Ganz so dramatisch wie im HP Werbefilm ist es natürlich nicht, insbesondere wenn man seine Kinder nicht Videospiele auf dem Firmen-Rechner spielen lässt. Trotzdem lohnt ein Blick auf die aktuelle Situation, da durch den Covid-19 bedingten Digitalisierungsschub viele Unternehmen mehr digitale Angriffsfläche bieten.

Das BSI hat zu 2020 folgende Zahlen genannt:

Durchschnittlich 322.000 in Spitzenwerten 470.000 Schadprogrammvarianten pro Tag

Bis zu 20.000 BOT Infektionen auf Rechnern in Deutschland pro Tag

Die Online-Beschwerdestelle des eco-Verbands der Internetwirtschaft erreichten im vorigen Jahr insgesamt 431.236 Beschwerden über unerwünschte Werbemails, dies ist eine Steigerung von knapp 50% gegenüber dem Vorjahr.

Seit März 2020 befinden sich deutschlandweit 45% aller Arbeitnehmer im Home Office (Quelle Bitkom). Viele Arbeitgeber haben bemerkt, dass ihr Vertrauensvorschuss nicht ausgenutzt wurde und haben ein durchaus besseres Verhältnis zum Thema Home Office wie vor der Pandemie. Auch viele Mitarbeiter möchten den Status Home Office nicht mehr missen. Hier liegt es an einer gesunden Dosierung durch den Arbeitgeber, um das Gleichgewicht zwischen Teamarbeit und Inselarbeit halten zu können.

Bei der Kinzel AG arbeiten derzeit 3/4 der Belegschaft aus den eigenen Räumlichkeiten und sind mindestens an einem Tag in der Woche im Büro um die Teamfähigkeit nicht zu verlieren. Ein Resümee der letzten 18 Monate zeigte auf allen beteiligten Seiten (Kunde / Arbeitgeber / Arbeitnehmer) eine deutliche Zufriedenheit und eine Steigerung der Effizienz. Hinzu kommt auch der umweltfreundliche Gedanke, jede Menge CO2 und fossile Brennstoffe eingespart zu haben, von den frustrierenden Stunden im Stau ganz zu schweigen.

Also halten wir fest: Kunde zufrieden, Arbeitgeber zufrieden und Arbeitnehmer zufrieden.

Aber, das Ganze hat auch mehrere Stolpersteine, welche wir hier gerne etwas näher beleuchten möchten:

Wie steht es um den Datenschutz und die Datensicherheit?
Bei der Kinzel AG arbeiten wir Mitarbeiter schon seit Jahren über ein VPN System mit einer Zweifaktorauthentifizierung. Somit wäre der Zugang zum System gesichert. Viele der Mitarbeiter arbeiten auf Terminalservern mit einer zentralen Datenhaltung in der Zentrale der Kinzel AG. Somit ist die Datensicherung
und notwendige Virenabwehr gewährleistet. Auf den eigentlichen Arbeitsmaschinen befinden sich nur Office Anwendungen für Reisen, Fernwartungssoftware
und eine Handvoll Videokonferenzprogrammen. Durch die zentral gesteuerten lokalen Sicherheitsprogramme (Firewall, Virenscanner, Adware) sind die Computer vor Phishing Versuchen, Verschlüsslungstrojanern und Viren gesichert. Gegen einen physikalischen Diebstahl und Datenmissbrauch sind alle mobilen Geräte mit einer Hardwareverschlüsslung versehen.

Aber wie sieht es im Home Office aus, wenn man nicht alleine wohnt?
Hier muss der Mitarbeiter Sorge tragen, dass Familienangehörige kein gesprochenes und geschriebenes Wort mitbekommen.
Idealerweise befindet sich das Home Office in einem eigenständigen Raum mit abschließbaren Schränken oder einer abschließbaren Türe.
Sollte sich dies nicht darstellen lassen (z. B.: Einraum-Apartment), müssen alle dort wohnenden Personen ab 14 Jahren eine Verpflichtungserklärung nach §203 StGb unterzeichnen. Diese Verpflichtung ist absolut wichtig wenn man auf Datensätze von Kunden und deren Kunden zugreifen kann.

