Dürfen Mitarbeitende private Geräte für die Arbeit nutzen?

Ja, aber ausschließlich über eine virtuelle Desktop-Infrastruktur (VDI). Organisationsdaten werden dabei zu keinem Zeitpunkt lokal auf dem privaten Gerät gespeichert. Der Grund: Ohne VDI hast du keine Kontrolle über Verschlüsselung, Patch-Stand oder Datenlöschung auf Geräten, die dir gar nicht gehören.

Welche WLAN-Verschlüsselung muss im Homeoffice aktiv sein?

WPA3 ist der Standard. WPA2 wird als Mindestanforderung akzeptiert, solange das Routerpasswort geändert und die Firmware aktuell ist. WEP und offene Netzwerke sind ausgeschlossen. Zusätzlich empfiehlt die Richtlinie ein separates Gäste-Netzwerk, damit IoT-Geräte nicht im selben Segment wie der Arbeitsrechner hängen.

Brauche ich eine Risikobewertung, bevor ich Remote Working erlaube?

Für den Regelfall (Homeoffice mit organisationseigenen Geräten und VPN) reicht die Selbsteinschätzungs-Checkliste aus der Richtlinie. Streng vertrauliche Daten dürfen allerdings erst remote verarbeitet werden, wenn eine individuelle Risikobewertung durchgeführt und dokumentiert wurde.

Was passiert mit dem Zugang, wenn jemand das Unternehmen verlässt?

Alle Remote-Zugänge (VPN, VDI, Cloud-Dienste) werden am letzten Arbeitstag gesperrt. Organisationseigene Geräte müssen innerhalb von fünf Arbeitstagen zurückgegeben werden. Die IT prüft, ob lokale Daten vollständig gelöscht und das Gerät aus dem Inventar ausgetragen ist.

Müssen Mitarbeitende vor dem ersten Homeoffice-Tag eine Schulung absolvieren?

Ja. Die Richtlinie verlangt eine Telearbeit-Schulung vor dem ersten Remote-Arbeitstag und danach eine jährliche Auffrischung. Inhalte: physische Sicherheit am Arbeitsplatz, VPN-Nutzung, Umgang mit vertraulichen Dokumenten, Meldepflicht bei Vorfällen.

Richtlinie zu Telearbeit und BYOD

Homeoffice, Coworking-Space, Hotelzimmer auf Dienstreise — Arbeit findet längst dort statt, wo gerade ein Bildschirm und eine Internetverbindung verfügbar sind. ISO 27001 widmet dem Thema ein eigenes Control (A 6.7), das BSI gleich drei Bausteine (OPS.1.2.4, INF.8, INF.9). Und trotzdem fehlt in vielen ISMS eine Richtlinie, die über „VPN einschalten” hinausgeht.

Diese Richtlinie regelt alles, was zwischen dem Firmenserver und dem Küchentisch passiert: Netzwerksicherheit im Heimnetz, physischer Schutz am Arbeitsplatz, Gerätevergabe, BYOD-Einschränkungen, Schulungspflichten und den sauberen Abschluss bei Austritt. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Warum braucht dein ISMS diese Richtlinie?

Telearbeit verschiebt den Sicherheitsperimeter aus dem Büro heraus — in Umgebungen, die du weder kontrollierst noch überwachst. Das Risiko liegt dabei weniger in der Technik als in der fehlenden Struktur. Ohne klare Vorgaben entscheiden Mitarbeitende selbst, ob sie im Café den Bildschirm abdecken, ob das WLAN-Passwort noch „admin123” heißt und ob die Kinder den Arbeitsrechner für Spiele nutzen dürfen.

A 6.7 verlangt deshalb Sicherheitsmaßnahmen für den Zugriff auf Informationen außerhalb der Organisationsräume — und zwar unabhängig davon, ob jemand dauerhaft von zu Hause arbeitet oder einmal im Monat unterwegs ist. BSI OPS.1.2.4 ergänzt das um operative Anforderungen für die Telearbeit, INF.8 um den häuslichen Arbeitsplatz und INF.9 um mobile Szenarien.

Was gehört in die Richtlinie?

Die Vorlage deckt neun Kernbereiche ab:

