A.6 Personenbezogene Maßnahmen
Mobiles Arbeiten
Für das Arbeiten außerhalb der Betriebsräume müssen Sicherheitsmaßnahmen festgelegt und umgesetzt werden, um Informationen zu schützen, auf die von außerhalb zugegriffen, die dort verarbeitet oder gespeichert werden.
Was fordert dieses Control?
Für das Arbeiten außerhalb der Betriebsräume müssen Sicherheitsmaßnahmen festgelegt und umgesetzt werden, um Informationen zu schützen, auf die von außerhalb zugegriffen, die dort verarbeitet oder gespeichert werden.
Warum ist das wichtig?
Homeoffice und mobiles Arbeiten erweitern die Angriffsfläche erheblich. Klare Regeln zu Geräten, Netzwerken und Umgebung verhindern Datenabfluss außerhalb der kontrollierten Umgebung.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Indirekt |
| TISAX | 5.2 | Direkt |
| BSI | INF.9 | Direkt |
Was der Auditor erwartet
- 1Richtlinie für mobiles Arbeiten und Homeoffice
- 2Technische Maßnahmen (VPN, Verschlüsselung, MDM)
- 3Regeln zur physischen Sicherheit außerhalb des Büros
Audit-Checkliste
Dokumente
Richtlinie Mobiles Arbeiten
Erlaubte Geräte, Netzwerke und Verhaltensregeln
Nachweise
MDM-/VPN-Konfiguration
Durchsetzung von Verschlüsselung und sicherem Zugriff
Interviews
Mitarbeiter im Homeoffice
Umgang mit Geräten, Bildschirmsperre und vertraulichen Unterlagen
Technisch
Geräteverschlüsselung
Stichprobe zeigt aktivierte Full-Disk-Encryption
Praxis-Tipps zur Umsetzung
Geräte verschlüsseln
Full-Disk-Encryption und automatische Sperre auf allen mobilen Geräten erzwingen.
Sicheren Zugang vorgeben
Zugriff nur über VPN oder Zero-Trust-Lösung, nicht über offene Netze.
Umgebung mitdenken
Auch Sichtschutz, Familienmitglieder und öffentliche Orte in der Richtlinie adressieren.
Häufige Fehler
Nur technisch gedacht
VPN ist geregelt, aber physische Sicherheit am Heimarbeitsplatz fehlt.
Private Geräte ungeregelt
BYOD wird geduldet, ohne klare Sicherheitsanforderungen.
Häufig gestellte Fragen
Sind private Geräte erlaubt?
Nur mit klaren BYOD-Regeln, Trennung von Daten und durchsetzbaren Sicherheitsanforderungen.
Muss VPN verpflichtend sein?
Für den Zugriff auf interne Ressourcen ist ein gesicherter Kanal Pflicht, klassisch per VPN oder Zero Trust.
Gilt die Regelung auch für Reisen?
Ja, mobiles Arbeiten umfasst Homeoffice, unterwegs und an wechselnden Orten.
So hilft CompliantDesk bei A.6.7
Hinterlegen Sie die Richtlinie für mobiles Arbeiten, lassen Sie sie von Mitarbeitern bestätigen und belegen Sie über die M365-Integration die Geräteverschlüsselung.