ISO 27002 - Kapitel 6.7 Remote-Arbeit bzw. Tätigkeiten von außerhalb der Geschäftsräume

Spätestens seit der Corona-Pandemie ist mobile Arbeit allgegenwärtig. Vor allem das Home-Office ist nahezu selbstverständlich geworden und die Tendenz setzt sich weiter fort. Nicht gerade wenige Organisationen haben schon gar keine eigenen Büroräume mehr oder aber nur noch solche, die nicht mehr auf eine Vollbesetzung ausgelegt sind.

Aus Sicht der Informationssicherheit sind diese Veränderungen erheblich, da die in den eigenen Geschäftsräumen etablierten Sicherheitsmechanismen nicht mehr greifen oder jedenfalls nicht mehr so ohne weiteres umgesetzt und kontrolliert werden können. Im Ergebnis aber darf das erforderliche Sicherheitsniveau nicht geschmälert werden. In diesem Beitrag stellen wir Lösungsvorschläge für dieses Problem dar, die in Kapitel 6.7 der ISO 27002:2022 enthalten sind.

Was versteht die ISO 27002 unter Remote-Arbeit?

Betrachtet werden müssen alle Tätigkeiten, die von außerhalb des eigenen Geländes einer Organisation erfolgen und bei denen Informationen der Organisation genutzt werden. Hierbei geht es sowohl um digitale Informationen als auch solche, die insbesondere auf Papier verkörpert sind.

Es geht also um die Arbeit von zuhause, die Arbeit von unterwegs, Tätigkeiten bei Kunden oder Geschäftspartnern, die Arbeit am Urlaubsort im Café oder von Bahnhof oder Flughafen aus. Selbstverständlich muss auch der Transport der Daten von einem an den anderen Ort betrachtet werden.

Welche Besonderheiten müssen betrachtet werden?

Wie bereits angesprochen, darf eine Veränderung des Arbeitsortes nicht dazu führen, dass die notwendige Informationssicherheit beeinträchtigt wird. Organisationen müssen daher Überlegungen anstellen, welche Auswirkungen es hat, wenn Arbeiten außerhalb des strikt kontrollierten eigenen Bereiches erfolgen, und wie die veränderten oder hinzukommenden Risiken eingeschränkt werden können.

Der Ortswechsel an sich ist dabei bereits die Veränderung mit den potentiell höchsten Auswirkungen. Neben einer möglicherweise völlig anderen räumlich-physikalischen Sicherheit müssen gegebenenfalls auch Änderungen des Rechtskreises berücksichtigt werden. Wer geschäftlich reist, arbeitet am Ankunftsort möglicherweise nicht nur aus einem lediglich spärlich gesicherten Hotelzimmer mit fremdem WLAN, er hat gegebenenfalls auch eine Grenze passiert und es besteht ab diesem Moment die Möglichkeit eines behördlichen Zugriffes auf mitgeführte Gegenstände und Informationen.

Organisationen müssen sich daher Gedanken darüber machen, an welchen Orten, welche Informationen unter welchen Bedingungen genutzt werden können und ob gegebenenfalls ein Verbot umgesetzt werden muss. Unter Umständen dürfen bestimmte Informationen schon gar nicht erst mitgeführt werden, stattdessen ist höchstens noch ein dann stark abgesicherter Remote-Zugriff vom Ankunftsort aus erlaubt.

Soweit möglich, müssen die technischen Voraussetzungen bestimmt und geschaffen werden, um die notwendigen Bedingungen zu erfüllen. Beispielsweise müssen die erforderlichen Verschlüsselungstechniken bereitgestellt werden.

Die Einhaltung mancher Voraussetzungen wird am Ende von der remote tätigen Person selbst sichergestellt werden müssen. Diese hat selbst darauf zu achten, dass ihr beispielsweise niemand unbefugt über die Schulter blicken kann. Sicher gibt es unterstützende Maßnahmen, wie entsprechende Sichtschutzfolien. Letztendlich aber ist die Aufmerksamkeit und Verantwortlichkeit des jeweiligen Mitarbeitenden gefragt – und zwar auch, wenn er sich zu Hause oder unter Freunden befindet. Entsprechende Sensibilisierungsmaßnahmen sind unverzichtbar.