Standortsicherheit und Selbsteinschätzung — Checkliste für den Heimarbeitsplatz, abschließbarer Schrank für Unterlagen, Bildschirmposition, Anforderungen an Besprechungsräume
Netzwerksicherheit — VPN-Pflicht mit deaktiviertem Split-Tunnelling, MFA für alle Remote-Zugänge, WPA3/WPA2-Anforderungen, Router-Härtung, Trennung von IoT und Arbeitsgeräten
BYOD-Regelung — Zugriff auf Organisationsdaten ausschließlich über VDI, kein lokales Speichern, keine Synchronisation auf private Cloud-Dienste
Physische Sicherheit — Bildschirm für Mitbewohnende und Besuch unsichtbar, abgeschlossener Raum für vertrauliche Gespräche, Kinder haben keinen Zugang zum Arbeitsgerät
Sichtschutz unterwegs — Blickschutzfolie in öffentlichen Räumen, keine vertraulichen Informationen auf sichtbaren Bildschirmen
Gerätebereitstellung — Organisation stellt Geräte, jedes Gerät wird inventarisiert und mit einer Kennung versehen
Klassifizierungsbeschränkungen — streng vertrauliche Daten dürfen erst nach individueller Risikobewertung remote verarbeitet werden
Schulung — Pflichtschulung vor dem ersten Remote-Tag, jährliche Auffrischung
Beendigung und Rückgabe — sofortige Sperrung aller Zugänge, Geräterückgabe innerhalb von fünf Arbeitstagen, Datenlöschung und Inventaraustrag

So führst du die Richtlinie ein

01

Ist-Zustand der Remote-Arbeit erfassen

Wie viele Beschäftigte arbeiten regelmäßig von außerhalb? Welche Geräte nutzen sie — organisationseigene oder private? Gibt es bereits VPN-Zugänge, und sind sie mit MFA abgesichert? Werden vertrauliche Daten remote verarbeitet? Diese Bestandsaufnahme zeigt dir, wo die größten Lücken liegen und welche Abschnitte der Richtlinie sofort greifen müssen.
02

Technische Voraussetzungen schaffen

Bevor die Richtlinie veröffentlicht wird, müssen die technischen Grundlagen stehen: VPN mit deaktiviertem Split-Tunnelling, MFA für alle Remote-Zugänge, VDI-Infrastruktur für BYOD (falls zugelassen), zentrales Gerätemanagement mit Inventar. Richtlinien, deren Anforderungen technisch noch gar nicht umsetzbar sind, erzeugen Frustration und werden ignoriert.
03

Vorlage anpassen und Checkliste erstellen

Ersetze die Platzhalter in der Vorlage. Passe die Selbsteinschätzungs-Checkliste an eure Gegebenheiten an — vielleicht braucht ihr keine Anforderung an abschließbare Schränke, weil alle Dokumente digital sind, dafür aber eine Anforderung an den zweiten Monitor. Streiche, was nicht zutrifft, und ergänze, was fehlt.
04

Schulung entwickeln und ausrollen

Die Richtlinie verlangt eine Schulung vor dem ersten Remote-Tag. Entwickle ein kompaktes Format (30 Minuten reichen): physische Sicherheit am Heimarbeitsplatz, VPN-Nutzung, Umgang mit vertraulichen Unterlagen, Meldepflicht bei Vorfällen. Verknüpfe die Schulung mit der Freischaltung des VPN-Zugangs — wer die Schulung nicht abgeschlossen hat, bekommt keinen Zugriff.
05

Genehmigung und Kommunikation

Die Geschäftsleitung genehmigt die Richtlinie (ISO 27001, Clause 5.2). Kommuniziere sie aktiv: Kurzbriefing für Teamleitungen mit den drei wichtigsten Punkten (VPN-Pflicht, keine lokale Datenspeicherung auf privaten Geräten, Schulungspflicht), Link zur Selbsteinschätzungs-Checkliste, Frist für die Bestätigung.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. VPN wird umgangen. Mitarbeitende greifen über den privaten Browser direkt auf Cloud-Dienste zu, weil der VPN-Client „zu langsam” ist oder „schon wieder hängt”. Die Folge: kein Tunnelschutz, keine Protokollierung, kein DLP. Abhilfe: technische Durchsetzung (Conditional Access), kombiniert mit einer VPN-Infrastruktur, die tatsächlich stabil läuft.

2. Heimnetzwerk im Werkszustand. Router-Passwort nie geändert, Firmware von 2021, WLAN-Verschlüsselung auf WPA2 mit dem Standardschlüssel vom Aufkleber. Dazu Smart-Home-Geräte im selben Netzwerksegment wie der Arbeitsrechner. Die Selbsteinschätzungs-Checkliste fängt das ab — aber nur, wenn sie auch wirklich ausgefüllt und überprüft wird.

3. Lokale Daten auf privaten Geräten. BYOD ohne VDI endet fast immer damit, dass Organisationsdaten auf dem Privatgerät landen: E-Mail-Anhänge im Download-Ordner, Screenshots auf dem Desktop, Dateien in der privaten Cloud. Beim Austritt hast du keine Möglichkeit, diese Daten zurückzuholen.

4. Keine Schulung, kein Bewusstsein. Die Richtlinie existiert, aber Mitarbeitende haben sie nie gelesen und wurden nie geschult. Im Audit zeigt sich das sofort: Kein Schulungsnachweis, keine unterschriebene Kenntnisnahme, und auf Nachfrage wissen Beschäftigte die Grundregeln nicht.

