Mobilgeräte in der DIN EN ISO/IEC 27001

Als Beraterin für Informationssicherheit hat sich unsere Kollegin Bettina Schwarz wieder mal mit einem Thema der DIN EN ISO/IEC 27001 beschäftigt. Dieses Mal geht es um Mobilgeräte und wie nah eine Norm doch mit der Realität verbunden ist.

Weiterhin behauptet sie: „Wir leben alle nach einem Standard. Wir könnten uns das Leben jedoch wesentlich einfacher und vor allem zeit- und ressourcensparender gestalten, wenn wir dies auch erkennen.“ Warum dies ihre Behauptung ist und welche Punkte man beim Einsatz von Mobilgeräten in einer Organisation beachten sollte hat sie für uns zusammengefasst:

In der ISO 27001 bzw. 27002 lautet die Überschrift der Maßnahme A.6.2.1 „Richtlinie zu Mobilgeräten“. Doch worum geht es hier überhaupt?

Im ersten Moment lässt die Überschrift „Richtlinie“ vermuten, dass es sich nur um ein Stück Papier mit Handlungs- oder Ausführungsvorschriften für die Mitarbeiter handelt.  Schaut man genauer hin, erkennt man die typische Vorgehensweise: den Umgang mit Risiken.

Die ISO fordert nicht nur eine Richtlinie, sondern auch unterstützende Sicherheitsmaßnahmen, die nach dem jeweiligen Risiko der Organisation durch die Nutzung, also dem Einsatzfeld, der Mobilgeräte umgesetzt werden sollen.

Dazu bietet die DIN EN ISO/IEC 27001 eine Vielzahl von Handlungsempfehlungen. Auch die IT-Grundschutz-Bausteine wie unter anderem SYS.3.3: Mobiltelefon oder SYS.3.1 Laptops können hilfreich sein. Nachfolgend ein paar Maßnahmen zur Risikoverminderung:

  • Maßnahmen für den physischen Schutz (Diebstahl, unberechtigte Einsichtnahme, Staub etc.)
  • Zentrale Beschaffung, Konfiguration und Ausgabe
  • Regelungen für die Nutzung privater Endgeräte (BYOD) bzw. für die private Nutzung von organisationseigenen Endgeräten
  • Einschränkung von Softwareinstallation und eingeriegeltes Patchmanagement
  • Verschlüsselung (ggf. Kryptographie im Ausland, hier können andere Regelungen gelten)
  • Remote-Deaktivierung bzw. Löschung oder Sperrung
  • Backup und Restore
  • Einschränkungen für Verbindungen mit WLAN oder Hotspot
  • Feste Meldewege bei Missbrauchsverdacht oder Diebstahl

Und selbstverständlich ist es unerlässlich, dass die Mitarbeiter genau wissen, in welcher (erlaubten) Weise, sie mit den Mobilgeräten umgehen müssen. Da kommen dann wieder die Richtlinie und weiterführende Awareness- und Sensibilisierungsmaßnahmen ins Spiel.
Grade bei Mobilgeräten ist besondere Vorsicht geboten, insbesondere wenn sie an öffentlichen Orten, in Fahrzeugen oder Hotels verwendet werden.

Um nun auf die Behauptung von Bettina Schwarz zurückzukommen: „Wir leben alle nach einem Standard. Wir könnten uns das Leben jedoch wesentlich einfacher und vor allem zeit- und ressourcensparender gestalten, wenn wir dies auch erkennen.“

Jede Organisation macht sich vor, während und nach dem Einsatz von informationsverarbeitenden Einrichtungen, sei es ein Smartphone, Notebook oder z.B. ein Server Gedanken über das richtige Modell, die notwendigen Funktionen, den richtigen Einsatz und die Sicherheitsmaßnahmen. Kurz gesagt, man macht sich Gedanken zu den Risiken (und Chancen).

Haben wir das erkannt, bauen wir uns eine geordnete Struktur auf und erfinden nicht jedes Mal das Rad neu, wenn es eine Änderung in der Organisation gibt, kann dies extrem zeit- und ressourcensparend sein.
Dazu bietet die DIN EN ISO/IEC 27001 einem erprobten Standard und viele Handlungsempfehlungen, sodass kein wichtiger Punkt vergessen werden kann.