Trends und Technologien
Alexa hört (nicht) mit: Datensicherheit im Homeoffice
02. Juli 2020 / Bärbel Rolfes
Wie Sie im Homeoffice für Datensicherheit sorgen
Vor einigen Wochen haben viele von uns zu Hause ihr eigenes Laptop aufgeklappt, eine externe Verbindung zum Firmen-Server hergestellt und eine Videokonferenz-Software heruntergeladen. Corona hat es möglich gemacht: Durch die Pandemie wurden wir innerhalb von Tagen zu einem Volk von Homeoffice-Arbeitern. Um den Betrieb aufrecht zu erhalten, mussten viele Unternehmen spontan handeln. Doch wer hat dabei wirklich grundlegend über die Datensicherheit nachgedacht?
Das Arbeiten aus dem Homeoffice birgt zusätzliche Risiken für die Sicherheit der Firmendaten. Geschäftsgeheimnisse Ihres Unternehmens oder von Ihren Geschäftspartnern müssen vor dem Zugriff von „unberechtigten Dritten“ geschützt werden – auch wenn es sich im Fall Homeoffice um die eigene Familie handelt. Außerdem müssen personenbezogene Daten entsprechend der Datenschutz-Grundverordnung (DSGVO) ebenfalls geschützt werden.
Oft gibt es keine oder nur wenige firmeninterne Regelungen für Datensicherheit im Homeoffice. Wir geben Ihnen einige Hinweise, worauf Sie achten sollten.
Wackelige WLAN-Verbindung, eigene Tools – die Gefahren
- Schlechte Infrastruktur: Instabile Internetverbindungen können Risiken mit sich bringen. Eine geringe Bandbreite reicht möglicherweise nicht aus, um notwendige Updates durchzuführen. Das kann zu Sicherheitslücken führen.
- Unklare Prozesse: Sollen wir Daten aus dem Büro mitnehmen oder ausdrucken? Können wir Kopien auf dem privaten Rechner oder auf Datenträgern anlegen? Das könnte Unberechtigten die Möglichkeit geben, Einblick zu nehmen. Auch fehlende Verschlüsselungen sind eine Gefahr.
- Unbekanntes Notfallmanagement im Schadensfall: Oft ist nicht geregelt, wie bei Datenpannen oder Problemen mit der IT-Sicherheit vorgegangen werden muss. Informationen über Virenbefall, Phishing-Versuche oder ähnliches werden nicht mit der IT-Abteilung ausgetauscht.
- Schatten-IT: Mitarbeitende nutzen eigene Online-Tools, kennen den technischen Hintergrund aber nicht immer. Diese Tools können ein Einfallstor für Viren und Trojaner sein. Auch die Lizenzfrage ist nicht immer geklärt. Ebensowenig, ob die Anbieter die Daten nach der Abmeldung wirklich löschen – oder gar für andere Zwecke wie Werbung nutzen. Durch ein uneinheitliches Vorgehen kann ein Wildwuchs von Anwendungen entstehen, bei dem die IT-Abteilung den Überblick verliert.
Diese Sicherheitsmaßnahmen sollten Sie berücksichtigen
(Don’t) Bring Your Own Device
Vermeiden Sie nach Möglichkeit, dass private Geräte genutzt werden. Bei Geräten, die die Firma bereitstellt, behält sie besser die Kontrolle über die installierten Anwendungen. Offiziell bereitgestellte PCs oder Notebooks gewährleisten außerdem eine Trennung von privatem und Firmenbereich. Wer dennoch an seinem privaten Gerät arbeitet, muss folgende Punkte beachten:
- Geräte und Dokumente in jedem Fall sichern.
- Bei gemeinschaftlicher PC-Nutzung, z. B. in der Familie, eine Trennung zu anderen Bereichen einrichten.
- Administrationsmöglichkeiten aus der Ferne müssen bereitgestellt sein.
- Prüfen: Sind die Kapazitäten des Routers ausreichend und ist eine WLAN-Verschlüsselung nach dem aktuellen Stand der Technik gegeben?
- Möglichst nur von der Firma vorgesehene Anwendungen einsetzen.
Sichern und verschlüsseln
Die Datensicherung sollte nicht lokal, sondern auf dem Firmen-Server erfolgen. Externe Speicher, etwa externe Festplatten oder USB-Sticks, sollten möglichst nicht verwendet werden – wenn doch, dann nur mit Verschlüsselung. Der Zugriff auf Firmendaten sollte nur über verschlüsselte Kommunikation erfolgen, zum Beispiel über VPN oder TLS. Der Zugang zu lokalen Geräten und Daten sollte nur mit einem sicheren Passwort oder einer Zwei-Faktor-Authentifizierung möglich sein.
Kein Papierkram, keine Mithörer
Auch bei Dokumenten auf Papier müssen Sicherheitsmaßnahmen berücksichtigt werden: Ausdrucke sollten entweder über einen eigenen Aktenvernichter mit entsprechend hoher Sicherheitsstufe oder später in der Firma vernichtet werden. Beim Arbeiten von unterwegs ist außerdem die Nutzung von Blickschutzfiltern sinnvoll. Wenn andere mithören können, sollte man keine Informationen austauschen. Bei Telefonaten und Videokonferenzen gilt außerdem: Lauschende digitale Assistenten wie Siri und Alexa unbedingt ausschalten!
Nutzung von Online-Anwendungen
Beachten Sie bei der Auswahl von Anbietern folgende Punkte:
- Anbieter oder Dienste aus der EU bevorzugen
- Lizenzbedingungen prüfen
- Datenübertragung sollte verschlüsselt erfolgen.
- Der Anbieter darf die Daten nicht für andere Zwecke nutzen (z. B. Werbung, Profiling) und sie auch nicht an Dritte weitergeben (bzw. nur zum benötigten Zweck), schon gar nicht an Drittländer außerhalb der EU.
- Der Anwender muss Daten löschen können.
- Auch angelegte Accounts müssen wieder gelöscht werden können.
- Unter Umständen wird eine eigene Vereinbarung zur Auftragsverarbeitung (AVV) bei personenbezogenen Daten benötigt.
Zum Starten des Videos bitte auf den Button klicken. Wir weisen darauf hin, dass nach Aktivierung Daten an Youtube übermittelt werden.
Schaffen Sie Grundlagen
Schulen Sie Ihre Mitarbeitenden zu den Gefahren und den Sicherheitsmaßnahmen. Das schafft das nötige Verständnis. Auch sollten Sie Kundenverträge prüfen, um einen möglichen Ausschluss von Homeoffice-Arbeit aus Sicherheitsgründen vorzeitig abzuklären.
Zudem gibt es einige Gesetze, die Arbeitnehmer einhalten müssen, wie den Schutz personenbezogener Daten (DSGVO). Auch das Geschäftsgeheimnis gilt es zu berücksichtigen (§2 Abs. 1b. GeschGehG).
Und noch ein Hinweis: Homeoffice ist für beide Seiten freiwillig. Ist Homeoffice zulässig, dann müssen die entsprechenden Regelungen von den Mitarbeitenden eingehalten werden. Hierzu sind schriftliche Regelungen sinnvoll (Arbeits- oder Dienstanweisung bzw. Betriebsvereinbarung, insbesondere bei Nutzung von privaten Geräten). Zudem müssen auch der Betriebsrat bzw. der Personalrat eingebunden werden.
Und nun: Viel Erfolg bei Ihrer Arbeit im Homeoffice!