5. Geräterückgabe verzögert oder vergessen. Nach dem Austritt vergehen Wochen, bis das Gerät zurückkommt — wenn überhaupt. In der Zwischenzeit hat eine Person mit deaktiviertem Account noch physischen Zugriff auf ein Gerät mit Organisationsdaten. Die Fünf-Tage-Frist aus der Richtlinie muss im Offboarding-Ablauf verankert sein, mit Eskalation bei Überschreitung.

Vorlage: Richtlinie zu Telearbeit und BYOD

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Personenbezogene Maßnahmen:

A 6.7 — Telearbeit

BSI IT-Grundschutz:

OPS.1.2.4 (Telearbeit — Regelungen, Sicherheitskonzept, Kommunikation)
INF.8 (Häuslicher Arbeitsplatz — Physische Sicherheit, Zutrittskontrolle)
INF.9 (Mobiler Arbeitsplatz — Auswahl, Regeln, Sichtschutz)
NET.3.3 (VPN — Planung, Konfiguration, Zugriffsmanagement)

Weitere jurisdiktionsspezifische Gesetze — insbesondere Arbeitsrecht, Datenschutzrecht (DSGVO), Arbeitsschutzvorschriften und Betriebsverfassungsgesetz — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt die Informationssicherheitsanforderungen für Telearbeit bei [IHR_ORGANISATIONSNAME] fest. Sie deckt alle Formen der Arbeit außerhalb der Räumlichkeiten der Organisation ab, einschließlich Homeoffice, mobiler Arbeitsplätze, Coworking-Spaces und aller anderen Orte, an denen Personen über IKT-Geräte auf organisatorische Informationen zugreifen.

Diese Richtlinie gilt für:

Alle Beschäftigten, die remote arbeiten (Vollzeit, Teilzeit, gelegentlich)
Externes Personal (Auftragnehmer, Berater, Leiharbeitskräfte), das außerhalb der Räumlichkeiten der Organisation arbeitet
Alle Geräte, die für den Remote-Zugriff verwendet werden, einschließlich organisationseigener und, wo ausdrücklich zulässig, privater Geräte (BYOD)

Ziel ist es, sicherzustellen, dass Informationen, die während der Telearbeit verarbeitet, gespeichert und übertragen werden, denselben Schutz erhalten wie Informationen, die innerhalb der Räumlichkeiten der Organisation bearbeitet werden, bei gleichzeitiger Ermöglichung flexibler Arbeitsformen.

3. Sicherheitsbedingungen & Risikoerwägungen (A 6.7)

[IHR_ORGANISATIONSNAME] gestattet Telearbeit unter den in dieser Richtlinie festgelegten Bedingungen und Einschränkungen. Bevor Personen mit der Telearbeit beginnen, werden die geltenden Sicherheitsanforderungen kommuniziert und bestätigt. Die folgenden Bedingungen gelten für alle Telearbeitsarrangements:

3.1 Physische Sicherheit der Remote-Standorte

Bewertung der Standortsicherheit: Bevor Telearbeit an einem neuen Standort beginnt, führen Personen eine Selbstbewertungscheckliste durch, die die physische Sicherheit des Standorts bewertet. Die Bewertung umfasst Gebäudezugangskontrollen, Abschließbarkeit von Räumen, das Risiko unbefugten Zutritts sowie jurisdiktionsbezogene Unterschiede, die geltendes Sicherheits- und Datenschutzrecht betreffen. Standorte, die die Mindestkriterien nicht erfüllen, werden nicht für die Verarbeitung sensibler Informationen zugelassen.
Zulässige Arbeitsplatztypen: Telearbeit findet in Homeoffices mit einem dedizierten Arbeitsbereich oder in vorab genehmigten Coworking-Spaces statt, die die Mindestanforderungen an Infrastruktur und Privatsphäre erfüllen. Öffentliche Verkehrsmittel, offene Cafés und andere Orte, an denen visuelle oder akustische Privatsphäre nicht gewährleistet werden kann, werden nicht zur Verarbeitung vertraulicher oder eingeschränkter Informationen genutzt.
Regeln für das physische Umfeld: Remote-Arbeitsplätze sind mit einem abschließbaren Schrank oder Behälter für die Aufbewahrung vertraulicher Dokumente und Wechseldatenträger ausgestattet. An allen Remote-Standorten gilt eine Clean-Desk-Praxis. Vertrauliche Dokumente werden in versiegelten, nicht durchsichtigen Behältern zwischen Standorten transportiert. Das Drucken vertraulicher Dokumente am Remote-Arbeitsplatz wird nach Möglichkeit vermieden; wo notwendig, werden Ausdrucke sofort gesichert und mit einem Kreuzschnittschredder vernichtet oder zur sicheren Vernichtung an die Organisation zurückgegeben. Sicherheitsvorfälle werden unverzüglich über die etablierten Meldewege gemeldet (siehe Richtlinie zur Vorfallmeldung).

