Laptops, Smartphones, Tablets — jedes Endgerät, das auf Unternehmensdaten zugreift, ist ein potenzieller Einfallsvektor. Die Richtlinie zu Endpunktsicherheit und Malware-Schutz legt fest, wie diese Geräte gehärtet, verschlüsselt, überwacht und im Ernstfall aus der Ferne gelöscht werden.
ISO 27001 adressiert das Thema über zwei Annex-A-Controls: A 8.1 (User Endpoint Devices) regelt den physischen und logischen Schutz von Endgeräten, A 8.7 (Protection Against Malware) den Schutz vor Schadsoftware. BSI IT-Grundschutz widmet Endgeräten gleich mehrere Bausteine (SYS.2.1 für Clients, SYS.3.1 und SYS.3.2 für mobile Geräte, INF.9 für mobiles Arbeiten, OPS.1.1.4 für Patch-Management). Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.
Was diese Richtlinie abdeckt
Endpunktsicherheit umfasst den gesamten Lebenszyklus eines Geräts — von der Ersteinrichtung mit einer gehärteten Konfiguration bis zur sicheren Außerbetriebnahme. Die Richtlinie definiert verbindliche Mindeststandards für jedes Gerät, das auf Unternehmensdaten zugreift, unabhängig davon, ob es dem Unternehmen gehört oder als BYOD-Gerät eingebunden ist.
Konkret regelt sie: Welche Härtungsmaßnahmen gelten ab Werk? Wann müssen Patches eingespielt werden? Wer darf Software installieren? Wie werden mobile Geräte verwaltet? Was passiert bei Verlust oder Diebstahl? Und wie schützt du dich vor Malware, die trotz aller Prävention durchkommt?
Der Malware-Schutz ist dabei eng mit der Endgerätesicherheit verzahnt. Eine Anti-Malware-Lösung, die auf einem ungehärteten Gerät ohne aktuelle Patches läuft, bietet nur scheinbare Sicherheit. Beide Themen gehören deshalb in ein Dokument.
Warum ist sie so wichtig?
Endgeräte sind das häufigste Einfallstor. Die Mehrzahl erfolgreicher Angriffe beginnt am Endpunkt — per Phishing-Mail, kompromittiertem USB-Stick oder Drive-by-Download. Wenn das Endgerät gehärtet ist, schlägt ein Großteil dieser Angriffe fehl oder bleibt in einem frühen Stadium stecken.
Mobiles Arbeiten hat die Angriffsfläche vergrößert. Laptops reisen mit, verbinden sich mit Hotel-WLANs und Café-Hotspots, werden in Zügen vergessen. Ohne Vollverschlüsselung, MDM und klare Verhaltensregeln ist jeder verlorene Laptop ein potenzieller Datenschutzvorfall.
Malware entwickelt sich schneller als manuelle Reaktion. Signaturbasierter Schutz allein reicht längst nicht aus. Die Richtlinie fordert daher zentral verwaltete Anti-Malware mit Echtzeitschutz, verhaltensbasierter Erkennung und automatischen Updates — ohne die Möglichkeit, den Schutz am Endgerät zu deaktivieren.
Was gehört in die Richtlinie?
Die Vorlage deckt zehn Kernbereiche ab:
- Endgerätehärtung (A 8.1) — Sichere Konfigurationsbaseline, Secure Boot, ASLR/DEP aktiviert, 5-Minuten-Bildschirmsperre, USB-Ports standardmäßig deaktiviert
- Vollverschlüsselung — Pflicht für Laptops und mobile Geräte, Wiederherstellungsschlüssel im separaten Schlüsselverwaltungssystem
- Mobile Device Management (MDM) — Registrierung aller mobilen Geräte, Remote Wipe bei Verlust, Diebstahl oder Austritt
- Softwareinstallation — Beschränkt auf freigegebenen Katalog, keine Administratorrechte für Endbenutzer:innen
- Patch-Management — Kritisch 72 h, Hoch 14 d, Mittel 30 d, End-of-Life-Systeme aktualisiert oder isoliert
- Personal Firewall — Aktiv auf allen Endgeräten, netzwerkunabhängig
- Anti-Malware (A 8.7) — Zentral verwaltet, Echtzeitschutz, verhaltensbasierte Erkennung, nicht deaktivierbar
- BYOD — Containerisierung/Arbeitsprofil, schriftliche BYOD-Vereinbarung mit Remote-Wipe-Einwilligung, IP-Eigentumsklausel
- Drahtlose Kommunikation — Bluetooth aus bei Nichtgebrauch, kein Auto-Connect zu unbekannten Netzwerken, veraltete Protokolle deaktiviert
- Benutzerverantwortung — Sitzungsmanagement, Diebstahlmeldung innerhalb von 2 Stunden, physische Sicherheit in der Öffentlichkeit
So führst du die Richtlinie ein
- 01
Gerätebestand inventarisieren
Du brauchst ein vollständiges Bild: Wie viele Laptops, Smartphones und Tablets greifen auf Unternehmensdaten zu? Wie viele davon sind firmeneigen, wie viele BYOD? Welche Betriebssysteme und Versionen sind im Einsatz? Gibt es Geräte mit End-of-Life-Betriebssystemen? Dieses Inventar ist die Grundlage für alle weiteren Schritte — und zeigt dir sofort, wo die größten Risiken liegen.
- 02
Härtungs-Baseline definieren und ausrollen
Lege eine verbindliche Sicherheitskonfiguration fest: Secure Boot, ASLR/DEP, Bildschirmsperre nach 5 Minuten, USB-Ports deaktiviert, Vollverschlüsselung aktiviert. Setze diese Baseline über ein zentrales Konfigurationsmanagement (Intune, Jamf, Ansible o. Ä.) durch. Geräte, die die Baseline nicht erfüllen, erhalten keinen Zugriff auf Unternehmensressourcen.
- 03
MDM und Anti-Malware einrichten
Registriere alle mobilen Geräte im MDM-System. Stelle sicher, dass die Anti-Malware-Lösung zentral verwaltet wird, Echtzeitschutz aktiv ist und Benutzer:innen sie nicht deaktivieren können. Definiere gleichzeitig die BYOD-Regeln: Containerisierung, schriftliche Vereinbarung, Remote-Wipe-Einwilligung.
- 04
Patch-Prozess operationalisieren
Richte einen automatisierten Patch-Zyklus ein, der die Fristen aus der Richtlinie durchsetzt: 72 Stunden für kritische Patches, 14 Tage für hohe, 30 Tage für mittlere. Definiere einen Eskalationsprozess für Geräte, die nach Ablauf der Frist nicht gepatcht sind — bis hin zur Netzwerkisolierung. End-of-Life-Systeme werden aktualisiert oder (wenn das nicht möglich ist) in ein isoliertes Netzsegment verschoben.
- 05
Schulung und Kommunikation
Endpunktsicherheit funktioniert nur, wenn die Benutzer:innen mitziehen. Kommuniziere die drei wichtigsten Verhaltensregeln: Diebstahl innerhalb von 2 Stunden melden, keine Software außerhalb des Katalogs installieren, Bildschirm sperren beim Verlassen des Arbeitsplatzes. Kurze, konkrete Anweisungen bleiben hängen — ein 40-seitiges Dokument liest niemand.
Wo es in der Praxis schiefgeht
Aus Audit-Erfahrung, nach Häufigkeit sortiert:
1. Vollverschlüsselung „vergessen”. Die Richtlinie steht, aber 15 % der Laptops sind unverschlüsselt. Typischer Grund: Geräte wurden vor Einführung der Richtlinie ausgerollt und nie nachgerüstet. Ein zentrales Reporting über den Verschlüsselungsstatus aller Geräte ist die einfachste Gegenmaßnahme.
2. Patch-Fristen nur auf dem Papier. Kritische Patches sollen in 72 Stunden eingespielt werden, aber das Patch-Management läuft manuell und ohne Eskalation. Nach zwei Wochen sind immer noch 30 % der Geräte offen. Automatisierung und Netzwerkisolierung für nicht-gepatchte Geräte lösen das Problem.
3. BYOD ohne Vereinbarung. Mitarbeitende nutzen private Smartphones für E-Mail und Teams, ohne dass eine BYOD-Vereinbarung existiert. Beim Austritt stellt sich heraus, dass Unternehmensdaten auf dem Privatgerät liegen — und niemand hat die Berechtigung zum Remote Wipe.
4. Anti-Malware mit lokalen Admin-Ausnahmen. Die Lösung ist zentral ausgerollt, aber Entwickler:innen haben lokale Administratorrechte und deaktivieren den Echtzeitschutz, weil er Build-Prozesse verlangsamt. Im Audit fehlt dann der Nachweis lückenloser Abdeckung.
5. Keine Diebstahlmeldung innerhalb der Frist. Die Richtlinie verlangt Meldung innerhalb von 2 Stunden, aber die Betroffenen wissen das nicht (oder melden erst am nächsten Arbeitstag). In der Zwischenzeit hätte ein Remote Wipe den Schaden begrenzen können. Regelmäßige Sensibilisierung und ein klar kommunizierter Meldeweg sind entscheidend.
Vorlage: Richtlinie zu Endpunktsicherheit und Malware-Schutz
Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]
1. Rechtliche/Regulatorische Grundlage
ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Technologische Maßnahmen:
- A 8.1 — Benutzerendgeräte
- A 8.7 — Schutz vor Schadsoftware
BSI IT-Grundschutz:
- SYS.2.1 (Allgemeiner Client) — u. a. A1 (Sichere Authentisierung und Aktivierung von Clients), A3 (Aktivierung von Auto-Update-Mechanismen), A6 (Einsatz von Anti-Viren-Programmen), A8 (Absicherung des Boot-Vorgangs), A16 (Deaktivierung und Deinstallation nicht benötigter Komponenten), A24 (Umgang mit externen Schnittstellen), A26 (Schutz vor Ausnutzung von Schwachstellen), A28 (Verschlüsselung der Clients), A31 (Einsatz lokaler Paketfilter), A33 (Anwendungskontrolle), A42 (Nutzung von Cloud-Diensten)
- SYS.3.1 (Laptops) — u. a. A1 (Regelung der mobilen Nutzung), A3 (Bildschirmsperre), A9 (Sicherer Fernzugriff mit mobilen Geräten), A12 (Verlustmeldung und Verhalten bei Verlust), A13 (Verschlüsselung von Laptops), A14 (Geeignete Aufbewahrung)
- SYS.3.2.1 (Smartphones/Tablets) — u. a. A1-A8, A11, A22, A28, A32, A33
- SYS.3.2.2 (Mobile Device Management) — u. a. A1, A2, A4, A7, A20, A21, A22
- INF.9 (Mobiler Arbeitsplatz) — A2 (Regelungen für mobile Speicher- und Datenträger), A8 (Sicherheitsrichtlinie für mobile Arbeitsplätze)
- OPS.1.1.4 (Schutz vor Schadprogrammen) — A1 (Konzept für den Schutz vor Schadprogrammen), A2 (Nutzung systemspezifischer Schutzmechanismen), A3 (Auswahl eines Virenschutzprogramms für Clients), A5 (Betrieb und Konfiguration von Virenschutzprogrammen), A6 (Regelmäßige Aktualisierung eingesetzter Virenschutzprogramme), A7 (Sensibilisierung und Verpflichtung der Nutzer), A9 (Meldung von Virenbefall)
Weitere jurisdiktionsspezifische Gesetze — insbesondere Datenschutzrecht (DSGVO), Arbeitsrecht (Gerätemonitoring und Remote-Wipe) und betriebliche Mitbestimmung — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.
