Logo der activeMind AG

ISO 27002Kapitel 8.1 Endpunktgeräte des Benutzers

Wie können Informationen auf allen Endgeräten einer Organisation bestmöglich geschützt werden? Damit beschäftigt sich Kapitel 8.1 der ISO 27002 und macht angesichts der komplexen Aufgabenstellung zahlreiche Vorschläge.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Mal abgesehen von wenigen völlig autonom laufenden Systemen, werden Informationen immer noch mit dem Zutun von Menschen verarbeitet. Dies setzt Geräte voraus, mit denen Menschen interagieren und Informationen ein- und ausgegeben können, etwa PC und Notebooks, Smartphones und Tablets, Drucker und Multifunktionsgeräte jeder Art sowie jede Weiterentwicklung der genannten.

Sowohl die Anzeige als auch die Eingabe als auch die Veränderung von Informationen auf diesen Endgeräten kann ein Sicherheitsproblem darstellen.

Was empfiehlt die ISO 27002?

Der Ansatz der Norm ist mehrstufig. Im Grunde geht es aber darum, einerseits festzulegen, welche Informationen überhaupt über bestimmte Endgeräte verarbeitet werden und andererseits den Einsatz der Endgeräte an sich zu kontrollieren.

Zusammengefasst werden insbesondere die folgenden Maßnahmen empfohlen:

  • Abhängig von der Klassifizierung und der Art von Informationen sollte festgelegt werden, mit welchen Endgeräten diese verarbeitet werden dürfen. Die einfachste Ausprägung wäre hier eine Unterscheidung zwischen internen und externen Informationen, wobei ausschließlich letztere das eigene Netzwerk oder sogar das eigene Gebäude verlassen dürfen. In der Praxis üblich sind mehrere Stufen für Klassifizierungen, an die sich klare Voraussetzungen für eine Verarbeitung knüpfen. Einfache Beispiele wäre die Klassifizierung als vertraulich oder öffentlich. Wichtig ist, dass über Nutzungsrichtlinien zweifelsfrei verständliche Vorgaben für Mitarbeiter gemacht werden, soweit deren Mitwirkung notwendig oder unvermeidlich ist.
  • Als notwendige Ergänzung zur vorgenannten Maßnahme ist technisch sicherzustellen, dass die vorgesehenen Grenzen auch tatsächlich beachtet werden. Es kann hierzu etwa notwendig sein, dass bestimmte Geräte keine Verbindung zu externen Netzwerken aufbauen können oder andere Endgeräte das interne Netzwerk nicht erreichen oder zumindest nur Teile davon. Hier spricht man auch von Conditional Access, also der von bestimmten Rahmenbedingungen abhänge Zugriff auf Ressourcen oder Daten.
  • Es sollten ausschließlich Geräte eingesetzt werden, die der Organisation bekannt sind und von dieser ausdrücklich zugelassen wurden. Regelungen zur Nutzung von privaten Geräten (BOYD) oder des auch privaten Gebrauchs von Unternehmenseigentum sind unabdingbar. Unbekannte oder nicht registrierte Geräte sollten nach Möglichkeit gar nicht im eigenen Netzwerk funktionieren.
  • Eine Nutzung der Geräte muss den dazu berechtigten Personen vorbehalten sein. Die Befugnis zum Umgang mit Informationen muss sich mit der Berechtigung zur Nutzung des entsprechenden Endgeräts decken.
  • Der physische Schutz sollte gerätespezifisch vorgegeben sein. Unter welchen räumlich-physikalischen Umständen und wo darf ein Gerät eingesetzt werden?
  • Auch die Konfiguration eines Geräts und die Installation von Anwendungen sollten ausschließlich so möglich sein, wie von der Organisation vorgesehen. In diesem Kontext sind neben der Beschneidung der Berechtigungen von Benutzern auch Virenschutzmaßnahmen notwendig. Wichtig ist, dass die Organisation stets die Kontrolle über die eingesetzten Geräte behält. Der Einsatz sowohl von Mobile Device Management (MDM) zur Regulierung der Hardware als auch Mobile Application Management (MAM) zur Steuerung der Anwendungen wird daher schnell unumgänglich. Diese Kontrolle kann aber insbesondere dann zur rechtlichen und tatsächlichen Herausforderung werden, falls fremde bzw. private Geräte eingesetzt werden sollen, auf denen dann private Daten, an denen ggf. nur der Mitarbeiter die Rechte besitzt (bspw. Familienfotos) und Informationen der Organisation auseinander zu halten sind.
  • Sinnvoll ist es, wenn die Organisation auch remote sämtliche notwendigen Maßnahmen an Endgeräten vornehmen und diese nötigenfalls sperren oder notfalls löschen kann.
  • Die Speicher jedes Endgeräts sollten nach Möglichkeit verschlüsselt sein. Bitlocker im Windows Umfeld bzw. Filevault im Bereich Apple sollten Standard sein. Der Schutz von Informationen kann auch erhöht werden, indem verschiedene Partitionen eingerichtet und genutzt werden.
  • Schnittstellen der Endgeräte sollten ebenfalls kontrolliert und ggf. deaktiviert werden. Eine einfache und wirksame Möglichkeit ist die Sperre oder Absicherung von USB-Anschlüssen. Aber auch die Möglichkeiten Funkverbindungen aufzubauen, müssen möglicherweise eingeschränkt und abgesichert sein.
  • Ebenfalls einfach und wirksam ist, per Endgerät lediglich flüchtig den Fernzugriff auf interne Informationen und Anwendungen zu ermöglichen. Arbeitet ein Benutzer etwa über ein VPN per Remote-Desktop auf einem Terminalserver, gelangen bei korrekter Umsetzung keine Informationen auf das hierzu eingesetzte Endgerät.