3.2 Kommunikationssicherheit & Netzwerkzugriff

Verschlüsselter Remote-Zugriff: Jeder Remote-Zugriff auf das Netzwerk der Organisation erfolgt über eine kryptographisch geschützte VPN-Verbindung. Die VPN-Konfiguration berücksichtigt die Sensibilität der zugegriffenen Systeme und die Klassifizierung der über die Verbindung übertragenen Informationen. Split Tunneling ist auf VPN-Clients deaktiviert, um Datenabfluss über ungeschützte Kanäle zu verhindern.
Regeln für Heim- & öffentliche Netzwerke: Öffentliche WLAN-Netze werden nur in Verbindung mit dem VPN der Organisation genutzt. Heimnetzwerke werden so konfiguriert, dass sie Mindestsicherheitsstandards erfüllen: WPA3-Verschlüsselung (oder mindestens WPA2), geändertes Router-Standardpasswort, aktuelle Router-Firmware und ein separates Gastnetzwerk, in dem IoT-Geräte des Haushalts verbunden sind. Die Personen verifizieren diese Einstellungen vor Beginn der Telearbeit und erneut jährlich oder nach einem Router-Tausch.
Authentifizierung & Zugriffskontrolle: Der Remote-Zugriff auf das Netzwerk der Organisation erfordert Multi-Faktor-Authentifizierung (MFA). Einfache Passwort-Authentifizierung ist für den Remote-Netzwerkzugriff nicht zulässig. Die für Remote-Sitzungen gewährten Zugriffsrechte folgen dem Prinzip des geringsten Privilegs und sind auf die für die zugewiesenen Aufgaben erforderlichen Systeme und Daten beschränkt.

3.3 Remote-Zugriffstechnologien

Virtueller Desktop & Remote-Zugriff: Wenn private Geräte für Telearbeit genutzt werden (BYOD), erfolgt der Zugriff ausschließlich über eine Virtual Desktop Infrastructure (VDI) oder eine vergleichbare Remote-Zugriffslösung. Dies stellt sicher, dass organisatorische Daten auf von der Organisation kontrollierten Systemen verarbeitet und gespeichert werden, nicht auf dem privaten Gerät selbst. Die direkte Speicherung organisatorischer Informationen auf privaten Geräten ist untersagt, sofern sie nicht ausdrücklich genehmigt und verschlüsselt ist.
Sichere Bereitstellung & Initialisierung: Remote-Arbeitsgeräte werden durch einen zentralisierten, automatisierten Prozess bereitgestellt und initialisiert. Betriebssystem-Images, Sicherheitskonfigurationen und erforderliche Software werden über das Endgeräte-Management-System der Organisation bereitgestellt. Die manuelle Einrichtung von Remote-Arbeitsgeräten durch Endnutzer ist nicht zulässig. Änderungen an Sicherheitskonfigurationen erfordern die Autorisierung durch die IT.

3.4 Schutz vor unbefugtem Zugriff

Schutz im Homeoffice: Im Homeoffice werden Bildschirme so positioniert, dass Haushaltsmitglieder und Besucher den Inhalt nicht einsehen können. Beim Verlassen des Arbeitsplatzes — auch kurzzeitig — wird der Bildschirm gesperrt. Vertrauliche Telefonate und Videokonferenzen werden in einem geschlossenen Raum durchgeführt. Kinder und andere Haushaltsmitglieder haben keinen Zugang zu Arbeitsgeräten, und Arbeitsgeräte werden bei Nichtgebrauch in einem verschlossenen Raum aufbewahrt.
Schutz in der Öffentlichkeit: Beim Arbeiten an öffentlichen oder halböffentlichen Orten wird auf allen Geräten ein Sichtschutzfilter verwendet. Vertrauliche oder eingeschränkte Informationen werden nicht in Umgebungen angezeigt oder besprochen, in denen Dritte beobachten oder mithören können. Geräte werden niemals unbeaufsichtigt gelassen; wenn Personen ihren Sitzplatz verlassen (z. B. im Zug oder in einer Flughafen-Lounge), werden alle Geräte und Dokumente mitgenommen oder gesichert.

3.5 Endpunktsicherheitsmaßnahmen

Firewall & Malware-Schutz: Jedes für Telearbeit verwendete Gerät verfügt über eine aktive, zentral verwaltete Host-Firewall und aktuelle Anti-Malware-Software. Die Firewall ist so konfiguriert, dass sie alle eingehenden Verbindungen blockiert, die nicht ausdrücklich erforderlich sind. Anti-Malware-Definitionen werden mindestens täglich automatisch aktualisiert. Echtzeit-Scanning ist aktiviert und kann vom Nutzer nicht deaktiviert werden.

