In dem Moment, in dem die Trennung eines Mitarbeiters bestätigt wird, beginnen zwei Uhren zu laufen.
Der erste ist Ihr MDM: Kontenentzug, Entzug des VPN-Zugangs, E-Mail-Routen zu einem toten Posteingang. Diesen Teil haben die meisten IT-Teams richtig verkabelt.
Die zweite Uhr ist das Gerät selbst, und für Fernangestellte läuft diese Uhr nach dem Ehrensystem.
Der Laptop befindet sich immer noch bei ihnen zu Hause. Die Daten auf seiner SSD sind noch intakt. Der Sekundärmarktwert verstaubt immer noch irgendwo in einem Gästezimmer.
Wie bei den beiden Uhren gibt es auch bei den nachgelagerten Folgen zwei Kategorien: finanzielle und rechtliche.
Auf der finanziellen Seite kann eine Flotte nicht wiederhergestellter Geräte einen erheblichen Wertverlust bedeuten. Ein MacBook Pro M3 Einsatz mit 500 Geräten, bei dem die M3 Pro Modelle derzeit $1.450 bis $1.650 auf dem Sekundärmarkt, kann einen Risikowert von über $700.000 ausmachen. Selbst eine bescheidene Flotte von Dell Latitude 5540-Geräten, die mit etwa $400 bis $500 in gutem Zustand auf Refurbisher-Plattformen, summiert sich im großen Maßstab schnell. Aus rechtlicher Sicht ist ein Gerät mit einer unsanierten SSD, die drei Jahre lang E-Mails und Dateizugriffe des Unternehmens enthält, ein Verstoß gegen die Compliance.
Die Lösung ist verfahrenstechnisch, nicht technisch. Ein strukturiertes Remote-Retrieval-Programm, das auf vorkonfigurierter Rückführungslogistik, MDM-koordinierten Offboarding-Auslösern und zertifizierter Desinfektion bei Ankunft aufbaut, schließt beide Expositionsarten gleichzeitig.
So erstellen Sie eine ITAD-Fernsteuerrichtlinie
Die Fernabfrage von Geräten ist ein ITAD-Problem, nicht nur ein Logistikproblem. Ein Laptop, der in einer vorausbezahlten Box ohne vorherige Fernlöschung oder MDM-Deregistrierung zurückgeschickt wird, stellt eine Datenverpflichtung auf dem Transportweg dar.
R2v3 Anhang B und NIST 800-88 gelten für aus der Ferne zurückgegebene Geräte in gleicher Weise wie für die Hardware von Rechenzentren. Der Standard schafft keine Schlupflöcher für Geräte, die von Heimarbeitsplätzen aus zurückgegeben werden.
Der Fernlöschung über MDM (Jamf, Microsoft Intune, Workspace ONE) sollte eine dokumentierte Abmeldung von allen mit der Cloud verbundenen Diensten vorausgehen.
Warum der ITAD-Standardprozess für entfernte Anlagen nicht geeignet ist
Bei der herkömmlichen ITAD wird davon ausgegangen, dass Sie von einer Laderampe aus arbeiten. Ein ITAD-Anbieter kommt mit einem Team, inventarisiert die Racks oder den Geräteschrank, verpackt alles und nimmt es mit. Die Sorgfaltskette wird bei der Abholung übertragen. Die Datenbereinigung erfolgt in der Einrichtung. Der gesamte Vorgang ist in sich abgeschlossen.
Remote- und Hybrid-Arbeitskräfte widersprechen allen Annahmen dieses Modells.
Es gibt keine Laderampe. Es gibt keinen IT-Vertreter im Gebäude. Der Gegenstand befindet sich im Heimbüro, im Gästezimmer oder in der Schublade des Küchentischs einer Person. Der Mitarbeiter kann bei der Rückgabe kooperieren oder auch nicht. Das Gerät kann mit oder ohne Sorgfalt behandelt worden sein. Je nachdem, wie die Geräteverwaltungsrichtlinie konfiguriert wurde, können persönliche Daten mit Unternehmensdaten vermischt sein. Niemand kann überprüfen, in welchem Zustand sich das Gerät befindet, bis es eintrifft.
Das Problem der Überwachungskette beginnt in dem Moment, in dem das Gerät die Hände des Mitarbeiters verlässt. Wenn ein Laptop in einem zufälligen Karton ohne vorherige Dokumentation und ohne Nachverfolgung zurückgeschickt wird und in einer ITAD-Einrichtung mit unbekanntem Datenstatus eintrifft, fängt das empfangende Team bei der Einhaltung der Vorschriften bei Null an. Sie wissen nicht, was sich auf dem Gerät befand, sie wissen nicht, ob ein persönliches Konto angemeldet ist, und sie wissen nicht, ob die MDM-Registrierung ordnungsgemäß abgeschlossen wurde.
