Worum geht es?
Werden Werte aus dem räumlichen Herrschaftsbereich der eigenen Organisation verbracht, geht damit immer auch ein gewisser Kontrollverlust einher. Zudem besteht häufig eine veränderte Bedrohungslage. Dass etwa ein mobiles Gerät während einer Dienstreise verloren geht oder gestohlen wird, ist deutlich wahrscheinlicher, als wenn es im Büro auf dem Schreibtisch steht. Genauso können in der Bahn gegebenenfalls wesentlich mehr Personen einen Blick auf den Bildschirm oder in Unterlagen werfen als am eigenen Arbeitsplatz.
Soweit Tätigkeiten außerhalb der eigenen Räumlichkeiten erlaubt werden sollen, muss die Organisation sich daher auf diese veränderten Bedrohungen einstellen und auch auf alternative Maßnahmen zur Abwehr zurückgreifen.
Was empfiehlt die Norm?
Laut Kapitel 7.9 der ISO 27002 ist es grundlegend, zuerst einmal klar festzulegen, wer welche Werte unter welchen Umständen überhaupt aus der Organisation verbringen darf. Ebenfalls nötig sind eindeutige Regelungen, welche externen Geräte eingesetzt werden dürfen, wobei insbesondere an private Geräte zu denken ist (siehe dazu unser Ratgeber zu Bring Your Own Device).
Diese essenziellen Fragen sollten direkt von der Unternehmensleitung verantwortet und beantwortet werden.
Sind die Grundsätze festgelegt, sollten weitere Punkte beachtet werden, abhängig davon, ob es um eine vorübergehende Tätigkeit außerhalb der Geschäftsräume geht oder um die dauerhafte Verbringung von Werten außerhalb der Organisation.
Für die mobile, vorübergehende Arbeit sind folgende Gesichtspunkte bedenkenswert:
- Nachvollziehbarkeit: Wer hat was aus der Organisation entfernt? Gibt es weitere Empfänger? Erfolgte am Ende eine vollständige Rückführung?
- Ist sichergestellt, dass Geräte und Informationen nicht unbeaufsichtigt oder ungesichert zugänglich sind? Wissen alle Reisenden beispielsweise, dass Mobilgeräte im Handgepäck mitgeführt werden müssen und Geräte am Ende des Arbeitstages nicht auf den Nachtschrank, sondern in den Hotelsafe gehören?
- Muss neben einem IT -Gerät auch immer bereits darauf gespeicherte Informationen mitgenommen werden? Genügt es nicht auch oft, ein mehr oder weniger leeres Gerät mitzunehmen und auf benötigte Informationen ausschließlich per abgesichertem Fernzugriff und nur dann und soweit zuzugreifen, wie es unbedingt notwendig ist?
- Haben alle Mitarbeiter die benötigte Ausrüstung, um unterwegs sicher zu arbeiten? Sichtschutzfolien? Material zum Anketten der IT-Geräte?
- Stehen Möglichkeiten zur Ortung und Fernbedienung und notfalls zur Löschung von Mobilgeräten zur Verfügung?
Geht es um die dauerhafte Verbringung/Aufstellung außerhalb der Organisation, müssen im Grunde die gleichen Überlegungen angestellt werden, wie innerhalb der Organisation. Der physische Zutritt und der logische Zugang müssen abgesichert werden. Der genutzte Standort muss angemessenen Schutz vor physischen und umweltbedingten Bedrohungen bieten und auch eine sprechende Überwachung ermöglichen.
Auch in diesem Zusammenhang gilt, dass mit dem Outsourcing die eigene Verantwortung nicht notwendigerweise kleiner wird; sie erweitert sich vielmehr auf den genutzten fremden Bereich.
Fazit: Veränderungen im Arbeitsalltag erfordern Anpassung
Der in Kapitel 7.9 der ISO 27002 behandelte Bereich hat sich in letzter Zeit teils deutlich verändert. Die Geschäftsreise ist weit weniger üblich geworden, dafür ist die Arbeit im Home-Office alltäglich. Lediglich bei der Nutzung ortsgebundene fremder Dienste (Rechenzentrum, Leitungen, Antennen etc.) gab es keine Verschiebung. Bei diesen letztgenannten allerdings wird die korrekte Umsetzung meist schon über den eingesetzten Anbieter bezogen.
Die Tätigkeit der eigenen Belegschaft sauber zu regeln und umsetzen, fällt dagegen vielen Organisationen äußerst schwer. Zur mangelnden Kenntnis kommt hier oft auch noch das Unbehagen, dass eigene Personal zu gängeln. Das Problem löst sich allerdings nicht, indem man das Thema ignoriert und verschweigt.