Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.7 — Telearbeit

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.7 ISO 27001ISO 27002BSI OPS.1.2.4

Homeoffice ist Alltag. Was 2020 als Notlösung begann, ist für viele Organisationen zum Dauerzustand geworden. Der Laptop steht am Küchentisch, das WLAN teilt sich die Familie, vertrauliche Telefonate laufen über den Flur. A.6.7 fordert, dass Organisationen für Telearbeit dieselben Sicherheitsstandards definieren und durchsetzen wie für den Büroarbeitsplatz.

Die Kontrolle adressiert alle Szenarien, in denen Beschäftigte außerhalb der Organisationsräume arbeiten — Homeoffice, Coworking-Spaces, Reisen, Kundeneinsätze. Für jedes Szenario braucht es passende Sicherheitsmaßnahmen.

Was verlangt die Norm?

  • Richtlinie für Telearbeit. Ein dokumentiertes Regelwerk, das die Sicherheitsanforderungen für alle Formen von Remote-Arbeit definiert.
  • Physische Sicherheit des Arbeitsplatzes. Anforderungen an den Remote-Arbeitsplatz: Abschließbarer Raum oder Bereich, Sichtschutz, sichere Aufbewahrung von Unterlagen.
  • Sichere Kommunikation. Verschlüsselte Verbindungen (VPN), sichere E-Mail-Übertragung, Schutz vor Mithören bei Telefon- und Videokonferenzen.
  • Gerätesicherheit. Anforderungen an die eingesetzten Endgeräte: Festplattenverschlüsselung, aktuelle Patches, Endpoint-Protection, automatische Bildschirmsperre.
  • Netzwerksicherheit. Regelungen für die Nutzung von Heim-WLAN, öffentlichen Netzen und mobilen Hotspots.

In der Praxis

Telearbeitsrichtlinie erstellen und schulen. Die Richtlinie definiert: Welche Rollen dürfen remote arbeiten, welche Mindestanforderungen gelten, welche Geräte sind zugelassen, wie wird der Zugang gesichert, welche Daten dürfen wo verarbeitet werden. Die Richtlinie wird bei der Einführung geschult und bei jeder Änderung aktualisiert.

Technische Baseline durchsetzen. Alle Endgeräte für Telearbeit erfüllen eine technische Baseline: Festplattenverschlüsselung (BitLocker/FileVault), automatische Bildschirmsperre nach 5 Minuten, aktueller Patchstand, Endpoint-Protection, VPN-Client. Bei firmeneigenen Geräten wird das über MDM (Mobile Device Management) durchgesetzt. Bei BYOD über eine Zugangsvoraussetzung (kein MDM-Enrollment → kein Zugang).

Selbstauskunft für den Heimarbeitsplatz. Eine jährliche Selbstauskunft, in der Beschäftigte bestätigen, dass ihr Heimarbeitsplatz die Anforderungen erfüllt: separater Arbeitsbereich, abschließbar, keine Einsicht durch Dritte, gesichertes WLAN mit aktuellem Passwort. Die Selbstauskunft wird dokumentiert und bei Bedarf durch eine Begehung ergänzt.

Incident-Szenarien für Remote-Arbeit vorbereiten. Ein gestohlener Laptop im Zug, ein kompromittiertes Heim-WLAN, ein Familienmitglied mit Zugang zum Firmengerät — für diese Szenarien braucht es klare Handlungsanweisungen. Die Meldepflicht (A.6.8) gilt auch und besonders im Remote-Kontext, wo die Hemmschwelle höher sein kann.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.7 typischerweise diese Nachweise:

  • Telearbeitsrichtlinie — das dokumentierte Regelwerk (→ Telearbeitsrichtlinie im Starter Kit)
  • Technische Baseline — Dokumentation der Mindestanforderungen an Endgeräte
  • MDM-Konfiguration — Nachweis, dass die Baseline technisch durchgesetzt wird
  • Selbstauskünfte — Bestätigungen der Beschäftigten zur Heimarbeitsplatzgestaltung
  • VPN-Logs — Nachweis, dass Remote-Zugriffe über verschlüsselte Verbindungen erfolgen
  • Schulungsnachweis — Beleg, dass Beschäftigte die Telearbeitsrichtlinie kennen

KPI

% der Remote-Mitarbeitenden mit nachgewiesener Einhaltung der Fernarbeitsrichtlinie

Gemessen als Prozentsatz: Wie viele der Beschäftigten, die regelmäßig remote arbeiten, erfüllen nachweislich alle Anforderungen der Telearbeitsrichtlinie (Selbstauskunft, MDM-Enrollment, VPN-Nutzung)? Ziel: 100%. In der Praxis starten viele Organisationen bei 70–80%, weil Altgeräte oder BYOD-Fälle nachgerüstet werden müssen.

Ergänzende KPIs:

  • Anteil der Remote-Endgeräte mit durchgesetzter technischer Baseline
  • Anzahl der Remote-Zugriffe ohne VPN pro Monat (Ziel: 0)
  • Anteil der Beschäftigten mit aktueller Selbstauskunft zum Heimarbeitsplatz

BSI IT-Grundschutz

A.6.7 mappt auf mehrere BSI-Bausteine, da Telearbeit ein Querschnittsthema ist:

  • OPS.1.2.4 (Telearbeit) — der Kernbaustein. Fordert eine Telearbeitsrichtlinie, technische und organisatorische Maßnahmen für den Remote-Arbeitsplatz und die Schulung der Beschäftigten.
  • INF.8 (Häuslicher Arbeitsplatz) — definiert Anforderungen an die physische Sicherheit des Heimarbeitsplatzes: abschließbarer Bereich, Sichtschutz, sichere Aufbewahrung von Unterlagen und Datenträgern.
  • INF.9 (Mobiler Arbeitsplatz) — ergänzt INF.8 um die Anforderungen für mobile Arbeitsszenarien: Reisen, Kundeneinsätze, Coworking-Spaces.
  • NET.3.3 (VPN) — technische Anforderungen an die VPN-Lösung: Verschlüsselung, Authentifizierung, Konfiguration.
  • CON.7.A7 (Sicherer Fernzugriff) — übergreifende Anforderungen an den sicheren Zugriff auf Organisationsressourcen von außerhalb.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauche ich eine separate Telearbeitsrichtlinie?

ISO 27001 verlangt keine separate Richtlinie, aber ein dokumentiertes Regelwerk für Telearbeit. In der Praxis hat sich eine eigenständige Richtlinie bewährt, weil sie sich unabhängig aktualisieren lässt und als Anlage zum Arbeitsvertrag dienen kann. Alternativ kann ein eigenes Kapitel in der übergreifenden IS-Richtlinie ausreichen.

Muss ich private Geräte (BYOD) zulassen?

Die Norm verlangt weder eine Zulassung noch ein Verbot von BYOD. Wenn du private Geräte zulässt, brauchst du zusätzliche Regelungen: Mindestanforderungen an die Gerätesicherheit, MDM-Enrollment, Trennung privater und geschäftlicher Daten und eine Vereinbarung, die die Kontrollrechte der Organisation regelt.

Wie überprüfe ich die Einhaltung im Homeoffice?

Technisch über Endpoint-Management (MDM, EDR), VPN-Logs und Zugriffskontrollen. Organisatorisch durch eine jährliche Selbstauskunft der Beschäftigten zur Arbeitsplatzgestaltung (abschließbarer Raum, Bildschirmsperre, Netzwerksicherheit). Stichprobenartige Vor-Ort-Prüfungen sind möglich, aber in Deutschland nur mit Zustimmung.