Sicherheitsrisiken durch Home-Office werden oft unterschätzt

Die Corona-Pandemie hat viele Arbeitsplätze zumindest zeitweise vom Büro ins Homeoffice verlagert. Doch dies ist in nicht nur regelmäßig eine organisatorische Herausforderung, sondern birgt auch im Hinblick auf Datensicherheit und Datenschutz erhebliche Gefahren und bringt erhöhte  Sicherheitsanforderungen mit sich.

Seit gut einem Jahr sind viele Arbeitgeber und Arbeitnehmer aufgefordert, im Rahmen der Pandemiebekämpfung einen wichtigen Beitrag zu leisten, indem sie so vielen Beschäftigten wie möglich die Arbeit im Homeoffice ermöglichen bzw. diese Angebote annehmen.

Ca. 24 % arbeiteten Ende Januar überwiegend im Homeoffice

Nach aktuellen Zahlen der Hans-Böckler-Stiftung lag Ende Januar der Anteil der Erwerbstätigen, die überwiegend oder ausschließlich daheim arbeiteten, bei rund 24 Prozent und damit etwa um 10 Prozentpunkte über dem Wert vom November 2020. Mit der am 27. Januar verabschiedeten Corona-Arbeitsschutzverordnung, nach der Arbeitgeber überall dort einen Homeoffice-Arbeitsplatz anbieten müssen, wo dies möglich ist und wo keine zwingenden betriebsbedingten Gründe dagegenstehen, dürfte der Anteil noch weiter steigen.

Zusätzliche Sicherheitsrisiken durch Homeoffice

Doch die Verlagerung der Arbeitsplätze aus den Büros in die heimischen vier Wände bringt auch einige Risiken im Hinblick auf Datensicherheit und Datenschutz mit sich. So gibt es einige Anzeichen dafür, dass etwa die Zahl von Cyberattacken im Laufe des letzten Jahres überdurchschnittlich zugelegt hat. Befragungen von Marktforschungsunternehmen oder Berichte von IT-Sicherheitsunternehmen deuten dies zumindest an.

Denn während die IT-Sicherheitsinfrastruktur in den Firmen, Behörden oder sonstigen Organisationen meist einen zumindest akzeptablen Grundschutz vor Hackerangriffen bietet und die Zahl der Zugriffe von außen auf die internen IT-Ressourcen somit vergleichsweise übersichtlich bleibt, ändert sich dies durch den verstärkten Einsatz von Homeoffice-Arbeitsplätzen deutlich.

Darum ist Arbeit im Homeoffice anfälliger für Cyberattacken und andere Datemlecks

Zum einen erfolgt ein deutlich größerer Teil der Kommunikation und des Datenaustausches über die Grenzen des lokalen Netzes hinweg, und zugleich haben etwa die IT-Abteilungen nicht mehr in jedem Fall dieselben Kontrollmöglichkeiten, etwa im Hinblick auf die IT-Sicherheit der eingesetzten Endgeräte.

Außerdem macht die besondere Situation den vermehrten Einsatz von Cloud-Diensten und speziellen Kollaborations-Werkzeugen bzw. Videokonferenzlösungen notwendig (→ Datenschutzkonforme Videokonferenzen aus dem Home-Office). In vielen Fällen werden diese Tools unter Zeitdruck neu eingeführt, wodurch weitere Sicherheitsprobleme entstehen können, weil Nutzer aber auch Administratoren durch mangelnde Kenntnis vorhandene Schutzmaßnahmen nicht einschalten oder deaktivieren.

Doch nicht immer sind falsche Konfiguration oder Bedienungsfehler durch die Nutzer die Ursache für Sicherheitsrisiken, auch die Softwarelösungen selbst weisen mitunter Schwachstellen auf, die von Hackern für Angriffe ausgenutzt werden können.

Manche der im Homeoffice gängigen Tools sind besonders problematisch

Im Hinblick auf den Datenschutz sind einige Tools zudem von sich aus problematisch. So etwa, wenn Videokonferenzsysteme oder Messaging-Lösungen keine zuverlässige Ende-zu-Ende-Verschlüsselung enthalten und die Gespräche bzw. die ausgetauschten Nachrichten von Dritten abgehört werden können, oder die Daten in Drittländern verarbeitet werden, die kein ausreichendes Datenschutzniveau bieten.

