„Homeoffice“ hat Konjunktur. Nicht zuletzt das flexible Arbeiten während der Corona-Pandemie hat viele davon überzeugt, wie gut die modernen Technologien für einen Digital Workspace @home funktionieren. Doch wie steht es um den Schutz der bearbeiteten und gespeicherten Daten? Wir zeigen Ihnen anhand von Checklisten für Unternehmen und Arbeitnehmer*innen, worauf Sie im Hinblick auf sichere Datenverarbeitung achten müssen.

Maßnahmen zur Sicherheit

Bei der Arbeit im Homeoffice ist es wichtig und notwendig, Maßnahmen bezüglich der technischen und organisatorischen Sicherheit zu gewährleisten – etwa im Hinblick auf Hardware, Software und sichere Verbindungen.

  • Sensible Daten sollten in jedem Fall verschlüsselt gespeichert werden, damit sie im Falle des Verlusts – zum Beispiel durch Diebstahl – nicht an die Öffentlichkeit gelangen können.
  • Für das häusliche WLAN sollte ebenfalls die entsprechende Verschlüsselung (dem Stand der Technik entsprechend) aktiviert bzw. eingesetzt werden.
  • Eine Verbindung mit der Unternehmensinfrastruktur sollte nur über gesicherte Datenübertragungswege wie zum Beispiel ein Virtual Private Network (VPN) erfolgen.
  • Hinsichtlich der Gerätesicherheit sollte darauf geachtet werden, dass genutzte Software, Firewall und Virenscanner auf dem aktuellen Stand sind und regelmäßige Updates eingespielt werden.
  • USB-Sticks sollten ebenfalls ggf. verschlüsselt und vom Unternehmen bereitgestellt werden.
Datenschutz im Homeoffice

Checkliste: Empfehlungen für Arbeitgeber

  • Alle Geschäftsanwendungen des Unternehmens dürfen nur über verschlüsselte Kommunikationskanäle (SSL VPN, IPSec VPN) zugänglich sein.
  • Wichtig ist, dass die VPN-Lösung des Unternehmens skalierbar und in der Lage ist, eine große Anzahl gleichzeitiger Verbindungen aufrechtzuerhalten.
  • Sichere Kommunikations-, Videokonferenz- und Projektmanagementtools sind für Mitarbeitende und ggf. Kunden bereitzustellen.
  • Den Mitarbeiterinnen und Mitarbeitern sollten nach Möglichkeit Firmencomputer/-geräte während der Telearbeit zur Verfügung gestellt werden. Die Unternehmen müssen sicherstellen, dass diese Computer/Geräte über aktuelle Sicherheitssoftware und Sicherheitspatch-Level verfügen und dass die Benutzer*innen regelmäßig daran erinnert werden, den Patch-Level zu überprüfen. Weiterhin ist es empfehlenswert, Ersatz für ausgefallene Geräte vorzuhalten.
  • Speicherung betrieblicher Daten vorzugsweise über VPN im Intranet des Unternehmens, auf (betrieblichen) Cloudspeichern oder in Softwarecontainern. Für den Zugang zu betrieblichen E-Mails sollte ein Web-Access verwendet werden.
  • BYOD („Bring your own device“ oder besser „Use your own device“) wie zum Beispiel persönliche Laptops oder mobile Geräte müssen auf IT-Sicherheit geprüft werden. (z.B. Patch-Prüfung, Konfigurationsprüfung, usw.). Geräte müssen ggf. von der IT-Abteilung mit Einverständnis der Beschäftigten eingerichtet bzw. freigegeben werden.
  • Nach Möglichkeit sollte betrieblich installierte und eingerichtete Software verwendet werden. Auch Kommunikations- und Konferenzsoftware sollte zentral geprüft und freigegeben werden.
  • Unternehmen sollten dafür sorgen, dass angemessene IT-Ressourcen vorhanden sind, falls Probleme auftreten, Mitarbeitende Fragen haben oder Hilfe benötigen.
  • Darüber hinaus sollte sichergestellt werden, dass Richtlinien für die Reaktion auf Sicherheitsvorfälle und Verletzungen des Schutzes personenbezogener Daten vorhanden sind (72 Std. Regel).
VPN

