Homeoffices sicher machen – Praxis-Tipps

Homeoffices sind derzeit das Mittel der Wahl und viele Unternehmer fragen sich, ob sie dabei auch alles korrekt bedacht haben. Aber welche Fragen sollten sich Arbeitgeber und ihre IT-Abteilung in jedem Fall stellen, damit das Homeoffice nicht zum Sicherheitsrisiko für das Unternehmen wird?

Hinweis: Dieser Artikel wird sukkzessive um aktuelle, sinnvolle Empfehlungen ergänzt. Sofern möglich, werden wir für Sie die Ergänzungen an den inhaltlich passenden Stellen vornehmen.

Typische Themen, die Sie bedenken und gegenüber Ihren Mitarbeitern und Ihrer IT-Abteilung konkretisieren sollten:

  • Haben wir unsere Homeoffice-Mitarbeiter informiert bzw. angewiesen worauf beim Arbeiten im Homeoffice geachtet werden muss?
    • Kennt jeder Homeoffice-Mitarbeiter diese Regelung?
    • Wenn wir noch keine Homeoffice-Regelungen haben, was müssen wir gegenüber den Mitarbeitern ggf. regeln? i.d.R.:
      • private/geschäftliche Nutzung des Firmen-Equipments
      • Vorgaben ob private Hardware genutzt werden darf und wenn ja unter welchen Bedingungen, z.B.
        • Tastatur, Mouse und Headset auf Funkbasis sowie Gaming-Headsets sind untersagt
        • Vorgaben für private Rechner hinsichichtlich Sicherheit und Daten-Trennung privat/Firma
        • private Multifunktionsgeräte (Drucker) bergen ebenfalls ein Risikopotential hinsichtlich Angreifbarkeit und Datenspeicherung. Diese Geräte sollten idealer Weise tabu für die Homeofficenutzung sein.
      • Untersagung privater Software für Firmenaufgaben bzw. Softwarefreigaben ausschließlich über die IT-Abteilung
      • Schutzmaßnahmen vor unbefugter Einsicht und/oder Zugriffen
        • Definition „Unbefugte“
        • Verschlüsselungen, Bildschirmsperren, sichere Passworte (inkl. Aufbewahrung/Geheimhaltung und strikte Trennung von privaten Zwecken)
        • sichere Aufbewahrung und Transport der mobilen IT-Komponenten und ggf. der papierhafte Unterlagen
        • ggf. sichere Vernichtung von Papierdokumenten
        • Verhinderung des Mithörens von Unbefugten inkl. Sprachassistenten!
        • Aktivierung von WLAN, Bluetooth usw. nur bei Notwendigkeit
      • Zugang zu den Unternehmensdaten
      • Speicherorte von Dateien (Ziel sollte idealer Weise sein: Speichern nur auf den Netzlaufwerken / Servern. Keine lokalen Kopien)
      • Datensicherungsprozedere sofern nicht automatisch bei direktem Arbeiten auf dem Server
      • Welche Kommunikationskanäle stehen wie zur Verfügung, gibt es diesbzgl. ggf. entsprechende Anleitungen, „How ToDos“
      • Verhalten bei Sicherheitsvorfällen und/oder Geräte-/Netz-Störungen sowie Geräteverlusten
        • Definition „Sicherheitsvorfälle“
  • Technische Anforderungen die Ihre Homeoffice-Arbeitsplätze erfüllen sollen, hinsichtlich:
    • der Geräte inkl. der Sicherheits-Kofigurationen
      • des ggf. ergänzenden Equipments wie Tastatur, Mouse und Headset
    • der Zugänge zu den Unternehmens-Daten, z.B. VPN und 2-Faktor Authentifizierungen
    • der Zugriffe auf die Unternehmens-Daten
    • sichere Fernwartungsprozedere, -technik
      • Tipps: Bevorzugen Sie europäische Tools. Recherchieren Sie im Internet, ob es schon Sicherheitsvorfälle gab und wenn ja welche und ob diese Lücke ggf. geschlossen wurde oder auf unsichere Anwendung zurückzuführen ist, woraus Sie dann lernen können und es dann automatisch besser machen werden.
      • Kostenlose Versionen sind grundsätzlich erst einmal mit Vorsicht zu genießen: Die Verbindungsserver müssen bezahlt werden. Bei einer Remotesession, bei der der Desktop-Inhalt samt Änderungen (z.B. Navigation) übertragen werden müssen, fallen eine ganze Menge Daten an – multipliziert mit den Daten der Benutzer. Hier sollten Sie sich den Anbieter genau ansehen und prüfen, wie die kostenlose Nutzung gegenfinanziert wird. Auch bei TeamViewer ist eine datenschutz-sichere Nutzung ohne bezahlten Account nicht möglich, da bestimmte Verbindungsdaten von TeamViewer in der kostenlosen Version aufbewahrt und ausgewertet werden. Dies wird bei anderen Anbietern vermutlich nicht anders sein.
    • Datensicherungsprozedere sofern abweichend zum Normal-Betrieb
    • sind Schredder erforderlich zur Vernichtung von Papierdokumenten
    • ergänzend hier die aktuelle Information des BSI vom 18.03.2020
    • ergänzende Praxis-Tipps des Schweizer Bundesrats bzgl. Fernzugriffen vom 24.03.2020
  • Einsatz von arbeitsunterstützenden Tools
    • achten Sie bei der Auswahl Ihrer Tools darauf, dass Sie diese datenschutzkonform nutzen, d.h.
      • möglichst selbsthosten
      • wenn nicht selbstgehostet, dann sollte der Dienstleister einen AV-Vertrag nach Art. 28 DSGVO anbieten sofern es sich um ein Auftragsverarbeitungs-Verhältnis handelt
        • lassen Sie den AV-Vertrag von Ihrem Datenschutzbeauftragten checken, ob dieser allen Anforderungen korrekt entspricht und ob die TOMs (technischen und Organisatorischen Maßnahmen) in der Anlage des AV für Ihre Ziele ausreichend sind.
        • ein unbedachter Einsatz solcher Tools kann ein Sicherheitsrisiko für Ihre Geschäftsgeheimnisse und/oder den Schutz Ihrer personenbezogenen Daten darstellen. Empfehlung:
          Binden Sie Ihren Datenschutzbeauftragten bereits in die Tool-Auswahl ein.