Hohes Stresslevel für die IT-Abteilung durch rasanten Homeoffice-Anstieg

Für IT-Verantwortliche bedeutet der schnelle Anstieg von Homeoffice-Arbeitsplätzen aus mehreren Gründen erheblichen Stress.So müssen zum einen die technischen Infrastrukturen entsprechend angepasst werden, also etwa Endgeräte für die Anwender angeschafft und eingerichtet werden, auch kritische Infrastrukturen im Unternehmen sind entsprechend anzupassen. Beispiel: Ein typisches Beispiel ist etwa die Einrichtung von VPN-Lösungen, die eine abhörsichere Verbindung zwischen den einzelnen Nutzern daheim und dem Firmennetz ermöglichen.

Zum anderen bedeuten die neuen Verhältnisse auch eine Umstellung etwa in der Form, dass Probleme an der Hardware oder Software der Nutzer nicht mehr direkt vor Ort behoben werden können, sondern der Einsatz einer Fernwartungssoftware unumgänglich ist.

Und schließlich stellt die Neueinführung von Cloud-Lösungen sowie anderen Werkzeugen zur Kommunikation bzw. Teamarbeit einen nicht unerheblichen Einarbeitungsaufwand dar.

Angesichts dieser Herausforderungen ist daher wenig verwunderlich, dass speziell unter IT-Fachkräften die Sorge um die Sicherheit und den Schutz der Daten zugenommen hat, wie aktuelle Untersuchungen bestätigen. Erschwert wird die angespannte Lage auch durch spektakuläre Hackerattacken, wie zuletzt beispielsweise die groß angelegten Angriffe auf Behörden und Unternehmen über eine Schwachstelle in der populären Verwaltungs- und Überwachungsplattform SolarWinds Orion oder auch die weiterhin hohe Zahl von Ransomware-Vorfällen.

Die wichtigsten Tipps für ein sicheres Homeoffice

Prinzipiell ist es empfehlenswert, die Regelungen zum Homeoffice über eine einvernehmliche Vereinbarung zu treffen. in denen möglichst genau aufgeführt wird, welche Voraussetzungen für den heimischen Büroarbeitsplatz gelten und welche Verhaltensregeln zu beachten sind.

  • Vorgaben für den häuslichen Arbeitsplatz

Dazu gehören etwa die klare Benennung technische und räumliche Voraussetzungen aber auch möglichst detaillierte Sicherheitsrichtlinien und Vorgaben. So wird beispielsweise für Homeoffice-Arbeitsplätze oftmals die Nutzung eines separaten, abschließbaren Arbeitszimmers gefordert, in dem etwa auch abschließbare Schränke oder Schubladen zur sicheren Aufbewahrung von Rechner, Speichermedien oder sonstigen Unterlagen vorhanden sein müssen.

  • Technische Sicherheitsmaßnahmen

Insbesondere stehen jedoch die technischen Gegebenheiten im Fokus. Dazu gehören neben der Sicherheit der verwendeten Geräte und Anwendungen sowie der sicheren Nutzung der Geräte durch die Anwender auch die Schnittstellen. So sollte etwa ein vom Arbeitgeber bereitgestellter und entsprechend sicher konfigurierter Rechner (aktueller Virenschutz, Firewall, Verschlüsselungssoftware etc.) zum Einsatz kommen.

  • Trennung beruflicher und privater Geräte / Daten

Das Geräts sollte ausschließlich für die beruflichen Zwecke verwendet werden.Falls doch private Endgeräte im Homeoffice zum Einsatz kommen, sollten unbedingt Lösungen zur Trennung von privaten und betrieblichen Daten verwendet werden.

  • Strenge Datenschutzregeln müssen auch zuhause gelten

Nach der Arbeit aber auch bei Pausen müssen die Nutzer dafür Sorge tragen, dass keine Dritten auf die beruflich genutzten Rechner zugreifen können. Die Geräte sind durch sichere Kennwörter zu schützen und beispielsweise durch Bildschirmsperren auch bei kurzfristiger Abwesenheit zu sichern. Die wichtigste Schnittstelle dürfte in den meisten Fällen der WLAN-Anschluss an den heimischen Router sein, wobei diese Verbindungen mittlerweile über aktuelle WPA-Varianten standardmäßig einen gewissen Schutz genießen. Nach Möglichkeit sollte die Verbindung zum Firmennetz jedoch immer über eine zusätzliche gesicherte VPN-Verbindung erfolgen.

