Auf einen Blick
Das mobile Arbeiten bzw. das Arbeiten im Homeoffice gab es schon vor der Corona-Pandemie, hat aber mit Beginn dieser enorm an Bedeutung gewonnen. Deshalb hat sich die Arbeitswelt in vielen Unternehmen verändert. Allein die Schaffung der Voraussetzungen einer geeigneten IT-Infrastruktur hat die Unternehmen bzw. die IT-Verantwortlichen vor große Herausforderungen gestellt. In diesem Zusammenhang standen zurecht auch die Fragen nach der notwendigen IT-Sicherheit und des Datenschutzes im Fokus. Fachleute gingen davon aus, dass Cyberangriffe und auch andere Sicherheitsvorfälle stark ansteigen werden. Viele Unternehmen haben jedoch in ihre IT-Sicherheit investiert, so dass sich diese Befürchtungen nicht bestätigt haben (Studie von Sophos1[1]). Außerdem gab es auch eine positive Entwicklung bei der Sensibilisierung der Mitarbeitenden bzw. beim Thema „Schutzschild Mensch“.
Bedrohungs- bzw. Gefährdungslage
Unter Betrachtung der IT-Sicherheitsschutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA-Prinzip) leiten sich die Gefährdungen beim Arbeiten im Homeoffice grundlegend daraus ab, ob eigene Technik oder die des Arbeitgebers zum Einsatz kommt. Wird eigene Technik verwendet, müssen die wesentlichen Bedrohungen durch Mängel in den Bereichen
- Zugriffs- bzw. Zugangsschutz
- Datensicherung
- Verschlüsselung
- Update-Management
- Einsatz von Schutzsoftware (Antiviren-Programm, Firewall)
- Internet- und E-Mail-Nutzung
sowie auch beim Datenschutz gesehen werden. Kommt dagegen Technik des Arbeitgebers zum Einsatz, sollte schon vom Ansatz her ein weitaus geringeres Gefährdungspotential vorhanden sein. Hier sollte eine Konfiguration der Technik vorliegen, die dem IT-Sicherheitsniveau des Unternehmens entspricht, so dass mit Sicht auf Homeoffice insbesondere der Zugriffs- bzw. Zugangsschutz im Fokus steht.
Maßnahmen und Lösungsansätze
Zur Gewährleistung der o. g. Schutzziele sollten Unternehmen neben den technischen Maßnahmen für und mit den Mitarbeitern:innen klare Regeln aufstellen. Gerade im Homeoffice kommt dem „Schutzschild Mensch“ eine enorme Bedeutung zu. Im direkten Zusammenhang mit der Kernfrage, ob eigene Technik oder die des Arbeitgebers eingesetzt wird, werden folgende Maßnahmen empfohlen:
Technik des Arbeitgebers
- Einrichtung Zugangs- und Zugriffsschutz
- Sperren des Rechners beim Verlassen des Arbeitsplatzes
- Einbindung bearbeiteter Datenbestände in die Datensicherung des Unternehmens
Technik der Mitarbeitenden (Maßnahmen zusätzlich zu den oben genannten)
- Die Verwendung einer Remote-Verbindung wird empfohlen. Dadurch werden die unter „Bedrohungs- bzw. Gefährdungslage“ genannten Risiken minimiert.
- Einrichtung eines separaten Benutzerkontos ohne Admin-Rechte.
- Trennung privater und dienstlicher Daten sowie auch der E-Mail-Kommunikation.
- Wenn nötig, nur verschlüsselte Datenträger einsetzen.
Herausforderungen
Eine wesentliche Grundlage für die Qualität der Arbeit, sowie auch für die IT-Sicherheit und den Datenschutz, ist die eingesetzte Hard- und Software inkl. der verwendeten Verbindung zwischen Unternehmen und dem Arbeitsplatz im Homeoffice. Damit sind für das Unternehmen oft eine Anpassung der bestehenden IT-Infrastruktur, eine entsprechende Konfiguration und ggf. auch Investitionen notwendig. Bestehende Fördermöglichkeiten sollten hierfür geprüft werden.
Da sich die Arbeitsabläufe z. B. bei der Bearbeitung von Dateien von denen im Büro unterscheiden, sind neue Regeln bzw. Richtlinien zur Arbeitsweise aufzustellen. Die o. g. Aspekte der IT-Sicherheit müssen dabei integriert werden. Ein Schwerpunkt ist dabei der Umgang mit Dokumenten und Datenträgern.
Eine besondere Herausforderung besteht darin, den Menschen, insbesondere auch mit Sicht auf die IT-Sicherheit, dauerhaft für ein verantwortungsvolles Arbeiten zu sensibilisieren.
Weiterführende Informationen
- https://www.sophos.com/de-de/press-office/press-releases/2021/11/mehr-sicherheitsvorfalle-durch-homeoffice
- Nachgelesen IT-Sicherheit im Homeoffice
- https://www.mittelstand-digital.de/MD/Redaktion/DE/Artikel/Blog/blog-beitrag-18-sicherer-Datenaustausch.html
- Kompass Recht 4.0
- https://www.bsi.bund.de
