements, insbesondere A.11.2 Equipment, ISO, 2013

  • [27001A6.2.1] ISO/ IEC 27001: 2013 - Annex A.6.2.1 Mobile device policy

    Information technology- Security techniques- Information security management system - Requirements, insbesondere Annex A, A.6.2.1 Mobile device policy, ISO, 2013

  • [ISFPA2] Information Security Forum (ISF), June 2016, insbesondere Area PA2 Mobile Computing

    Information Security Forum, insbesondere Area PA2 Mobile Computing, ISF, 06.2016

  • [NIST80046] NIST Special Publication 800-46 Revision 2

    Guide to Enterprise Telework, Remote Access and Bring Your Own Device (BYOD) Security, NIST, 07.2016
    http://dx.doi.org/10.6028/NIST.SP.800-46r2

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Mobiler Arbeitsplatz" von Bedeutung.

  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.21 Manipulation von Hard- oder Software
  • G 0.22 Manipulation von Informationen
  • G 0.23 Unbefugtes Eindringen in IT-Systeme
  • G 0.24 Zerstörung von Geräten oder Datenträgern
  • G 0.25 Ausfall von Geräten oder Systemen
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
  • G 0.44 Unbefugtes Eindringen in Räumlichkeiten
  • G 0.45 Datenverlust
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK