- Eine Clean Desk Policy verpflichtet Mitarbeiter, vertrauliche Unterlagen bei Abwesenheit vom Arbeitsplatz wegzuschließen und den Bildschirm zu sperren.
- ISO 27001 fordert in A.7.7 (Clear Desk and Clear Screen) explizit eine solche Richtlinie als physische Kontrolle.
- Die größte Herausforderung ist nicht die Richtlinie selbst, sondern ihre konsequente Umsetzung im Alltag. Pragmatismus schlägt Perfektion.
- Clean Desk und Clear Screen gehören zusammen: Der aufgeräumte Schreibtisch nützt wenig, wenn vertrauliche Daten auf dem ungesperrten Bildschirm leuchten.
- Regelmäßige, freundliche Kontrollen und positive Verstärkung wirken besser als Sanktionen, um die Richtlinie im Alltag zu verankern.
Der unaufgeräumte Schreibtisch als Sicherheitsrisiko
Auf dem Schreibtisch von Frau Müller liegt ein ausgedrucktes Angebot über 380.000 Euro für einen Großkunden. Daneben ein Post-it mit dem Passwort für das ERP-System. Der Vertragsentwurf mit dem neuen Lieferanten steckt halb unter der Tastatur. Und auf dem Bildschirm ist die Personalakte eines Mitarbeiters geöffnet, weil Frau Müller kurz in die Kaffeeküche gegangen ist.
Jeder dieser Punkte ist ein reales Informationssicherheitsrisiko. Der Großkunde erfährt vielleicht nie, dass sein Angebot offen herumlag, als der Wettbewerber zu Besuch war. Der Lieferantenvertrag enthält Konditionen, die nur die Einkaufsabteilung kennen sollte. Und die Personalakte ist nach DSGVO besonders schützenswert.
Eine Clean Desk Policy adressiert genau diese Risiken. Sie ist keine bürokratische Schikane, sondern eine pragmatische Maßnahme, um vertrauliche Informationen am Arbeitsplatz zu schützen. Und sie ist eine explizite Anforderung der ISO 27001 und des BSI IT-Grundschutz.
Was die Normen fordern
Die ISO 27001:2022 widmet dem Thema eine eigene Kontrolle: A.7.7 Clear Desk and Clear Screen. Die Kontrolle fordert, dass Regeln für den aufgeräumten Schreibtisch und den gesperrten Bildschirm definiert und durchgesetzt werden, um das Risiko unbefugten Zugriffs, Verlusts oder Beschädigung von Informationen zu reduzieren.
Der BSI IT-Grundschutz behandelt das Thema im Baustein ORP.1 "Organisation" und verweist auf die Notwendigkeit einer Richtlinie zur Aufbewahrung von Informationsträgern am Arbeitsplatz. Konkrete Empfehlungen finden sich auch in den Maßnahmen zu den Bausteinen INF.7 "Büroarbeitsplatz" und INF.9 "Mobiler Arbeitsplatz".
Beide Rahmenwerke machen deutlich: Es reicht nicht, dass du eine Richtlinie schreibst. Du musst auch nachweisen, dass sie kommuniziert, verstanden und umgesetzt wird.
Die zwei Seiten: Clean Desk und Clear Screen
Eine vollständige Richtlinie umfasst zwei Aspekte, die zusammengehören wie Schloss und Schlüssel:
Clean Desk regelt den physischen Arbeitsplatz: Dokumente, Datenträger, Notizzettel und andere Informationsträger in Papierform. Die Kernregel ist einfach: Wenn du den Arbeitsplatz verlässt, räumst du alles weg, was vertraulich ist.
Clear Screen regelt den digitalen Arbeitsplatz: Bildschirminhalte, geöffnete Anwendungen und aktive Sitzungen. Die Kernregel: Wenn du den Arbeitsplatz verlässt, sperrst du den Bildschirm.
