HEC Blog: Markt & Trends
Verfasst von Bärbel Rolfes am 02. Juli 2020
Alexa hört (hoffentlich nicht) mit

Wie Sie im Homeoffice für Datensicherheit sorgen

Vor eini­gen Wochen haben viele von uns zu Hause ihr eige­nes Laptop aufge­klappt, eine externe Verbin­dung zum Firmen-Server herge­stellt und eine Video­kon­fe­renz-Soft­ware herun­ter­ge­la­den. Corona hat es möglich gemacht: Durch die Pande­mie wurden wir inner­halb von Tagen zu einem Volk von Home­of­fice-Arbei­tern. Um den Betrieb aufrecht zu erhal­ten, muss­ten viele Unter­neh­men spon­tan handeln. Doch wer hat dabei wirk­lich grund­le­gend über die Daten­si­cher­heit nach­ge­dacht?

Das Arbei­ten aus dem Home­of­fice birgt zusätz­li­che Risi­ken für die Sicher­heit der Firmen­da­ten. Geschäfts­ge­heim­nisse Ihres Unter­neh­mens oder von Ihren Geschäfts­part­nern müssen vor dem Zugriff von „unbe­rech­tig­ten Drit­ten“ geschützt werden – auch wenn es sich im Fall Home­of­fice um die eigene Fami­lie handelt. Außer­dem müssen perso­nen­be­zo­gene Daten entspre­chend der Daten­schutz-Grund­ver­ord­nung (DSGVO) eben­falls geschützt werden.

Oft gibt es keine oder nur wenige firmen­in­terne Rege­lun­gen für Daten­si­cher­heit im Home­of­fice. Wir geben Ihnen einige Hinweise, worauf Sie achten soll­ten.

Wackelige WLAN-Verbindung, eigene Tools – die Gefahren
  1. Schlechte Infra­struk­tur: Insta­bile Inter­net­ver­bin­dun­gen können Risi­ken mit sich brin­gen. Eine geringe Band­breite reicht mögli­cher­weise nicht aus, um notwen­dige Upda­tes durch­zu­füh­ren. Das kann zu Sicher­heits­lücken führen.
  2. Unklare Prozesse: Sollen wir Daten aus dem Büro mitneh­men oder ausdru­cken? Können wir Kopien auf dem priva­ten Rech­ner oder auf Daten­trä­gern anle­gen? Das könnte Unbe­rech­tig­ten die Möglich­keit geben, Einblick zu nehmen. Auch fehlende Verschlüs­se­lun­gen sind eine Gefahr.
  3. Unbe­kann­tes Notfall­ma­na­ge­ment im Scha­dens­fall: Oft ist nicht gere­gelt, wie bei Daten­pan­nen oder Proble­men mit der IT-Sicher­heit vorge­gan­gen werden muss. Infor­ma­tio­nen über Viren­be­fall, Phis­hing-Versu­che oder ähnli­ches werden nicht mit der IT-Abtei­lung ausge­tauscht.
  4. Schat­ten-IT:  Mitar­bei­tende nutzen eigene Online-Tools, kennen den tech­ni­schen Hinter­grund aber nicht immer. Diese Tools können ein Einfall­stor für Viren und Troja­ner sein. Auch die Lizenz­frage ist nicht immer geklärt. Eben­so­we­nig, ob die Anbie­ter die Daten nach der Abmel­dung wirk­lich löschen – oder gar für andere Zwecke wie Werbung nutzen. Durch ein unein­heit­li­ches Vorge­hen kann ein Wild­wuchs von Anwen­dun­gen entste­hen, bei dem die IT-Abtei­lung den Über­blick verliert.
Diese Sicherheitsmaßnahmen sollten Sie berücksichtigen

(Don’t) Bring Your Own Device

Vermei­den Sie nach Möglich­keit, dass private Geräte genutzt werden. Bei Gerä­ten, die die Firma bereit­stellt, behält sie besser die Kontrolle über die instal­lier­ten Anwen­dun­gen. Offi­zi­ell bereit­ge­stellte PCs oder Note­books gewähr­leis­ten außer­dem eine Tren­nung von priva­tem und Firmen­be­reich. Wer dennoch an seinem priva­ten Gerät arbei­tet, muss folgende Punkte beach­ten:

  • Geräte und Doku­mente in jedem Fall sichern.
  • Bei gemein­schaft­li­cher PC-Nutzung, z. B. in der Fami­lie, eine Tren­nung zu ande­ren Berei­chen einrich­ten.
  • Admi­nis­tra­ti­ons­mög­lich­kei­ten aus der Ferne müssen bereit­ge­stellt sein.
  • Prüfen: Sind die Kapa­zi­tä­ten des Routers ausrei­chend und ist eine WLAN-Verschlüs­se­lung nach dem aktu­el­len Stand der Tech­nik gege­ben?
  • Möglichst nur von der Firma vorge­se­hene Anwen­dun­gen einset­zen.