Checkliste: Empfehlungen für Arbeitnehmerinnen und Arbeitnehmer

  • Nach Möglichkeit Firmencomputer verwenden – es sei denn, BYOD wurde entsprechend überprüft. Private und betriebliche Datenhaltung sollten in jedem Fall strikt getrennt werden.
  • Arbeitnehmer*innen sollten sich nur über sichere Netzwerke mit dem Internet verbinden; offene/freie Netzwerke sollten vermieden werden. Die meisten WLAN-Zugänge zu Hause sind heutzutage korrekt abgesichert, einige ältere Installationen sind es jedoch möglicherweise nicht. Falls noch nicht geschehen, sollte die Verschlüsselung aktiviert oder ggf. eine neuere Implementierung genutzt werden.
  • Den Austausch sensibler Unternehmensinformationen über möglicherweise unsichere Verbindungen, etwa über die private E-Mail-Adresse, sollte vermieden werden.
  • So weit wie möglich sollten Ressourcen des Unternehmens zur gemeinsamen Nutzung von Arbeitsdateien verwendet werden (Intranet über VPN, betriebliche Cloudspeicher). Auf diese Weise wird einerseits sichergestellt, dass die Arbeitsdateien auf dem neuesten Stand sind, gleichzeitig wird der Austausch sensibler Informationen über lokale Geräte hinweg vermieden.
  • Eintreffende E-Mails sollten mit besonderer Vorsicht behandelt werden, da es sich dabei um Phishing- oder Betrugsversuche handeln kann. Bei Zweifeln an der Legitimität einer E-Mail sollte der Informationssicherheitsbeauftragte des Unternehmens kontaktiert werden.
  • Daten im Ruhezustand – etwa lokale Laufwerke – sollten verschlüsselt werden (Schutz bei Diebstahl/Verlust des Gerätes).
  • Antivirus- bzw. Antimalware muss installiert und jederzeit vollständig aktualisiert sein.
  • Das Betriebssystem sowie genutzte Anwendungen müssen auf dem neuesten Stand sein.
  • Der Bildschirm sollte gesperrt werden, wenn Sie in einem gemeinsam genutzten Bereich arbeiten. Weiterhin sollten passwortgeschützte Bildschirmschoner verwendet werden.

(Quelle: Enisa – Agentur der Europäischen Union für Cybersicherheit)

Fazit und Ausblick

Bei der Arbeit im Homeoffice sind besondere technische und organisatorische Maßnahmen zu beachten. Um personenbezogene Daten und betriebliche Informationen sicher zu schützen, müssen die Pflichten der Beschäftigten hinsichtlich Datenschutz und Datensicherheit verbindlich festgelegt und die Mitarbeitenden entsprechend instruiert und geschult werden. Auch sind Kontrollmöglichkeiten seitens des Arbeitgebers (sofern möglich) vorzusehen. Bestenfalls sollten von Arbeitnehmer*innen im Homeoffice Geräte genutzt werden, die das Unternehmen zur Verfügung stellt. Sollten doch private Geräte (BYOD) genutzt werden, müssen private Daten strikt von betrieblichen getrennt werden. Papierakten sollten in verschließbaren Schränken verstaut und bei Entsorgung möglichst durch Aktenvernichtung unkenntlich gemacht werden – keinesfalls im privaten Hausmüll entsorgen! Arbeitnehmer*innen, die nun mittel- oder langfristig im Homeoffice arbeiten, sollten auf die Einhaltung verbindlicher Richtlinien zu Datenschutz und Datensicherheit verpflichtet werden.

Die hier beschriebenen Maßnahmen können bereits erheblich dazu beitragen, entsprechende Risiken zu minimieren. Weitere Maßnahmen, unter anderem für eine sichere Nutzung von Videokonferenztools, sind in jedem Fall sinnvoll.

Ein gutes Beispiel für sichere Kommunikation:

Ein gutes Beispiel für sichere Kommunikation und Kollaboration bietet in diesem Zusammenhang der von TÜV Rheinland genutzte Messenger Teamwire.
Autorin des Beitrags
Dr. Stefanie Schneider

Dr. Stefanie Schneider

Sicherheitsberaterin Fachrichtung Datenschutz

Stefanie Schneider ist als Security Consultant (Fachgebiet Datenschutz) im Bereich „Mastering Risk and Compliance“ der TÜV Rheinland i-sec GmbH tätig. In Ihrer Funktion als externe Datenschutzbeauftragte (eDSB) berät sie verschiedene Unternehmen aus Produktion und Dienstleistung. Stefanie Schneider ist zertifizierte betriebliche Datenschutzbeauftragte (GDDcert EU), PC-Netzfachfrau und zertifizierte MCSE, MCPI und CNA.

Meist gelesene Beiträge

Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.