Wie realisieren wir die Papierentsorgung / Aktenvernichtung?
Zum Glück fällt in unserem Beruf wenig Papier zur Entsorgung an, dies ist dem guten Kundenstammdatenprogramm und einem Dokumentenmanagementsystem geschuldet. Sollten aber dennoch Informationen bei der Arbeit auf Papier landen, werden diese Papiere mit einem Aktenvernichter der Sicherheitsstufe P5 nach DIN 66399 vernichtet. Datenträger werden aufwendig gelöscht und sieben mal mit Füllnullen überschrieben, erst dann können diese an eine Leasinggesellschaft oder interner Verwendung übergeben werden.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu:

Regelungen für Telearbeiter / Sicherheitsrichtlinie für die Telearbeit:
Ist die Telearbeit in einer Institution nicht oder nur unzureichend geregelt, entstehen verschiedene Risiken, insbesondere – aber nicht ausschließlich – im Hinblick auf die Informationssicherheit. Der Abfluss von Informationen stellt dabei nur eines von zahlreichen Bedrohungsszenarien dar. Daher muss für alle Telearbeiten geregelt werden, welche Informationen (sowohl auf Papier als auch in IT-Systemen) außerhalb der Institution transportiert und bearbeitet werden dürfen, wer diese mitnehmen darf und welche Schutzvorkehrungen (Sicherheitsmaßnahmen) dabei zu treffen sind. Es sollte ebenfalls klar geregelt werden, welche Kommunikationsmöglichkeiten bei der Telearbeit unter welchen Rahmenbedingungen genutzt werden dürfen. Alle relevanten Sicherheitsmaßnahmen der Telearbeit müssen in einer für die Telearbeiter verpflichtenden Sicherheitsrichtlinie dokumentiert werden.

Sensibilisierung der Mitarbeiter:
Häufig gibt es in Institutionen zwar organisatorische Regelungen und technische Sicherheitsmaßnahmen zum Schutz der Informationen. Diese werden jedoch durch einen sorglosen Umgang mit den Vorgaben und der Technik oft wieder ausgehebelt. Daher müssen die Telearbeiter anhand der Sicherheitsrichtlinie für die Telearbeit oder eines dafür vorgesehenen Merkblatts für die Gefahren, die mit der Telearbeit verbunden sind, sensibilisiert werden. Sie müssen die Gefahren kennen, die beispielsweise durch den unangemessenen Umgang mit Informationen, die unsachgemäße Vernichtung von Daten und Datenträgern, durch einen unsachgemäßen Transport von Arbeitsmaterial oder durch eine unsichere Kommunikation entstehen können. Außerdem müssen sie für den Wert der Ihnen anvertrauten Informationen sensibilisiert werden. Sie müssen in die entsprechenden Sicherheitsmaßnahmen der Institution eingewiesen und im Umgang mit diesen geschult werden.

Zutritts- und Zugriffsschutz:
Bei einem Telearbeitsplatz kann nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie sie in den Büroräumen einer Institution anzutreffen ist. So ist z. B. der häusliche Arbeitsplatz oft auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist. Den Telearbeitern muss bekannt gegeben werden, welche Regelungen und Maßnahmen zum Einbruch- und Zutrittsschutz am Telearbeitsplatz zu beachten sind. So muss beispielsweise darauf hingewiesen werden, Fenster zu schließen und Türen abzuschließen, wenn der Telearbeitsplatz nicht besetzt ist, etwa in einem Hotelzimmer. Generell muss sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können. Am häuslichen Arbeitsplatz müssen hierfür ausreichende verschließbare Behältnisse wie ein abschließbarer Schreibtisch, Rollcontainer oder Schrank vorhanden sein. Jeder Mitarbeiter muss seinen häuslichen Arbeitsplatz aufgeräumt hinterlassen und sicherstellen, dass keine sensitiven Informationen frei zugänglich sind.