Zusammengefasst schlägt die ISO 27002 im Einzelnen folgendes für die Absicherung von Remote-Arbeit vor:

  • Eindeutige Klassifizierung von Informationen und den Bedingungen, unter denen diese Informationen verarbeitet werden dürfen.
  • Definition der angesichts der verarbeiteten Informationen notwendigen physischen Sicherheit am Ort der Tätigkeit. Hierbei muss nicht nur die Arbeit an sich betrachtet werden, sondern auch Transport und Verwahrung der eingesetzten Informationen bzw. Informationstechnologie. Was etwa passiert mit Notebook und Notizen während der Reise und am Ende eines Arbeitstages?
  • Bestimmung und Umsetzung der Maßnahmen, die für die Sicherheit der mitgeführten Informationstechnologie notwendig sind. Zu denken ist beispielsweise an zwingenden Passwortschutz und kurzfristige automatische Sperre von Geräten, die Vollverschlüsselung von allen Datenspeichern oder die Möglichkeit, bei Bedarf aus der Ferne auf Geräte einzuwirken, um diese zu warten oder im Ernstfall aufzufinden oder zu löschen.
  • Bestimmung der erforderlichen Sicherheit bei der Kommunikation und insbesondere beim Fernzugriff auf Informationen. In diesem Zusammenhang ist wichtig, dass reisenden Mitarbeitenden alle notwendigen technischen Mittel zuverlässig zur Verfügung stehen. Verschlüsselungstechnologien, Firewalllösungen, VPN-Zugänge nebst den notwendigen Zertifikaten oder Methoden zur Multifaktor Authentifizierung müssen von der Organisation fix und fertig bereitgestellt werden und für die Mitarbeiter zwingend sein.
  • Um tatsächliche und rechtliche Schwierigkeiten bei der zuverlässigen Umsetzung und Überwachung der genannten Maßnahmen zu vermeiden, sollte Remote-Arbeit grundsätzlich nur mit organisationseigenen Geräten erfolgen, die dementsprechend gestellt werden müssen.
  • Auf Seiten der Organisation muss gegebenenfalls umgesetzt werden, dass ein Fernzugriff auf bestimmte Informationen nicht erfolgen kann oder jedenfalls nur von bestimmten Orten und auf bestimmten Wegen oder gegebenenfalls nur temporär bzw. zu bestimmten Zeiten möglich ist.
  • Als zusätzliche Maßnahme sollte die Möglichkeit entsprechender Versicherungen in Betracht gezogen werden, um wenigstens finanzielle Auswirkungen möglichst gering zu halten.

Empfehlungen für Unternehmen

Was sollten also Organisationen tun, wenn ein Arbeiten außerhalb der Geschäftsräume ermöglicht wird?

  1. Wie auch sonst oft, steht am Beginn die Bestimmung und klare Definition von Rahmenbedingungen. Was darf überhaupt und falls ja, wie und von wo genutzt werden? Aufbauend auf dieser Überlegung müssen die entsprechenden Prozesse festgelegt und umgesetzt werden.
  2. Soweit irgend möglich, ist die für die Remote-Tätigkeit eingesetzte Technologie vollständig vorzubereiten.
  3. Mitarbeitende müssen geschult und sensibilisiert werden, nicht nur, was den korrekten Einsatz der bereitgestellten Technologie angeht, sondern insbesondere auch dazu, was Mitarbeitende selbst beachten und umsetzen müssen, wenn die technischen Möglichkeiten erschöpft sind.
  4. Selbstverständlich muss die Organisation auf die Einhaltung der bestehenden Vorgaben achten und diese gegebenenfalls auch laufend oder sogar in Echtzeit kontrollieren. Gerade im Zusammenhang mit Remote-Arbeit kann es Auffälligkeiten geben, die sofortiges Handeln erforderlich machen. Ein Mitarbeiter, der sich gerade noch aus dem genehmigten Urlaub an der Nordseeküste anmeldete, sollte sich nicht kurze Zeit später in einem asiatischen Netzbereich befinden.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG erstellt für ihre Mandanten im Rahmen einer Zertifizierung nach ISO 27001 Konzepte für technische und organisatorische Maßnahmen zur Absicherung von remote arbeitendem Personal bzw. von dessen Geräten und den jeweils verfügbaren Informationen. Zudem bieten wir gezielte Schulungs- und Sensibilisierungsmaßnahmen für Mitarbeitende im Bereich Remote-Arbeit.