IT- und Datensicherheit im Homeoffice

Die Corona-Pandemie dauert an und obwohl die Homeoffice-Pflicht entfallen ist, bieten viele Arbeitgeber weiterhin die Möglichkeit an, vollständig oder teilweise im Homeoffice zu arbeiten. Eine große Herausforderung dabei ist nach wie vor die ordnungsgemäße Einrichtung des Heimarbeitsplatzes, um Datensicherheit und Datenschutz zu gewährleisten.

Homeoffice dient auch der Vermeidung hoher Sprit- und Lebensmittelausgaben

Sinkende Coronazahlen lassen Arbeitgeber darauf hoffen, dass ihre Angestellten aus dem Homeoffice ins Büro zurückkehren. Doch Arbeitnehmerinnen und Arbeitnehmer haben sich an flexibles Arbeiten gewöhnt.

Steigende Sprit- und Lebensmittelpreise tragen ebenfalls dazu bei, dass die Beschäftigten mit Homeoffice-Möglichkeit ein Pendeln ins Büro vermeiden. Seit die Homeoffice-Pflicht im März 2022 auslief, arbeiten laut Ifo-Institut weiterhin ein Viertel der Beschäftigten von zuhause aus. Unternehmen versuchen überwiegend, ihre Angestellten wieder ins Büro zu locken, indem sie beispielsweise Büroräume und Angebote attraktiver gestalten. Unternehmen können den Umgang mit sensiblen Geschäftsgeheimnissen und sensiblen Daten auch besser steuern, wenn die Informationen das Unternehmensgelände nicht verlassen.

Zusätzliche Sicherheitsrisiken durch Homeoffice

Die Verlagerung der Arbeitsplätze aus den Büros in die heimischen vier Wände bringt einige Risiken im Hinblick auf Datensicherheit und Datenschutz mit sich. Laut dem Institut der deutschen Wirtschaft (IW) ist ein Viertel der Schadenszunahme durch Cyberangriffe, die von 2019 zu 2020 zu beobachten war, auf die Risiken der Heimarbeit zurückzuführen. Eine Versicherung für Cyberschäden vermeldete außerdem 2021 im Vergleich zu 2020 eine nahezu Verdoppelung der gemeldeten Cyberschäden.
Während die IT-Sicherheitsinfrastruktur in Firmen, Behörden oder sonstigen Organisationen meist einen zumindest akzeptablen Grundschutz vor Hackerangriffen bietet, ändert sich dies durch den verstärkten Einsatz von Homeoffice-Arbeitsplätzen deutlich.

Arbeit im Homeoffice ist anfälliger für Cyberattacken und andere Datenlecks

Befindet sich die beschäftigte Person im häuslichen Arbeitszimmer, erfolgt ein deutlich größerer Teil der Kommunikation und des Datenaustausches über die Grenzen des firmeneigenen Netzes hinweg. Dadurch verändern sich auch die Kontrolle und Einflussnahme von IT-Abteilungen, etwa im Hinblick auf die IT-Sicherheit der eingesetzten Endgeräte. Vor diesem Hintergrund ist es besonders wichtig, dass Störungen oder Auffälligkeiten, die im Homeoffice auftreten, unverzüglich der IT-Abteilung gemeldet werden. Eine weitere wichtige technische Vorkehrung ist es, Beschäftigte nur mit einer abhörsicheren VPN-Lösung auf das Firmennetzwerk zugreifen zu lassen.
Außerdem werden vermehrt Cloud-Dienste, spezielle Kollaborations-Werkzeuge bzw. Videokonferenzlösungen (→ Datenschutzkonforme Videokonferenzen aus dem Home-Office) und anderen (oft US-amerikanischen) Kommunikationstools eingesetzt. In vielen Fällen werden diese Tools ohne vertiefte und dokumentierte technische und datenschutzrechtliche Prüfung eingeführt, wodurch weitere Sicherheitsprobleme entstehen können, etwa weil Nutzer oder sogar Administratoren vorhandene Schutzmaßnahmen aus Unkenntnis nicht einschalten oder deaktivieren.
Doch nicht immer sind falsche Konfiguration oder Bedienungsfehler durch die Nutzer die Ursache für Sicherheitsrisiken. Auch die Softwarelösungen selbst weisen mitunter Schwachstellen auf, die von Hackern für Angriffe ausgenutzt werden können. Die Defizite werden in der Regel durch Softwareupdates behoben, was die Aktualisierungen zu einem wichtigen Baustein im Datenschutzkonzept werden lässt.