2. Zweck & Geltungsbereich
Diese Richtlinie regelt die sichere Konfiguration, Nutzung und den Schutz von Benutzerendgeräten sowie die Abwehr von Schadsoftware bei [IHR_ORGANISATIONSNAME]. Sie setzt die Anforderungen der ISO/IEC 27002:2022 A 8.1 (Benutzerendgeräte) und A 8.7 (Schutz vor Schadsoftware) sowie die entsprechenden BSI-IT-Grundschutz-Anforderungen für Clients, Laptops, mobile Geräte und Schadsoftware-Schutz um.
Die Richtlinie gilt für alle Endgeräte, die organisatorische Informationen verarbeiten, speichern oder übertragen — einschließlich Desktop-Computer, Laptops, Smartphones, Tablets und jeglicher privat genutzter Geräte, die für geschäftliche Zwecke verwendet werden. Sie deckt unternehmenseigene Geräte und Bring-Your-Own-Device (BYOD) ab, alle Betriebssysteme und Formfaktoren sowie alle Standorte einschließlich Home-Office, öffentlicher Räume und Räumlichkeiten Dritter.
Alle Beschäftigten, Auftragnehmer und Dritte, die Endgeräte zum Zugriff auf organisatorische Systeme oder Informationen nutzen, unterliegen dieser Richtlinie. IT-Betriebsteams, Systemadministratoren und Geräteeigentümer tragen spezifische Verantwortlichkeiten, die in Abschnitt 8 definiert sind.
3. Endpunktkonfiguration & Härtung (A 8.1)
Alle Benutzerendgeräte werden gemäß einer dokumentierten sicheren Konfigurations-Baseline konfiguriert und gepflegt. Die Konfiguration wird, wo technisch machbar, zentral verwaltet; Abweichungen von der Baseline erfordern eine dokumentierte Risikoakzeptanz durch die/den Informationssicherheitsbeauftragte/n. Ungenutzte Komponenten, Schnittstellen und Dienste werden deaktiviert, um die Angriffsfläche zu reduzieren. Speicherschutzmechanismen — insbesondere Address Space Layout Randomisation (ASLR) und Data Execution Prevention (DEP) — werden auf allen unterstützten Plattformen aktiviert. Der Boot-Prozess wird mittels Secure Boot oder gleichwertiger Mechanismen gesichert, um die Ausführung unbefugten Codes vor dem Laden des Betriebssystems zu verhindern.
3.1 Informationsklassifizierung & Geräteregistrierung
- Informationsklassifizierung & Verarbeitungsgrenzen: Endgeräte sind zur Verarbeitung und Speicherung von Informationen bis zu einer definierten Klassifizierungsstufe autorisiert. Geräte, die Informationen oberhalb der Standard-Klassifizierungsstufe verarbeiten, erfordern zusätzliche Härtungsmaßnahmen und werden separat im Asset-Inventar dokumentiert. Die für jede Geräteklasse autorisierte Klassifizierungsstufe ist in der Gerätekonfigurations-Baseline festgelegt und wird jährlich überprüft.
- Geräteregistrierung: Jedes Endgerät wird im Asset-Inventar registriert, bevor es mit organisatorischen Systemen verbunden oder zur Verarbeitung organisatorischer Informationen genutzt wird. Der Registrierungseintrag umfasst den Geräteidentifikator, den Eigentümer, die autorisierte Klassifizierungsstufe, den MDM-Einschreibungsstatus und den zugewiesenen Benutzer. Nicht registrierte Geräte werden vom Zugriff auf organisatorische Systeme blockiert. Alle mobilen Geräte — einschließlich solcher, die für den Fernzugriff genutzt werden — werden vor Nutzung im Mobile Device Management (MDM) eingeschrieben, wie von der Richtlinie zu Telearbeit & BYOD und der Kryptographie-Richtlinie gefordert.
3.2 Physischer Schutz
- Anforderungen an physischen Schutz: Endgeräte werden physisch vor unbefugtem Zugriff, Beschädigung und Umweltgefahren geschützt. Unbeaufsichtigt zurückgelassene Geräte am Arbeitsplatz werden mit einer passwortgeschützten Bildschirmsperre gesichert, die nach maximal fünf Minuten Inaktivität aktiviert wird. Feste Arbeitsplätze in für Besucher zugänglichen Bereichen werden so positioniert, dass Bildschirme nicht aus Fluren oder Gemeinschaftsbereichen einsehbar sind. Geräte in gemeinsam genutzten Räumen werden durch physische Schließmechanismen an festen Strukturen gesichert, sofern das Diebstahlrisiko dies rechtfertigt.
3.3 Softwareverwaltung & Updates
- Software-Installationskontrollen: Benutzer dürfen ohne vorherige Genehmigung des IT-Betriebs keine Software auf organisatorischen Endgeräten installieren. Die Software-Installation ist technisch eingeschränkt: Auf verwalteten Geräten werden die für die Installation erforderlichen Administratorrechte nicht an Standard-Benutzerkonten vergeben, und wo technisch machbar, wird die Installation auf einen genehmigten Softwarekatalog oder eine Anwendungs-Allowlist beschränkt. Softwareanforderungen werden über den dafür vorgesehenen Genehmigungsprozess eingereicht. Selbst installierte Software auf BYOD-Geräten, die für organisatorische Zwecke genutzt werden, unterliegt den in Abschnitt 5 definierten Einschränkungen.
- Software-Versionen & Updates: Alle Endgeräte laufen mit unterstützten Softwareversionen, für die Sicherheitsupdates verfügbar sind. Betriebssysteme und Anwendungen sind für automatische Updates konfiguriert; automatische Update-Mechanismen werden aktiviert und sind so eingestellt, dass Sicherheitspatches mindestens täglich angewendet werden. Wo automatische Aktualisierung technisch nicht machbar ist, definiert ein dokumentiertes Patch-Management-Verfahren Höchst-Patchintervalle nach Schweregrad: kritische Schwachstellen werden innerhalb von 72 Stunden behoben, hohe innerhalb von 14 Tagen und mittlere innerhalb von 30 Tagen. Geräte mit End-of-Life-Betriebssystemen werden entweder aktualisiert, vom Netzwerk isoliert oder schriftlich risikoakzeptiert.
3.4 Netzwerkverbindungen & Firewalls
- Netzwerkverbindungen & Personal Firewalls: Alle Endgeräte sind durch einen lokal aktiven Paketfilter (Personal Firewall) geschützt, der unbefugte eingehende Verbindungen blockiert. Beim Betrieb außerhalb des Organisationsnetzwerks — einschließlich öffentlichem WLAN oder Heimnetzwerken — verbinden sich Laptops ausschließlich über einen verschlüsselten VPN-Tunnel mit organisatorischen Ressourcen. Die Personal Firewall bleibt unabhängig vom Netzwerkstandort aktiv. Der Zugriff auf Cloud-Dienste ist auf die im Softwarekatalog definierten genehmigten Dienste beschränkt; die Nutzung nicht genehmigter Cloud-Speicher- oder Synchronisationsdienste für organisatorische Daten ist untersagt. Für Remote-Arbeit genutzte Heimnetzwerke werden so konfiguriert, dass sie Mindestsicherheitsstandards erfüllen: WPA3- oder WPA2-AES-Verschlüsselung, geänderte Standard-Router-Anmeldedaten und aktuelle Firmware.
3.5 Zugriffskontrollen & Authentisierung
- Zugriffskontrollen & Authentisierung: Der Zugang zu Endgeräten wird durch sichere Authentisierung kontrolliert. Gemeinsam genutzte Konten sind auf individuellen Endgeräten verboten. Eine passwortgeschützte Bildschirmsperre aktiviert sich automatisch nach maximal fünf Minuten Inaktivität. Auf Smartphones und Tablets wird ein komplexer Sperrcode erzwungen; Geräte sind so konfiguriert, dass sie automatisch sperren und nach einer definierten Anzahl fehlgeschlagener Entsperrversuche einen Werksreset durchführen. Herstellerseitige Standard-Anmeldedaten auf neu bereitgestellten Geräten werden vor dem Einsatz geändert. Multi-Faktor-Authentisierung ist für den Fernzugriff auf organisatorische Systeme erforderlich (siehe Zugriffskontroll-Richtlinie).
3.6 Speicherverschlüsselung
- Speicherverschlüsselung: Alle Laptops und mobilen Endgeräte sind durch Vollverschlüsselung mit einem genehmigten Verschlüsselungsmechanismus geschützt. Die Verschlüsselung deckt den gesamten internen Speicher ab und, wo technisch unterstützt, auch Wechselspeichermedien einschließlich in das Gerät eingesetzter SD-Karten. Wiederherstellungsschlüssel oder Escrow-Schlüssel werden zentral in einem gesicherten Schlüsselmanagementsystem getrennt vom verschlüsselten Gerät gemäß der Kryptographie-Richtlinie gespeichert. Geräte ohne funktionierende Verschlüsselung werden nicht zur Verarbeitung organisatorischer Informationen verwendet, bis die Verschlüsselung wiederhergestellt ist.
3.7 Malware-Schutz auf Endgeräten
- Malware-Schutz auf Endgeräten: Auf allen Endgeräten läuft eine Enterprise-Grade-Anti-Malware-Lösung mit aktiviertem Echtzeitschutz (siehe Abschnitt 7 für detaillierte Anforderungen an den Malware-Schutz). Die Anti-Malware-Lösung wird zentral verwaltet; Benutzer dürfen ohne dokumentierte Genehmigung des IT-Betriebs keine Schutzeinstellungen ändern, Echtzeitscans deaktivieren oder Ausnahmen erstellen. Das Endpunkt-Malware-Scanning bietet eine kompensierende Maßnahme für verschlüsselten Verkehr, der die Inhaltsprüfung am Gateway umgeht.
Detaillierte Anforderungen an den Malware-Schutz — einschließlich Anti-Malware-Bereitstellung, Scanning-Umfang, Update-Verfahren und Ausnahmebehandlung — sind in Abschnitt 7 definiert.
3.8 Remote-Deaktivierung, -Wipe & -Sperrung
- Remote-Deaktivierung, -Wipe & -Sperrung: Alle mobilen Endgeräte — Smartphones, Tablets und Laptops — werden im MDM-System eingeschrieben, um Remote-Deaktivierung, Remote-Wipe und Remote-Sperrung zu ermöglichen. Ein Remote-Wipe wird bei bestätigtem Verlust oder Diebstahl eines Geräts, bei Beendigung der Zugriffsrechte eines Benutzers oder bei einer Sicherheitsvorfall-Feststellung durch die/den Informationssicherheitsbeauftragte/n ausgelöst. Das Remote-Wipe-Verfahren wird mindestens jährlich getestet. Bei BYOD-Geräten ist der Remote-Wipe auf den organisatorischen Container oder das Arbeitsprofil begrenzt, um die Löschung persönlicher Daten zu vermeiden, außer wenn eine Kompromittierung organisatorischer Informationen einen vollständigen Geräte-Wipe erfordert.
