Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.7 — Aufgeräumte Arbeitsumgebung und Bildschirmsperren

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.7 ISO 27001ISO 27002BSI SYS.2.1

18:30 Uhr, das Büro leert sich. Auf dem Schreibtisch der Personalabteilung liegt eine Gehaltsliste, daneben ein USB-Stick. Der Bildschirm zeigt die geöffnete Personalakte. Die Reinigungskraft kommt um 19 Uhr. A.7.7 fordert Regeln für aufgeräumte Schreibtische und gesperrte Bildschirme — weil Informationssicherheit an der Tastatur beginnt.

Diese Kontrolle adressiert ein alltägliches Risiko: Informationen, die offen auf Schreibtischen, Bildschirmen, Druckern oder Whiteboards zugänglich sind. Die Maßnahmen sind einfach, die Herausforderung liegt in der konsequenten Umsetzung.

Was verlangt die Norm?

  • Sensible Unterlagen wegschließen. Dokumente und Speichermedien werden in abschließbaren Möbeln aufbewahrt, wenn sie nicht aktiv genutzt werden — insbesondere beim Verlassen des Arbeitsplatzes.
  • Bildschirm sperren. Geräte werden bei Verlassen des Arbeitsplatzes gesperrt oder abgemeldet. Eine automatische Bildschirmsperre nach kurzer Inaktivitätszeit ist zusätzlich konfiguriert.
  • Druckausgaben sofort abholen. Dokumente am Drucker werden unverzüglich abgeholt, nicht liegen gelassen. Vertrauliche Dokumente erfordern eine Authentifizierung am Drucker (Pull-Printing).
  • Whiteboards und Displays löschen. Nach Besprechungen werden sensible Inhalte von Whiteboards, Flipcharts und Bildschirmen entfernt.
  • Speichermedien sicher aufbewahren. USB-Sticks, externe Festplatten und andere Datenträger werden verschlossen aufbewahrt oder sicher entsorgt, wenn sie nicht mehr benötigt werden.

In der Praxis

Clean-Desk-Richtlinie verabschieden. Definiere schriftlich, welche Informationen als sensibel gelten, wie sie aufbewahrt werden müssen und was am Ende des Arbeitstages auf dem Schreibtisch liegen darf (Antwort: nichts Vertrauliches). Die Richtlinie wird allen Beschäftigten bei der Einstellung ausgehändigt.

Bildschirmsperre zentral konfigurieren. Per Group Policy (Windows) oder MDM-Profil (macOS/Mobile) wird die automatische Sperre nach maximal fünf Minuten Inaktivität erzwungen. Beschäftigte können die Einstellung nicht deaktivieren. Prüfe regelmäßig, ob die Richtlinie auf allen Geräten greift.

Stichproben nach Feierabend. Ein Verantwortlicher führt regelmäßig (z. B. monatlich) Rundgänge nach Feierabend durch: Liegen Dokumente offen, sind Bildschirme gesperrt, sind Schränke verschlossen? Die Ergebnisse werden anonym dokumentiert und als aggregierte Statistik an die Abteilungen kommuniziert.

Ausstattung bereitstellen. Clean Desk funktioniert nur, wenn die Infrastruktur stimmt: Jeder Arbeitsplatz braucht einen abschließbaren Schrank oder Rollcontainer. Besprechungsräume brauchen Reinigungstücher für Whiteboards und die Erwartung, sie zu nutzen.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.7 typischerweise diese Nachweise:

  • Clean-Desk-/Clear-Screen-Richtlinie — schriftliche Regelung (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • GPO-/MDM-Konfiguration — Nachweis der zentral erzwungenen Bildschirmsperre
  • Stichproben-Protokolle — Ergebnisse der Rundgänge nach Feierabend
  • Schulungsnachweise — Nachweis, dass alle Beschäftigten die Richtlinie kennen
  • AusstattungsnachweisVerfügbarkeit abschließbarer Aufbewahrung an jedem Arbeitsplatz

KPI

Anteil der Arbeitsplätze mit nachgewiesener Einhaltung der Clean-Desk-/Clear-Screen-Richtlinie

Gemessen durch Stichproben nach Feierabend: An wie vielen Arbeitsplätzen werden die Regeln eingehalten? Ziel: über 95%. Ein Wert unter 80% deutet auf mangelnde Sensibilisierung oder fehlende Ausstattung (abschließbare Möbel) hin.

Ergänzende KPIs:

  • Anteil der Geräte mit aktiver automatischer Bildschirmsperre
  • Anzahl der bei Stichproben gefundenen offenen Dokumente pro Monat
  • Anteil der Drucker mit konfiguriertem Pull-Printing

BSI IT-Grundschutz

A.7.7 mappt auf mehrere BSI-Bausteine:

  • SYS.2.1.A1 (Benutzerauthentisierung) — Bildschirmsperre und Authentisierung am Arbeitsplatz.
  • INF.7.A6 (Aufgeräumter Arbeitsplatz) — Explizite Anforderung an die Aufräumpflicht nach Arbeitsende.
  • INF.7.A7, INF.7.A8 — Aufbewahrung dienstlicher Unterlagen und Verschluss von Arbeitsplätzen.
  • INF.8.A1, INF.8.A6 — Clean-Desk-Anforderungen für häusliche Arbeitsplätze.
  • SYS.4.5 — Sicherer Umgang mit Wechseldatenträgern, einschließlich Aufbewahrung.
  • ORP.4.A9 — Sperren der Sitzung bei Verlassen des Arbeitsplatzes.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Wie kurz muss die Bildschirmsperre sein?

Die Norm nennt keine exakte Zeit. In der Praxis hat sich eine automatische Sperre nach maximal fünf Minuten Inaktivität bewährt. Für Systeme mit besonders sensiblen Daten (z. B. HR, Finanzen) können kürzere Zeiten sinnvoll sein. Ergänzend sollten alle Beschäftigten per Tastenkombination manuell sperren.

Muss ich am Ende jedes Tages wirklich den Schreibtisch leerräumen?

Ja, zumindest von vertraulichen Unterlagen. Die Norm verlangt, dass sensible Dokumente in abschließbaren Möbeln aufbewahrt werden, wenn sie nicht in Gebrauch sind. Öffentliche Informationen dürfen liegen bleiben. Die Richtlinie sollte klar definieren, was als sensibel gilt.

Wie prüfe ich die Einhaltung der Clean-Desk-Richtlinie?

Regelmäßige Stichproben nach Feierabend: Ein Verantwortlicher geht durch die Büros und prüft, ob Dokumente offen liegen, Bildschirme gesperrt und Schränke verschlossen sind. Die Ergebnisse werden anonym ausgewertet und an die Abteilungen zurückgemeldet.