Die ISO 27001 benennt im Anhang A wesent­li­che Infor­ma­ti­ons­si­cher­heits­maß­nah­men, soge­nann­te Con­trols, deren Umset­zung her­aus­for­dernd wird, wenn betriebs­frem­de Per­so­nen, etwa Mit­ar­bei­ten­de von Büro­part­nern Zugang zu sen­si­blen Unter­neh­mens­be­rei­chen erhal­ten. Beson­ders kri­tisch sind in die­sem Zusam­men­hang Aspek­te der phy­si­schen Sicher­heit, allen vor­an der Schutz ver­trau­li­cher Infor­ma­tio­nen wie Aus­dru­cke, Pro­duk­te oder Pro­to­ty­pen. Eben­so sen­si­bel ist der Zugang zum inter­nen Netz­werk. Nicht zu ver­nach­läs­si­gen sind zudem Benut­zer-End­ge­rä­te, die durch Mit­ar­bei­ten­de von Büro­part­nern oder deren Gäs­te gestoh­len oder mani­pu­liert wer­den könn­ten, eben­so wie daten­schutz­recht­li­che Anfor­de­run­gen, die in sol­chen Kon­stel­la­tio­nen beson­ders sorg­fäl­tig berück­sich­tigt wer­den müssen.

In die­sem Bei­trag beleuch­ten wir die beson­de­ren Her­aus­for­de­run­gen bei der Erlan­gung einer ISO 27001-Zer­ti­fi­zie­rung ins­be­son­de­re dann, wenn das zu zer­ti­fi­zie­ren­de Unternehmen:

  • einen oder meh­re­re Unter­mie­ter im Büro hat
  • Unter­mie­ter in einer Büro­ge­mein­schaft ist
  • als eigen­stän­di­ge Fir­ma sich das Büro mit dem Kon­zern teilt.

Im Fol­gen­den wer­den Unter­mie­ter, Büro­ge­mein­schaf­ten oder kon­zern­ver­bun­de­ne Unter­neh­men als Büro­part­ner bezeichnet.

Der klas­si­sche Auf­bau eines Zonen­kon­zepts in der Infor­ma­ti­ons­si­cher­heit umfasst typi­scher­wei­se die Ein­tei­lung in Kun­den­zo­nen, Büro­be­rei­che sowie beson­ders schüt­zens­wer­te Zonen wie jene der Finanz­ab­tei­lung, Per­so­nal­ab­tei­lung (HR), Kon­struk­ti­on, Qua­li­täts­ma­nage­ment und des Manage­ments. Cha­rak­te­ris­tisch für die soge­nann­te „gel­be“ Büro­zo­ne ist, dass deren Räum­lich­kei­ten nicht ver­schlos­sen sind und allen Mit­ar­bei­ten­den frei zugäng­lich bleiben.

Sobald man sich Büro­flä­chen mit Part­ner­un­ter­neh­men teilt, kön­nen offe­ne Arbeits­be­rei­che zum Risi­ko wer­den, ins­be­son­de­re dann, wenn auch deren Mit­ar­bei­ten­de oder Besu­cher unge­hin­der­ten Zugang zu sen­si­blen Berei­chen des nach ISO 27001 zer­ti­fi­zier­ten Unter­neh­mens erhal­ten. Um Infor­ma­ti­ons­wer­te effek­tiv zu schüt­zen, emp­feh­len wir die Ein­rich­tung einer soge­nann­ten „lila“ Zone mit spe­zi­fi­schen Open-Space-Regeln.

Zonenkonzept mit Büropartner

Bei­spiel eines Zonen­plans mit einer Frei­flä­che und mit einem Büropartner:

Zonenplan Beispiel mit FreiflächeZonenplan Beispiel mit Büropartner

Grund­sät­ze

  • Lila Open Space Zonen sind jeder­zeit durch eige­ne Mit­ar­bei­ter, sowie Mit­ar­bei­ter der Büro­part­ner und deren jewei­li­gen Gäs­ten betretbar.

  • Der Schutz sen­si­bler Infor­ma­tio­nen vor Einsicht/Diebstahl durch Drit­te muss gewähr­leis­tet werden.

  • Der Schutz des Netz­wer­kes vor Cyber­an­grif­fen von außen, aber spe­zi­ell auch von innen muss gege­ben sein.

Ver­trag­li­che Rahmenbedingungen

  • Im Miet­ver­trag mit dem Unter­mie­ter muss eine Vertraulichkeitsvereinbarung/NDA und Min­dest­maß­nah­men für die Infor­ma­ti­ons­si­cher­heit ver­ein­bart werden.
  • Alle Mit­ar­bei­ter des Unter­mie­ters mit Zugang zu den Geschäfts­räu­men müs­sen an die Vertraulichkeitsvereinbarung/NDA gebun­den sein.
  • Der Unter­mie­ter muss eine Ansprech­per­son für die Infor­ma­ti­ons­si­cher­heit ernennen.
  • Der Unter­mie­ter muss sei­ne Mit­ar­bei­ter bezüg­lich der ver­ein­bar­ten Min­dest­si­cher­heits­maß­nah­men schulen.
  • Der Unter­mie­ter muss im Lie­fe­ran­ten­ma­nage­ment als wesent­li­cher Lie­fe­rant bewer­tet und ggfls. auch audi­tiert werden.