Manche der im Homeoffice gängigen Tools sind besonders problematisch

Im Hinblick auf den Datenschutz sind einige Tools grundsätzlich problematisch. So etwa, wenn Videokonferenzsysteme oder Messaging-Lösungen keine zuverlässige Ende-zu-Ende-Verschlüsselung enthalten und die Gespräche bzw. die ausgetauschten Nachrichten von Dritten abgehört werden können. Werden personenbezogene Daten in Drittländern, d.h. außerhalb der EU bzw. des EWR, verarbeitet, muss vor dem Einsatz des Produkts sorgfältig geprüft werden, wie ein ausreichendes Datenschutzniveau sichergestellt wird.

Die wichtigsten Tipps für ein sicheres Homeoffice

Die Rahmenbedingungen für die Arbeit aus dem Homeoffice werden idealerweise durch eine einvernehmliche Vereinbarung zwischen Arbeitnehmern und Arbeitgeber geregelt. Hier sollte möglichst genau aufgeführt werden, welche Voraussetzungen für den heimischen Büroarbeitsplatz gelten und welche Verhaltensregeln zu beachten sind. Hierunter fallen organisatorische Anweisungen, z.B., dass geöffnete Fenster oder Türen zu schließen sind, wenn die Gefahr besteht, dass sensible Firmengespräche mitgehört werden können. Andererseits können technische Schutzmaßnahmen konkretisiert werden, z.B. besonders sichere Authentifizierungswege, um sich mit dem Firmennetzwerk zu verbinden.

Die nachfolgende – nicht abschließende – Liste enthält Beispiele für die Regelungen, die im Homeoffice getroffen werden sollten.

> Vorgaben für den häuslichen Arbeitsplatz

Bereits räumliche Vorgaben zum Homeoffice können beeinflussen, ob es Angestellten überhaupt erlaubt wird, an einen häuslichen Arbeitsplatz zu wechseln. Für Homeoffice-Arbeitsplätze wird häufig die Nutzung eines separaten, abschließbaren Arbeitszimmers gefordert, in dem etwa auch abschließbare Schränke oder Schubladen zur sicheren Aufbewahrung von Rechner, Speichermedien oder sonstigen Unterlagen vorhanden sein müssen. Ist dies nicht gewährleistet und soll die Arbeit aus dem Homeoffice dennoch ermöglicht werden, müssen konkrete Verhaltensregeln getroffen werden, wie mit dem Arbeitsplatz umzugehen ist. Dies betrifft regelmäßig technische Sicherheitsmaßnahmen.

> Technische Sicherheitsmaßnahmen

Zu technischen Sicherheitsmaßnahmen gehören neben der Gewährleistung der Sicherheit der verwendeten Geräte und Anwendungen sowie der sicheren Nutzung der Geräte durch die Anwender auch die Schnittstellen. Es sollte etwa ein vom Arbeitgeber bereitgestellter und entsprechend sicher konfigurierter Rechner (aktueller Virenschutz, Firewall, Verschlüsselungssoftware etc.) zum Einsatz kommen.
Die auf den Rechnern verwendete Software sollte nach Möglichkeit vom Arbeitgeber selbst installiert und eingerichtet werden. Denn für die hier genutzten Business-Versionen der Software gelten meist entsprechend angepasste Lizenzbedingungen, die sich etwa im Hinblick auf die besonderen Anforderungen bezüglich des Datenschutzes oder der Auftragsverarbeitung von den Versionen für Privatanwender deutlich unterscheiden.

> Sicheres WLAN ist Pflicht

Die wichtigste Schnittstelle dürfte in den meisten Fällen der WLAN-Anschluss an den heimischen Router sein, wobei diese Verbindungen mittlerweile über aktuelle WPA-Varianten standardmäßig einen gewissen Schutz genießen. Nach Möglichkeit sollte die Verbindung zum Firmennetz jedoch immer über eine zusätzliche gesicherte VPN-Verbindung erfolgen.

> Trennung beruflicher und privater Geräte/Daten

Mobile Endgeräte sollten ausschließlich für die beruflichen Zwecke verwendet werden. Falls doch private Endgeräte im Homeoffice zum Einsatz kommen, sollten unbedingt Lösungen zur Trennung von privaten und betrieblichen Daten verwendet werden. Die Verwendung privater Endgeräte sollte außerdem speziell geregelt werden – die entsprechenden Regelungen sind auch bekannt als Bring-Your-Own-Device-Vereinbarung. Für mobile Endgeräte wie Laptops und Mobiltelefone haben sich hier sog. Container-Lösungen und Virtualisierungslösungen etabliert, die dafür sorgen, dass eine technische Trennung bei der Verarbeitung und Speicherung von privaten und betrieblichen Daten erfolgt.