3.9 Sicherungen
- Endpunkt-Sicherungen: Auf Endgeräten gespeicherte organisatorische Daten werden in eine zentral verwaltete Backup-Infrastruktur gesichert. Wo technisch machbar, ist die Backup-Synchronisation automatisiert und kontinuierlich. Backup-Frequenz und Aufbewahrungsdauer werden gemäß der Richtlinie zur IT-Betriebssicherheit festgelegt. Remote arbeitende Benutzer stellen sicher, dass ihre Geräte mit ausreichender Netzwerkbandbreite verbunden sind, um geplante Backup-Vorgänge abzuschließen. Ausschließlich lokal gespeicherte, nicht gesicherte Daten gelten als gefährdet; Benutzer sind verpflichtet, lokale Daten vor längeren Reisen oder Offline-Zeiten mit zentralen Systemen zu synchronisieren.
3.10 Webdienste & Anwendungen
- Webdienste & Webanwendungen: Der Zugriff auf Webdienste und Webanwendungen von Endgeräten aus ist auf die im Softwarekatalog gelisteten genehmigten Dienste beschränkt (siehe Richtlinie zur akzeptablen Nutzung). Webbrowser werden aktuell gehalten und gemäß der Gerätesicherheits-Baseline konfiguriert. Der Webzugriff auf Smartphones und Tablets unterliegt Webfilter-Kontrollen zur Blockierung bekannter bösartiger Domänen. Das Herunterladen von Dateien aus nicht genehmigten externen Quellen auf organisatorische Endgeräte erfordert, dass die Dateien vor dem Öffnen einen Anti-Malware-Scan durchlaufen.
3.11 Benutzerverhalten-Analytik
- Benutzerverhalten-Analytik: Wo implementiert, arbeiten endpunktbasierte User- und Entity-Behaviour-Analytics-Werkzeuge (UEBA) auf Endgeräten, um anomale Aktivitätsmuster zu erkennen — wie abnormales Datenzugriffsvolumen, ungewöhnliche Anmeldezeiten oder Massen-Dateioperationen —, die auf Kontokompromittierung oder Insider-Bedrohungen hindeuten können. Bereitstellung, Umfang und Datenaufbewahrung der Verhaltensanalyse unterliegen den anwendbaren Datenschutzanforderungen und, wo zutreffend, Betriebsrats- oder Mitbestimmungsvereinbarungen. Überwachungsaktivitäten und ihre Rechtsgrundlage werden im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. Von Verhaltensanalysen erzeugte Warnungen werden gemäß dem Vorfallmanagementverfahren untersucht.
3.12 Wechseldatenträger & physische Anschlüsse
- Wechseldatenträger & physische Anschlüsse: Die Nutzung von Wechseldatenträgern — USB-Sticks, externen Festplatten, Speicherkarten und ähnlichen Geräten — auf organisatorischen Endgeräten ist auf genehmigte, im Asset-Inventar gelistete Geräte beschränkt. Nicht genehmigte Wechseldatenträger werden, wo technisch machbar, auf Betriebssystemebene blockiert. USB-Anschlüsse sind auf verwalteten Endgeräten standardmäßig deaktiviert; Ausnahmen für spezifische Geschäftszwecke — etwa USB-C-Verbindungen, die ausschließlich zur Stromversorgung oder Bildausgabe genutzt werden — werden dokumentiert und technisch auf die erlaubte Funktion beschränkt. Alle über Wechseldatenträger übertragenen Dateien werden vor Gebrauch auf Schadsoftware geprüft. Der Verlust oder die unbefugte Nutzung von Wechseldatenträgern mit organisatorischen Daten wird als Sicherheitsvorfall gemeldet.
3.13 Datenpartitionierung & lokale Speicherbeschränkungen
- Datenpartitionierung: Auf Geräten, die sowohl für organisatorische als auch private Zwecke genutzt werden, sind organisatorische Daten und Anwendungen technisch durch Containerisierung, Arbeitsprofile oder gleichwertige Partitionierungsmechanismen von privaten Inhalten getrennt. Organisatorische Anwendungen im Arbeitsprofil werden daran gehindert, auf persönliche Daten, Kontakte, Medien und Anwendungen zuzugreifen. Daten können nur über die in der MDM-Richtlinie definierten genehmigten Mechanismen zwischen organisatorischen und privaten Partitionen geteilt werden.
- Hochsensible Informationen — Nur-Zugriffs-Modus: Bestimmte Informationskategorien werden als Nur-Zugriff kennzeichnet: Sie können remote eingesehen werden, werden aber nicht auf Endgeräte heruntergeladen oder lokal gespeichert. Für solche Informationen deaktiviert die Gerätekonfiguration während der Zugriffssitzungen lokalen Download, lokale Zwischenspeicherung und die Nutzung von Wechselspeicher (einschließlich SD-Karten). Die Kategorien von Informationen, die Nur-Zugriffs-Beschränkungen unterliegen, sind im Informationsklassifizierungs-Framework definiert und werden über technische Kontrollen in den relevanten Anwendungen oder der MDM-Richtlinie durchgesetzt.
4. Verantwortlichkeiten der Benutzer (A 8.1)
Benutzer von Endgeräten tragen persönliche Verantwortung für die Umsetzung der für ihre Geräte geltenden physischen und logischen Sicherheitsmaßnahmen. Die Nichteinhaltung der Anforderungen dieses Abschnitts wird als Richtlinienverstoß behandelt, der dem Disziplinarverfahren unterliegt (siehe Richtlinie zur Personalsicherheit).
4.1 Sitzungsverwaltung
- Sitzungsverwaltung: Benutzer melden sich von aktiven Sitzungen ab und beenden Dienste — einschließlich VPN-Verbindungen, Remote-Desktop-Sitzungen und Webanwendungs-Sitzungen —, wenn sie nicht mehr benötigt werden und bevor sie ein Gerät längere Zeit unbeaufsichtigt lassen. Aktive Sitzungen werden nicht auf gemeinsam genutzten oder öffentlich zugänglichen Geräten offen gelassen. Temporäre Sitzungstoken und zwischengespeicherte Anmeldedaten auf gemeinsam genutzten Geräten werden nach Gebrauch gelöscht. Wo Anwendungen inaktive Sitzungen nicht automatisch beenden, melden sich Benutzer manuell ab, bevor sie die Arbeitssitzung beenden.
4.2 Gerätesicherheit & physische Kontrollen
- Verhinderung unbefugter Nutzung: Benutzer schützen ihre Endgeräte durch sowohl physische als auch logische Kontrollen vor unbefugter Nutzung. Geräte werden niemals ohne aktivierte Bildschirmsperre unbeaufsichtigt gelassen, wenn sensible Informationen angezeigt werden oder zugänglich sind. Wo verfügbar, werden physische Sicherheitsmechanismen — Kabelschlösser, Gerätetresore, abschließbare Aufbewahrung — für feste Arbeitsplätze und aufbewahrte Laptops genutzt. Logischer Zugangsschutz (Passwort, PIN, Biometrie) ist jederzeit aktiviert; Passwörter und PINs werden niemals an Kollegen weitergegeben oder in Gerätnähe notiert.
- Sicherheit in öffentlichen & offenen Räumen: Benutzer gehen beim Arbeiten mit Endgeräten in öffentlichen Räumen, Großraumbüros und Besprechungsräumen besonders sorgfältig vor. Blickschutzfilter werden an Laptops und mobilen Geräten verwendet, wo andere die Anzeige einsehen könnten. Sensible Gespräche und Bildschirminhalte werden vor Umstehenden abgeschirmt. Verbindungen zu öffentlichen WLAN-Netzen werden ausschließlich über VPN hergestellt. Unverschlüsselte E-Mails und Dateizugriffe über öffentliche Netze werden vermieden.
- Physische Sicherheit gegen Diebstahl: Benutzer sichern Endgeräte in allen Standorten außerhalb des regulären Arbeitsplatzes physisch gegen Diebstahl. Laptops und mobile Geräte werden nicht sichtbar und unbeaufsichtigt in Fahrzeugen, Hotelzimmern, Tagungseinrichtungen oder öffentlichen Verkehrsmitteln zurückgelassen. In Hotelzimmern werden Laptops im Zimmersafe aufbewahrt oder in einer Tasche verschlossen. Geräte werden während Pausen nicht unbeaufsichtigt in Konferenz- oder Schulungsräumen zurückgelassen. Die Leitlinien zur sicheren Aufbewahrung für mobile Arbeitsplätze definieren Mindeststandards für verschiedene Standorttypen.
4.3 Verfahren bei Diebstahl & Verlust
- Meldung von Diebstahl & Verlust: Der Verlust oder Diebstahl eines organisatorischen Endgeräts — oder eines für organisatorische Zwecke genutzten privaten Geräts — wird unverzüglich nach Entdeckung und spätestens innerhalb von zwei Stunden während der Geschäftszeiten an den IT-Betrieb und die/den Informationssicherheitsbeauftragte/n gemeldet. Die Meldung löst das in Abschnitt 3.8 definierte Remote-Wipe- und Deaktivierungs-Verfahren aus. Ein zurückgewonnenes Gerät, das zuvor als verloren oder gestohlen gemeldet wurde, wird nicht wieder mit organisatorischen Systemen verbunden, bis der IT-Betrieb eine Sicherheitsbewertung durchgeführt und das Betriebssystem sowie die Anwendungen von einer sauberen Baseline aus neu installiert hat. Der Vorfall wird im Vorfallmanagementsystem dokumentiert.
5. Bring Your Own Device (A 8.1)
Die Nutzung privater Geräte zum Zugriff auf oder zur Verarbeitung organisatorischer Informationen — einschließlich E-Mail, Dokumente und interner Anwendungen — wird in diesem Abschnitt geregelt. BYOD-Geräte werden vor erstmaliger Nutzung registriert und im MDM eingeschrieben. Alle allgemeinen Endpunktsicherheits-Anforderungen der Abschnitte 3, 4 und 6 gelten für das organisatorische Arbeitsprofil oder den Container auf BYOD-Geräten. Der IT-Betrieb pflegt eine genehmigte Liste von Gerätetypen und Betriebssystemversionen, die für BYOD-Nutzung zulässig sind.
5.1 Trennung privater & geschäftlicher Nutzung
- Trennung privater & geschäftlicher Nutzung: Organisatorische Daten auf BYOD-Geräten werden ausschließlich innerhalb des dafür vorgesehenen Arbeitsprofils oder organisatorischen Containers gespeichert. Private Anwendungen haben keinen Zugriff auf das Arbeitsprofil und seine Daten; organisatorische Anwendungen greifen nicht auf persönliche Fotos, Kontakte, Nachrichten oder Dateien außerhalb des Containers zu. Die verwendete Containerisierungstechnologie wird vom MDM-System unterstützt. Wo eine technische Trennung durch die MDM-Lösung nicht durchsetzbar ist, wird das Gerät nicht für BYOD-Nutzung genehmigt. Geschäftsdaten werden niemals in privaten Cloud-Konten, privater E-Mail oder Messaging-Anwendungen gespeichert.