Phy­si­sche Sicher­heit — Informationssicherheitsmaßnahmen

  • Ver­pflich­ten­de Gäs­te­re­ge­lung für das eige­ne Unter­neh­men und für den/die Untermieter 
    • Regis­trie­rungs­pflicht von Besuchern
    • Beauf­sich­ti­gung* von Besu­chern wäh­rend des Aufenthaltes
  • Open Space Regeln für nor­ma­len Büro­zo­nen und Bespre­chungs­räu­me — die „lila“ Open Space Zone 
    • Ver­ar­bei­tung bis Schutz­klas­se RESTRICTED  TLP:AMBER 
    • Zutritt zur Zone nur mit elek­tro­ni­schem Zutritts­sys­tem und Pro­to­kol­lie­rung der Zutritte
    • Clear Desk Poli­cy – alle Unter­la­gen müs­sen nach Dienst­schluss und in der Mit­tags­pau­se ver­sperrt wer­den, hier­für wer­den ver­sperr­ba­re Con­tai­ner oder Schließ­fä­cher pro Mit­ar­bei­ter bereitgestellt
    • Ver­zicht auf Plug & Play Wech­sel­da­ten­trä­ger wie USB-Sticks, exter­ne HDD/SSD Festplatten
    • weit­ge­hen­der Ver­zicht auf Papierdokumente
    • kei­ne Aus­hän­ge mit sen­si­blen Infor­ma­tio­nen oder per­so­nen­be­zo­ge­nen Daten
    • Video­auf­zeich­nung der Zugangsbereiche
  • Sicher­heits­vor­ga­ben für Schutz­zo­nen für sen­si­ble Arbeits­be­rei­che, z.B. Finanz­be­reich, Human Res­sour­ce, IT-Abtei­lung, Geschäfts­füh­rung, die „oran­gen“ Zonen 
    • Ver­ar­bei­tung bis Schutz­klas­se CONFIDENTIAL  TLP:AMBER+STRICT 
    • Ver­sper­rung der Büros, immer wenn die­se unbe­setzt sind
    • Schutz mit Schlüs­sel oder Zutrittssystem
    • Ein­satz einer mani­pu­la­ti­ons­si­che­ren Türe, z.B. nach Norm RC2
  • Sicher­heits­vor­ga­ben für IT-Ser­ver­räu­me – die „roten“ Zonen 
    • Ver­ar­bei­tung bis Schutz­klas­se STRICTLY CONFIDENTIAL  TLP:RED 
    • Räu­me sind stän­dig zu versperren
    • Feu­er­lö­scher vor dem Serverraum
    • Über­wa­chung der Tem­pe­ra­tur und Luftfeuchtigkeit
    • Zutritt nur für berech­tig­te IT-Mitarbeiter
    • Video­auf­zeich­nung im Ser­ver­räum mit Alar­mie­rung bei jedem Zutritt
  • Sicher­heit beim Druck von Informationen 
    • Dru­cker in der Lila-Sicher­heits­zo­ne müs­sen mit einem PIN- oder Pass­wort-Schutz für das Aus­dru­cken oder einer ver­gleich­ba­ren Fol­low-Me-Prin­ting Funk­ti­on bspw. mit RFID-Kar­te aus­ge­stat­tet sein.

*) unter Beauf­sich­ti­gung ver­steht man, dass die für den Besu­cher ver­ant­wort­li­che Per­son jeder­zeit genau weiß, wo sich der Besu­cher auf­hält. Aus­ge­nom­men davon sind der Weg zu den Sani­tär­ein­rich­tun­gen und deren Nut­zung von Räum­lich­kei­ten, die kei­ner Beauf­sich­ti­gung bedürfen.

Netz­werk­zu­gang — Informationssicherheitsmaßnahmen

  • Netz­werk­schutz mit 802.1x für LAN- und WLAN-Zugang zum Netz­werk darf nur End­ge­rä­ten des Unter­neh­mens mög­lich sein
  • Nur tat­säch­lich genutz­te LAN-Netz­werk­do­sen dür­fen gepatcht werden
  • Der Ein­satz von Netz­werk­ge­rä­ten ohne 802.1X-Unterstützung ist zu ver­mei­den. Aus­nah­men sind zu doku­men­tie­ren und aus­schließ­lich über eine MAC-Adress­fil­te­rung am Switch gezielt zu autorisieren
  • Das Netz­werk ist durch Netz­werk­seg­men­tie­rung in zumin­dest die fol­gen­den VLANs zu segmentieren 
    • IT-Infra­struk­tur
    • Benut­zer Endgeräte
    • Dru­cker
    • Gäs­te WLAN
  • Vom Unter­neh­mens­netz­werk getrenn­te VLANs für wei­te­re Mie­ter bzw. den Vermieter
  • Getrenn­te Fire­walls für das Unter­neh­men und wei­te­re Mie­ter bzw. den Vermieter
  • tech­ni­sche Audits (Pen­test) der Netzwerkzugänge