Beide Aspekte müssen gemeinsam betrachtet werden, weil sie sich ergänzen. Ein aufgeräumter Schreibtisch nützt wenig, wenn der Bildschirm die Quartalszahlen zeigt. Und ein gesperrter Bildschirm hilft nicht, wenn der ausgedruckte Personalplan offen auf dem Tisch liegt.
Inhalte einer praxistauglichen Clean Desk Policy
Eine gute Richtlinie ist konkret genug, dass Mitarbeiter wissen, was zu tun ist, und kurz genug, dass sie tatsächlich gelesen wird. Die folgenden Punkte bilden den Kern:
Geltungsbereich
Definiere klar, für wen die Richtlinie gilt: alle Mitarbeiter, einschließlich Führungskräfte, Praktikanten und externe Personen, die Arbeitsplätze im Unternehmen nutzen. Und für welche Räumlichkeiten: Büros, Besprechungsräume, Druckerräume und gemeinsam genutzte Arbeitsflächen.
Regeln für den physischen Arbeitsplatz
Beim Verlassen des Arbeitsplatzes (auch bei kurzer Abwesenheit über 15 Minuten) müssen vertrauliche Dokumente in verschließbare Schränke, Rollcontainer oder Schubladen geräumt werden. Ausdrucke, die nicht mehr benötigt werden, gehören in den Aktenvernichter – die sichere Entsorgung ist hier Pflicht –, nicht in den Papierkorb. Wechseldatenträger wie USB-Sticks, externe Festplatten und SD-Karten werden weggeschlossen. Whiteboards und Flipcharts in Besprechungsräumen werden nach der Besprechung abgewischt, wenn sie vertrauliche Inhalte zeigen. Passwörter, PINs und Zugangscodes werden niemals auf Post-its, unter der Tastatur oder am Monitor befestigt.
Am Feierabend gilt zusätzlich: Der Schreibtisch wird vollständig geräumt, der Rollcontainer abgeschlossen und ausgedruckte Dokumente werden entweder archiviert oder vernichtet.
Regeln für den digitalen Arbeitsplatz
Der Bildschirm wird bei jedem Verlassen des Arbeitsplatzes gesperrt, per Tastenkombination (Windows + L oder Strg + Befehlstaste + Q auf dem Mac). Der automatische Bildschirmschoner mit Passwortschutz wird auf maximal 5 Minuten Inaktivität konfiguriert. Vertrauliche Dokumente werden nach der Bearbeitung geschlossen und nicht dauerhaft auf dem Desktop abgelegt. Drucker-Ausgaben werden sofort abgeholt, vertrauliche Ausdrucke nur mit PIN-Druck (Follow-Me-Printing) ausgelöst.
Ausnahmen und Pragmatismus
Eine starre Regel ohne Ausnahmen führt dazu, dass die Richtlinie ignoriert wird. Definiere sinnvolle Ausnahmen: Dokumente, die für die aktuelle Arbeit unmittelbar benötigt werden, dürfen bei kurzer Abwesenheit (unter 15 Minuten) auf dem Schreibtisch bleiben, wenn der Raum abschließbar ist und keine betriebsfremden Personen Zutritt haben. In Einzelbüros mit abschließbarer Tür gelten reduzierte Anforderungen gegenüber Großraumbüros.
Implementierung: Von der Richtlinie zur gelebten Praxis
Die Erfahrung zeigt, dass die Richtlinie selbst der einfache Teil ist. Die eigentliche Herausforderung liegt darin, sie im Alltag umzusetzen und aufrechtzuerhalten.
Infrastruktur bereitstellen
Bevor du eine Clean Desk Policy einführst, stelle sicher, dass die Mitarbeiter sie überhaupt umsetzen können. Jeder Arbeitsplatz braucht einen abschließbaren Rollcontainer oder Schrank mit ausreichend Platz. In jedem Stockwerk sollte mindestens ein Aktenvernichter stehen, idealerweise Sicherheitsstufe P-4 oder höher. Drucker sollten Follow-Me-Printing unterstützen, damit Ausdrucke nicht stundenlang im Ausgabefach liegen. Die automatische Bildschirmsperre muss zentral per Gruppenrichtlinie konfiguriert sein, damit sie nicht vom Benutzer deaktiviert werden kann.
