Wie aufgeräumte Schreibtische Daten schützen

Risikokontrolle 7.7: Aufgeräumte Arbeitsumgebung und Bildschirmsperren


Die Risikokontrolle „Aufgeräumte Arbeitsumgebung und Bildschirmsperren“ gemäß ISO 27002:2022 (Abschnitt 7.7) zielt darauf ab, sicherzustellen, dass sensible Informationen sowohl in physischer als auch digitaler Form geschützt sind, wenn sie nicht aktiv verwendet werden. Diese Kontrolle bezieht sich auf klare Regeln, die festlegen, dass Arbeitsplätze und Bildschirme ordnungsgemäß gesichert werden. Dokumente, Speichermedien und IT-Geräte müssen in einer aufgeräumten Arbeitsumgebung vor unbefugtem Zugriff geschützt werden, während nicht verwendete Bildschirme gesperrt werden müssen. Diese Maßnahmen verhindern ungewollte Informationslecks und tragen wesentlich zur allgemeinen Informationssicherheit in einer Organisation bei.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Hauptgefahren, die durch die "Clear Desk"- und "Clear Screen"-Kontrollen minimiert werden, sind:

  1. Unbefugter Zugang zu sensiblen Informationen: Wenn vertrauliche Dokumente oder Speichermedien auf Schreibtischen liegen bleiben oder Bildschirme ungesperrt sind, können unbefugte Personen leicht auf diese Informationen zugreifen.
  2. Informationslecks durch neugierige Blicke: Ohne die Sperrung von Bildschirmen können vertrauliche Daten von Kollegen, Besuchern oder Reinigungspersonal eingesehen werden, was zu unbeabsichtigten Informationslecks führt.
  3. Verlust oder Diebstahl physischer Dokumente und Speichermedien: Unaufgeräumte Arbeitsumgebungen erhöhen das Risiko, dass wichtige Dokumente oder Datenträger verloren gehen oder gestohlen werden. Dies kann zu erheblichen Sicherheitsvorfällen führen.
  4. Sabotage oder Manipulation von Informationen: Unbeaufsichtigte Arbeitsplätze bieten die Möglichkeit, dass unbefugte Personen Daten manipulieren oder Systeme ohne Autorisierung nutzen.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Die Kontrolle über aufgeräumte Arbeitsumgebungen und Bildschirmsperren behebt viele der typischen Schwachstellen, die in Organisationen oft unbemerkt bleiben:

  1. Offene Büroumgebungen: In vielen Unternehmen wird in Großraumbüros gearbeitet, was es schwieriger macht, vertrauliche Dokumente und Bildschirminhalte zu schützen. Eine unaufgeräumte Umgebung kann dazu führen, dass sensible Daten für jeden sichtbar sind.
  2. Mangel an Sicherheitsbewusstsein: Viele Mitarbeiter sind sich nicht bewusst, wie gefährlich es ist, ihre Arbeitsplätze und Computer ungesichert zu lassen. Dies führt dazu, dass Dokumente offen herumliegen oder Bildschirme nach Verlassen des Arbeitsplatzes nicht gesperrt werden.
  3. Fehlende Disziplin bei der Handhabung von Dokumenten: Häufig werden vertrauliche Papiere oder USB-Sticks nach Gebrauch nicht ordnungsgemäß weggeräumt. Dies ist besonders riskant, wenn Besucher oder externe Dienstleister Zugang zu den Büros haben.
  4. Keine standardisierten Prozesse: In vielen Organisationen fehlen klare Regeln oder Richtlinien für das ordnungsgemäße Aufräumen von Arbeitsplätzen oder die Sperrung von Bildschirmen. Dadurch ist die Einhaltung dieser einfachen, aber wichtigen Sicherheitsvorkehrungen inkonsistent.


Beispiel für die Umsetzung der Risikokontrolle

Ein anschauliches Beispiel stammt aus der Rechtsbranche, in der der Schutz vertraulicher Mandanteninformationen von größter Bedeutung ist. Eine mittelgroße Anwaltskanzlei mit mehreren Standorten hat strenge Clear-Desk- und Clear-Screen-Richtlinien implementiert, um sicherzustellen, dass sensible Informationen niemals unbeaufsichtigt bleiben.