Sicherheitstechnische Anforderungen an die für die Telearbeit eingesetzten IT-Systeme / Härtung der eingesetzten IT-Systeme:
Sind die für die Telearbeit eingesetzte IT-Systeme beispielsweise unsicher konfiguriert, können Sicherheitsprobleme entstehen, z. B. der Verlust der Vertraulichkeit durch unbefugten Zugriff. Zur Minimierung der Angriffsfläche sollten die für die Telearbeit verwendeten IT-Systeme gehärtet sein. Ferner sind Standardmaßnahmen zum Schutz von IT-Systemen umzusetzen – hierzu zählen insbesondere das Einspielen aktueller Software-Patches und AV-Signaturen sowie der Einsatz einer Firewall. Alle Zugangsmöglichkeiten auf die Server der Institution sowie alle Zugriffsrechte auf die darauf gespeicherten Informationen müssen auf das notwendige Mindestmaß beschränkt sein. Sollten die Mitarbeiter bei der Arbeit im Home Office auf private Laptops zurückgreifen müssen, muss beachtet werden, dass viele dieser genannten Maßnahmen nur in Eigenverantwortung durch die Nutzer umgesetzt werden können. Daher empfiehlt sich (neben der Risikoabwägung) eine zusätzliche Sensibilisierung der Mitarbeiter, um Bedrohungen zu minimieren

Verschlüsselung von tragbaren IT-Systemen und Datenträgern:
Am Telearbeitsplatz können Angreifer häufig einfacher auf vertrauliche Informationen zugreifen, die sich auf fest eingebauten und austauschbaren Speichermedien, aber auch auf Papier befinden. Werden Informationen unberechtigt gelesen oder preisgegeben, hat das jedoch schwerwiegende Folgen für die gesamte Institution. Unter anderem kann es zu Wettbewerbsnachteilen und finanziellen Schäden kommen. Sogar Gesetzesverstöße sind möglich. Zusätzlich ist der mobile Arbeitsplatz meist nicht so gut abgesichert wie der Arbeitsplatz in einem Unternehmen oder in einer Behörde. Dienstliche IT-Geräte und Dokumente können daher z. B. während einer Bahnfahrt, aus einem Hotelzimmer oder aus externen Konferenzräumen leichter gestohlen werden. Daher sollten tragbare IT-Systeme und Datenträger unbedingt verschlüsselt werden.

Nutzung von Bildschirmschutzfolien:
Gerade bei der Arbeit in öffentlichen Umgebungen wie z. B. Bahn oder Flugzeug, besteht die Gefahr des „über die Schulter schauen“ (Shoulder Surfing). So können vertrauliche Informationen wie z. B. Kundendaten oder Passwörter unberechtigten Dritten bekannt werden. Auch videoüberwachte Bereiche können ein Sicherheitsproblem darstellen, da hochauflösende Kameras alle Eingaben und den Inhalt des Bildschirms aufzeichnen können. Daher sollten Maßnahmen wie Bildschirmschutzfolien genutzt werden, die die Einsichtnahme von der Seite verhindern. Da dies nicht vor allen Gefahren schützt, muss grundsätzlich abgewogen werden, welche Tätigkeiten an öffentlichen Orten durchgeführt werden können und welche nicht.

Sicherer Remote-Zugriff auf das Netz der Institution:
Um dienstliche Aufgaben erledigen zu können, müssen Telearbeiter auf interne Ressourcen der Institution zugreifen. Werden hierfür unsichere Protokolle verwendet, können Informationen abgehört oder manipuliert werden. Um Telearbeitern einen sicheren Fernzugriff auf das Netz der Institution zu ermöglichen, muss daher zuvor von der Institution ein sicherer Remote-Zugang eingerichtet worden sein, z. B. kryptografisch abgesicherte Virtual Private Networks (VPN). Über öffentlich zugängliche Netze dürfen die Mitarbeiter nur über einen sicheren Kommunikationskanal (z. B. kryptografisch abgesicherte VPN) auf interne Ressourcen der Institution zugreifen. Dieser Zugriff muss auf vertrauenswürdige IT-Systeme und Benutzer sowie auf die benötigten Benutzungszeiten beschränkt werden

