Viele Jahre wurde das Thema Homeoffice von vielen Firmen eher stiefmütterlich behandelt und war nur in Ausnahmefällen erlaubt. Jetzt, zu Zeiten einer globalen Pandemie und dem Verbot, unnötige Kundenbesuche zu machen und Menschenansammlungen auch im Büro zu vermeiden, stehen viele Unternehmen vor dem Problem, das sie Homeoffice im großen Stil umsetzen müssen. Das stellt Sie auf der einen Seite vor technische Herausforderungen, um die vielen Externen Verbindungen zu ermöglichen, aber auch auf der anderen Seite organisatorische Schwierigkeiten, die Heimarbeit mit der DSGVO unter einen Hut zu bringen.
Wir wollen hier auf einige Themen eingehen, um Ihnen zu zeigen, wie Sie diese Probleme in den Griff bekommen und nach dieser Krise flexibel und modern aufgestellt sind.
Technische Voraussetzungen für sicheres Arbeiten von Zuhause
Verbindung
Für Internet und Telefonanschluss, stellt diese erhöhte Anzahl von externen Zugriffen, Telefonaten und Webkonferenzen natürlich eine deutlich erhöhte Last dar, deshalb ist das auch der erste Punkt, an dem man ansetzt und prüft, ob der aktuelle Anschluss dieser Last Herr wird oder ob man sich mit dem Provider einigen muss, um eine bessere Bandbreite zur Verfügung zu haben, damit die Homeoffice-Plätze nicht die Leitungen verstopfen. Als Nächstes muss ich betrachten, über welche Technologien der Verbindungsaufbau von außen in das Unternehmen stattfindet und wie dieser Weg abgesichert wird.
Geräte
Je nach Kapazität der IT-Lager, muss man sich als Unternehmen aktuell die Frage stellen, wie kann ich meinem Mitarbeiter das arbeiten von zuhause ermöglichen? Gibt es genügend Laptops für alle, oder muss ich mir überlegen, ob ich auf bestimmte Zeit, dem Mitarbeiter seinen PC mitgebe. Hab ich die Möglichkeit, dem Mitarbeiter von einem privaten Gerät aus, sicher einzubinden, ohne das Dateien auf seinem Privatgerät gespeichert werden?
In vielen Fällen kommt man nicht darum, eine Liste zu erstellen und mit den Mitarbeitern zu klären, welche Möglichkeiten bestehen, um alle Kollegen die von Zuhause aus arbeiten müssen, ausreichend mit technischen Geräten zu versorgen. Die Festplatten dieser Geräte sollten in jedem Fall verschlüsselt werden, um einer Datenpanne bei Verlust oder Diebstahl vorzubeugen. Ebenso sollte eine automatische Bildschirmsperre eingerichtet werden, die nach 5 Minuten Inaktivität greift.
Bring Your Own Device
Sollte man in der Situation sein, dass man angewiesen ist, auf private Endgeräte zurückzugreifen, muss sichergestellt sein, das keine Daten auf das Private Endgerät abfließen können. Das stellt man in der Regel durch eine Virtual Desktop Infrastruktur sicher, da sich der Mitarbeiter hier auf eine virtuelle Maschine verbindet und von dieser aus arbeitet. Da es immer wieder vorkommt, das Log-in und Passwort Kombinationen abgefangen oder geklaut werden und Mitarbeiter oft die vom Unternehmen aufgezwungenen sicheren Passwörter auch privat nutzen, um diese nicht zu vergessen, muss auch betrachtet werden, dass der Log-in sicher gestaltet wird. Zum einen sollte die Anmeldeseite SSL-Verschlüsselt sein und am besten wäre es, wenn eine Mehrfaktor-Authentifizierung eingesetzt wird, durch Tokens, Sicherheitsschlüssel oder Authenticator Apps.
Anforderungen der DSGVO
Schutz der personenbezogenen und sensible Daten vor Offenlegung
Es mag sich etwas komisch anhören, seine Lebensgefährtin oder Lebensgefährten, bzw. Kinder als unbefugten Dritten zu bezeichnen, doch das ist nach der Datenschutzgrundverordnung der Fall. Wenn Mann/Frau/Kinder/Mitbewohner/Freunde nicht gerade in derselben Firma arbeiten, sind es unbefugte Dritte und eine Offenlegung personenbezogener Daten stellt einen Datenschutzverstoß dar. Daher ist beim Thema Heimarbeit penibel darauf zu achten, mit welchen Daten ich arbeite und wie ich diese Schützen kann. Daten können auch in Papierform vorliegen und sind nicht nur auf dem PC gespeichert. Ich muss also sicherstellen das der Mitarbeiter entweder ein eigenes abschließbares, von niemandem anderen genutztes Büro mit eigenem im Büro stehenden Drucker, hat um optimal eine Offenlegung verhindern zu können. Hat der Mitarbeiter das nicht, so muss zumindest die Möglichkeit bestehen, Dokumente und Arbeitsgeräte in einem Schrank oder Rollcontainer einzuschließen und während der Arbeit darauf zu achten, das Dokumente und Arbeitsgerät nicht unbeaufsichtigt herumliegen.