5.2 Benutzerbestätigung & Remote-Wipe
- Benutzerbestätigung & Remote-Wipe-Einwilligung: Bevor ein BYOD-Gerät im MDM eingeschrieben wird, unterzeichnet der Benutzer eine BYOD-Bestätigung, die Folgendes bestätigt: (a) physische Schutz- und Softwareupdate-Verpflichtungen, identisch zu unternehmenseigenen Geräten; (b) dass organisatorische Daten auf dem Gerät Eigentum der Organisation bleiben und der Benutzer keine Eigentumsrechte daran hält; (c) ausdrückliche Einwilligung in den Remote-Wipe des organisatorischen Containers oder Arbeitsprofils im Falle von Verlust, Diebstahl, Beendigung des Beschäftigungsverhältnisses oder Sicherheitsvorfall; (d) Kenntnis, dass in Ausnahmefällen, in denen ein selektiver Wipe technisch nicht ausreicht, ein vollständiger Geräte-Wipe durchgeführt werden kann; und (e) Kenntnis der datenschutzrechtlichen Implikationen — insbesondere dass das MDM-System nicht auf persönliche Daten außerhalb des Arbeitsprofils zugreift und dass die geltende Datenschutzinformation gelesen und verstanden wurde.
5.3 Geistiges Eigentum
- Geistiges Eigentum: Arbeitsinhalte, die mit organisatorischen Anwendungen auf einem BYOD-Gerät erstellt wurden — einschließlich Dokumenten, Designs, Quellcode, Analysen und Kommunikation —, gehören der Organisation. Eine separate themenspezifische Richtlinie oder Arbeitsvertragsklausel regelt das Eigentum an Inhalten, die während der Arbeitszeit mit privaten Anwendungen auf demselben Gerät entwickelt werden, um Streitigkeiten über geistiges Eigentum zu vermeiden. Benutzer werden vor der BYOD-Einschreibung über diese Grenzen informiert.
5.4 Zugriff zur Überprüfung & Untersuchung
- Zugriff zur Überprüfung & Untersuchung: Das Recht der Organisation, auf ein privates Gerät zur Sicherheitsüberprüfung oder forensischen Untersuchung zuzugreifen, ist auf den vom MDM verwalteten organisatorischen Container oder das Arbeitsprofil beschränkt. Der Zugriff auf persönliche Daten außerhalb dieses Umfangs wird von der Organisation nicht ausgeübt, außer wenn es nach geltendem Recht erforderlich ist (z. B. gerichtliche Anordnung). Wo die Gesetzgebung in der Jurisdiktion eines Benutzers auch den Zugriff auf Containerebene oder forensische Untersuchung verhindert, wird dies vor der BYOD-Genehmigung in dieser Jurisdiktion bewertet, und alternative Maßnahmen (unternehmenseigenes Gerät) werden bereitgestellt, wenn der Zugriff nicht gewährleistet werden kann.
5.5 Softwarelizenzierung
- Softwarelizenzierung: Die Organisation stellt Client-Software nicht in einer Weise auf BYOD-Geräten bereit, die die Organisation unter Softwarelizenzvereinbarungen für die private Nutzung derselben Software auf demselben Gerät haftbar machen würde. Wo organisatorische Anwendungen Per-Seat- oder Per-Device-Lizenzen tragen, werden die Lizenzbedingungen vor der Bereitstellung auf BYOD-Geräten geprüft, um zu bestätigen, dass die private Nutzung desselben Geräts keine unlizenzierte Nutzung darstellt. Benutzer installieren keine andere organisatorische Software auf BYOD-Geräten als die über das MDM bereitgestellten und genehmigten Anwendungen.
6. Drahtlose Verbindungen (A 8.1)
Drahtlose Konnektivität auf Endgeräten wird so konfiguriert, dass die Exposition gegenüber Abhörangriffen, unbefugtem Zugriff und protokollbasierten Angriffen minimiert wird. Benutzer ändern drahtlose Konfigurationseinstellungen auf verwalteten Geräten nicht über die erlaubte Personalisierung hinaus.
6.1 Konfiguration drahtloser Schnittstellen
- Konfiguration drahtloser Schnittstellen: Drahtlose Schnittstellen auf Endgeräten werden gemäß der Sicherheits-Baseline konfiguriert. Bluetooth wird deaktiviert, wenn es nicht aktiv genutzt wird. Die automatische Verbindung zu unbekannten oder offenen WLAN-Netzen ist deaktiviert; Geräte verbinden sich automatisch nur mit ausdrücklich vertrauenswürdigen, in der MDM-Konfiguration definierten Netzen. Veraltete drahtlose Protokolle mit bekannten Sicherheitsschwachstellen (z. B. WEP, WPA-TKIP, Bluetooth-Profile, die unauthentisierte Kopplung erlauben) sind auf Betriebssystemebene deaktiviert. Auf Laptops ist die Personal Firewall (siehe Abschnitt 3.4) auf allen drahtlosen Schnittstellen aktiv. Externe Schnittstellen über den Betriebszweck des Geräts hinaus sind deaktiviert.
6.2 Bandbreiten- & Konnektivitätsanforderungen
- Bandbreiten- & Konnektivitätsanforderungen: Bestimmte Endpunktoperationen — einschließlich Betriebssystem-Updates, Anwendungs-Updates, Backup-Synchronisation und MDM-Richtlinien-Pushs — erfordern kabelgebundene oder breitbandige drahtlose Verbindungen. Benutzer stellen sicher, dass ihre Geräte mit einem ausreichend schnellen Netzwerk verbunden sind, um geplante Update- und Backup-Vorgänge innerhalb ihrer definierten Fenster abzuschließen. Wo mobile Datenverbindungen die einzige Option sind, werden große Updates und Backup-Vorgänge auf die nächste verfügbare breitbandige Verbindung verschoben, es sei denn, der Vorgang ist sicherheitskritisch.
7. Schutz vor Schadsoftware (A 8.7)
Schadsoftware — einschließlich Viren, Ransomware, Spyware, Trojanern, Würmern und anderem bösartigem Code — stellt eine anhaltende Bedrohung für organisatorische Systeme und Informationen dar. Der Schutz vor Schadsoftware wird als geschichtete Defence-in-Depth-Strategie umgesetzt, die Netzwerk-Gateways, E-Mail-Systeme, Endpunkte und Server abdeckt. Ein Konzept für den Schutz vor Schadsoftware definiert, welche Systeme Schutz erfordern, welche Mechanismen eingesetzt werden und wer für deren Betrieb verantwortlich ist. Betriebssystem-eigene Sicherheitsmechanismen (z. B. Windows Defender, macOS XProtect) werden als Baseline aktiviert und wo durch Risikobewertung erforderlich durch Enterprise-Grade-Werkzeuge ergänzt.
7.1 Verhinderung nicht genehmigter Software
- Anwendungs-Allowlisting & Verhinderung nicht genehmigter Software: Anwendungskontrolle (Allowlisting) wird auf Endgeräten implementiert, um die Ausführung nicht genehmigter Software zu verhindern. Nur Anwendungen aus dem genehmigten Softwarekatalog oder aus von der IT genehmigten vertrauenswürdigen Quellen dürfen ausgeführt werden. Ausführungskontrollen sind so konfiguriert, dass unsignierte oder unbekannte ausführbare Dateien, Skripte aus nicht vertrauenswürdigen Orten und interpretierte Skripte (z. B. PowerShell, VBScript), die nicht aus genehmigten Pfaden stammen, blockiert werden. Auf Smartphones und Tablets werden Apps nur aus offiziell genehmigten App-Stores installiert; Sideloading aus nicht genehmigten Quellen ist untersagt. Blockierte Ausführungsversuche werden protokolliert und vom IT-Betrieb überprüft.
7.2 Kontrollen für bösartige Websites
- Kontrollen für bösartige Websites: Der Zugriff auf bekannte und vermutete bösartige Websites wird durch DNS-basierte oder Proxy-basierte Blocklisten auf allen Endgeräten verhindert. Die Blockliste umfasst Kategorien einschließlich Malware-Verteilungsseiten, Phishing-Seiten, Command-and-Control-Infrastruktur, Exploit-Kit-Landing-Pages und Seiten, die für Drive-by-Download-Angriffe bekannt sind. Auf mobilen Geräten wird die Webfilterung über die via MDM bereitgestellte Sicherheits-App oder die Browser-Konfiguration durchgesetzt. Die Blockliste wird automatisch aus den in Abschnitt 7.12 definierten Threat-Intelligence-Quellen aktualisiert. Versuche, blockierte Seiten aufzurufen, werden protokolliert, und eine regelmäßige Überprüfung der Blockprotokolle wird durchgeführt, um gezielte Angriffsmuster zu identifizieren.
7.3 Schwachstellenreduzierung
- Schwachstellenreduzierung: Die für Schadsoftware verfügbare Angriffsfläche wird durch systematisches Schwachstellenmanagement reduziert. Betriebssysteme, Anwendungen und Browser-Plugins werden gemäß dem in Abschnitt 3.3 definierten Patch-Management-Zeitplan aktuell gehalten. Unnötige Software, Dienste und Funktionen werden entfernt oder deaktiviert. Das technische Schwachstellenmanagement — einschließlich regelmäßigem Scannen, Priorisierung und Behebungsnachverfolgung — wird durch den Schwachstellenmanagementprozess geregelt. Speicher-Exploitation-Schutz (ASLR, DEP) ist auf allen unterstützten Endgeräten aktiviert. Das Prinzip der minimalen Rechte wird auf Endpunktkonten angewandt, um den Schaden zu begrenzen, den Schadsoftware bei Ausführung unter einem Benutzerkonto anrichten kann.
7.4 Automatisierte Validierung & Integritätsprüfung
- Automatisierte Validierung & Integritätsprüfung: Systeme, die kritische Geschäftsprozesse unterstützen, unterliegen einer regelmäßigen automatisierten Validierung von Softwareintegrität und Dateninhalt. File Integrity Monitoring wird auf kritischen Servern und Arbeitsplätzen konfiguriert, um unbefugte Änderungen an ausführbaren Dateien, Konfigurationsdateien und Datenverzeichnissen zu erkennen. Erkannte unbefugte Dateien oder unerwartete Änderungen an überwachten Pfaden lösen Warnungen für sofortige Untersuchung durch den IT-Betrieb aus. Ergebnisse und Warnungen der Integritätsprüfung werden in definierten Intervallen überprüft; Anomalien werden an die/den Informationssicherheitsbeauftragte/n eskaliert und im Vorfallmanagementsystem dokumentiert.