4. Umsetzungsmaßnahmen für Telearbeit

Die folgenden Maßnahmen werden von [IHR_ORGANISATIONSNAME] umgesetzt, um sichere Telearbeitsarrangements zu unterstützen:

4.1 Ausstattung & Arbeitsplatzbereitstellung

Ausstattungsbereitstellung: Die Organisation stellt alle für Telearbeit erforderlichen Ausstattungen bereit, einschließlich Laptops, Monitoren, Dockingstationen, Tastaturen und abschließbaren Aufbewahrungsmöbeln. Die Nutzung privater Geräte zur Verarbeitung organisatorischer Informationen ist nicht zulässig, sofern sie nicht ausdrücklich über den BYOD-Genehmigungsprozess genehmigt wurde. Alle von der Organisation ausgegebenen Geräte sind mit Asset-Tags versehen, inventarisiert und unterliegen den Asset-Management-Verfahren der Organisation.
Sicherheit des physischen Arbeitsplatzes: Der Homeoffice-Arbeitsplatz befindet sich in einem separaten Raum oder einem klar abgegrenzten Bereich, der gegen unbefugten Zutritt gesichert werden kann. Fenster und Türen werden bei Nichtbelegung des Arbeitsplatzes geschlossen und abgeschlossen. Rauchmelder und angemessene Stromversorgung (Überspannungsschutz) sind vorhanden. Personen, die von Standorten mit erhöhtem Einbruchrisiko arbeiten, treffen zusätzliche Schutzmaßnahmen (z. B. Sicherheitsschlösser, Alarmanlagen) gemäß Empfehlung der Organisation.

4.2 Zulässige Arbeit & Zugriffsautorisierung

Zulässige Arbeit & Informationsklassifizierung: Die Führungskraft und die/der Informationssicherheitsbeauftragte legen gemeinsam fest, welche Aufgaben für die Remote-Ausführung zulässig sind, welche Informationsklassifizierungsstufen remote bearbeitet werden und auf welche internen Systeme und Dienste der Remote-Arbeitende zugreifen darf. Als STRENG VERTRAULICH klassifizierte Informationen werden nicht remote verarbeitet, sofern nicht eine explizite Risikobewertung abgeschlossen und genehmigt wurde. Diese Genehmigungen werden dokumentiert und jährlich überprüft.
Regeln für Familien- & Besucherzugang: Haushaltsmitglieder und Besucher verwenden unter keinen Umständen organisationseigene Geräte. Arbeitsgeräte werden in einem verschlossenen Raum oder abschließbaren Schrank aufbewahrt, wenn sie nicht aktiv genutzt werden. Videoanrufe und Bildschirmfreigabesitzungen werden an einem Ort durchgeführt, an dem Haushaltsmitglieder und Besucher den Bildschirm nicht einsehen oder das Gespräch mithören können.

4.3 Schulung zur Telearbeit

Schulung zur Telearbeit: Alle Personen, die remote arbeiten, und alle IT-Support-Mitarbeiter, die Remote-Arbeitende unterstützen, absolvieren vor Beginn der Telearbeit eine dedizierte Telearbeits-Sicherheitsschulung. Die Schulung umfasst den sicheren Umgang mit Geräten und Informationen außerhalb des Büros, VPN-Nutzung, Clean-Desk-Praktiken, Vorfallmeldung, physische Sicherheit des Remote-Arbeitsplatzes und die korrekte Handhabung vertraulicher Telefonate und Videokonferenzen. Auffrischungsschulungen finden jährlich und bei jeder Aktualisierung dieser Richtlinie statt.

4.4 Mobile Device Management & Sicherheit

Gerätesicherheitsmaßnahmen: Alle Remote-Zugriffsgeräte werden in die Mobile-Device-Management-Plattform (MDM) oder Endgeräte-Management-Plattform der Organisation eingebunden. Die folgenden Sicherheitsmaßnahmen werden zentral durchgesetzt: automatische Bildschirmsperre nach maximal 5 Minuten Inaktivität, starker Passcode oder biometrische Entsperrung, Vollverschlüsselung der Festplatte, Geräte-Standortverfolgung (mit Zustimmung der Beschäftigten gemäß Datenschutzrecht aktiviert) und Remote-Wipe-Fähigkeit. Verlorene oder gestohlene Geräte werden umgehend gemeldet, und ein Remote-Wipe wird unverzüglich ausgelöst.

4.5 Support, Wartung & Versicherung

Hardware- & Software-Support: Die IT-Abteilung bietet Remote-Support für alle von der Organisation ausgegebenen Geräte über Remote-Desktop-Tools und einen dedizierten Helpdesk. Bei Hardwaredefekten, die nicht remote behoben werden können, wird ein Ersatzgerät geliefert oder der Beschäftigte bringt das Gerät ins Büro. Designierte IT-Ansprechpersonen und Supportzeiten werden allen Remote-Arbeitenden kommuniziert. Remote-Wartungs- und Fehlerbehebungssitzungen werden protokolliert.
Versicherungsschutz: Die Organisation unterhält einen angemessenen Versicherungsschutz für an Remote-Arbeitsplätzen verwendete Ausstattung, einschließlich Deckung für Diebstahl, Beschädigung und Transport. Die Beschäftigten werden über den Deckungsumfang und ihre Pflicht zur unverzüglichen Meldung von Schäden oder Verlusten informiert.

