Homeoffice: Datenschutz und IT-Sicherheit für optimales ... / 2 Die Grundlagen

Natürlich stellen sich beim Homeoffice Fragen nach der Wahl des Raumes, ergonomischen Sitzmöbeln oder der Beleuchtung. Im Folgenden wird aufgezeigt, wie die effiziente, sichere und datenschutzkonforme Verarbeitung von Arbeitsinhalten im Homeoffice sichergestellt werden kann. Dabei stehen 2 Themenfelder im Mittelpunkt. Auf der Ebene des Datenschutzes geht es um die sichere und datenschutzkonforme Verarbeitung und Nutzung von (personenbezogenen) Daten außerhalb des Unternehmens. Bei der IT-Sicherheit oder "Cybersecurity" geht es darum, das Risiko von Datenverlust, Datendiebstahl und anderen Formen der Cyberkriminalität außerhalb der hohen Sicherheitsstandards der Unternehmen zu reduzieren. Beide Themen sind eng miteinander verknüpft. Aber so wie Vorsicht die Mutter der Porzellankiste ist, ist IT-Sicherheit auch unerlässlich, um eine Datenverarbeitung zu gewährleisten, die den Vorgaben der Datenschutz-Grundverordnung entspricht. Art. 32 DSGVO legt fest, dass die technische Integrität bei der Verwahrung personenbezogener Daten regelmäßig zu überprüfen ist. Und dies ist dadurch ebenfalls im Homeoffice dringend zu beachten: Insbesondere während der Coronapandemie zeigte sich, dass das Homeoffice ein beliebter Angriffspunkt für Datendiebstahl und andere Formen der Cyberkriminalität ist.^[1]

[1] TÜV Süd 2021.

2.1 Phase der Vorbereitung

Während der Coronapandemie musste die Umstellung zur Heimarbeit spontan erfolgen. Idealerweise gibt es aber außerhalb solcher Krisen einen gewissen Vorlauf, bevor eine Mitarbeiterin bzw. ein Mitarbeiter ganz oder teilweise von zu Hause aus arbeitet. Hierbei gibt es einige Punkte zu beachten. Für die verschiedenen Ebenen sind jedoch die folgenden Listen eine Handreichung. Damit ist auch einer erneuten Notlage, in der Heimarbeit spontan erfolgen muss, vorgebeugt.

2.1.1 Checkliste 1: Fragen im Vorfeld

1. Klare Regelungen für die Homeoffice-Arbeit helfen, die Abläufe strukturiert und IT-sicher zu gestalten. Eine sinnvolle Auflistung von Maßnahmen und Ansprechpartnern schützt Ihre Unternehmensdaten, die Daten der Partnerunternehmen und die personenbezogenen Daten, die Ihre Mitarbeitenden verarbeiten.

   ⇒ Gibt es klare Regelungen in Ihrem Unternehmen für das Homeoffice?

2. Die aktuelle IT-Sicherheitslage ändert sich ständig. Ein Notfallteam bzw. ein Krisenstab für IT-Sicherheit hilft, auf die dynamische Situation schnell zu reagieren. Sind klare Ansprechpartner:innen benannt, können Ihre Mitarbeitenden außerdem schneller Auffälligkeiten rückmelden und im Zweifelsfall Schaden, etwa durch Phishing-Mails, abwenden.

   ⇒ Sind die Verantwortlichkeiten für IT-Sicherheit geklärt?

3. Private Endgeräte können in der Regel nicht auf die IT-Sicherheitsmaßnahmen der Organisation zurückgreifen. Stattdessen muss das Unternehmen darauf vertrauen, dass die Mitarbeitenden selbstständig Schutzmaßnahmen, wie Antiviren-Programme oder Firewalls, einrichten und zeitnah Aktualisierungen einspielen. Ist dies nicht der Fall, können die IT-Systeme der Mitarbeitenden leicht kompromittiert werden. Verschiedene Bedrohungsszenarien für das Unternehmen sind die Folge. Daher sollte Ihr Unternehmen einheitliche Hardware für das Homeoffice zur Verfügung stellen. Dazu gehören neben PC und Smartphone auch Zubehör wie USB-Sticks und Netzteile. Die Vereinheitlichung von Virenschutz, Videokonferenzsystemen, Passwortanwendungen, Verschlüsselung etc. verschlankt die individuelle Überprüfung vorhandener, privater Hardware immens – und reduziert Kompatibilitätsprobleme. Dadurch ist auch gewährleistet, dass die Regeln für die Verarbeitung personenbezogener Daten zu Hause genauso umgesetzt werden können wie im Unternehmen.

   ⇒ Kann Ihr Unternehmen einheitliche Hard- und Software zur Verfügung stellen?

4. Wenn die Ausstattung durch einheitliche IT vom Unternehmen aus nicht möglich ist, müssen Ihre Angestellten ein zweites Nutzerprofil auf ihren privaten Rechnern einrichten. Dieses dient dann ausschließlich den beruflichen Aufgaben und sollte die aus dem Unternehmen gewohnte Software enthalten. Durch die Sperrung nicht benötigter Funktionen kann die Angriffsfläche für Cyberkriminelle minimiert werden. Durch eine solche restriktive Rechtevergabe kann das Risiko weiter gesenkt werden. Viele Menschen tendieren auf ihren Privatgeräten im Bereich Virenschutz, Firewalls etc. oder dem Umgang mit den persönlichen Daten im Internet zu Fahrlässigkeit. Wenn nun aber auf einem privaten Gerät "ernsthaft" gearbeitet werden soll, muss an dieser Stelle ein deutlich höheres Sicherheitsniveau das Ziel sein.

   ⇒ Besitzen Ihre Mitarbeitenden das notwendige Know-how oder gibt es in Ihrem Unternehmen Fachleute, die entweder eine Schulung durchführen oder per Fernwartung bei der Einrichtung eines Arbeitsprofils helfen können?

5. Apropos Fernwartung: Jede Funktion eines IT-Systems stellt ein potenzielles Einfallstor für Cyberkriminelle dar. Insbesondere dann, wenn die betriebenen Anwendungen nicht regelmäßig aktualisiert werden. Stellen Sie sicher, dass Sie die IT-Systeme Ihrer Mitarbeitenden aus der Ferne warten können. Denn auch während der Heimarbeit müs...