Homeoffice in Zeiten der Coronavirus-Bedrohung

PrintMailRate-it

veröffentlicht am 17. März 2020 | Lesedauer ca. 3,5 Minuten

 

 

Datensicherheit im Homeoffice

In Zeiten der Gefahr einer Coronavirus-Epidemie treffen Unternehmen Entscheidungen, die es den Arbeitnehmern ermöglichen, die Arbeit im Homeoffice zu verrichten. Leider werden dabei sehr selten die erhöhten Risikofaktoren für die Datensicherheit berücksichtigt, die einen der Stützpfeiler für die Funktionsfähigkeit der Geschäftstätigkeit darstellen.
 
Basierend auf den Schlussfolgerungen, die Rödl & Partner aus zahlreichen in den unterschiedlichsten Unternehmen durchgeführten Audits im Bereich der Datensicherheit gezogen hat, lässt sich ein allgemeines Problem mit der entsprechenden Sicherung der Arbeitsverrichtung im Homeoffice beobachten. Bei der Festlegung der Homeoffice-Regeln konzentrieren sich die Geschäftsführer v.a. auf die Arbeitsorganisation selbst, die oft nur aus der Perspektive der HR-Abteilung betrachtet wird. Somit zählen Effizienz, Arbeitszeiterfassung oder die Kommunikation im Team zu den wichtigsten Problemen, wobei andere Risiken für die Betriebskontinuität nur selten vollumfänglich analysiert werden. Im Ergebnis einer solchen Einstellung wird die IT-Abteilung vor die Herausforderung gestellt, Arbeitnehmern den Fernzugriff zur Infrastruktur, den Anwendungen und unternehmensinternen Daten schnell zu gewähren. Dabei sollten ausgerechnet die IT-Abteilung und andere Abteilungen, die für die Sicherheit im Unternehmen verantwortlich sind, einschließlich des Datenschutzbeauftragten, im Vorfeld an einer Planung von Maßnahmen beteiligt sein und die Möglichkeit haben, angemessene Regeln auszuarbeiten, und anschließend die entsprechenden Prozeduren, die mit der Sicherheit der Arbeit im Homeoffice verbunden sind, vorzubereiten und zu implementieren.
 

Interne IT-Infrastruktur im Unternehmen

V.a. ist zu erwägen, in welchem Umfang die Vorbereitung einer unternehmensinternen IT-Infrastruktur auf den Zugriff von einem öffentlichen Netzwerk aus möglich ist. Unter den Mindestanforderungen für das Homeoffice werden meistens der Zugriff auf ein E-Mail-Konto und ein verschlüsselter VPN-Tunnel genannt, die den Fernzugriff auf interne Anwendungen oder auf Unternehmensserver ermöglichen. Es empfiehlt sich aber, für die Nutzung dieser Erleichterungen gewisse Grundregeln festzulegen.
 
Für die Gewährleistung der Sicherheit ist die Entscheidung von Schlüsselbedeutung, ob die Arbeit im Homeoffice auf privater Hardware des Arbeitnehmers (Smartphone, Laptop) oder ausschließlich auf konfigurierter Unternehmenshardware verrichtet wird. Zu beachten ist, dass es dem Unternehmen nicht möglich ist, die Sicherheit auf privaten Geräten zu kontrollieren. Es wird somit u.a. nicht imstande sein, zu überprüfen, ob der Computer des Arbeitnehmers über ausreichenden Antivirenschutz verfügt, die Sicherheitsvorkehrungen des Betriebssystems auf aktuellstem Stand sind oder ob die auf der Festplatte gespeicherten Dateien nicht im lokalen Netzwerk freigegeben werden. Die Ermöglichung des Zugriffs auf ein E-Mail-Konto oder einen VPN-Tunnel bedeutet in einem solchen Fall ein reales Risiko der Übernahme von Zugriffsdaten oder des eventuellen Zugangs zum Unternehmensnetzwerk durch Personen, die die Infrastruktur des Arbeitnehmers zu Hause angreifen, oder durch einen Computervirus. Zur Gewährleistung der Sicherheit sollte die Arbeit im Homeoffice somit möglichst ausschließlich unter Verwendung von Unternehmenshardware erfolgen.
 