Wenn du eine Richtlinie einführst, ohne die Infrastruktur bereitzustellen, produzierst du Frustration statt Sicherheit. Ein Mitarbeiter, der keinen abschließbaren Schrank hat, kann die Richtlinie schlicht nicht einhalten.
Kommunikation und Schulung
Erkläre den Mitarbeitern nicht nur das Was, sondern auch das Warum. "Räum deinen Schreibtisch auf" klingt nach Kindergarten. "Wir schützen damit die Daten unserer Kunden und unsere Geschäftsgeheimnisse vor unbefugtem Zugriff" ist eine Begründung, die erwachsene Menschen nachvollziehen können.
Nutze konkrete Beispiele: Der Besucher, der im Vorbeigehen das Angebot auf dem Tisch sieht. Das Reinigungspersonal, das abends Zugang zu allen Büros hat. Der Kollege aus einer anderen Abteilung, der Personalunterlagen nicht sehen sollte. Solche Szenarien machen das abstrakte Risiko greifbar.
Integriere die Clean Desk Policy in das Onboarding neuer Mitarbeiter und in die jährliche Security-Awareness-Schulung. Ein einzelner Hinweis bei der Einführung reicht nicht, weil Gewohnheiten sich erst durch Wiederholung ändern.
Führungskräfte als Vorbilder
Wenn die Führungskraft ihren Schreibtisch unter Papierstapeln begräbt, wird kein Mitarbeiter die Clean Desk Policy ernst nehmen. Führungskräfte müssen die Richtlinie vorleben, ohne Ausnahmen. Das ist nicht nur eine Frage der Glaubwürdigkeit, sondern auch des Risikos: Führungskräfte haben typischerweise Zugang zu besonders sensiblen Informationen.
Kontrolle ohne Überwachungsstaat
Regelmäßige Stichproben sind notwendig, um die Einhaltung zu prüfen. Aber die Art der Kontrolle entscheidet über die Akzeptanz. Empfohlen wird ein freundlicher Ansatz: Angekündigte "Clean Desk Walks" durch den Informationssicherheitsbeauftragten (ISB) oder die Teamleitung, idealerweise zu unterschiedlichen Zeiten. Bei Verstößen wird zuerst ein freundlicher Hinweis gegeben, kein formaler Verweis. Positive Beispiele werden hervorgehoben, zum Beispiel durch ein "Aufgeräumtester Schreibtisch"-Zertifikat oder eine lobende Erwähnung.
Manche Unternehmen nutzen "Clean Desk Audits" als spielerisches Element: Am Abend wird mit einer Checkliste geprüft und das Team mit der besten Quote erhält eine kleine Anerkennung. Das klingt banal, funktioniert in der Praxis aber deutlich besser als Androhung von Sanktionen.
Sanktionen solltest du nur als letztes Mittel bei wiederholten, vorsätzlichen Verstößen einsetzen. Staffele sie: Erster Verstoß ist ein mündlicher Hinweis, zweiter Verstoß eine schriftliche Erinnerung, ab dem dritten Verstoß ein Gespräch mit der Führungskraft. In der Praxis reichen die ersten beiden Stufen fast immer aus.
Clean Desk in besonderen Situationen
Shared Desks und Desk Sharing
In Unternehmen mit Desk Sharing ist die Clean Desk Policy besonders wichtig, weil Arbeitsplätze regelmäßig von wechselnden Personen genutzt werden. Hier gilt: Der Arbeitsplatz wird nach jeder Nutzung vollständig geräumt, ohne Ausnahme. Persönliche Schließfächer ersetzen den festen Rollcontainer. Definiere klare Regeln, was am Arbeitsplatz verbleiben darf (Bildschirm, Tastatur, Maus, Dockingstation) und was nicht (alles andere).