Unter R2v3 Kernanforderungen 6 und 7, Alle Geräte und Komponenten, die Daten enthalten können, müssen gesichert und kontrolliert werden, um unbeabsichtigten Zugriff zu verhindern, bis sie verarbeitet werden. Ein Gerät, das ohne Rückverfolgung, ohne Manipulationsnachweis und ohne dokumentierte Sicherheitskontrollen versandt wird, erfüllt diesen Standard nicht. Ein Gerät in einem manipulationssicheren Rücksendekit mit nachverfolgbarer Überwachungskette, dem eine verifizierte MDM-Deregistrierung gemäß NIST 800-88 vorausgegangen ist, erfüllt diesen Standard.
Was ein Remote-Return-Prozess tatsächlich erfordert: 4 Schritte
Zu Planungszwecken ist es hilfreich, die Rückgabe von Remote-Hardware in vier verschiedene Phasen zu unterteilen: Vorbereitung, physische Rückgabe, Sicherheit während des Transports und ITAD-Verarbeitung.
Phase 1: Vorbereitung auf die Abtrennung
Die effektivste Maßnahme bei der Fernabfrage von Geräten erfolgt, bevor der Mitarbeiter offiziell geht.
Bei geplanten Abgängen (Kündigungen, Vertragsende, Personalabbau) sollten IT und HR den Workflow für die Geräterückgabe in dem Moment auslösen, in dem das Trennungsdatum bestätigt wird. Das bedeutet, dass zwei Dinge parallel passieren: Das Rückgabe-Kit wird versandt und die Vorbereitungen auf MDM-Ebene beginnen.
Zu den MDM-Vorbereitungen vor der Rückgabe des Geräts gehören das Entfernen des Mitarbeiters aus allen Gruppen mit bedingtem Zugriff und die Überprüfung des Status der Festplattenverschlüsselung des Geräts (FileVault unter macOS, BitLocker unter Windows). Stellen Sie sicher, dass der Wiederherstellungsschlüssel in Ihrer Verwaltungsplattform hinterlegt ist, und überprüfen Sie, ob der aktuelle Registrierungsstatus des Geräts und der zugewiesene Benutzer korrekt sind. Diese Informationen werden mit dem Produktkettennachweis übermittelt.
Bei unfreiwilligen Kündigungen ist eine Vorbereitung vor der Trennung nicht möglich. Der Ablauf ist anders: Die Fernsperrung oder Fernlöschung über MDM muss am selben Tag wie die Trennung erfolgen, und das Rückgabekit wird sofort mit einer klaren Rückgabefrist verschickt. In diesem Fall ist eine Fernlöschfunktion, die nicht von der Mitarbeit der Mitarbeiter abhängt, entscheidend.
Phase 2: Die physische Rückkehr
Ein vorausbezahlter Versandaufkleber in einer E-Mail ist ein Rückgabeantrag. Ein Rückgabekit ist ein System.
Ein funktionales Rückgabe-Kit für Unternehmensgeräte umfasst:
- Ein fester oder halbfester Versandkarton, der für den jeweiligen Gerätetyp ausgelegt ist (ein MacBook Pro wird anders versandt als ein Dell Latitude)
- Ausreichendes Verpackungsmaterial, um das Gerät und die Peripheriegeräte bei normaler Versandabwicklung zu schützen
- Ein manipulationssicheres Siegel oder eine manipulationssichere Tasche für das Gerät selbst
- Ein vorausbezahltes Rücksendeetikett mit Sendungsverfolgung
- Eine klare Anleitung mit der Rückgabefrist und den beizufügenden Unterlagen
- Ein Bestätigungsmechanismus für das Asset-Tag oder die Seriennummer, damit die Empfangseinrichtung genau weiß, welches Gerät in der Box sein soll
Die Anweisungskarte ist wichtiger, als die meisten IT-Teams erwarten. Mitarbeiter, die Geräte zurückgeben, denken nicht daran, was sich in der Tasche in der Laptop-Hülle, dem Ladegerät in der Schreibtischschublade oder der SIM-Karte in einem Arbeitstelefon befindet. Klare Anweisungen, was mitzubringen ist und was passiert, wenn Gegenstände fehlen, werden die Vollständigkeit der Rückgabe erheblich verbessern.