> Strenge Datenschutzregeln müssen auch zuhause gelten

Während der Pausenzeiten und nach Feierabend müssen die Beschäftigten dafür Sorge tragen, dass keine Dritten auf die beruflich genutzten Rechner zugreifen können. Die Geräte sind durch Festplattenverschlüsselung und sichere Kennwörter zu schützen und beispielsweise durch Bildschirmsperren auch bei kurzfristiger Abwesenheit zu sichern. Blickschutzfolien können dabei helfen, dass unberechtigte Dritte keine Inhalte auf dem betrieblichen Endgerät einsehen oder mitlesen können.

> Trennung der heimischen und beruflichen Technik und IT

Andere Drahtlos-Schnittstellen, etwa Bluetooth, sollten ausgeschaltet sein, sofern sie nicht zwingend benötigt werden. Weitere Vorgaben können etwa zur Verwendung von USB-Speichermedien oder anderen externen Speicherkarten getroffen werden, sofern deren Verwendung nicht vollständig untersagt wird.

> Passwort und Authentifizierungs-Sicherheit

Zu den wichtigsten Verhaltensregeln gehört als Mindestvorgabe die Verwendung ausreichend sicherer Passwörter, z.B. anhand einer von der IT-Abteilung vorgegebenen Passwortrichtlinie. Zusätzlichen Schutz bietet eine Zwei-Faktor-Authentifizierung, bei der neben dem Passwort noch ein weiterer Identitätsnachweis (z.B. ein Hardware-Token oder ein biometrisches Merkmal wie der Fingerabdruck) zum Zugriff auf den Rechner vorausgesetzt wird. Passwörter dürfen dabei nicht notiert und in der Nähe des Rechners abgelegt oder angebracht werden.

> Rollen- und Rechtekonzept

Generell sollte die Nutzung betrieblicher Daten im Homeoffice auf das absolut notwendige Maß beschränkt werden. Die Beschäftigten sollten daher ausschließlich auf diejenigen Daten zugreifen, die sie für ihre Arbeit auch tatsächlich benötigen. Für bestimmte sensible Daten kann über ein Rollen- und Rechtekonzept auch festgelegt werden, dass ein Zugriff vom Homeoffice aus grundsätzlich nicht möglich ist.

> Verschlüsselung von Daten und Festplatten

Gespeicherte Daten sollten nach Möglichkeit verschlüsselt werden. Bei lokal auf den Endgeräten vorhandenen Daten ist dies unter Windows beispielsweise über die integrierte Festplattenverschlüsselung BitLocker möglich, die in den meisten Versionen (außer der Home-Version) vorhanden ist. Auf Apple-Geräten können die Festplatten mit FileVault verschlüsselt werden. Besonders sensible Dateien können auch einzeln mit Passwörtern abgesichert werden.

> Umgang mit beruflicher Kommunikation und Dokumenten

Klare Vorgaben sollten auch zur Kommunikation im Homeoffice gemacht werden, beispielsweise ausdrückliche Verbote der Weiterleitung von beruflichen E-Mails an private E-Mail-Konten oder des Speicherns beruflicher Daten auf privaten Cloud-Diensten (auch automatische Back-Ups). Der private Drucker sollte nicht dafür verwendet werden dürfen, betriebliche Unterlagen zu drucken, da hierdurch sensible Geschäftsgeheimnisse im Druckerspeicher gespeichert werden.

Werden im Homeoffice Papierdokumente mit schützenswerten Daten verwendet, müssen diese sicher aufbewahrt werden und dürfen anschließend nicht einfach über den Hausmüll oder gar das Altpapier entsorgt werden. Stattdessen ist entweder auch im Homeoffice ein Aktenvernichter einzusetzen, oder die Unterlagen sind ausschließlich auf dem Firmengelände in den vorgesehenen Behältern zu entsorgen.

> Datenschutzinformation, Dokumentation und -Schulung

Damit die Vorgaben und Schutzmaßnahmen von den Homeoffice-Mitarbeitern auch beachtetet werden, sollten die Mitarbeiter umfassend informiert und regelmäßig sensibilisiert werden. Arbeitgeber sollten sich außerdem die Kenntnisnahme bzw. Teilnahme an Sensibilisierungen in schriftlicher Form bestätigen lassen.

