Das Arbeiten außerhalb der Büroräume birgt einige Gefahren, die bei der Einführung vom Homeoffice bedacht werden müssen. Grundsätzlich sollten derselbe Schutzbedarf und somit dieselben Anforderungen an die Informationssicherheit gelten, wie im Unternehmen selbst. Durch die eingeschränkten Kontroll- und Einflussmöglichkeiten seitens des Arbeitgebers sind jedoch beispielsweise die unzulässige Einsicht durch Dritte und Datenmissbrauch leichter möglich.
Homeoffice – Neuland für viele Arbeitnehmer und Arbeitgeber
Dazu kommt ein weiterer Faktor, der in Zeiten von Corona noch größeren Einfluss hat: Die häufig hektische Umstellung. „Nutzer, die in einer ungewohnten Umgebung arbeiten müssen, sind einfacher zu täuschen“, erklärt Manuel Atug von HiSolutions im Gespräch mit ZEIT ONLINE. Die Kollegen, die nun neu ins Homeoffice gewechselt sind, müssen sich erst an die neuen Kommunikationswege gewöhnen und sich durch zahlreiche Dialoge klicken. Dass sie deshalb E-Mails öffnen und Links sowie Dateien anklicken, die auf den ersten Blick legitim anmuten, ist daher verständlich.
Da zudem die Kollegen nicht mehr nebeneinander sitzen, haben Betrüger mit Social-Engineering-Taktiken leichtes Spiel. Der vermehrte digitale und telefonische Austausch unter den Mitarbeitern, der durch das Homeoffice nötig ist, erhöht die Gefahr noch weiter. Doch da gleichzeitig die Administratoren vieler Unternehmen und Behörden unter enormem Druck arbeiten, fehlt ihnen oftmals die Gelegenheit, ihre Kollegen zu unterstützen und zu erklären, wie man die Kommunikation absichert.
Es braucht daher besondere Schutzmaßnahmen, um ein Homeoffice sicher zu machen. Bei besonders schützenswerten Daten sind darüber hinaus weitere Maßnahmen sinnvoll, bei der Verarbeitung personenbezogener Daten sogar unabdingbar, um die Persönlichkeitsrechte Dritter nicht zu gefährden.
Workflows für die IT-Sicherheit im Homeoffice festlegen
Entsprechend wichtig ist es für Unternehmen und Behörden, ihre Mitarbeiter und dadurch auch sich selbst im Homeoffice zu schützen. Neben der notwendigen technischen Infrastruktur sind auch organisatorische Schritte essenziell. Dazu gehört natürlich die Sicherstellung von Workflows: „Wie schützen wir Informationen? Wie kommunizieren wir miteinander? Wie kann man die Telefon-Erreichbarkeit sicherstellen?“ Genauso sollten die Mitarbeiter zu den Themen Informationssicherheit und Datenschutz im Homeoffice unterwiesen werden und sich zur Einhaltung von Regeln verpflichten. Sie sollten darüber hinaus gezielte Security-Awareness-Trainings erhalten, um Social Engineering per E-Mail und Telefon zu erkennen, zu verhindern und anschließend zu melden. Somit kann jeder einzelne Mitarbeiter aktiv zur Sicherheit des Unternehmens und dessen Daten beitragen.
Diese Punkte sollten Sie beim Homeoffice beachten:
- Technische Infrastruktur einrichten
Unverzichtbar sind dabei ein virtuelles privates Netzwerk (VPN), aktuelle Sicherheitsprogramme, zentral ausrollbare Updates sowie Festplattenverschlüsselung. - Zugriffsrecht fürs Homeoffice beschränken
Wer braucht von zu Hause aus Zugriff auf was? - Arbeitsrechtliche Vereinbarung treffen
Diese Vereinbarung ist nicht nur für die IT-Sicherheit wichtig, sondern auch aufgrund des Arbeitsrechts sowie des Datenschutzrechts. Im Sinne einer zügigen Einführung bietet es sich an, eine Regelung für „Mobiles Arbeiten“ statt „Homeoffice“ zu erstellen, da so Anforderungen an den Arbeitsplatz (bspw. Ergonomie) zunächst umschifft werden können. (Bei regelmäßigem / dauerhaftem Einsatz von Homeoffice sollte jedoch auch eine entsprechende Regelung vorhanden sein.) Die Vereinbarung sollte mindestens die folgenden Punkte enthalten:a) Private Nutzung von betrieblichen Arbeitsmitteln ist untersagt.
b) Schützenswerte Informationen sowie Geräte müssen weggeschlossen werden.
c) Geräte sind zu sperren, wenn der Arbeitsplatz verlassen wird.
d) Gesicherte Datenübertragungsverfahren müssen genutzt werden – dazu gehören in der Regel die Nutzung von VPN sowie andere, vom Unternehmen vorgegebene Datenübertragungsverfahren.
e) Meldepflicht bei Unregelmäßigkeiten
f) Kontrollrechte für den Datenschutzbeauftragten
Weitere Themen wie beispielsweise eine Passwort-Richtlinie oder die Vernichtung von Daten sollten unabhängig vom Homeoffice geregelt sein. - Mitarbeiter sensibilisieren
Die Mitarbeiter sollten zur Bedeutung von Informationssicherheit geschult und auf ihre besondere Verantwortung im Homeoffice hingewiesen werden.Dabei sind folgende Themen von besonderer Relevanz:
a) Private Nutzung von betrieblichen Arbeitsmitteln ist zu unterlassen.
b) Vertrauliche Informationen müssen vor der Einsicht Unbefugter geschützt werden (auch vor Familienmitgliedern). Nach Möglichkeit sollte papierlos gearbeitet werden. Dokumente gehören weggeschlossen.
c) Geräte müssen durch ein Passwort geschützt, bei kurzzeitigem Verlassen des Arbeitsplatzes gesperrt (Tastenkombination: Windows+L oder für Mac-Nutzer u.a. die Tastenkombination ctrl+Shift+Eject) und bei längerfristiger Abwesenheit weggeschlossen werden.
d) Vertrauliche Gespräche sollten abgeschirmt von Dritten stattfinden.
e) Datenaustausch und -speicherung dürfen nur verschlüsselt erfolgen (VPN, unter Umständen auch E-Mail-Verschlüsselung, Festplattenverschlüsselung).
E-Learning zur Mitarbeitersensibilisierung bei Homeoffice & mobilem Arbeiten
Auch um in Ihrem Unternehmen über dieses Thema aufzuklären und zu sensibilisieren, müssen Sie das Rad nicht neu erfinden. Hier können Sie sich ein E-Learning zusenden lassen, welches Sie innerhalb von 5 Minuten an Ihre Kollegen weitergeben können. Die wichtigsten Themen werden dort anschaulich und bedarfsgerecht für Mitarbeiter aufbereitet.
Bitte beachten Sie: Dieses Informationsangebot ersetzt keine Rechtsberatung. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Dieser Beitrag dient IT-Sicherheitsbeauftragten ihr Grundwissen zum Thema „Homeoffice“ zu erweitern.