  • Trennung der heimischen und beruflichen Technik und IT

Andere Drahtlos-Schnittstellen, etwa Bluetooth sollten ausgeschaltet sein, sofern sie nicht zwingend benötigt werden. Weitere Vorgaben können etwa die Verwendung von USB-Speichermedien oder anderen Speicherkarten beschränken.

  • Password und Authentifizierungs-Sicherheit

Zu den wichtigsten Verhaltensregeln gehört die Verwendung ausreichend sicherer Passwörter oder besser noch die Verwendung einer Zwei-Faktor-Authentifizierung, bei der neben dem Passwort noch ein weiterer Identitätsnachweis (z.B. ein Hardware-Token oder ein biometrisches Merkmal wie der Fingerabdruck) zum Zugriff auf den Rechner vorausgesetzt wird.

Generell sollte die Nutzung betrieblicher Daten im Homeoffice auf das absolut notwendige Maß beschränkt werden. Die Arbeitnehmer sollten daher ausschließlich auf diejenigen Daten zugreifen, die sie für ihre Arbeit auch tatsächlich benötigen.

  • BitLocker und Verschlüsselung

Gespeicherte Daten sollten nach Möglichkeit verschlüsselt werden, bei lokal auf den PCs vorhandene Daten ist dies unter Windows beispielsweise am einfachsten über die integrierte Festplattenverschlüsselung BitLocker möglich, die in den meisten Versionen (außer der Home-Version) vorhanden ist.

Weitere Sicherheitvorgaben im Homeoffice

Weitere Vorgaben können etwa Verbote der Weiterleitung von beruflichen E-Mails an private E-Mail-Konten oder des Speicherns beruflicher Daten auf privaten Cloud-Diensten sein.

Die auf den Rechnern verwendete Software sollte nach Möglichkeit vom Arbeitgeber selbst installiert und eingerichtet werden. Denn für die hier genutzten Business-Versionen der Software gelten meist entsprechend angepasste Lizenzbedingungen, die sich etwa im Hinblick auf die besonderen Anforderungen bezüglich des Datenschutzes oder der Auftragsverarbeitung von den Versionen für Privatanwender deutlich unterscheiden.

Werden im Homeoffice Papierdokumente mit schützenswerten Daten verwendet, müssen diese sicher aufbewahrt werden und dürfen anschließend nicht einfach über den Hausmüll oder gar das Altpapier entsorgt werden, sondern müssen zunächst durch geeignete Maßnahmen wie einen Aktenvernichter unkenntlich gemacht werden.

Datenschutzinformation, Dokumentation und -Schulung

Damit die Vorgaben und Schutzmaßnahmen von den Homeoffice-Mitarbeitern auch beachtetet werden, sollten die Mitarbeiter nicht nur umfassend darüber informiert werden, wobei diese die Kenntnisnahme möglichst auch in schriftlicher Form bestätigen sollten. Es empfiehlt sich darüber hinaus auch, angemessene Schulungsmaßnahmen durchzuführen, mit denen die Mitarbeiter für diese Problematik sensibilisiert werden und ihre Kenntnisse im Hinblick auf die Sicherheits- und Datenschutzmaßnahmen erweitern können.

Einbeziehung von Betriebsrat oder Personalrat

Um Komplikationen zu vermeiden, ist es ratsam, bei der Ausarbeitung der Homeoffice-Vereinbarungen frühzeitig Arbeitnehmervertreter mit einzubeziehen. Dies gilt insbesondere dann, wenn im Zuge des Homeoffice auch Lösungen verwendet werden, über die zusätzliche Kontrollfunktionen auf den Rechnern ausgeübt werden könnten.

Weitere News zum Thema:

Datenschutzkonforme Videokonferenzen aus dem Home-Office

Behördenhinweise zu Datenschutz im Home Office

Der Datenschutz gerät in Zeiten von Corona / Covid-19 unter Druck

Pandemie-Downloads der Unabhängigen Datenschutzzentrums Schleswig-Holstein

Einen Leitfaden zum Thema Sicherheit im Homeoffice finden Sie auf der Website des ULD.

Diese Datenschutzbehörde hält zudem verschiedene weitere Ratgeber zum Thema Datenschutz und Corona-Pandemie zum Download bereit.