WLAN-Schutz

  • Ver­pflich­ten­der Ein­satz von Enter­pri­se WPA2 oder Enter­pri­se WPA3 für das Unter­neh­mens-WLAN mit voll­stän­di­gem Ver­zicht auf WLAN-Pass­wör­ter. Dies soll die Wei­ter­ga­be von WLAN-Pass­wör­ter an Unbe­rech­tig­te ausschließen.
  • Das Gäs­te WLAN darf mit SSID und Pass­wort betrie­ben werden.
  • Das Gäs­te WLAN darf kei­ne Ver­bin­dung zu inter­nen IT-Ser­vices zulas­sen, Nut­zer vom Gäs­te WLAN müs­sen sich per VPN oder ver­gleich­ba­re Tech­no­lo­gien zu inter­nen Res­sour­cen verbinden.

Benut­zer End­ge­rä­te Sicher­heit (Desk­tops, Note­books, Tablets, Smartphones)

  • Voll­ver­schlüs­se­lung mit Pre-Boot Schutz aller Benut­zer End­ge­rä­te, z.B. TPM PIN oder 3rd Par­ty Pre-Boot-Schutz
  • Log­in-Schutz aller Benut­zer End­ge­rä­te mit min­des­tens 12 Zei­chen mit Kom­ple­xi­täts­ei­gen­schaf­ten oder 8 Zei­chen plus Mul­ti-Fak­tor-Authen­ti­sie­rung (MFA)
  • Auto­ma­ti­sche Bild­schirm­sper­re nach max. 5 Minu­ten mit erfor­der­li­cher Benut­zer-Authen­ti­sie­rung zur Reaktivierung
  • BYOD-Benut­zer­end­ge­rä­te dür­fen aus­schließ­lich nur im Gäs­te-WLAN betrie­ben werden.

Orga­ni­sa­to­ri­sche Maßnahmen

  • Jähr­li­che Awa­re­ness Schu­lung für alle Mit­ar­bei­ter spe­zi­ell auch der Maß­nah­men der phy­si­schen Sicherheit
  • Nach­schu­lung von Mit­ar­bei­ter bei jedem Ver­stoß, z.B. unver­sperr­te Bild­schir­me oder lie­gen­ge­las­se­ne Unterlagen
  • ver­stärk­te Audi­tie­rung der Sicher­heits­zo­ne, z.B. durch Rund­gang alle 2 Wochen zu unter­schied­li­chen Zei­ten unter Berück­sich­ti­gung von Büro­zei­ten, Mit­tags­pau­se, Zei­ten außer­halb der Bürotätigkeiten

Berück­sich­ti­gung von Datenschutz

  • NDA-Ver­pflich­tung im Miet­ver­trag mit den Büropartnern
  • Ver­zicht auf Besu­cher­lis­ten beim Emp­fang, statt­des­sen elek­tro­ni­sche Regis­trie­rung oder Ein­zel­blät­ter pro Besucher
  • Mit­ar­bei­ter der Büro­part­ner müs­sen über die Daten­schutz­prin­zi­pi­en auf­ge­klärt und geschult sein

Zusam­men­fas­sung

Die ISO 27001 stellt hohe Anfor­de­run­gen an die Infor­ma­ti­ons­si­cher­heit, ins­be­son­de­re bei gemein­sa­mer Nut­zung von Büro­räu­men mit soge­nann­ten Büro­part­nern (z.B. Unter­mie­ter, Büro­ge­mein­schaf­ten oder Kon­zern­fir­men). Dabei ent­ste­hen beson­de­re Her­aus­for­de­run­gen beim Schutz sen­si­bler Infor­ma­tio­nen, etwa in Bezug auf phy­si­sche Sicher­heit, Netz­werk­zu­gän­ge, End­ge­rä­te und Datenschutz.

Ein zen­tra­les Pro­blem ist der unkon­trol­lier­te Zugang betriebs­frem­der Per­so­nen zu offe­nen Büro­flä­chen, was die Umset­zung der im Anhang A genann­ten Sicher­heits­maß­nah­men erschwert. Klas­si­sche Zonen­kon­zep­te glie­dern Arbeits­be­rei­che in unter­schied­lich gesi­cher­te Zonen. Offe­ne Büro­be­rei­che (“gel­be Zone”) sind dabei beson­ders kritisch.

Zum Schutz sen­si­bler Infor­ma­tio­nen wird emp­foh­len, spe­zi­el­le “lila Zonen” mit kla­ren Open-Space-Regeln ein­zu­rich­ten, um den Anfor­de­run­gen der ISO 27001 auch in geteil­ten Arbeits­um­ge­bun­gen gerecht zu werden.