Sichern und verschlüs­seln

Die Daten­si­che­rung sollte nicht lokal, sondern auf dem Firmen-Server erfol­gen. Externe Spei­cher, etwa externe Fest­plat­ten oder USB-Sticks, soll­ten möglichst nicht verwen­det werden – wenn doch, dann nur mit Verschlüs­se­lung. Der Zugriff auf Firmen­da­ten sollte nur über verschlüs­selte Kommu­ni­ka­tion erfol­gen, zum Beispiel über VPN oder TLS. Der Zugang zu loka­len Gerä­ten und Daten sollte nur mit einem siche­ren Pass­wort oder einer Zwei-Faktor-Authen­ti­fi­zie­rung möglich sein.

Kein Papier­kram, keine Mithö­rer

Auch bei Doku­men­ten auf Papier müssen Sicher­heits­maß­nah­men berück­sich­tigt werden: Ausdru­cke soll­ten entwe­der über einen eige­nen Akten­ver­nich­ter mit entspre­chend hoher Sicher­heits­stufe oder später in der Firma vernich­tet werden. Beim Arbei­ten von unter­wegs ist außer­dem die Nutzung von Blick­schutz­fil­tern sinn­voll. Wenn andere mithö­ren können, sollte man keine Infor­ma­tio­nen austau­schen. Bei Tele­fona­ten und Video­kon­fe­ren­zen gilt außer­dem: Lauschende digi­tale Assis­ten­ten wie Siri und Alexa unbe­dingt ausschal­ten!

Nutzung von Online-Anwen­dun­gen

Beach­ten Sie bei der Auswahl von Anbie­tern folgende Punkte:

  • Anbie­ter oder Dienste aus der EU bevor­zu­gen
  • Lizenz­be­din­gun­gen prüfen
  • Daten­über­tra­gung sollte verschlüs­selt erfol­gen.
  • Der Anbie­ter darf die Daten nicht für andere Zwecke nutzen (z. B. Werbung, Profi­ling) und sie auch nicht an Dritte weiter­ge­ben (bzw. nur zum benö­tig­ten Zweck), schon gar nicht an Dritt­län­der außer­halb der EU.
  • Der Anwen­der muss Daten löschen können.
  • Auch ange­legte Accounts müssen wieder gelöscht werden können.
  • Unter Umstän­den wird eine eigene Verein­ba­rung zur Auftrags­ver­ar­bei­tung (AVV) bei perso­nen­be­zo­ge­nen Daten benö­tigt.

Was müssen Unter­neh­men bei der Daten­si­cher­heit im Home­of­fice berück­sich­ti­gen? HEC Daten­schutz- und Daten­si­cher­heits­ex­per­tin Bärbel Rolfes beant­wor­tete dazu auch Fragen in unse­rem Kolle­gen-Video­talk.

Schaffen Sie Grundlagen

Schu­len Sie Ihre Mitar­bei­ten­den zu den Gefah­ren und den Sicher­heits­maß­nah­men. Das schafft das nötige Verständ­nis. Auch soll­ten Sie Kunden­ver­träge prüfen, um einen mögli­chen Ausschluss von Home­of­fice-Arbeit aus Sicher­heits­grün­den vorzei­tig abzu­klä­ren.
Zudem gibt es einige Gesetze, die Arbeitnehmer einhalten müssen, wie den Schutz personenbezogener Daten (DSGVO). Auch das Geschäftsgeheimnis gilt es zu berücksichtigen (§2 Abs. 1b. GeschGehG).  

Und noch ein Hinweis: Home­of­fice ist für beide Seiten frei­wil­lig. Ist Home­of­fice zuläs­sig, dann müssen die entspre­chen­den Rege­lun­gen von den Mitar­bei­ten­den einge­hal­ten werden. Hierzu sind schrift­li­che Rege­lun­gen sinn­voll (Arbeits- oder Dienst­an­wei­sung bzw. Betriebs­ver­ein­ba­rung, insbe­son­dere bei Nutzung von priva­ten Gerä­ten). Zudem müssen auch der Betriebs­rat bzw. der Perso­nal­rat einge­bun­den werden.

Und nun: Viel Erfolg bei Ihrer Arbeit im Home­of­fice!

Microsoft 365, Datenschutz