4.6 Datensicherung & Business Continuity

Datensicherung & Business Continuity: Während der Telearbeit erstellte oder geänderte Daten werden auf von der Organisation verwalteten Systemen (Netzwerklaufwerke, Cloud-Speicher) gespeichert und nicht auf lokalen Geräten. Wo lokale Speicherung unvermeidbar ist, wird eine automatische Synchronisation mit der zentralen Sicherungsinfrastruktur konfiguriert. Remote-Arbeitende überprüfen regelmäßig, ob ihre Datensynchronisation ordnungsgemäß funktioniert. Business-Continuity-Pläne berücksichtigen Szenarien, in denen Remote-Arbeitende die Verbindung oder Geräte verlieren, und alternative Arbeitsverfahren werden dokumentiert.

4.7 Audit & Sicherheitsüberwachung

Audit & Sicherheitsüberwachung: Remote-Zugriffssitzungen werden zentral protokolliert, einschließlich Nutzeridentität, Verbindungszeitpunkt, Dauer und zugegriffener Ressourcen. Protokolle werden regelmäßig auf Anomalien überprüft (z. B. Zugriffe von ungewöhnlichen Orten, Verbindungen außerhalb der Arbeitszeiten, fehlgeschlagene Authentifizierungsversuche). Die Organisation behält sich das Recht vor, Remote-Arbeitsplätze mit angemessener Vorankündigung und in Übereinstimmung mit dem Datenschutzrecht auf Einhaltung dieser Richtlinie zu auditieren. Feststellungen aus Audits fließen in die kontinuierliche Verbesserung dieser Richtlinie ein.

4.8 Beendigung von Telearbeitsarrangements

Beendigung der Telearbeit: Wenn ein Telearbeitsarrangement endet — sei es durch Rollenwechsel, Ende des Beschäftigungsverhältnisses oder organisatorische Entscheidung — werden alle Remote-Zugriffsrechte unverzüglich widerrufen. Alle organisationseigenen Geräte (Laptops, Monitore, Dockingstationen, Aufbewahrungsmöbel, Zugangstokens) werden innerhalb von fünf Werktagen zurückgegeben. Eine dokumentierte Übergabecheckliste wird ausgefüllt. VPN-Zugangsdaten und Zertifikate, die für das Remote-Arrangement spezifisch sind, werden am selben Tag deaktiviert, an dem das Arrangement endet.

5. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt Ressourcen für eine sichere Telearbeitsinfrastruktur bereit und gibt die strategische Ausrichtung für Telearbeit vor.
Informationssicherheitsbeauftragte/r (ISB): Definiert Sicherheitsanforderungen für Telearbeit, führt Risikobewertungen für Telearbeitsszenarien durch, überwacht die Einhaltung und aktualisiert diese Richtlinie.
IT-Abteilung: Stellt Telearbeitsausstattung bereit und verwaltet sie, betreibt VPN- und MDM-Infrastruktur, bietet Helpdesk-Support und setzt technische Maßnahmen um.
Personalabteilung (HR): Integriert Telearbeitsbedingungen in Arbeitsverträge, koordiniert Telearbeitsvereinbarungen und verwaltet das Onboarding/Offboarding von Remote-Arbeitenden.
Führungskräfte: Genehmigen Telearbeitsarrangements für ihr Team, bestimmen zulässige Aufgaben und Informationsklassifizierungen und verifizieren, dass Teammitglieder diese Richtlinie einhalten.
Alle Remote-Arbeitenden: Halten diese Richtlinie ein, absolvieren erforderliche Schulungen, sichern ihren Remote-Arbeitsplatz und melden Sicherheitsvorfälle unverzüglich.

6. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Nach wesentlichen Änderungen an der Telearbeitsinfrastruktur oder Technologielandschaft.
Nach Sicherheitsvorfällen im Zusammenhang mit Telearbeit.
Wenn Änderungen im geltenden Recht (Arbeitsrecht, Datenschutz, Arbeitsschutz) die Bedingungen für Telearbeit beeinflussen.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — People Controls:

A 6.7 — Remote Working

BSI IT-Grundschutz:

OPS.1.2.4 (Teleworking — Rules, Security Concept, Communication)
INF.8 (Working from Home — Physical Security, Access Control)
INF.9 (Mobile Workplace — Selection, Rules, Visual Privacy)
NET.3.3 (VPN — Planning, Configuration, Access Management)

Additional jurisdiction-specific laws — in particular labour law, data protection law (GDPR), occupational health and safety regulations and works council co-determination rules — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes the information security requirements for remote working at [YOUR_ORGANISATION_NAME]. It covers all forms of work performed outside the organisation's premises, including home offices, mobile workplaces, co-working spaces and any other location where personnel access organisational information via ICT equipment.