Netzwerksicherheit

Eine andere äußerst wichtige Frage ist die Sicherheit des Netzwerkes, das der Arbeitnehmer beim Homeoffice nutzen wird. Auch in diesem Fall wird das Unternehmen keine Kontrollmöglichkeit haben. Dabei benutzen viele Personen zu Hause ein gemeinsames WLAN-Netzwerk (z.B. mit anderen Anwohnern in Mehrfamilienhäusern oder einer Siedlung), oder eines, das sie selbst konfiguriert haben, das aber nicht die entsprechenden Sicherheitsstandards erfüllt. Man könnte fragen: „Was macht es denn für einen Unterschied, wenn ich sowieso eine verschlüsselte VPN-Verbindung benutze und keine unbefugten Personen auf meine Tätigkeit zugreifen können?“ Der VPN-Tunnel schützt die Daten nur während deren Übertragung– dabei sind aber auch diejenigen Daten zu berücksichtigen, die auf dem Gerät selbst oder auf den daran angeschlossenen Datenträgern gespeichert werden. Ein Hacker, der sich zu einem gemeinsamen Netzwerk oder in das WLAN Zugang verschafft hat, kann versuchen, die Kontrolle über den Computer zu übernehmen und auf die dort gespeicherten Daten zuzugreifen. Es kann sich auch um Berechtigungsdaten des Nutzers handeln, insbesondere um gespeicherte Passwörter für das VPN oder andere unternehmensinterne Systeme. Ein Unternehmen, das seinen Arbeitnehmern Arbeit im Homeoffice ermöglicht, sollte auch entsprechende Geräte zur Verfügung stellen, die einen ordnungsgemäßen Internetzugang gewährleisten (SIM-Karte, Modems). Die Arbeitnehmer sollten auch darüber informiert werden, dass sie auf das Unternehmensnetzwerk ausschließlich über diese Geräte zugreifen dürfen. Das ist besonders wichtig, denn – wie die Praxis zeigt – muss das Homeoffice nicht immer die Arbeitsverrichtung von Zuhause aus bedeuten, sondern kann z.B. im Hotel, Café, Zug oder an ähnlichen öffentlichen Plätzen erfolgen.
 

Sichere Datenübertragung

Eine weitere Sicherheitsfrage, die bei der Planung von Fernarbeit zu berücksichtigen ist, betrifft die Prozeduren, die mit der Übertragung und Übermittlung von Daten zwischen dem Arbeitsplatz und dem Zuhause verbunden sind. Wird es den Arbeitnehmern ermöglicht, die Daten auf Laptops, Smartphones, Festplatten oder sonstigen Datenträgern zu übertragen, so müssen diese verschlüsselt sein.  Der Zugang zu diesen Geräten ist durch ein Passwort oder eine PIN zu schützen. Es empfiehlt sich auch, Prozeduren für den Fall des Verlusts oder Diebstahls der Geräte auszuarbeiten, darunter u.a. die Möglichkeit zu erwägen, die Daten aus der Ferne zu löschen. Für die Übermittlung von Daten empfiehlt es sich, Systeme für Datenfernaustausch zu verwenden. Dadurch kann die Übersendung sensibler Daten per E-Mail beschränkt werden – was oftmals ohne jegliche Verschlüsselung erfolgt und für Angreifer, die sich Zugang zum privaten Netzanschluss des Arbeitnehmers verschafft haben, eine einfache Beute darstellt.
 
Die letzte, jedoch wichtigste Frage der Homeoffice-Sicherheit ist es, bei den Arbeitnehmern ein entsprechendes Bewusstsein aufzubauen und zu erhalten. Dabei ist die strikte Befolgung von Prozeduren und das Verständnis der Gefahren, denen die Homeoffice-Arbeitnehmer ausgesetzt sein können, von besonderer Bedeutung. Einerseits ist dies durch die Beschränkungen in der für das Homeoffice geltenden Arbeitsordnung zu gewährleisten, andererseits ist es empfehlenswert, sie zu verstärken, indem der Arbeitnehmer hinsichtlich der Nutzung der technischen Mittel, die diese Arbeitsweise ermöglichen sowie zu den Risiken, die mit der Verarbeitung von Unternehmensdaten außerhalb ihrer „natürlichen“ Umgebung verbunden sind, geschult wird.

Deutschland Weltweit Search Menu