Besprechungsräume
Besprechungsräume werden oft vergessen, obwohl dort besonders sensible Informationen besprochen werden. Nach jeder Besprechung müssen Whiteboards und Flipcharts gereinigt werden, wenn sie vertrauliche Inhalte zeigen. Vergessene Unterlagen werden eingesammelt und dem Organisator zurückgegeben, nicht liegengelassen. Videokonferenz-Systeme werden abgemeldet, damit der nächste Nutzer keinen Zugriff auf den Kalender oder die Kontakte des Vorgängers hat.
Druckerräume und Kopierer
Drucker sind Informations-Hotspots, die in vielen Clean Desk Policies fehlen. Ausdrucke, die niemand abholt, liegen stunden- oder tagelang im Ausgabefach und sind für jeden zugänglich. Die beste Lösung ist Follow-Me-Printing (auch Pull-Printing genannt): Der Druckauftrag wird erst freigegeben, wenn sich der Benutzer am Drucker authentifiziert, per Badge oder PIN. Wenn Follow-Me-Printing nicht verfügbar ist, hilft eine einfache Regel: Drucke nur, was du sofort abholst.
Homeoffice
Die Clean Desk Policy gilt auch im Homeoffice, was viele Mitarbeiter überrascht. Auch dort können Familienmitglieder, Mitbewohner, Besucher oder Handwerker vertrauliche Unterlagen sehen. Definiere Mindestanforderungen: abschließbarer Schrank oder Schublade für Firmenunterlagen, Bildschirmsperre auch zu Hause, keine Firmenunterlagen im Hausmüll (mitnehmen und im Büro vernichten oder einen persönlichen Aktenvernichter nutzen).
Häufige Fehler bei der Einführung
Zu strenge Regeln: Wenn du verlangst, dass bei jedem Toilettengang der gesamte Schreibtisch geräumt wird, hält sich niemand daran. Differenziere zwischen kurzer und langer Abwesenheit und zwischen Einzelbüro und Großraumbüro.
Keine Infrastruktur: Wer keinen abschließbaren Schrank hat, kann nichts wegschließen. Investiere zuerst in die Ausstattung, dann in die Richtlinie.
Einmalige Kommunikation: Eine E-Mail bei der Einführung reicht nicht. Die Richtlinie muss regelmäßig in Erinnerung gerufen werden, am besten durch verschiedene Kanäle: Schulung, Plakate, Intranet, Teammeeting.
Kein Management-Buy-in: Wenn die Geschäftsführung die Richtlinie nicht unterstützt oder selbst nicht einhält, ist sie zum Scheitern verurteilt.
Fokus nur auf Papier: Die digitale Seite (Clear Screen) wird oft vergessen, obwohl heute mehr vertrauliche Informationen auf dem Bildschirm stehen als auf Papier liegen.
Keine Kontrolle: Eine Richtlinie ohne Kontrolle ist eine Empfehlung. Regelmäßige Stichproben sind notwendig, auch wenn sie aufwändig erscheinen.
Technische Unterstützung
Neben organisatorischen Maßnahmen kannst du technische Hilfsmittel einsetzen, die die Einhaltung der Clear Screen Policy automatisch sicherstellen:
Automatische Bildschirmsperre: Per Gruppenrichtlinie auf maximal 5 Minuten Inaktivität konfiguriert, nicht vom Benutzer änderbar. Das ist die wichtigste einzelne Maßnahme.
Proximity-basierte Sperre: Bluetooth-basierte Lösungen sperren den Bildschirm automatisch, wenn der Mitarbeiter sich vom Arbeitsplatz entfernt (z. B. über ein Smartphone oder einen Token). Das ist komfortabler als die manuelle Sperre und wird daher besser akzeptiert.
Follow-Me-Printing: Druckaufträge werden erst am Drucker nach Authentifizierung freigegeben. Nicht abgeholte Druckaufträge werden nach einer definierten Zeit automatisch gelöscht.