Auch der Schutz der Beschäftigten ist sicherzustellen

Befinden sich Beschäftigte im Homeoffice, ist auch deren Schutz sowie der Schutz von Familienangehörigen sicherzustellen. Arbeitgeber dürfen beispielweise nicht die privaten Telefonnummern der Beschäftigten zirkulieren, um betriebliche Anrufe an Festnetztelefone zu leiten. Bei Videokonferenzen sollten ohne vorherige, wirksame Einwilligung keine Aufnahmen gemacht werden. Unternehmen dürfen auch keine zu übergriffigen Kontroll- und Überwachungsmaßnahmen einführen, selbst wenn ein Interesse daran bestehen kann, sicherzustellen, dass sich eine beschäftigte Person nicht ihrer Aufgaben entzieht. Hierbei würde z.B. die Einsicht ins Einloggen und Ausloggen einer Art digitalem Ein- und Ausstempeln entsprechen, was zulässig sein kann. Die Einsichtnahme in Speicheraktivitäten oder Tracking der Tastatur und von Mausbewegungen hingegen kann zu einer Totalüberwachung führen, die regelmäßig unzulässig ist. Eine derartig einschneidende Maßnahme könnte höchstens in Verdachtsmomenten in Einzelfällen zulässig sein.

Einbeziehung von Betriebsrat oder Personalrat bei Ausarbeitung einer Homeoffice-Vereinbarung

Um Komplikationen zu vermeiden, ist es ratsam, bei der Ausarbeitung der Homeoffice-Vereinbarungen frühzeitig Arbeitnehmervertreter mit einzubeziehen. Dies gilt insbesondere dann, wenn im Zuge des Homeoffice auch Lösungen verwendet werden, über die zusätzliche Kontrollfunktionen auf den Rechnern ausgeübt werden könnten.

Unternehmen sind weiterhin verantwortlich für die Verarbeitung personenbezogener Daten

Die Tatsache, dass Beschäftigte im Homeoffice oder remote arbeiten und dabei auch personenbezogene Daten verarbeiten, ändert nichts an der grundsätzlichen Verantwortlichkeit von Firmen, Behörden oder sonstigen Organisationen für die Einhaltung der Datenschutzvorgaben. Arbeitgeber haben somit beispielsweise sicherzustellen, dass sie jederzeit die Betroffenenrechte unter der Datenschutz-Grundverordnung (DSGVO), darunter Auskunfts- und Löschrechte, nachweislich erfüllen können. Können die Vorgaben nicht eingehalten werden, drohen hohe Bußgelder.

Im Außenverhältnis haften Arbeitgeber für die Verletzung der Datenschutzvorschriften; nur im Innenverhältnis richtet sich die Haftung des Arbeitnehmers nach dem Grad des Verschuldens und den Grundsätzen der Arbeitnehmerhaftung.

Ordnungsgemäße Einrichtung des Homeoffice bindet Ressourcen

Weder Unternehmen, Behörde oder sonstige Organisationen noch Beschäftigte sollten sich leichtfertig für die Arbeit im Homeoffice entscheiden. Die ordnungsgemäße Umsetzung ist aufwändig, mit hohen Kosten verbunden und bindet Ressourcen insbesondere in der IT-Abteilung. Werden keine ausreichenden Regelungen und Schutzmaßnahmen ergriffen, können der Verlust von Geschäftsgeheimnissen, Datenschutzvorfälle, Bußgelder und Strafverfahren drohen. An der Ausstattung und kontinuierlichen Absicherung der beruflichen Tätigkeiten aus dem Homeoffice sollte daher auf keinen Fall gespart werden.

Meistgelesene beiträge

Neueste beiträge

Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024

1 Kommentar zum Artikel

Um einen Kommentar zu schreiben, melden Sie sich bitte an.

Jetzt anmelden

Sehr wichtige Punkte, die hier angesprochen werden. Manche Menschen denken über viele ihrer Handlungen und die damit verbundenen Konsequenzen oft nicht ausreichend nach. Es gibt wirklich viele Dinge, die an einem Heimarbeitsplatz beachtet werden sollten. Damit beschäftige ich mich schon seit längerer Zeit und habe vor einigen Monaten eine Blogserie mit dem Titel "Home Office - Dos und Don'ts" gestartet. Vielleicht ist das für den einen oder anderen auch interessant und hilfreich: http://bit.ly/11ZAPQl.

Antworten

Anne Köhler

Thu Sep 19 15:07:45 CEST 2013Thu Sep 19 15:07:45 CEST 2013

Um eine Antwort zu schreiben, melden Sie sich bitte an.