7.5 Schutz vor externen Dateien & Software
- Schutz vor externen Dateien & Software: Dateien und Software, die aus externen Netzwerken (Internet-Downloads, E-Mail-Anhänge, Cloud-Sharing-Dienste) bezogen oder auf Wechseldatenträgern geliefert werden, werden vor Gebrauch auf Schadsoftware geprüft. Benutzer öffnen keine E-Mail-Anhänge oder heruntergeladenen Dateien ohne bestätigten Abschluss des Malware-Scans. Aus externen Quellen bezogene Software wird vor der Installation gegen einen veröffentlichten Hash oder eine digitale Signatur verifiziert. Über verschlüsselte Kanäle empfangene Dateien, die Gateway-Scans umgehen, werden vor dem Öffnen von der Endpunkt-Anti-Malware-Lösung geprüft, was die von der Richtlinie zum Informationstransfer und der Kryptographie-Richtlinie geforderte kompensierende Maßnahme bietet.
7.6 Anti-Malware-Bereitstellung
- Anti-Malware auf Endgeräten & Wechselmedien: Auf allen Endgeräten ist eine Enterprise-Anti-Malware-Lösung mit Echtzeitschutz und On-Demand-Scans installiert. Die Lösung umfasst die Erkennung von Schadsoftware in komprimierten und archivierten Dateien. Signaturdatenbanken und Erkennungslogik werden automatisch und mindestens täglich aus der Update-Infrastruktur des Herstellers aktualisiert. Alle über Netzwerke empfangenen Daten und alle Dateien auf elektronischen Speichermedien werden vor erstmaligem Gebrauch gescannt. Scan-Ergebnisse und Erkennungsereignisse werden zentral gemeldet.
- E-Mail-, Instant-Messaging- & Download-Scannen: Anti-Malware-Scanning wird in mehreren Schichten für E-Mail und Kommunikation angewendet: am E-Mail-Server vor Zustellung an Benutzerpostfächer, am E-Mail-Client auf dem Endgerät und für Dateien, die aus Web- und Dateifreigabediensten heruntergeladen werden. Anhänge in E-Mails und Instant Messaging werden vor dem Öffnen durch den Benutzer gescannt. Wo sowohl ein Gateway-E-Mail-Scanner als auch ein Endpunkt-E-Mail-Scanner vorhanden sind, werden beide unabhängig gepflegt und aktualisiert, um Defence-in-Depth-Abdeckung zu bieten.
- Webseiten-Scan: Anti-Malware-Fähigkeiten werden auf Webinhalte angewendet, auf die von Endgeräten aus zugegriffen wird. Browser-integrierter Schutz und endpunktbasiertes Web-Scanning prüfen Webseiten beim Zugriff auf eingebetteten bösartigen Code, Drive-by-Download-Skripte und bösartige Weiterleitungen. Das Webseiten-Scanning arbeitet mit den in Abschnitt 7.2 definierten Blockierungskontrollen zusammen, um eine mehrschichtige Abdeckung zu bieten.
- Platzierung & Konfiguration von Anti-Malware-Werkzeugen: Anti-Malware-Werkzeuge werden auf Basis einer Risikobewertung nach einem Defence-in-Depth-Ansatz platziert und konfiguriert: Netzwerk-Gateway, Endgeräte, E-Mail-Server und Dateiserver tragen jeweils angemessene Erkennungs- und Blockierungskontrollen. Die Risikobewertung berücksichtigt Angreifer-Umgehungstechniken, einschließlich verschlüsselter Dateiformate und verschlüsselter Kommunikationsprotokolle, die die Gateway-Inspektion einschränken. Die Konfiguration wird mindestens jährlich und nach wesentlichen Infrastrukturänderungen überprüft. Die Erkennungsempfindlichkeit wird so eingestellt, dass die Malware-Erkennung maximiert wird, während eine im Malware-Schutz-Konzept dokumentierte akzeptable False-Positive-Rate beibehalten wird.
7.7 Wartung & Notfallverfahren
- Wartungs- & Notfallverfahrens-Kontrollen: Wartungsaktivitäten und Notfallverfahren, die ein vorübergehendes Umgehen normaler Zugriffskontrollen oder Sicherheitsüberwachung erfordern — etwa das Anwenden von Out-of-Band-Patches, die Durchführung von Disaster-Recovery-Operationen oder die Gewährung erhöhten Notfallzugriffs — bergen ein erhöhtes Risiko der Malware-Einführung über nicht überwachte Kanäle. Für solche Verfahren wendet der IT-Betrieb kompensierende Maßnahmen an, einschließlich: Scannen aller während der Wartung eingeführten Werkzeuge und Medien vor Gebrauch, Durchführen von Post-Wartungs-Integritätsprüfungen auf betroffenen Systemen und Überprüfung von Ereignisprotokollen für das Wartungsfenster. Notfallverfahren, die Sicherheitsmaßnahmen umgehen, werden dokumentiert, zeitlich begrenzt und nach Abschluss von der/dem Informationssicherheitsbeauftragten überprüft.
7.8 Ausnahmeprozess für die Deaktivierung des Malware-Schutzes
- Ausnahmeprozess für die Deaktivierung des Malware-Schutzes: Die temporäre oder permanente Deaktivierung des Malware-Schutzes auf einem System erfordert einen formalen Ausnahmeprozess. Die anfragende Partei dokumentiert die Begründung, die betroffenen Systeme, die Dauer der Deaktivierung, die während des Ausnahmezeitraums angewandten kompensierenden Maßnahmen und ein festgelegtes Überprüfungsdatum. Die/der Informationssicherheitsbeauftragte genehmigt die Ausnahme schriftlich vor der Deaktivierung. Genehmigte Ausnahmen werden im Ausnahmeregister nachverfolgt und am festgelegten Überprüfungsdatum oder bei relevanten Umständen überprüft. Ausnahmen zur permanenten Deaktivierung werden jährlich neu genehmigt. Nicht genehmigte Deaktivierungen des Malware-Schutzes werden als Sicherheitsvorfall behandelt.
7.9 Geschäftskontinuität & Wiederherstellung
- Geschäftskontinuität & Wiederherstellung nach Malware-Angriffen: Geschäftskontinuitätspläne adressieren Wiederherstellungsszenarien bei Malware-Angriffen, einschließlich Ransomware-Vorfällen, systemweiten Infektionen und Datenkorruptionsereignissen. Die Pläne definieren Wiederherstellungsverfahren, verantwortliche Personen, Wiederherstellungsziele und Kommunikationskanäle. Sowohl Online-Backups (für schnelle Wiederherstellung) als auch Offline-Backups, die vom Produktionsnetzwerk isoliert sind (für Ransomware-Szenarien, in denen Online-Backups verschlüsselt sein können), werden gepflegt. Backup- und Wiederherstellungsverfahren werden in den im Geschäftskontinuitätsplan definierten Intervallen getestet, um zu verifizieren, dass eine saubere Wiederherstellung innerhalb des Wiederherstellungsziels erreichbar ist.
- Isolierung hochkritischer Umgebungen: Umgebungen, in denen eine Malware-Infektion katastrophale Folgen haben könnte — etwa industrielle Steuerungssysteme, sicherheitskritische Infrastruktur, Systeme mit großen Mengen sensibler personenbezogener Daten oder Finanztransaktionssysteme —, werden durch Netzwerksegmentierung von allgemeinen Unternehmensnetzen isoliert. Die Kommunikation zwischen isolierten Umgebungen und anderen Systemen ist auf definierte, überwachte Kanäle beschränkt. Isolierungskontrollen werden regelmäßig getestet. Malware-Vorfälle in oder angrenzend an isolierte Umgebungen lösen sofortige Netzwerkisolierungsverfahren aus.
7.10 Verfahren & Verantwortlichkeiten
- Verfahren & Verantwortlichkeiten: Dokumentierte Verfahren definieren Verantwortlichkeiten und erforderliche Maßnahmen für den Betrieb des Malware-Schutzes, einschließlich: initialer Bereitstellung und Konfiguration von Anti-Malware-Werkzeugen; Reaktion auf Malware-Erkennungswarnungen (automatisches Blockieren, Quarantäne, Untersuchung, Beseitigung, Wiederherstellung); Meldung erkannter Schadsoftware an die/den Informationssicherheitsbeauftragte/n und, wo zutreffend, an Aufsichtsbehörden oder Betroffene; und Post-Vorfall-Überprüfung. Verantwortliche Parteien für jedes Verfahren werden nach Rolle zugewiesen. Alle Personen mit Malware-Reaktions-Verantwortlichkeiten erhalten Schulungen zu Werkzeugeinsatz, Eskalationswegen, Meldepflichten und Wiederherstellungsschritten.
7.11 Schulung & Sensibilisierung
- Schulung & Sensibilisierung: Alle Benutzer erhalten Sensibilisierungsschulungen zur Erkennung und Abwehr von Malware-Bedrohungen. Schulungsinhalte umfassen: Erkennen von mit Malware infizierten E-Mails — einschließlich Phishing-, Spear-Phishing- und Business-Email-Compromise-Versuchen — und verdächtiger Anhänge; Identifizierung wahrscheinlich bösartiger Dateien, Programme und Browser-Erweiterungen; die zu ergreifenden Schritte bei Verdacht auf oder Begegnung mit einer Malware-Infektion; und Meldekanäle und Ansprechpartner. Die initiale Schulung wird abgeschlossen, bevor ein Benutzer erstmals auf organisatorische Systeme zugreift, mit jährlichen Auffrischungsschulungen danach.
7.12 Threat Intelligence
- Erhebung von Threat Intelligence: Der IT-Betrieb erhebt regelmäßig aktuelle Informationen über neue und aufkommende Malware-Bedrohungen aus definierten Intelligence-Quellen. Diese Quellen umfassen Hersteller-Sicherheitsbulletins, nationale CERT/CSIRT-Feeds (z. B. BSI CERT-Bund), branchenspezifische Information-Sharing-Communities und kuratierte Threat-Intelligence-Mailinglisten. Threat Intelligence wird mindestens wöchentlich überprüft; kritische Bedrohungsinformationen, die sofortige Maßnahmen erfordern, werden bei Empfang umgesetzt. Neue Bedrohungsinformationen werden genutzt, um Erkennungssignaturen, Blocklisten, Sensibilisierungsinhalte und — wo zutreffend — Sicherheitsmaßnahmen zu aktualisieren.
- Verifizierung von Threat-Intelligence-Quellen: Informationen über neue Schadsoftware und Malware-bezogene Warnungen — einschließlich Warnhinweisen, Patch-Advisories und Erkennungsempfehlungen — werden ausschließlich von qualifizierten und seriösen Anbietern bezogen. Vor dem Handeln nach Threat Intelligence (z. B. Anwenden eines Patches, Blockieren eines IP-Bereichs, Auslösen einer Vorfallreaktion) wird die Quelle als autoritativ verifiziert. Warnhinweise über informelle Kanäle (soziale Medien, weitergeleitete E-Mails) werden vor dem Handeln gegen offizielle Hersteller- und CERT-Veröffentlichungen gegengeprüft. Unverifizierte Bedrohungswarnungen werden nicht ohne vorherige Verifizierung an alle Benutzer verteilt, um unnötige Beunruhigung zu vermeiden.