Löschkonzept für Dateien und Dokumente trotz Homeoffice
Die Sondersituation, das wir momentan viel von zuhause aus Arbeiten, bewahrt uns nicht vor dem Löschkonzept, das weiterhin umgesetzt werden muss. Wenn Dateien auf privaten Endgeräten gespeichert werden, ist die Umsetzung oft schwierig durchzusetzen und zu Kontrollieren, daher sollte die Verwendung privater Endgeräte vermieden werden, außer man hat die Möglichkeit, durch eine Verbindung auf einer Virtuellen Maschine den lokalen Datenspeicher zu umgehen. Das Löschkonzept betrifft aber auch ausgedruckte Akten und Arbeitspapiere, auf denen personenbezogene Daten stehen könnten, oder auch sonstige für das Unternehmen sensible Daten. Hierfür sollte auf jeden Fall ein Aktenvernichter bereitstehen, bzw. bereitgestellt werden. Hier gilt es, gewisse Standards einzuhalten, was bei personenbezogenen Daten bedeutet, es muss ein Aktenvernichter mit mindestens Sicherheitsstufe 3 sein.
Anforderungen an die Datenträgervernichtung aus DIN 66399
Schaubild Datenträgervernichtung
Richtige Auswahl an Collaboration-Software und Videokonferenzsystemen
Mit den richtigen Softwarekomponenten und Collaboration-Tools, lassen sich wie gehabt Besprechungen abhalten und gemeinsam an Dokumenten und Problemstellungen arbeiten und das ganz ohne Ansteckungsgefahr von zuhause aus. Hier gibt es einen breiten Markt an Anbietern, die ihre Produkte anbieten. Vor allem der amerikanische Videochat Dienst Zoom erlebt gerade einen regelrechten Ansturm. Viel davon ist privater Natur, aber einige Unternehmen, greifen aus fehlenden Alternativen auch immer wieder auf die Möglichkeit zurück, kostenlose Konferenzen über diesen Dienst auszuführen. Das Problem an der ganzen Sache ist hier, dass die Server in den USA stehen und keiner genau sagen kann, was alles mit den Daten dort passiert. Für Collaborations-Tools und Cloud Software, die ich in diesen Zeiten mehr den je benötige, muss ich trotzdem einen sicheren Betrieb feststellen. Am besten sind solche Konferenztools, die lokal im eigenen Rechenzentrum gehostet werden können, denn hier liegt die Datenhoheit bei mir selbst. Wenn das nicht möglich ist, kann man weiterhin auf Software-as-a-Service Produkte zurückgreifen, sofern der Server in Deutschland der EU, oder einem Drittland, welches angemessene Datenschutzstandards besitzt, betrieben wird. Hier gilt es dann zusätzlich einen Auftragsverarbeitungsvertrag mit dem Dienstleister zu schließen, wenn dieser das System wartet und administriert.
Videokonferenzsysteme und Datenschutz
Richtlinie für Homeoffice und Mobiles Arbeiten
Um die vielen Regeln und vorgaben, die Mitarbeiter auch verständlich vorzulegen, zu erklären und ihm zu zeigen, was er darf und was er nicht darf, ist es unerlässlich, eine Richtlinie für Homeoffice und mobiles Arbeiten zu verfassen und zu veröffentlichen, auch wenn es nur vorübergehend für die Corona-Krise ist. Ebenso ist es wichtig, festzulegen, ob und mit welchem Umfang eine Kontrolle der vorgegebenen Maßnahmen stattfinden kann. Die Unverletzlichkeit der Wohnung ist im Grundgesetz festgehalten und da ändert auch das Home Office nichts daran. Jedoch muss der Arbeitgeber, als Verantwortlicher sicherstellen, dass die Vorgaben der DSGVO eingehalten werden können. Dies sollte jedoch in angemessener Form durchführbar sein, ohne den Mitarbeiter in seiner Privatsphäre zu stören. Es gibt viele Themen die in der Homeoffice-Richtlinie Berücksichtigung finden müssen, um für alle eine Sicheres arbeiten von zuhause zu ermöglichen. In dieser Richtlinie müssen folgende Punkte geregelt sein:
- Welche Geräte dürfen verwendet werden?
- Wie wird die Verbindung hergestellt?
- Umgang mit Daten
- Umgang mit lokaler Datenspeicherung und Verwendung von USB-Sticks
- Sicherheitsanforderungen
- Anforderungen an die Arbeitsumgebung
- Zugangs-, Zutritts- und Zugriffsschutz auf Dateien und Dokumente
- Möglichkeiten zur Löschung und Vernichtung von Daten
- Meldepflicht bei Störungen
- Ansprechparter für IT-Support, Informationssicherheit und Datenschutz
- Möglichkeiten zur Kontrolle
Homeoffice-Wegweiser des BfDI
Tipps des BSI für sicheres Mobiles arbeiten
Aufrechterhaltung eines Büro-Notbetriebs
In Bereichen mit Kundenverkehr, die nicht durch die Verordnung geschlossen wurden, oder bei zentralen Einrichtungen, bei denen ein gewisses Notfallpersonal immer vor Ort sein muss, um schnell auf Situationen reagieren zu können. Um hier die Gefahr einer Infizierung dieser Teams zu minimieren, ist ein Zwei-Schicht Modell zu empfehlen, bei dem es für die Bürozeit, zwei Schichten gibt, die unabhängig voneinander, den Betrieb vor Ort aufrecht erhalten. Diese Teams, sollten zu Pausenzeiten wechseln um den Kontakt beider Teams miteinander so gering wie möglich zu halten und eine Ansteckungsgefahr zu minimieren. Auch wechsel zwischen den Teams sollten vermieden werden.