DLP-Software (Data Loss Prevention): Kann erkennen, wenn vertrauliche Dokumente auf dem Desktop oder in öffentlichen Ordnern abgelegt werden, und den Benutzer warnen.
Verschlüsselte Wechseldatenträger: Wenn USB-Sticks oder externe Festplatten erlaubt sind, sollten sie automatisch verschlüsselt werden, falls sie doch einmal verloren gehen.
Messbarkeit und kontinuierliche Verbesserung
Wie misst du, ob deine Clean Desk Policy wirkt? Definiere Kennzahlen, die du regelmäßig erhebst:
Compliance-Rate: Anteil der Arbeitsplätze, die bei einer Stichprobe die Richtlinie einhalten. In ISMS Lite kannst du die Ergebnisse deiner Clean-Desk-Begehungen dokumentieren und den Trend über Quartale hinweg auswerten. Ziel: mindestens 85 Prozent, besser 95 Prozent.
Trend über die Zeit: Verbessert sich die Compliance-Rate nach Schulungen? Verschlechtert sie sich in bestimmten Abteilungen oder Zeiträumen?
Vorfälle: Gab es Sicherheitsvorfälle, die auf mangelnde Clean Desk Compliance zurückzuführen sind? Zum Beispiel vertrauliche Dokumente, die von Unbefugten eingesehen wurden.
Feedback der Mitarbeiter: Gibt es Beschwerden über fehlende Infrastruktur, unpraktische Regeln oder zu strenge Kontrollen?
Nutze die Ergebnisse, um die Richtlinie und ihre Umsetzung kontinuierlich zu verbessern. Wenn die Compliance-Rate in der Buchhaltung deutlich niedriger ist als im Marketing, frage nach den Ursachen: Fehlen abschließbare Schränke? Arbeiten die Mitarbeiter mit vielen physischen Belegen, die sich nicht so einfach wegräumen lassen? Passe die Regeln an die Realität an, statt die Realität an die Regeln anzupassen.
Die Clean Desk Policy als Kulturwandel
Letztlich geht es bei der Clean Desk Policy um mehr als aufgeräumte Schreibtische. Sie ist ein sichtbares Zeichen dafür, dass Informationssicherheit im Unternehmen ernst genommen wird. Ein aufgeräumter Arbeitsplatz signalisiert Professionalität, sowohl gegenüber Besuchern und Kunden als auch gegenüber Auditoren.
Die Erfahrung zeigt, dass Unternehmen, die eine Clean Desk Policy erfolgreich umsetzen, auch in anderen Bereichen der Informationssicherheit besser abschneiden. Das liegt nicht daran, dass ein aufgeräumter Schreibtisch Ransomware verhindert, sondern daran, dass das Bewusstsein für den Schutz von Informationen im Alltag verankert wird. Wer gewöhnt ist, vertrauliche Unterlagen wegzuschließen, denkt auch eher daran, seinen Bildschirm zu sperren, keine vertraulichen Gespräche in der Kantine zu führen und verdächtige E-Mails zu melden.
Die Einführung einer Clean Desk Policy ist kein Projekt mit einem Endtermin, sondern ein fortlaufender Prozess. Plane die Richtlinie als lebendiges Dokument, das regelmäßig überprüft und an veränderte Arbeitsbedingungen angepasst wird. Wenn du heute Desk Sharing einführst, Morgen auf Homeoffice umstellst und übermorgen ein neues Bürogebäude beziehst, muss sich die Richtlinie mitentwickeln.
Weiterführende Artikel
- Serverraum absichern: Zutritt, Klima, Brandschutz und Überwachung
- Physische Sicherheit im Homeoffice: Was Mitarbeiter beachten müssen
- Security Awareness Programm aufbauen und lebendig halten
- Informationssicherheitsrichtlinie erstellen: Aufbau, Inhalte und Praxistipps
- Zugangs- und Zutrittskontrolle: Richtlinie erstellen