8. Rollen & Verantwortlichkeiten
- Geschäftsleitung: Genehmigt diese Richtlinie, stellt angemessene Ressourcen für Endpunktsicherheit und Malware-Schutz-Infrastruktur bereit und fördert eine sicherheitsbewusste Kultur in der Organisation.
- Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie und das Malware-Schutz-Konzept, genehmigt Ausnahmen zur Deaktivierung des Malware-Schutzes, überprüft Warnungen und Vorfälle, koordiniert die Vorfallreaktion bei Malware-Ereignissen und stellt die Ausrichtung an aktueller Threat Intelligence und regulatorischen Anforderungen sicher.
- IT-Betrieb: Implementiert und pflegt die Endpunktkonfigurations-Baseline, die MDM-Einschreibung und -Verwaltung, die Anti-Malware-Plattform, das Patch-Management, das Anwendungs-Allowlisting, die Remote-Wipe-Fähigkeit und die zentrale Überwachung. Reagiert auf Malware-Erkennungswarnungen, führt Post-Verlust-Geräte-Wiederherstellungsbewertungen durch und pflegt die Backup-Infrastruktur. Verwaltet die drahtlose Konfiguration und externe Schnittstellenkontrollen auf verwalteten Geräten.
- Geräteeigentümer / alle Benutzer: Nutzen Endgeräte gemäß dieser Richtlinie, wenden erforderliche physische Sicherheitsmaßnahmen an, melden Verlust oder Diebstahl unverzüglich, halten die BYOD-Registrierungs- und Bestätigungsanforderungen ein, absolvieren verpflichtende Sensibilisierungsschulungen und melden vermutete Malware-Infektionen oder anomales Geräteverhalten unverzüglich an den IT-Betrieb.
- HR / Personalmanagement: Stellt sicher, dass BYOD-Bestätigungsdokumente als Teil des Onboardings ausgefüllt und aufbewahrt werden und dass Richtlinienverstöße im Zusammenhang mit Endpunktnutzung über das Disziplinarverfahren adressiert werden.
- System- & Anwendungseigentümer: Stellen sicher, dass die ihnen zugewiesenen Anwendungen und Systeme in Schwachstellenscans, Patch-Management und Integritätsüberwachungsprogramme einbezogen werden und dass Nur-Zugriffs-Kontrollen für Informationen umgesetzt werden, die auf Stufen klassifiziert sind, die eine Nur-Zugriffs-Verarbeitung erfordern.
9. Überprüfung & Pflege
Diese Richtlinie sowie das zugehörige Malware-Schutz-Konzept und die Endpunktkonfigurations-Baseline werden überprüft:
- Mindestens jährlich, um die fortlaufende Ausrichtung an aktueller Threat Intelligence, Hersteller-Sicherheitsleitfäden, BSI-IT-Grundschutz-Empfehlungen und regulatorischen Anforderungen zu verifizieren.
- Nach jedem wesentlichen Malware-Vorfall oder endpunktbezogenen Sicherheitsverstoß, um Kontrolllücken zu identifizieren und Verbesserungen umzusetzen.
- Wenn neue Endgeräteklassen, Betriebssysteme oder Formfaktoren in die Geräteflotte der Organisation eingeführt werden.
- Wenn wesentliche Änderungen an der IT-Infrastruktur, Netzwerkarchitektur oder den Telearbeitsregelungen der Organisation eintreten.
- Wenn neue regulatorische Anforderungen oder geltende BSI- oder ISO-Leitfäden für Endpunktsicherheit oder Malware-Schutz veröffentlicht werden.
- Nach Änderungen am BYOD-Programm — einschließlich neuer Gerätetypen, Jurisdiktionen oder Benutzergruppen —, um die rechtliche Konformität und technische Machbarkeit sicherzustellen.
Ausnahmeaufzeichnungen zur Deaktivierung des Malware-Schutzes werden an den in jeder Ausnahmegenehmigung festgelegten Überprüfungsdaten und gesamthaft mindestens jährlich überprüft. Die Anti-Malware-Lösungskonfiguration und die Anwendungs-Allowlist werden mindestens jährlich vom IT-Betrieb überprüft und von der/dem Informationssicherheitsbeauftragten genehmigt.
Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]
1. Legal/Regulatory Basis
ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Technological Controls:
- A 8.1 — User Endpoint Devices
- A 8.7 — Protection Against Malware
BSI IT-Grundschutz:
- SYS.2.1 (General Client) — including A1 (Secure Authentication and Activation of Clients), A3 (Auto-Update Mechanisms), A6 (Anti-Virus Programs), A8 (Securing the Boot Process), A16 (Deactivation of Unnecessary Components), A24 (Handling of External Interfaces), A26 (Exploitation Protection), A28 (Client Encryption), A31 (Local Packet Filters), A33 (Application Control), A42 (Use of Cloud Services)
- SYS.3.1 (Laptops) — including A1 (Rules for Mobile Use), A3 (Screen Lock), A9 (Secure Remote Access), A12 (Loss Reporting), A13 (Encryption of Laptops), A14 (Suitable Storage)
- SYS.3.2.1 (Smartphones/Tablets General) — including A1-A8, A11, A22, A28, A32, A33 (use policy, lock screen, OS/app updates, privacy settings, storage encryption, web filtering, device management, security apps)
- SYS.3.2.2 (Mobile Device Management) — including A1, A2, A4, A7, A20, A21, A22 (MDM strategy, permitted end devices, base configuration distribution, app approval, security setting reviews, certificate management, remote wipe and lock)
- INF.9 (Mobile Workplace) — A2 (Rules for Mobile Storage Media and Devices), A8 (Security Policy for Mobile Workplaces)
- OPS.1.1.4 (Protection Against Malware) — A1 (Concept for Protection), A2 (System-Specific Protection Mechanisms), A3 (Anti-Virus Selection), A5 (Operation and Configuration), A6 (Regular Updating), A7 (Awareness and Commitment), A9 (Reporting of Virus Findings)
Additional jurisdiction-specific laws — in particular data protection law (GDPR), employment law (governing device monitoring and remote wipe) and works council co-determination — are listed in the Legal Register and incorporated by reference.
2. Purpose & Scope
This policy governs the secure configuration, use and protection of user endpoint devices and the defence against malware at [YOUR_ORGANISATION_NAME]. It implements the requirements of ISO/IEC 27002:2022 A 8.1 (User Endpoint Devices) and A 8.7 (Protection Against Malware) and the corresponding BSI IT-Grundschutz requirements for clients, laptops, mobile devices and malware protection.
The policy applies to all endpoint devices that process, store or transmit organisational information — including desktop computers, laptops, smartphones, tablets and any privately owned device used for business purposes. It covers organisation-owned and bring-your-own devices (BYOD), all operating systems and form factors and all locations including home offices, public spaces and third-party premises.
All employees, contractors and third parties who use endpoint devices to access organisational systems or information are subject to this policy. IT operations teams, system administrators and device owners carry specific responsibilities as defined in Section 8.
3. Endpoint Device Configuration & Hardening (A 8.1)
All user endpoint devices are configured and maintained in accordance with a documented secure configuration baseline. Configuration is centrally managed where technically feasible; deviations from the baseline require documented risk acceptance by the Information Security Officer. Unused components, interfaces and services are disabled to reduce the attack surface. Memory protection mechanisms — specifically Address Space Layout Randomisation (ASLR) and Data Execution Prevention (DEP) — are enabled on all supported platforms. The boot process is secured using Secure Boot or equivalent mechanisms to prevent unauthorised code execution before the operating system loads.
3.1 Information Classification & Device Registration
- Information Classification & Processing Limits: Endpoint devices are authorised to process and store information up to a defined classification level. Devices handling information above the standard classification tier require additional hardening measures and are documented separately in the asset inventory. The classification level authorised for each device class is specified in the device configuration baseline and reviewed annually.
- Device Registration: Every endpoint device is registered in the asset inventory before being connected to organisational systems or used to process organisational information. The registration record includes the device identifier, owner, classification level authorised, MDM enrolment status and assigned user. Unregistered devices are blocked from accessing organisational systems. All mobile devices — including those used for remote access — are enrolled in the Mobile Device Management (MDM) system before use, as required by the Remote Working & BYOD Policy and the Cryptography Policy.
3.2 Physical Protection
- Physical Protection Requirements: Endpoint devices are physically protected against unauthorised access, damage and environmental hazards. Devices left unattended in the workplace are locked using a password-protected screen lock that activates after a maximum of five minutes of inactivity. Fixed workstations in areas accessible to visitors are placed so that screens cannot be viewed from corridors or common areas. Devices in shared spaces are secured to fixed structures using physical locking mechanisms where the risk of theft justifies this.
3.3 Software Management & Updates
- Software Installation Controls: Users are not permitted to install software on organisational endpoint devices without prior authorisation from IT operations. Software installation is technically restricted: on managed devices, administrative privileges required for installation are not granted to standard user accounts, and where technically feasible, installation is restricted to an approved software catalogue or application allowlist. Software requests are submitted through the designated approval process. Personally installed software on BYOD devices used for organisational purposes is subject to the restrictions defined in Section 5.
- Software Versions & Updates: All endpoint devices run supported software versions for which security updates are available. Operating systems and applications are configured for automatic updates; automatic update mechanisms are activated and set to apply security patches at least daily. Where automatic updating is technically infeasible, a documented patch management procedure defines maximum patch intervals by severity: critical vulnerabilities are remediated within 72 hours, high-severity within 14 days and medium-severity within 30 days. Devices running end-of-life operating systems are either upgraded, isolated from the network or risk-accepted in writing.
3.4 Network Connections & Firewalls
- Network Connections & Personal Firewalls: All endpoint devices are protected by a locally active packet filter (personal firewall) configured to block unauthorised inbound connections. When operating outside the organisational network — including from public Wi-Fi or home networks — laptop devices connect to organisational resources exclusively via an encrypted VPN tunnel. The personal firewall remains active regardless of network location. Cloud service access is limited to the approved services defined in the software catalogue; use of unapproved cloud storage or synchronisation services for organisational data is prohibited. Home networks used for remote work are configured to meet minimum security standards: WPA3 or WPA2-AES encryption, changed default router credentials and current firmware.
3.5 Access Controls & Authentication
- Access Controls & Authentication: Access to endpoint devices is controlled through secure authentication. Shared accounts are prohibited on individual endpoint devices. A screen lock with password protection activates automatically after a maximum of five minutes of inactivity. On smartphones and tablets, a complex lock code is enforced; devices are configured to auto-lock and to perform a factory reset after a defined number of failed unlock attempts. Default manufacturer credentials on newly provisioned devices are changed before deployment. Multi-factor authentication is required for remote access to organisational systems (see the Access Control Policy).
3.6 Storage Encryption
- Storage Encryption: All laptops and mobile endpoints are protected by full-disk encryption using an approved encryption mechanism. Encryption covers all internal storage and, where technically supported, removable storage media including SD cards inserted into the device. Recovery keys or escrow keys are stored centrally in a secured key management system separate from the encrypted device, in accordance with the Cryptography Policy. Devices without functioning encryption are not used to process organisational information until encryption is restored.