Für den vorausbezahlten Versand sollte ein Versandunternehmen gewählt werden, das sowohl eine Sendungsverfolgung als auch eine Unterschriftsbestätigung anbietet, d. h. UPS oder FedEx Ground anstelle von USPS für Güter von geschäftlichem Wert. Ein MacBook Pro mit einem Sekundärmarktwert von mehr als $1.000 sollte nicht mit einem nicht verfolgbaren Aufkleber verschickt werden.
Phase 3: In-Transit Sicherheit und Chain of Custody
R2v3 verlangt, dass die Datengeräte identifizierbar sind und von der Kontrolle bis zur Desinfektion verfolgt werden können. Bei aus der Ferne zurückgegebenen Geräten beginnt die Aufbewahrungskette in dem Moment, in dem das Gerät den Besitz des Mitarbeiters verlässt, und nicht, wenn es in der ITAD-Einrichtung eintrifft.
In der Praxis bedeutet dies, dass das Rücksendekit eine Tracking-Nummer benötigt, die mit der Seriennummer des Geräts abgeglichen wird, bevor es versendet wird. Wenn das Paket die Verfolgung durch den Spediteur durchläuft, bildet dieser Datensatz die Überwachungskette für die Transportphase. Bei der Ankunft in der ITAD-Einrichtung wird zunächst das manipulationssichere Siegel überprüft und die Seriennummer des Geräts mit dem zuvor erstellten Datensatz abgeglichen.
Ein Gerät, das in einem beschädigten Karton mit gebrochenem Siegel ankommt, wird als potenzielles Integritätsproblem gekennzeichnet und dokumentiert, bevor es in den normalen Verarbeitungsprozess gelangt.
Phase 4: ITAD-Verarbeitung
Wenn das Gerät in der ITAD-Einrichtung eintrifft, wird es dem standardmäßigen R2v3-konformen Verarbeitungsstrom zugeführt. Es gibt einen zusätzlichen Schritt, der speziell für aus der Ferne zurückgegebene Geräte gilt: die Überprüfung des Cloud-Kontos.
R2v3 Anhang B Abschnitt 12 ist eindeutig: Alle Logins, Passwörter, Sperren oder sonstigen Verbindungen zu einem Remote-Dienst müssen entfernt werden und dürfen nicht mehr mit dem Gerät verbunden sein. Für ein aus der Ferne zurückgegebenes MacBook Pro bedeutet dies, dass überprüft werden muss, dass die Aktivierungssperre des Geräts aufgehoben ist, dass die mit dem Gerät verknüpfte Apple ID entfernt wurde und dass die iCloud-Synchronisierung deaktiviert und getrennt wurde, bevor NIST 800-88 die logische Bereinigung läuft. Das Gleiche gilt für Windows-Geräte: Die Anmeldung beim Microsoft-Konto und die OneDrive-Synchronisierung müssen als nicht verbunden verifiziert werden.
Mitarbeiter melden trotz MDM-Richtlinie routinemäßig persönliche Konten auf Arbeitsgeräten an. Eine Fernlöschung, die über Marmelade oder Intune löscht Unternehmensdaten und importiert das Gerät erneut, entfernt aber nicht immer ein persönliches iCloud-Konto, das mit der Apple ID-Bindung der Hardware verknüpft ist. Dies hängt von der Überwachungsstufe der Registrierung ab. Für Geräte, die manuell registriert und nicht über den Apple Business Manager bereitgestellt wurden, MDM-Lösungen können die Aktivierungssperre nicht ohne Mitwirkung des Benutzers aufheben, Das bedeutet, dass ein persönliches iCloud-Konto, das an die Hardware gebunden ist, eine Löschung durch das Unternehmen vollständig überstehen kann. Die Verifizierung pro Gerät bei der Aufnahme ist die zuverlässigste Bestätigung.
Integration von ITAD in den HR Offboarding Workflow
Der vorhersehbarste Fehlerpunkt bei der Fernabfrage von Geräten ist organisatorischer Natur: IT und Personalabteilung sprechen nicht miteinander, bis es zu spät ist.
Die Personalabteilung verwaltet das Offboarding-Ereignis. Die IT verwaltet die Anlagen. Die ITAD verwaltet das Ende der Lebensdauer der Geräte. In den meisten Unternehmen arbeiten diese drei Funktionen nacheinander und nicht parallel, und die Übergabe zwischen ihnen ist der Punkt, an dem Geräte verschwinden.