  1. Clear Desk: Die Kanzlei hat eine Richtlinie eingeführt, die festlegt, dass am Ende des Arbeitstags alle physischen Dokumente in verschlossenen Schränken oder Aktenschränken aufbewahrt werden müssen. Zudem sind Speichermedien wie USB-Sticks in gesicherten Schubladen aufzubewahren. Mitarbeiter dürfen keine vertraulichen Informationen offen auf ihren Schreibtischen liegen lassen.
  2. Clear Screen: Alle Computer sind so konfiguriert, dass sie nach fünf Minuten Inaktivität automatisch gesperrt werden. Zudem sind die Mitarbeiter dazu angehalten, ihren Bildschirm manuell zu sperren, wenn sie ihren Arbeitsplatz verlassen, selbst für kurze Pausen.
  3. Sicherheitsbewusstsein: Um sicherzustellen, dass diese Regeln konsequent befolgt werden, führt die Kanzlei regelmäßige Schulungen und Erinnerungen durch. Die Mitarbeiter werden über die Risiken von Informationslecks informiert und darauf hingewiesen, dass auch Besucher und Reinigungspersonal potenzielle Risiken darstellen können.

Diese Maßnahmen trugen dazu bei, einen potenziellen Vorfall zu verhindern, bei dem ein Mandant versehentlich einen USB-Stick mit vertraulichen Dokumenten in einem unverschlossenen Schreibtisch zurückließ. Dank der Clear-Desk-Richtlinie wurde der USB-Stick rechtzeitig gesichert, bevor unbefugte Personen darauf zugreifen konnten. Die Einhaltung der Clear-Screen-Regel minimierte zusätzlich das Risiko, dass sensible Mandantendaten auf ungesperrten Bildschirmen eingesehen werden konnten.


Notwendige Ressourcen

Die Implementierung und Durchsetzung von Clear-Desk- und Clear-Screen-Richtlinien ist relativ kostengünstig, erfordert jedoch eine gewisse Disziplin und organisatorische Planung. Im Vergleich zu anderen technischen Sicherheitsmaßnahmen ist der Aufwand überschaubar, jedoch hängt der Erfolg von der konsequenten Einhaltung durch alle Mitarbeiter ab.

  1. Kosten für Technologie: Die Kosten für die Implementierung der Clear-Screen-Regeln sind gering, da die meisten modernen Betriebssysteme bereits über automatische Sperrfunktionen verfügen. Zusätzliche Investitionen in Hardware wie abschließbare Schränke, Aktenschränke und sichere Speichersysteme können je nach Größe der Organisation und Sicherheitsanforderungen zwischen einigen hundert und mehreren tausend Euro betragen.
  2. Zeitaufwand: Die Entwicklung und Implementierung einer Clear-Desk- und Clear-Screen-Politik erfordert in der Regel einige Wochen, einschließlich der Erstellung von Richtlinien, der Schulung der Mitarbeiter und der Einrichtung der technischen Voraussetzungen. Regelmäßige Überprüfungen und Schulungen sollten jedoch fortlaufend durchgeführt werden, um sicherzustellen, dass die Richtlinien eingehalten werden.
  3. Einfachheit vs. Komplexität: Die Grundidee der Clear-Desk- und Clear-Screen-Richtlinien ist einfach: Arbeitsplätze aufräumen und Bildschirme sperren. Schwierig wird es, wenn es darum geht, eine konsistente Einhaltung sicherzustellen, insbesondere in größeren Organisationen mit vielen Mitarbeitern und Besuchern. Hier müssen klare Prozesse zur Überwachung und Durchsetzung etabliert werden.
  4. Schulung und Durchsetzung: Regelmäßige Schulungen sind entscheidend, um das Bewusstsein der Mitarbeiter für die Bedeutung dieser Richtlinien zu schärfen. Diese Schulungen sollten mindestens einmal im Jahr stattfinden und klare Beispiele sowie Konsequenzen für die Nichteinhaltung beinhalten. Die Kosten für Schulungen hängen von der Größe der Organisation ab, liegen aber typischerweise im niedrigen vierstelligen Bereich pro Jahr.


Fazit

Die Risikokontrolle „Aufgeräumte Arbeitsumgebung und Bildschirmsperren“ gemäß ISO 27002:2022 ist eine einfache, aber äußerst effektive Maßnahme zur Minimierung des Risikos von Informationslecks, unbefugtem Zugriff und Datenverlusten. Sie erfordert keine hohen finanziellen Investitionen, sondern vor allem Disziplin und eine konsequente Umsetzung seitens der Mitarbeiter. Eine aufgeräumte Arbeitsumgebung und gesperrte Bildschirme sind essenziell, um eine sichere Arbeitsumgebung zu schaffen und die Vertraulichkeit sensibler Informationen zu gewährleisten. Regelmäßige Schulungen und klare Richtlinien tragen dazu bei, dass diese einfache, aber wirkungsvolle Maßnahme in der gesamten Organisation angewendet wird.