3.7 Malware Protection on Endpoints
- Endpoint Malware Protection: All endpoint devices run an enterprise-grade anti-malware solution with real-time protection enabled (see Section 7 for detailed malware protection requirements). The anti-malware solution is centrally managed; users are not permitted to modify protection settings, disable real-time scanning or create exclusions without documented approval from IT operations. Endpoint malware scanning provides a compensating control for encrypted traffic that bypasses gateway-level content inspection.
Detailed malware protection requirements — including anti-malware deployment, scanning scope, update procedures and exception handling — are defined in Section 7.
3.8 Remote Disable, Wipe & Lockout
- Remote Disable, Wipe & Lockout: All mobile endpoint devices — smartphones, tablets and laptops — are enrolled in the MDM system to enable remote disable, remote wipe and remote lockout. Remote wipe is triggered upon confirmed loss or theft of a device, upon termination of a user's access rights, or upon a security incident determination by the Information Security Officer. The remote wipe procedure is tested at least annually. For BYOD devices, remote wipe is scoped to the organisational container or work profile to avoid deletion of personal data, except where a compromise of organisational information requires full-device wipe.
3.9 Backups
- Endpoint Backups: Organisational data stored on endpoint devices is backed up to a centrally managed backup infrastructure. Where technically feasible, backup synchronisation is automated and continuous. The backup frequency and retention period are defined in accordance with the IT Operations Security Policy. Users working remotely ensure that devices are connected with adequate network bandwidth to complete scheduled backup operations. Data stored exclusively on a local device that has not been backed up is treated as at risk; users are required to synchronise local data with central systems before extended travel or offline periods.
3.10 Web Services & Applications
- Web Services & Web Applications: Access to web services and web applications from endpoint devices is limited to approved services listed in the software catalogue (see the Acceptable Use Policy). Web browsers are kept up to date and are configured in accordance with the device security baseline. Web access on smartphones and tablets is subject to web filtering controls to block known malicious domains. Downloading files from unapproved external sources to organisational endpoints requires that the files pass through anti-malware scanning before opening.
3.11 User Behaviour Analytics
- User Behaviour Analytics: Where implemented, endpoint-based user and entity behaviour analytics (UEBA) tools operate on endpoint devices to detect anomalous activity patterns — such as abnormal data access volumes, unusual login times or bulk file operations — that may indicate account compromise or insider threat. The deployment, scope and data retention of behaviour analytics are governed by the applicable data protection requirements and, where applicable, works council or co-determination agreements. Monitoring activities and their legal basis are documented in the processing activities register. Alerts generated by behaviour analytics are investigated in accordance with the incident management procedure.
3.12 Removable Devices & Physical Ports
- Removable Devices & Physical Ports: The use of removable storage media — USB drives, external hard disks, memory cards and similar devices — on organisational endpoints is restricted to approved devices listed in the asset inventory. Unapproved removable media is blocked at the operating system level where technically feasible. USB ports are disabled by default on managed endpoints; exceptions for specific business purposes — such as USB-C connections used exclusively for power delivery or display output — are documented and technically scoped to the permitted function only. All files transferred via removable media are scanned for malware before use. The loss or unauthorised use of removable media containing organisational data is reported as a security incident.
3.13 Data Partitioning & Local Storage Restrictions
- Data Partitioning: On devices used for both organisational and personal purposes, organisational data and applications are technically separated from personal content using containerisation, work profiles or equivalent partitioning mechanisms. Organisational applications in the work profile are prevented from accessing personal data, contacts, media and applications. Data can only be shared between organisational and personal partitions via the approved mechanisms defined in the MDM policy.
- Highly Sensitive Information — Access-Only Mode: Certain categories of information are designated as access-only: they may be viewed remotely but are not downloaded to or locally stored on endpoint devices. For such information, the device configuration disables local download, local caching and the use of removable storage (including SD cards) during access sessions. The categories of information subject to access-only restrictions are defined in the information classification framework and enforced via technical controls in the relevant applications or MDM policy.
4. User Responsibilities (A 8.1)
Users of endpoint devices carry personal responsibility for implementing the physical and logical security controls applicable to their devices. Failure to comply with the requirements in this section is treated as a policy violation subject to the disciplinary process (see the HR Security Policy).
4.1 Session Management
- Session Management: Users log out of active sessions and terminate services — including VPN connections, remote desktop sessions and web application sessions — when they are no longer needed and before leaving a device unattended for an extended period. Active sessions are not left open on shared or public-access devices. Temporary session tokens and cached credentials on shared devices are cleared after use. Where applications do not automatically terminate idle sessions, users manually log out before ending the working session.
4.2 Device Security & Physical Controls
- Preventing Unauthorised Use: Users protect their endpoint devices against unauthorised use through both physical and logical controls. Devices are never left unattended without the screen lock activated when sensitive information is displayed or accessible. Where available, physical security mechanisms — cable locks, device safes, key-locked storage — are used for fixed workstations and stored laptops. Logical access protection (password, PIN, biometric) is enabled at all times; passwords and PINs are never shared with colleagues or written down in proximity to the device.
- Security in Public & Open Spaces: Users take particular care when working with endpoint devices in public places, open-plan offices and meeting rooms. Privacy screens are used on laptops and mobile devices where others could view the display. Sensitive conversations and screen content are shielded from bystanders. Connections to public Wi-Fi networks are made only via VPN. Unencrypted email and file access over public networks is avoided.
- Physical Security Against Theft: Users physically secure endpoint devices against theft in all locations away from the regular workplace. Laptops and mobile devices are not left visible and unattended in vehicles, hotel rooms, conference facilities or public transport. In hotel rooms, laptops are stored in the room safe or locked in a bag when not in use. Devices are not left unattended in conference or training venues during breaks. The secure storage guidelines for mobile workplaces define minimum standards for different location types.
4.3 Theft & Loss Procedures
- Theft & Loss Reporting: The loss or theft of any organisational endpoint device — or a privately owned device used for organisational purposes — is reported to IT operations and the Information Security Officer immediately upon discovery, and no later than within two hours during business hours. The report triggers the remote wipe and disable procedure defined in Section 3.8. A recovered device that was previously reported as lost or stolen is not reconnected to organisational systems until IT operations have performed a security assessment and reinstalled the operating system and applications from a clean baseline. The incident is documented in the incident management system.
5. Bring Your Own Device (A 8.1)
The use of privately owned devices to access or process organisational information — including email, documents and internal applications — is governed by this section. BYOD devices are registered and MDM-enrolled before first use. All general endpoint security requirements in Sections 3, 4 and 6 apply to the organisational work profile or container on BYOD devices. IT operations maintain an approved list of device types and operating system versions eligible for BYOD use.
5.1 Separation of Personal & Business Use
- Separation of Personal & Business Use: Organisational data on BYOD devices is stored exclusively within the designated work profile or organisational container. Personal applications do not have access to the work profile and its data; organisational applications do not access personal photos, contacts, messages or files outside the container. The containerisation technology used is supported by the MDM system. Where technical separation cannot be enforced by the MDM solution, the device is not approved for BYOD use. Business data is never stored in personal cloud accounts, personal email or messaging applications.
5.2 User Acknowledgement & Remote Wipe
- User Acknowledgement & Remote Wipe Consent: Before a BYOD device is enrolled in the MDM system, the user signs a BYOD acknowledgement confirming: (a) physical protection and software update obligations identical to organisation-owned devices; (b) that organisational data on the device remains the property of the organisation and the user holds no ownership rights to it; (c) explicit consent to remote wipe of the organisational container or work profile in the event of loss, theft, termination of employment or security incident; (d) awareness that, in exceptional circumstances where selective wipe is technically insufficient, a full device wipe may be performed; and (e) awareness of personal data protection implications — in particular that the MDM system does not access personal data outside the work profile, and that the applicable privacy information notice has been read and understood.
5.3 Intellectual Property
- Intellectual Property: Work content created using organisational applications on a BYOD device — including documents, designs, source code, analyses and communications — belongs to the organisation. A separate topic-specific policy or employment agreement clause governs the ownership of content developed using personal applications on the same device during working hours, to prevent intellectual property disputes. Users are made aware of these boundaries before BYOD enrolment.
5.4 Access for Verification & Investigation
- Access for Verification & Investigation: The organisation's right to access a privately owned device for security verification or forensic investigation is limited to the organisational container or work profile managed by the MDM system. Access to personal data outside this scope is not exercised by the organisation except where required by applicable law (e.g. a court order). Where legislation in a user's jurisdiction prevents even container-level access or forensic examination, this is assessed before BYOD approval in that jurisdiction, and alternative controls (organisation-owned device) are provided if access cannot be guaranteed.
5.5 Software Licensing
- Software Licensing: The organisation does not deploy client software on BYOD devices in a manner that would make the organisation liable under software licence agreements for personal use of that software on the same device. Where organisational applications carry per-seat or per-device licences, the licence terms are reviewed before deployment to BYOD devices to confirm that personal use of the same device does not constitute an unlicensed use. Users do not install organisational software on BYOD devices other than the applications approved and deployed via the MDM system.
6. Wireless Connections (A 8.1)
Wireless connectivity on endpoint devices is configured to minimise exposure to eavesdropping, unauthorised access and protocol-level attacks. Users do not alter wireless configuration settings on managed devices beyond permitted personalisation.
6.1 Wireless Interface Configuration
- Wireless Interface Configuration: Wireless interfaces on endpoint devices are configured in accordance with the security baseline. Bluetooth is disabled when not in active use. Automatic connection to unknown or open Wi-Fi networks is disabled; devices connect automatically only to explicitly trusted networks defined in the MDM configuration. Deprecated wireless protocols known to have security vulnerabilities (e.g. WEP, WPA-TKIP, Bluetooth profiles that permit unauthenticated pairing) are disabled at the operating system level. On laptops, the personal firewall (see Section 3.4) is active on all wireless interfaces. External interfaces beyond those required for the device's operational purpose are disabled.
6.2 Bandwidth & Connectivity Requirements
- Bandwidth & Connectivity Requirements: Certain endpoint operations — including operating system updates, application updates, backup synchronisation and MDM policy pushes — require wired or high-bandwidth wireless connections. Users ensure that their devices are connected to a sufficiently fast network to complete scheduled update and backup operations within their defined windows. Where mobile data connections are the only option, large updates and backup operations are deferred to the next available high-bandwidth connection unless the operation is security-critical.
7. Malware Protection (A 8.7)
Malware — including viruses, ransomware, spyware, trojans, worms and other malicious code — poses a persistent threat to organisational systems and information. Protection against malware is implemented as a layered defence-in-depth strategy covering network gateways, email systems, endpoints and servers. A malware protection concept defines which systems require protection, the mechanisms used and the responsibilities for their operation. Operating system-native security mechanisms (e.g. Windows Defender, macOS XProtect) are activated as a baseline and supplemented by enterprise-grade tools where required by risk assessment.
