A.5.10 — Akzeptable Nutzung von Informationswerten

Ein Mitarbeiter kopiert Kundendaten auf einen privaten USB-Stick, um am Wochenende von zu Hause zu arbeiten. Ein anderer nutzt den Firmenlaptop für Kryptowährungs-Mining. Eine dritte Person speichert Projektdokumente in ihrem privaten Dropbox-Konto. A.5.10 fordert klare Regeln, die definieren, was erlaubt ist und was nicht — und dass alle Beteiligten diese Regeln kennen.

Was verlangt die Norm?

Nutzungsregeln definieren. Für alle Informationswerte und Verarbeitungseinrichtungen werden Regeln zur akzeptablen Nutzung erstellt.
Alle Zielgruppen einbeziehen. Die Regeln gelten für Beschäftigte, externe Dienstleister und alle Personen mit Zugang zu den Assets der Organisation.
Kenntnisnahme dokumentieren. Alle betroffenen Personen bestätigen, dass sie die Regeln gelesen und verstanden haben.
Handhabungsverfahren festlegen. Die Richtlinie beschreibt, wie Informationen je nach Klassifizierung gehandhabt werden — Speicherung, Übertragung, Entsorgung.

In der Praxis

Nutzungsrichtlinie praxisnah formulieren. Vermeide Juristendeutsch. Beschreibe konkret: Was darf ich mit dem Firmenlaptop tun? Darf ich private E-Mails lesen? Welche Cloud-Dienste sind erlaubt? Was mache ich mit einem gefundenen USB-Stick? Je konkreter, desto weniger Interpretationsspielraum.

Kenntnisnahme-Prozess digitalisieren. Papierunterschriften sind fehleranfällig und schlecht durchsuchbar. Nutze ein Tool, das die Richtlinie digital verteilt, die Kenntnisnahme trackt und bei fehlender Bestätigung eskaliert. Das spart Aufwand und liefert saubere Audit-Nachweise.

Regeln für mobile Arbeit und Reisen ergänzen. Beschreibe die Nutzung von Firmendaten in öffentlichen Verkehrsmitteln, Hotels, Co-Working-Spaces. Themen: Bildschirmschutzfolien, VPN-Pflicht, Verbot der Nutzung öffentlicher Ladestationen (Juice Jacking), Verhalten bei Verlust/Diebstahl.

Konsequenzen klar benennen. Die Richtlinie muss beschreiben, was bei Verstößen passiert. Das muss mit der Rechtsabteilung und HR abgestimmt sein — arbeitsrechtliche Konsequenzen erfordern eine saubere Grundlage.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.10 typischerweise diese Nachweise:

Nutzungsrichtlinie — das Regelwerk zur akzeptablen Nutzung (→ Akzeptable Nutzung im Starter Kit)
Kenntnisnahme-Bestätigungen — unterschriebene oder digital bestätigte Erklärungen aller betroffenen Personen
Bestätigungsquote — Übersicht, welcher Anteil der Belegschaft bestätigt hat
NDA/Vertraulichkeitsvereinbarungen — für externe Dienstleister mit Systemzugang
Schulungsmaterial — Nachweis, dass die Nutzungsregeln in Awareness-Schulungen behandelt werden

KPI

% der Mitarbeitenden, die die Richtlinie zur akzeptablen Nutzung bestätigt haben

Ziel: 100% aller Personen mit Zugang zu Informationswerten der Organisation. Dazu zählen Mitarbeitende, Leiharbeitskräfte und externe Dienstleister mit Systemzugang. Typisches Problem: Neue Mitarbeitende im Onboarding-Prozess und externe Kräfte mit temporärem Zugang.

Ergänzende KPIs:

Anteil der externen Dienstleister mit unterzeichneter NDA
Anzahl der gemeldeten Verstöße gegen die Nutzungsrichtlinie pro Quartal
Anteil der Beschäftigten, die die Richtlinie im letzten Jahr erneut bestätigt haben

BSI IT-Grundschutz

A.5.10 korrespondiert mit folgenden BSI-Bausteinen:

ISMS.1.A2 (Festlegung der Sicherheitsziele und -strategie) — die Nutzungsrichtlinie konkretisiert die Sicherheitsziele für den täglichen Umgang mit Informationswerten.
ORP.3.A3 (Einweisung des Personals) — alle Beschäftigten müssen in die Nutzungsregeln eingewiesen werden.
CON.9 (Informationsaustausch) — regelt den sicheren Umgang mit Informationen beim internen und externen Austausch.
CON.7.A2 (Sicherheitsrichtlinien für mobile Arbeit) — spezifische Regeln für mobiles Arbeiten und Telearbeit.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.10 — Akzeptable Nutzung
ISO/IEC 27002:2022 Abschnitt 5.10 — Umsetzungshinweise
BSI IT-Grundschutz, ORP.3 — Sensibilisierung und Schulung

Häufig gestellte Fragen

Was muss eine Acceptable Use Policy mindestens enthalten?

Erlaubte und verbotene Nutzung von Firmengeräten und -netzen, Regeln für private Nutzung (sofern erlaubt), Umgang mit vertraulichen Informationen, Verhalten bei mobiler Arbeit und auf Reisen, Meldepflicht bei Sicherheitsvorfällen und die Konsequenzen bei Verstößen.

Müssen auch externe Dienstleister die Nutzungsrichtlinie unterzeichnen?

Ja, wenn sie Zugang zu Informationen oder Systemen der Organisation haben. In der Praxis geschieht das über eine Vertraulichkeitsvereinbarung (NDA) plus Verweis auf die Nutzungsrichtlinie. Der Umfang kann auf die relevanten Abschnitte beschränkt werden.

Darf ich private Nutzung von Firmengeräten erlauben?

Das ist eine organisatorische Entscheidung. ISO 27001 schreibt kein Verbot vor. Wenn du private Nutzung erlaubst, musst du die Risiken bewerten und zusätzliche Kontrollen definieren (z. B. getrennte Profile, MDM-Lösung, klare Regelung zur Datentrennung). Die Regeln gehören in die Nutzungsrichtlinie.

Responsible	ISB / (C)ISO
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, DSB, Abteilungsleitung, HR, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, Rechtsberatung, Lieferantenmanagement
Informed	Alle Beschäftigten, Asset-Eigentümer, ISB