This policy applies to:

All employees who work remotely (full-time, part-time, occasional)
External personnel (contractors, consultants, temporary staff) performing work outside organisational premises
All devices used for remote access, including organisation-owned and, where explicitly permitted, privately-owned devices (BYOD)

The objective is to ensure that information processed, stored and transmitted during remote work receives the same level of protection as information handled within the organisation's premises, while enabling flexible working arrangements.

3. Security Conditions & Risk Considerations (A 6.7)

[YOUR_ORGANISATION_NAME] permits remote working activities under the conditions and restrictions set out in this policy. Before personnel begin remote work, the applicable security requirements are communicated and acknowledged. The following conditions apply to all remote working arrangements:

3.1 Physical Security of Remote Locations

Location Security Assessment: Before commencing remote work at a new location, personnel complete a self-assessment checklist that evaluates the physical security of the site. The assessment covers building access controls, room lockability, the risk of unauthorised entry and any jurisdictional differences that affect applicable security and privacy law. Locations that do not meet the minimum criteria are not approved for processing sensitive information.
Approved Workplace Types: Remote work takes place in home offices with a dedicated workspace, or in pre-approved co-working spaces that meet minimum infrastructure and privacy requirements. Public transport, open cafes and other locations where visual or auditory privacy cannot be maintained are not used for processing confidential or restricted information.
Physical Environment Rules: Remote workplaces are equipped with a lockable cabinet or container for storing confidential documents and removable media. A clean desk practice applies at all remote locations. Confidential documents are transported between sites in sealed, non-transparent containers. Printing of confidential documents at the remote workplace is avoided where possible; where necessary, printouts are secured immediately and disposed of using a cross-cut shredder or returned to the organisation for secure destruction. Security incidents are reported immediately through the established reporting channels (see incident reporting policy).

3.2 Communication Security & Network Access

Encrypted Remote Access: All remote access to the organisation's network is secured via a cryptographically protected VPN connection. The VPN configuration takes into account the sensitivity of the systems being accessed and the classification of information transmitted over the connection. Split tunnelling is disabled on VPN clients to prevent data leakage through unprotected channels.
Home & Public Network Rules: Public Wi-Fi networks are only used in conjunction with the organisation's VPN. Home networks are configured to meet minimum security standards: WPA3 encryption (or WPA2 as a minimum), changed default router password, current router firmware, and a separate guest network where household IoT devices connect. Personnel verify these settings before commencing remote work and re-verify annually or after router replacement.
Authentication & Access Control: Remote access to the organisation's network requires multi-factor authentication (MFA). Single-factor authentication (password only) is not permitted for remote network access. Access privileges granted for remote sessions follow the principle of least privilege and are limited to the systems and data required for the assigned tasks.

3.3 Remote Access Technologies

Virtual Desktop & Remote Access: Where privately owned equipment is used for remote work (BYOD), access is provided exclusively through a virtual desktop infrastructure (VDI) or comparable remote access solution. This ensures that organisational data is processed and stored on organisation-controlled systems, not on the private device itself. Direct storage of organisational information on privately owned devices is prohibited unless explicitly approved and encrypted.
Secure Deployment & Initialisation: Remote work devices are provisioned and initialised through a centralised, automated process. Operating system images, security configurations and required software are deployed using the organisation's endpoint management system. Manual setup of remote work devices by end users is not permitted. Changes to security configurations require IT authorisation.

3.4 Protection Against Unauthorised Access

Protection at Home: At home offices, screens are positioned so that household members and visitors cannot view their content. When leaving the workstation — even briefly — the screen is locked. Confidential phone calls and video conferences are conducted in a closed room. Children and other household members do not have access to work devices, and work devices are stored in a locked space when not in use.
Protection in Public: When working in public or semi-public locations, a privacy screen filter is used on all devices. Confidential or restricted information is not displayed or discussed in environments where third parties can observe or overhear. Devices are never left unattended; when personnel leave their seat (e.g. in a train or airport lounge), all devices and documents are taken along or secured.

3.5 Endpoint Security Measures

Firewall & Malware Protection: Every device used for remote work has an active, centrally managed host firewall and up-to-date anti-malware software. The firewall is configured to block all inbound connections that are not explicitly required. Anti-malware definitions are updated automatically at least daily. Real-time scanning is enabled and cannot be disabled by the user.

4. Implementation Measures for Remote Working

The following measures are implemented by [YOUR_ORGANISATION_NAME] to support secure remote working arrangements:

4.1 Equipment & Workspace Provisioning

Equipment Provisioning: The organisation provides all equipment required for remote work, including laptops, monitors, docking stations, keyboards and lockable storage furniture. The use of privately owned devices for processing organisational information is not permitted unless explicitly authorised through the BYOD approval process. All organisation-issued equipment is asset-tagged, inventoried and subject to the organisation's asset management procedures.
Physical Workspace Security: The home office workspace is located in a separate room or a clearly delineated area that can be secured against unauthorised access. Windows and doors are closed and locked when the workspace is unoccupied. Smoke detectors and adequate power supply (surge protection) are available. Personnel working from locations with elevated burglary risk take additional protective measures (e.g. security locks, alarm systems) as recommended by the organisation.

