Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.1 — Benutzerendgeräte

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.8.1 ISO 27001ISO 27002BSI SYS.2.1

Der Außendienstmitarbeiter sitzt im Zug und klappt seinen Laptop auf — ohne Blickschutzfolie. Im Café nebenan loggt sich die Kollegin über ein offenes WLAN in das CRM ein. Zu Hause nutzt der Praktikant sein privates Tablet für die Projektarbeit, ohne dass jemand weiß, welche Apps darauf laufen. A.8.1 adressiert genau diese Alltagsrisiken: Die Kontrolle verlangt klare Regeln für alle Geräte, auf denen Unternehmensdaten verarbeitet werden.

Ob firmeneigener Laptop, dienstliches Smartphone oder privates Tablet im BYOD-Modell — jedes Endgerät ist ein potenzieller Angriffsvektor. Die Kontrolle fordert eine dokumentierte Richtlinie, die Registrierung, Konfiguration, Nutzung und Entsorgung regelt.

Was verlangt die Norm?

  • Endgeräterichtlinie erstellen. Für alle Gerätetypen (firmeneigen und privat) muss eine dokumentierte Richtlinie existieren, die Registrierung, Konfiguration, Nutzung und Schutzmaßnahmen festlegt.
  • Physische und technische Schutzmaßnahmen. Geräte müssen gegen Diebstahl und unbefugten Zugriff gesichert werden — durch Bildschirmsperre, Festplattenverschlüsselung, Malware-Schutz und restriktive Softwareinstallation.
  • Benutzerverantwortung definieren. Beschäftigte müssen wissen, dass sie Geräte sperren, vor fremdem Zugriff schützen und an öffentlichen Orten besondere Vorsicht walten lassen.
  • BYOD-Regelungen. Wenn private Geräte erlaubt sind, müssen geschäftliche und private Daten getrennt, Fernlöschung ermöglicht und zusätzliche Schutzmaßnahmen vertraglich vereinbart werden.
  • Sichere Netzverbindungen. Drahtlose Verbindungen müssen abgesichert und Backup-Verfahren für Endgeräte definiert werden.

In der Praxis

Geräteregistrierung und Inventar pflegen. Jedes Endgerät, das Unternehmensdaten verarbeitet, wird in einem Asset-Register erfasst — mit Seriennummer, zugewiesener Person, installiertem Betriebssystem und Sicherheitsstatus. Ohne dieses Inventar ist keine sinnvolle Kontrolle möglich.

Sicherheitsbaseline definieren und durchsetzen. Eine Baseline legt fest: Festplattenverschlüsselung aktiv, Betriebssystem-Updates innerhalb von 14 Tagen eingespielt, Malware-Schutz aktiv, Bildschirmsperre nach 5 Minuten. Diese Baseline wird über ein MDM oder Endpoint-Management-Tool automatisiert durchgesetzt und überwacht.

Verlust- und Diebstahlprozess etablieren. Was passiert, wenn ein Gerät verloren geht? Die Antwort muss dokumentiert sein: Meldung an IT, Fernlöschung auslösen, Passwort-Reset für alle betroffenen Konten, Meldung an den ISB. Ohne definierten Prozess vergehen oft Tage zwischen Verlust und Reaktion.

Aussonderung sicher gestalten. Bevor ein Gerät an den Hersteller zurückgeht, weiterverkauft oder entsorgt wird, müssen alle Daten sicher gelöscht werden. Ein einfaches Zurücksetzen auf Werkseinstellungen reicht bei verschlüsselten Geräten — vorausgesetzt, die Verschlüsselung war von Anfang an aktiv.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.1 typischerweise diese Nachweise:

  • Endgeräterichtlinie — dokumentierte Regeln für Konfiguration, Nutzung und BYOD (→ Endpunktsicherheitsrichtlinie im Starter Kit)
  • Geräteinventar — vollständige Liste aller registrierten Endgeräte mit Zuordnung und Sicherheitsstatus
  • MDM-Dashboard oder Compliance-Report — Nachweis der Baseline-Einhaltung
  • Verlust- und Diebstahlmeldungen — dokumentierte Vorfälle mit Reaktionsnachweis
  • BYOD-Vereinbarungen — unterschriebene Nutzungsvereinbarungen für private Geräte

KPI

Anteil der Endgeräte mit Einhaltung der Endpoint-Sicherheitsbaseline

Gemessen als Prozentsatz: Wie viele deiner registrierten Endgeräte erfüllen alle Anforderungen der definierten Sicherheitsbaseline? Ziel: 95–100%. Geräte, die die Baseline nicht erfüllen, sollten automatisch vom Unternehmensnetz ausgesperrt oder in Quarantäne versetzt werden.

Ergänzende KPIs:

  • Anteil der Geräte mit aktueller Betriebssystemversion (Ziel: über 90%)
  • Mittlere Dauer zwischen Verlustmeldung und Fernlöschung (Ziel: unter 4 Stunden)
  • Anteil der BYOD-Geräte mit aktivem MDM-Profil

BSI IT-Grundschutz

A.8.1 mappt auf mehrere BSI-Bausteine, die Endgeräte aus verschiedenen Perspektiven behandeln:

  • SYS.2.1 (Allgemeiner Client) — der Kernbaustein für Arbeitsplatzrechner. Verlangt Härtung, Patch-Management, Malware-Schutz und Benutzerrichtlinien.
  • SYS.3.1 (Laptop) — ergänzende Anforderungen für mobile Geräte: Festplattenverschlüsselung, Diebstahlschutz, sichere Konfiguration für den Außeneinsatz.
  • SYS.3.2.1–SYS.3.2.4 (Smartphones und Tablets) — plattformspezifische Anforderungen für iOS, Android und andere mobile Betriebssysteme.
  • SYS.3.3 (Mobiltelefone) — Basisanforderungen für klassische Mobiltelefone.
  • INF.9 (Mobiler Arbeitsplatz) — physische Sicherheit am mobilen Arbeitsplatz: Sichtschutz, sichere Aufbewahrung, Verhalten in öffentlichen Räumen.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Was zählt alles als Benutzerendgerät im Sinne von A.8.1?

Laptops, Desktops, Tablets, Smartphones und alle Geräte, auf denen Unternehmensdaten gespeichert, verarbeitet oder abgerufen werden. Dazu gehören auch private Geräte, wenn sie im Rahmen von BYOD geschäftlich genutzt werden.

Müssen wir BYOD explizit erlauben oder verbieten?

ISO 27001 verlangt keine bestimmte Entscheidung, aber eine dokumentierte Regelung. Wenn BYOD erlaubt ist, müssen zusätzliche Maßnahmen definiert werden — etwa Trennung von privaten und geschäftlichen Daten, Mobile Device Management und die Möglichkeit zur Fernlöschung.

Wie oft sollten Endgeräte auf Compliance geprüft werden?

Eine gängige Praxis ist die automatisierte, kontinuierliche Prüfung durch ein MDM oder Endpoint-Management-Tool. Mindestens quartalsweise sollte eine manuelle Stichprobe stattfinden. Nach jedem größeren Betriebssystem-Update empfiehlt sich eine erneute Prüfung der Baseline.