Ein integrierter Workflow ändert die Reihenfolge. Der Auslöser für das Offboarding, sei es eine Kündigung, eine Beendigung oder ein Vertragsende, wird gleichzeitig in der Offboarding-Checkliste der Personalabteilung und dem Geräteabruf-Workflow der IT-Abteilung ausgelöst. Die Personalabteilung teilt dem ausscheidenden Mitarbeiter die Rückgabefrist und die Konsequenzen mit. Die IT-Abteilung stößt den Versand des Rückgabekits an und leitet die MDM-Vorbereitung ein. Der ITAD-Anbieter erhält eine Vorabbenachrichtigung mit dem Gerätebestand, den Seriennummern und dem voraussichtlichen Rückgabezeitraum.
Wenn ein Gerät in der ITAD-Einrichtung eintrifft, ist der Datensatz bereits vorhanden. Das Bearbeitungsteam gleicht nicht einen unbekannten Vermögenswert mit einem unbekannten Mitarbeiter ab. Stattdessen schließen sie einen verfolgten Datensatz mit einer bekannten Überwachungskette ab.
Die nachstehende Tabelle zeigt den Unterschied zwischen einem nicht integrierten und einem integrierten Arbeitsablauf bei einer freiwilligen Standardkündigung mit einer zweiwöchigen Kündigungsfrist:
| Schritt | Nicht integriert (mangelhafter Prozess) | Integriert (Bevorzugtes Verfahren) |
|---|---|---|
| Auslöser der Trennung | Die Personalabteilung schließt das Ticket; die IT-Abteilung wird informell informiert | HR-Auslöser feuert; IT und ITAD werden gleichzeitig benachrichtigt |
| Rückholservice Versand | IT sendet E-Mail mit Versandetikett | Rückgabekit wird innerhalb von 24 Stunden nach dem Abzug versandt |
| MDM-Vorbereitung | Erledigt am letzten Tag, oft unvollständig | Eingeleitet bei der Rücktrittsbestätigung |
| Fernlöschbefugnis | Unklar, wenn der Mitarbeiter das Gerät nicht zurückgibt | Vordokumentiert; Schwellenwert für Fernsperren/Wischen definiert |
| Empfang des Geräts | ITAD erhält unbekannten Vermögenswert | ITAD erhält vorregistriertes Gerät mit erwarteter Seriennummer |
| Überwachungskette | Kluft zwischen dem Wohnort des Arbeitnehmers und dem ITAD-Eingang | Kontinuierlich, nachverfolgt ab der Übergabe an den Mitarbeiter |
| Bearbeitungszeit | Erweitert um den Abgleich der Einnahme | Standard-Zeitplan für die Bearbeitung |
Beim integrierten Arbeitsablauf geht es nicht nur um den Einsatz einer neuen Technologie. Er erfordert einen gemeinsamen Auslöser, eine definierte Übergabe und einen Lieferanten, der eine Vorabbenachrichtigung erhalten und den Produktkettennachweis vor der Auslieferung des Geräts erstellen kann.
Nicht aufgedeckte Remote Assets kosten Sie Geld
Hier gibt es ein Muster, in das man leicht verfallen kann: Geräte werden bei der Bereitstellung nachverfolgt, und wenn Mitarbeiter gehen, ohne sie umgehend zurückzugeben, wird das Gerät als “zur Rückgabe anstehend” markiert. Das Gerät wird im ITAM-System gespeichert und verbleibt dort, manchmal monatelang, manchmal auf unbestimmte Zeit.
Das Ausmaß dieses Problems ist größer als den meisten IT-Teams bewusst ist. Gartner-Analysten haben berichtet dass Unternehmenskunden bestenfalls etwa 50% Laptops von externen Mitarbeitern wiederherstellen. Eine andere Gartner-Studie ergab, dass 30% aller IT-Anlagegüter im Unternehmen waren “Geister”.” - die in den Systemen erfasst sind, aber physisch nicht gezählt werden. Bei einer jährlichen Abwanderungsrate von 15% bei einer Flotte von 1.000 Geräten, selbst eine Wiederfindungsrate von 70% bedeutet, dass jedes Jahr etwa 45 Geräte verloren gehen, Dies führt zu jährlichen Abschreibungen in Höhe von mehreren zehntausend Dollar, bevor das Risiko der Datenexposition berücksichtigt wird.
Unternehmen, die strukturierte Abrufprogramme mit automatisierter Logistik einsetzen, sehen Rücklaufquoten steigen in Richtung 90% oder höher, im Vergleich zu den rund 50%, die für Organisationen ohne formale Programme gelten.
Ein strukturiertes Rückforderungsprogramm mit einem definierten Eskalationspfad, einschließlich Erinnerungsschreiben, Benachrichtigung des Vorgesetzten und, falls erforderlich, einem rechtlichen Sperrvermerk, stellt diesen Wert wieder her und schließt gleichzeitig die Compliance-Lücke.
German 
English 
Spanish 
French 
Swedish 
Dutch