Datensicherung:
Bei mobilen IT-Systemen ist die Gefahr der Zerstörung durch Stürze, Schäden durch Transport, ungünstige klimatischen Bedingungen sowie falsche Aufbewahrung wesentlich größer, als wenn ein stationärer Arbeitsplatz genutzt wird. Auch ein Verlust durch Diebstahl oder einfaches „Liegen lassen“ kommt häufig vor. Daher sollte eine regelmäßige Datensicherung der lokal gespeicherten Daten durchgeführt werden. Idealerweise werden wichtige Daten überhaupt nicht lokal gespeichert. Falls dies auf externen Medien erfolgt, sollte sinnvollerweise jeweils eine Generation der Datensicherungen in der Institution hinterlegt werden.

Zeitnahe Verlustmeldung:
Wenn der Fall eintritt, dass mobile Geräte abhandengekommen sind, ist eine zeitnahe Verlustmeldung notwendig. So kann die Institution zeitnah mit Maßnahmen wie das Ändern von Passwörtern oder das Sperren von Zugängen reagieren. Hierfür muss es klare Meldewege und Ansprechpartner innerhalb der Institution geben, die den Mitarbeitern bekannt sind.

Support für Telearbeitsplätze:
Damit die Telearbeiter einsatzfähig bleiben, sollte für sie ein Ansprechpartner für Hard- und Softwareprobleme benannt werden.

Arbeiten mit fremden IT-Systemen/Netzen:
Die Institution muss regeln, wie Mitarbeiter mit institutionsfremden IT-Systemen/Netzen arbeiten dürfen. Da sich das Schutzniveau solcher IT-Systeme /Netzen von dem der eigenen Institution stark unterscheiden kann, muss jeder Telearbeiter über die Gefahren fremder IT-Systeme/Netze aufgeklärt werden.

Entsorgung von vertraulichen Informationen:
Ist es Mitarbeitern am Telearbeitsplatz nicht möglich Informationen (z. B. Datenträger und Dokumente) in geeigneter Weise zu entsorgen, kann es passieren, dass sie einfach in den Hausmüll geworfen werden, oder unterwegs unsachgemäß entsorgt werden. Angreifer können daraus jedoch wertvolle Informationen gewinnen, die sich gezielt für Erpressungsversuche oder zur Wirtschaftsspionage missbrauchen lassen. Die Folgen reichen vom Wissensverlust bis zur Existenzgefährdung der Institution, z. B. wenn dadurch wichtige Aufträge nicht zustande kommen oder Partnerschaften scheitern. Vertrauliche Informationen sollten auch zu Hause oder unterwegs sicher entsorgt werden. Bevor ausgediente oder defekte Datenträger und Dokumente weggeworfen werden, muss überprüft werden, ob diese sensible Informationen enthalten. Ist dies der Fall, müssen die Datenträger und Dokumente wieder mit zurück transportiert werden und auf institutionseigenem Wege entsorgt bzw. vernichtet werden.

Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am Telearbeitsplatz:
Wenn Mitarbeiter dienstliche Unterlagen oder Informationen mit erhöhtem Schutzbedarf bearbeiten müssen, sollte überlegt werden von einem Arbeitsplatz außerhalb der Institution abzusehen. Anderenfalls sollte der Telearbeitsplatz durch erweiterte, hochwertige technische Sicherungsmaßnahmen geschützt werden.

Eindeutige Verifizierung:
Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können.

Vorsicht Phishing:
Es können vermehrt Phishing E-Mails auftreten, die aktuelle Krisen-Situationen ausnutzen und versuchen werden, sensible Daten mit Hinweis auf Remote-Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen.

Sollten Sie weitere Informationen oder eine Beratung zum Thema Datenschutz/IT-Sicherheit wünschen, klicken Sie bitte hier:

Ich möchte mehr Wissen!
Quelle: Bundesamt für Informationssicherheit zum Thema Home Office