Die vorgenannte Auflistung hilft Ihnen, an die wichtigsten Dinge zu denken, Sie müssen diese lediglich mit Ihren firmenindividuellen konkreten Vorgaben füllen und entsprechend gegenüber Ihren Mitarbeitern kommunizieren.

Aktuelle Ergänzung 20.05.2020: Eine Best-Practise-Checkliste zur Selbstüberprüfung hat das Bayerisches Landesamt für Datenschutzaufsicht hier veröffentlicht: Best-Practise-Checkliste Bayern. Veröffentlichungen der Aufsichtsbehörden aus den anderen Bundesländern haben wir Ihnen in unserem Blog-Beitrag „Homeoffices – Empfehlungen der Aufsichtsbehoerden“ verlinkt.

Aktuelle Ergänzung 24.03.2020: Im Corona-Rahmen des von der Bundesregierung initiierten Hackathon #WirVsVirus ist eine interaktive Checkliste bzgl. IT-Sicherheit im Homeoffice entstanden. Anhand dieses Checks können Sie schnell und einfach erkennen, ob Sie – z.B. als Kleinstunternehmen – an die wichtigsten Themen gedacht haben.

Ganz wichtig: Sensibilisieren Sie unbedingt sich und Ihre Mitarbeiter bzgl. Cyberattacken!

Cyberkriminelle nutzen sehr erfolgreich aktuelle Situationen, wie wir sie derzeit gerade erleben. Hier finden Sie ein aktuelles Corona-Phishing-Beispiel: https://www.verbraucherzentrale.nrw/aktuelle-meldungen/digitale-welt/achtung-phishing-wie-betrueger-die-coronakrise-in-emails-nutzen-45714

Ergänzend empfehlen wir zur schnellen Cybercrime-Sensibilisierung Ihrer Mitarbeiter das Video:

ONLINE-BETRUG Gefahren erkennen & abwehren

UPDATE zum Thema Cyber-Angriffe:

Auf dem Portal NO MORE RANSOME https://www.nomoreransom.org/de/index.html finden Sie ergänzende Informationen u.a. zur Vorbeugung von Verschlüsselungstrojanern und Entschlüsselungswerkzeuge.

Das BSI stellt hier https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html ebenfalls Informationen und 1. Hilfe-Infos zur Verfügung.

mb-datenschutz bleibt selbstverständlich auch während der Corona-Krise für Sie erreichbar!

Bleiben Sie gesund!

PS: Eine aktuelle Meldung, wie man es NICHT machen sollte: https://www.tagesspiegel.de/berlin/gefahren-durch-homeoffice-wegen-corona-justizverwaltung-riskiert-hacker-angriff-durch-usb-sticks/25650262.html