7.1 Unauthorised Software Prevention
- Application Allowlisting & Unauthorised Software Prevention: Application control (allowlisting) is implemented on endpoint devices to prevent execution of unauthorised software. Only applications from the approved software catalogue or from trusted sources approved by IT operations are permitted to run. Execution control mechanisms are configured to block unsigned or unknown executables, scripts from untrusted locations and interpreted scripts (e.g. PowerShell, VBScript) not originating from approved paths. On smartphones and tablets, apps are installed only from officially approved app stores; sideloading from unapproved sources is prohibited. Blocked execution attempts are logged and reviewed by IT operations.
7.2 Malicious Website Controls
- Malicious Website Controls: Access to known and suspected malicious websites is prevented through DNS-based or proxy-based blocklisting on all endpoints. The blocklist covers categories including malware distribution sites, phishing sites, command-and-control infrastructure, exploit kit landing pages and sites known to host drive-by download attacks. On mobile devices, web filtering is enforced via the MDM-deployed security app or browser configuration. The blocklist is updated automatically from the threat intelligence sources defined in Section 7.12. Attempts to access blocked sites are logged and periodic review of blocked access logs is performed to identify targeted attack patterns.
7.3 Vulnerability Reduction
- Vulnerability Reduction: The attack surface available to malware is reduced through systematic vulnerability management. Operating systems, applications and browser plugins are kept current in accordance with the patch management schedule defined in Section 3.3. Unnecessary software, services and features are removed or disabled. Technical vulnerability management — including regular scanning, prioritisation and remediation tracking — is governed by the vulnerability management process. Memory exploitation protection (ASLR, DEP) is enabled on all supported endpoints. The principle of least privilege is applied to endpoint accounts to limit the damage a piece of malware can cause if it executes under a user account.
7.4 Automated Validation & Integrity Checking
- Automated Validation & Integrity Checking: Systems supporting critical business processes are subject to regular automated validation of software integrity and data content. File integrity monitoring is configured on critical servers and workstations to detect unauthorised modifications to executables, configuration files and data directories. Detected unauthorised files or unexpected changes to monitored paths trigger alerts for immediate investigation by IT operations. Integrity check results and alerts are reviewed at defined intervals; anomalies are escalated to the Information Security Officer and documented in the incident management system.
7.5 External File & Software Protection
- External File & Software Protection: Files and software obtained from external networks (internet downloads, email attachments, cloud sharing services) or delivered on removable media are scanned for malware before use. Users do not open email attachments or downloaded files without confirmed malware scan completion. Software obtained from external sources is verified against a published hash or digital signature before installation. Files received via encrypted channels that bypass gateway scanning are scanned by the endpoint anti-malware solution before opening, providing the compensating control required by the Information Transfer Policy and the Cryptography Policy.
7.6 Anti-Malware Deployment
- Anti-Malware on Endpoints & Removable Media: An enterprise anti-malware solution with real-time protection and on-demand scanning is installed on all endpoint devices. The solution includes detection of malware in compressed and archived files. Signature databases and detection logic are updated automatically and at least daily from the vendor's update infrastructure. All data received via networks and all files on electronic storage media are scanned before first use. Scan results and detection events are reported centrally.
- Email, Instant Messaging & Download Scanning: Anti-malware scanning is applied at multiple layers for email and communications: at the email server before delivery to user mailboxes, at the email client on the endpoint and for files downloaded from web and file-sharing services. Attachments in email and instant messaging are scanned before the user can open them. Where a gateway email scanner and an endpoint email scanner are both in place, both are maintained and updated independently to provide defence-in-depth coverage.
- Web Page Scanning: Anti-malware capabilities are applied to web content accessed by endpoint devices. Browser-integrated protection and endpoint-based web scanning examine web pages on access for embedded malicious code, drive-by download scripts and malicious redirects. Web page scanning works in conjunction with the blocklisting controls defined in Section 7.2 to provide layered coverage.
- Placement & Configuration of Anti-Malware Tools: Anti-malware tools are placed and configured based on a risk assessment using a defence-in-depth approach: network gateway, endpoint devices, email servers and file servers each carry appropriate detection and blocking controls. The risk assessment considers attacker evasion techniques, including encrypted file formats and encrypted communication protocols that limit gateway-level inspection. Configuration is reviewed at least annually and after significant infrastructure changes. Detection sensitivity is set to maximise malware detection while maintaining an acceptable false-positive rate documented in the malware protection concept.
7.7 Maintenance & Emergency Procedures
- Maintenance & Emergency Procedure Controls: Maintenance activities and emergency procedures that require temporarily bypassing normal access controls or security monitoring — such as applying out-of-band patches, performing disaster recovery operations or granting elevated emergency access — carry an elevated risk of malware introduction through unmonitored channels. For such procedures, IT operations apply compensating controls including: scanning all tools and media introduced during maintenance before use, performing post-maintenance integrity checks on affected systems and reviewing event logs for the maintenance window. Emergency procedures that bypass security controls are documented, time-limited and reviewed by the Information Security Officer after completion.
7.8 Exception Process for Malware Protection Deactivation
- Exception Process for Malware Protection Deactivation: Temporary or permanent deactivation of malware protection on a system requires a formal exception process. The requesting party documents the justification, the systems affected, the duration of deactivation, the compensating controls applied during the exception period and a defined review date. The Information Security Officer approves the exception in writing before deactivation. Approved exceptions are tracked in the exception register and reviewed at the defined review date or upon a relevant change in circumstances. Permanent deactivation exceptions are re-approved annually. Unapproved deactivation of malware protection is treated as a security incident.
7.9 Business Continuity & Recovery
- Business Continuity & Recovery from Malware Attacks: Business continuity plans address recovery scenarios involving malware attacks, including ransomware incidents, system-wide infections and data corruption events. The plans define recovery procedures, responsible persons, recovery time objectives and communication channels. Both online backups (for rapid recovery) and offline backups isolated from the production network (for ransomware scenarios where online backups may be encrypted) are maintained. Backup and recovery procedures are tested at intervals defined in the business continuity plan to verify that clean recovery is achievable within the recovery time objective.
- Isolation of High-Consequence Environments: Environments where a malware infection could have catastrophic consequences — such as industrial control systems, safety-critical infrastructure, systems holding large volumes of sensitive personal data or financial transaction systems — are isolated from general corporate networks through network segmentation. Communication between isolated environments and other systems is restricted to defined, monitored channels. Isolation controls are tested periodically. Malware incidents in or adjacent to isolated environments trigger immediate network isolation procedures.
7.10 Procedures & Responsibilities
- Procedures & Responsibilities: Documented procedures define responsibilities and required actions for malware protection operations, including: initial deployment and configuration of anti-malware tools; response to malware detection alerts (automated blocking, quarantine, investigation, eradication, recovery); reporting detected malware to the Information Security Officer and, where applicable, to supervisory authorities or affected parties; and post-incident review. Responsible parties for each procedure are assigned by role. All personnel with malware response responsibilities receive training covering tool use, escalation paths, reporting requirements and recovery steps.
7.11 Training & Awareness
- Training & Awareness: All users receive awareness training covering the identification and mitigation of malware threats. Training content includes: recognising malware-infected emails — including phishing, spear-phishing and business email compromise attempts — and suspicious attachments; identifying likely malicious files, programs and browser extensions; the steps to take upon suspecting or encountering a malware infection; and reporting channels and response contacts. Initial training is completed before a user first accesses organisational systems, with annual refresher training thereafter.
7.12 Threat Intelligence
- Threat Intelligence Collection: IT operations regularly collect current information about new and emerging malware threats from defined intelligence sources. These sources include vendor security bulletins, national CERT/CSIRT feeds (e.g. BSI CERT-Bund), industry information sharing communities and curated threat intelligence mailing lists. Threat intelligence is reviewed at least weekly; critical threat information that warrants immediate action is acted on upon receipt. New threat information is used to update detection signatures, blocklists, awareness content and — where applicable — security controls.
- Verification of Threat Intelligence Sources: Information about new malware and malware-related alerts — including warning notices, patch advisories and detection recommendations — is sourced only from qualified and reputable providers. Before acting on threat intelligence (e.g. applying a patch, blocking an IP range, triggering an incident response), the source is verified as authoritative. Warning notices received via informal channels (social media, forwarded emails) are cross-checked against official vendor and CERT publications before action is taken. Unverified threat warnings are not distributed to all users without prior verification to avoid unnecessary alarm.
8. Roles & Responsibilities
- Top Management: Approves this policy, ensures adequate resources are allocated for endpoint security and malware protection infrastructure, and promotes a security-aware culture across the organisation.
- Information Security Officer (ISO): Maintains this policy and the malware protection concept, approves exceptions to malware protection deactivation, reviews alerts and incidents, coordinates incident response for malware events, and ensures alignment with current threat intelligence and regulatory requirements.
- IT Operations: Implements and maintains the endpoint configuration baseline, MDM enrolment and management, anti-malware platform, patch management, application allowlisting, remote wipe capability and centralised monitoring. Responds to malware detection alerts, performs post-loss device reinstatement assessments and maintains the backup infrastructure. Manages wireless configuration and external interface controls on managed devices.
- Device Owners / All Users: Use endpoint devices in accordance with this policy, apply required physical security measures, report loss or theft immediately, comply with BYOD registration and acknowledgement requirements, complete mandatory awareness training and report suspected malware infections or anomalous device behaviour to IT operations without delay.
- HR / People Management: Ensures that BYOD acknowledgement documentation is completed and retained as part of the onboarding process, and that policy violations related to endpoint use are addressed through the disciplinary process.
- System & Application Owners: Ensure that applications and systems under their ownership are included in vulnerability scanning, patch management and integrity monitoring programmes and that access-only controls are implemented for information classified at levels requiring access-only processing.
9. Review & Maintenance
This policy and the associated malware protection concept and endpoint configuration baseline are reviewed:
- At least annually, to verify continued alignment with current threat intelligence, vendor security guidance, BSI IT-Grundschutz recommendations and regulatory requirements.
- After any significant malware incident or endpoint-related security breach, to identify control gaps and implement improvements.
- When new endpoint device classes, operating systems or form factors are introduced into the organisation's device fleet.
- When significant changes occur to the organisation's IT infrastructure, network architecture or remote working arrangements.
- When new regulatory requirements or applicable BSI or ISO guidance affecting endpoint security or malware protection are published.
- Following changes to the BYOD programme — including new device types, jurisdictions or user groups — to ensure legal compliance and technical feasibility.
Exception records for malware protection deactivation are reviewed at the review dates specified in each exception approval, and collectively at least annually. The anti-malware solution configuration and the application allowlist are reviewed at least annually by IT operations and approved by the Information Security Officer.
Quellen
- ISO/IEC 27002:2022 Abschnitte 8.1 und 8.7 — die Controls hinter Endpunktsicherheit und Malware-Schutz
- BSI IT-Grundschutz SYS.2.1 — Allgemeiner Client
- BSI IT-Grundschutz OPS.1.1.4 — Schutz vor Schadprogrammen
- NIS2-Richtlinie (EU 2022/2555) — Art. 21 Risikomanagementmaßnahmen