4.2 Permitted Work & Access Authorisation

Permitted Work & Information Classification: The line manager and the Information Security Officer jointly determine which tasks are permitted for remote execution, which information classification levels are handled remotely and which internal systems and services the remote worker is authorised to access. Information classified as STRICTLY CONFIDENTIAL is not processed remotely unless an explicit risk assessment has been completed and approved. These authorisations are documented and reviewed annually.
Family & Visitor Access Rules: Household members and visitors do not use organisation-owned equipment under any circumstances. Work equipment is stored in a locked room or locked cabinet when not actively in use. Video calls and screen-sharing sessions are conducted in a location where household members and visitors cannot view the screen or overhear the conversation.

4.3 Remote Working Training

Remote Working Training: All personnel who work remotely and all IT support staff who assist remote workers complete a dedicated remote working security training before commencing remote work. The training covers secure handling of equipment and information outside the office, VPN usage, clean desk practices, incident reporting, physical security of the remote workplace and the proper handling of confidential calls and video conferences. Refresher training takes place annually and whenever this policy is updated.

4.4 Mobile Device Management & Security

Device Security Controls: All remote access devices are enrolled in the organisation's Mobile Device Management (MDM) or endpoint management platform. The following security controls are enforced centrally: automatic screen lock after a maximum of 5 minutes of inactivity, strong passcode or biometric unlock, full-disk encryption, device location tracking (enabled with personnel consent in accordance with data protection law) and remote wipe capability. Lost or stolen devices are reported immediately, and a remote wipe is initiated without delay.

4.5 Support, Maintenance & Insurance

Hardware & Software Support: The IT department provides remote support for all organisation-issued equipment via remote desktop tools and a dedicated helpdesk. For hardware defects that cannot be resolved remotely, a replacement device is shipped or the employee brings the device to the office. Designated IT contact persons and support hours are communicated to all remote workers. Remote maintenance and troubleshooting sessions are logged.
Insurance Coverage: The organisation maintains appropriate insurance coverage for equipment used at remote workplaces, including coverage for theft, damage and transport. Personnel are informed about the scope of coverage and their obligation to report damage or loss promptly.

4.6 Backup & Business Continuity

Backup & Business Continuity: Data created or modified during remote work is stored on organisation-managed systems (network drives, cloud storage) rather than on local devices. Where local storage is unavoidable, automatic synchronisation to the central backup infrastructure is configured. Remote workers verify regularly that their data synchronisation is functioning correctly. Business continuity plans account for scenarios in which remote workers lose connectivity or equipment, and alternative work procedures are documented.

4.7 Audit & Security Monitoring

Audit & Security Monitoring: Remote access sessions are logged centrally, including user identity, connection time, duration and accessed resources. Logs are reviewed regularly for anomalies (e.g. access from unusual locations, connections outside working hours, failed authentication attempts). The organisation reserves the right to audit remote workplaces for compliance with this policy, with appropriate advance notice and in accordance with data protection law. Findings from audits feed into the continuous improvement of this policy.

4.8 Termination of Remote Working Arrangements

Termination of Remote Working: When a remote working arrangement ends — whether due to role change, end of employment or organisational decision — all remote access rights are revoked immediately. All organisation-owned equipment (laptops, monitors, docking stations, storage furniture, access tokens) is returned within five business days. A documented handover checklist is completed. VPN credentials and certificates specific to the remote arrangement are deactivated on the same day the arrangement ends.

5. Roles & Responsibilities

Top Management: Approves this policy, provides resources for secure remote working infrastructure and sets the strategic direction for remote work.
Information Security Officer (ISO): Defines security requirements for remote working, conducts risk assessments for remote work scenarios, monitors compliance and updates this policy.
IT Department: Provisions and manages remote work equipment, operates VPN and MDM infrastructure, provides helpdesk support and implements technical controls.
Human Resources (HR): Incorporates remote working conditions into employment contracts, coordinates remote working agreements and manages the onboarding/offboarding of remote workers.
Line Managers: Approve remote work arrangements for their team, determine permitted tasks and information classifications and verify that team members comply with this policy.
All Remote Workers: Comply with this policy, complete required training, secure their remote workplace and report security incidents immediately.

6. Review & Maintenance

This policy is reviewed:

At least annually as part of the ISMS management review cycle.
After significant changes to the remote working infrastructure or technology landscape.
After security incidents related to remote working.
When changes in applicable law (labour law, data protection, occupational health) affect remote working conditions.

Quellen

ISO/IEC 27002:2022 Abschnitt 6.7 — Remote Working
BSI IT-Grundschutz OPS.1.2.4 — Telearbeit
BSI IT-Grundschutz INF.8 — Häuslicher Arbeitsplatz
BSI IT-Grundschutz INF.9 — Mobiler Arbeitsplatz