Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.9 — Sicherheit von Vermögenswerten außerhalb des Firmengeländes

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.9 ISO 27001ISO 27002BSI OPS.1.2.4

Ein Mitarbeiter lässt seinen Laptop im Auto liegen — auf dem Rücksitz, sichtbar durch die Scheibe. Einbruch, Laptop weg. Auf der unverschlüsselten Festplatte: Kundendaten, Zugangsdaten zum CRM und der private SSH-Schlüssel zum Produktivserver. A.7.9 verlangt, dass Vermögenswerte außerhalb des Firmengeländes denselben Schutz erhalten wie im Büro — angepasst an die höheren Risiken der mobilen Nutzung.

Die Kontrolle betrifft jedes Gerät, das das Firmengelände verlässt: Laptops, Smartphones, Tablets, USB-Sticks, aber auch Papierunterlagen auf Dienstreisen. Seit dem Siegeszug von Homeoffice und hybridem Arbeiten ist A.7.9 für nahezu jede Organisation relevant.

Was verlangt die Norm?

  • Genehmigung erforderlich. Die Nutzung von Geräten außerhalb des Firmengeländes — einschließlich privater Geräte für die Arbeit (BYOD) — erfordert eine Genehmigung durch die Leitung.
  • Geräte nicht unbeaufsichtigt lassen. Mobile Geräte dürfen an öffentlichen Orten nicht unbeaufsichtigt bleiben. Herstellervorgaben zum Schutz vor Umwelteinflüssen (Hitze, Feuchtigkeit, Staub) sind einzuhalten.
  • Kette der Verantwortlichkeit. Beim Transport von Geräten wird dokumentiert, wer das Gerät wann in Besitz hatte. Sensible Daten, die für den Transport nicht erforderlich sind, werden vorher gelöscht.
  • Technische Schutzmaßnahmen. Fernlöschung, Standortverfolgung, Vollverschlüsselung und Blickschutz gehören zum Standardrepertoire.
  • Dauerhaft externe Geräte. Fest installierte Geräte außerhalb des Standorts (z. B. Sensoren, Terminals) erfordern zusätzliche Maßnahmen: Überwachung, Manipulationsschutz, physische Zugangskontrolle.

In der Praxis

Richtlinie für mobile Arbeit erstellen. Die Richtlinie regelt: Welche Geräte dürfen das Gelände verlassen? Welche Sicherheitsmaßnahmen sind Pflicht (Verschlüsselung, VPN, Bildschirmsperre)? Was passiert bei Verlust? Wie wird BYOD gehandhabt? Die Richtlinie wird bei der Geräteausgabe unterschrieben.

MDM-Lösung einführen. Ein Mobile-Device-Management-System (z. B. Intune, Jamf, MobileIron) erzwingt Sicherheitsrichtlinien auf allen Geräten: Verschlüsselung, Passwort-Komplexität, automatische Updates, Fernlöschung bei Verlust. Für BYOD-Geräte wird ein Container eingerichtet, der Firmendaten von privaten Daten trennt.

Verlustmeldeprozess definieren. Beschäftigte wissen, was bei Geräteverlust zu tun ist: sofortige Meldung an die IT, Fernlöschung auslösen, VPN-Zugang sperren, Passwörter ändern. Der Prozess ist in der Richtlinie dokumentiert und wird in der Awareness-Schulung geübt.

Dienstreise-Checkliste bereitstellen. Vor jeder Dienstreise prüft die reisende Person: Ist die Festplatte verschlüsselt? Ist der VPN-Client aktuell? Habe ich einen Blickschutzfilter? Brauche ich ein Reisegerät (für Hochrisiko-Ziele)? Die Checkliste wird als Selbstauskunft dokumentiert.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.9 typischerweise diese Nachweise:

  • Richtlinie für mobile Arbeit / BYOD — dokumentierte Regelung (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • MDM-Konfiguration — Nachweis der erzwungenen Sicherheitsrichtlinien auf allen Geräten
  • VerschlüsselungsnachweisCompliance-Report aus dem MDM (Anteil verschlüsselter Geräte)
  • Verlustmeldeprozess — dokumentierter Prozess mit Nachweis der Bekanntheit
  • Geräteregister — Zuordnung aller externen Geräte zu verantwortlichen Personen

KPI

Anteil der externen Assets mit angewandten Sicherheitsmaßnahmen und Nachverfolgung

Gemessen als Prozentsatz: Wie viele deiner Geräte, die regelmäßig außerhalb des Firmengeländes genutzt werden, erfüllen alle Sicherheitsanforderungen (Verschlüsselung, MDM, VPN)? Ziel: 100%. In der Praxis liegt der Wert bei Ersterhebung oft bei 60–80%, weil Alt-Geräte und BYOD-Geräte nicht erfasst sind.

Ergänzende KPIs:

  • Anzahl der Geräteverluste pro Jahr
  • Mittlere Dauer zwischen Verlustmeldung und Fernlöschung
  • Anteil der BYOD-Geräte mit aktiver Container-Lösung

BSI IT-Grundschutz

A.7.9 mappt auf mehrere BSI-Bausteine für mobiles Arbeiten:

  • OPS.1.2.4 (Telearbeit) — Anforderungen an die Sicherheit bei Telearbeit und Homeoffice.
  • INF.8 (Häuslicher Arbeitsplatz) — Physische Sicherheit des Homeoffice-Arbeitsplatzes.
  • INF.9 (Mobiler Arbeitsplatz) — Anforderungen an die Sicherheit an wechselnden Arbeitsorten.
  • CON.7 (Informationssicherheit auf Reisen) — Spezifische Maßnahmen für Dienstreisen, einschließlich Hochrisiko-Länder.
  • SYS.3.1 (Laptops) — Technische Anforderungen an die Absicherung von Laptops: Verschlüsselung, Bildschirmsperre, Firmware-Schutz.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauche ich eine separate BYOD-Richtlinie?

Wenn Beschäftigte private Geräte für die Arbeit nutzen, ja. Die BYOD-Richtlinie regelt, welche Geräte erlaubt sind, welche Sicherheitsanforderungen sie erfüllen müssen (z. B. Verschlüsselung, MDM-Profil), wer die Kosten trägt und was bei Ausscheiden passiert.

Darf ich private Geräte fernlöschen?

Das hängt von der Vereinbarung ab. Eine Container-Lösung (z. B. Intune, MobileIron) erlaubt das selektive Löschen der Firmendaten, ohne private Daten zu berühren. Vorab ist eine schriftliche Vereinbarung mit den Beschäftigten erforderlich, die den Umfang der Fernlöschung klar definiert.

Wie schützen wir Geräte auf Dienstreisen?

Vollverschlüsselung der Festplatte, VPN-Pflicht in öffentlichen Netzen, Blickschutzfolie, Gerät nie unbeaufsichtigt lassen, keine Nutzung öffentlicher Ladestationen ohne Datenblocker. Für Hochrisiko-Reiseziele: dediziertes Reisegerät mit minimalen Daten.