Neben allen technischen Maßnahmen ist zusätzlich auch die Mitwirkung der Benutzer von Endgeräten unverzichtbar.

  • Die Benutzung von Geräten darf nur in einer Umgebung erfolgen, die den Sicherheitsanforderungen genügt. Vertrauliche Informationen sind nur Orten zu verarbeiten, die weder Einblick noch Lauschen gestatten. Sichtschutzfilter sind eine einfache Möglichkeit, zumindest einige Arbeiten etwa auch in öffentlichen Verkehrsmitteln zu ermöglichen.
  • Ungeachtet von automatischen Sperren, sollten Geräte vom Benutzer selbst gesperrt werden, sobald sie nicht mehr in Benutzung sind.
  • Geräte sollten jederzeit sicher transportiert und verwahrt werden. Als Grundregel gehören Geräte ausschließlich ins persönliche Handgepäck.

Fazit

Die Absicherung von Endgeräten und deren Nutzung ist mit eine der wichtigsten Aufgaben für Organisationen. Diese sind dazu bestimmt, von Menschen verwendet zu werden, die auch mal Fehler machen, sie befinden sich regelmäßig an Orten, die weit weniger physikalischen Schutz bieten als zentrale IT-Räume, und fast regelmäßig sind auch Daten in beachtlicher Menge und Kritikalität zumindest temporär auf diesen Geräten gespeichert. Gefahren drohen aus den unterschiedlichsten Richtungen.

Die richtige Balance zwischen der Arbeitsfähigkeit von Mitarbeitern und der Informationssicherheit zu finden, ist oft nicht ganz einfach.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Oft sind Organisationen die hier möglichen Lösungen nicht bekannt oder der verfolgte Ansatz ist zwar grundsätzlich richtig, greift aber am Ende zu kurz und es bleiben möglicherweise fatale Lücken.

Im Rahmen einer Zertifizierung nach ISO 27001 können Berater mit ausreichender Erfahrung dabei sehr gut helfen und Organisationen mit Lösungen  überraschen, die gar nicht mal so kompliziert sind.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.