Arbeit vom heimischen Tisch aus: Die Rechtsanwaltskanzlei Michaelis gibt Tipps für Datensicherheit im Homeoffice. | © imago images / Sven Simon Foto: imago images / Sven Simon

Tipps vom Datenschutzbeauftragten

IT-Sicherheit im Homeoffice – was jeder Einzelne tun kann

Harald Müller-Delius

Aktuell ist noch nicht abzusehen, wie weit sich das neuartige Coronavirus noch verbreiten und wie viel Schaden entstehen wird. Tatsache ist, dass auch Einflüsse auf die tägliche Arbeit im Unternehmen die Folge sind. Unabhängig der Auswirkungen in der realen Welt sei hierbei angemerkt, dass die Parallelitäten zwischen Offline- und Online-Welt erschreckend sind: ungeschützte Individuen sind einem hohen Infektionsrisiko ausgesetzt und tragen zur weiteren Verbreitung bei. Je länger die Inkubationszeit, desto schwieriger ist es auch, die Verbreitung einzudämmen.

Allerdings gilt auch für die Daten-Welt: virtuelles Händewaschen kann jeder Einzelne umsetzen. Dabei sind einfache Hygienemaßnahmen wie virtuelles Desinfizieren („Einsatz von Virenscannern“), tragen von Mundschutz („Firewalls“) und vermeiden von Risikogebieten („Einsatz sicherer IT, nutzen seriöser Internetangebote und Software“) beste Ratgeber.

Sicherheit im Homeoffice – kein Wunschkonzert

Die gesetzlichen Grundlagen der Datenschutzgrundverordnung (DSGVO) sind klar: Unternehmen haben dafür zu sorgen, dass personenbezogene Daten bei der Verarbeitung hinreichend geschützt sind - das betrifft nun grundsätzlich ausnahmslos jedes Unternehmen. Dafür wurden und werden Sicherheitsvorkehrungen, Konzepte, Richtlinien und Maßnahmen im Unternehmen definiert und eingerichtet, die dafür Sorge tragen, dass die Rechte von Betroffenen eingehalten, unberechtigter und ungewollter Datenabfluss oder -änderung vermieden und Verfügbarkeit garantiert werden.

Im Unternehmen selbst lassen sich deren Installation und Beachtung in der Regel gut umsetzen. Die gleichen Anforderungen gelten allerdings natürlich auch für jede Außenstelle oder externe Verarbeitung, also auch fürs Homeoffice.

Aus aktuellem Anlass hat nun - bei geeigneter Tätigkeit - die Arbeit vom Homeoffice aus überraschend Popularität gewonnen. Beachtet werden hierbei muss sowohl vom Unternehmen als auch vom Mitarbeiter, dass das definierte Datenschutz- und Sicherheitsniveau des Unternehmens auch im Homeoffice nicht unterschritten wird.
Und, aus Praxiserfahrung, dürfte wohl eher vermutet werden, dass dies eher weniger im Alltag vorzufinden sein mag.
Wie so oft bedarf es bei der Umsetzung folgender Maßnahmen der Unterstützung durch professionelle IT-Fachleute, allerdings kann man auch als Laie zumindest notwendige Punkte klären lassen oder besprechen.

Die Umsetzung

Natürlich gibt es einige mögliche Ansätze für konformes Arbeiten im HomeOffice. Richtig bewährt hat sich allerdings das Prinzip der Datenminimierung: was nicht extern gespeichert oder verarbeitet wird, muss auch nicht geschützt werden.

Dafür kommen als alltagstaugliche Lösung zwei Möglichkeiten in Betracht: die Datenverarbeitung per Browser-Anwendung oder sog. Terminal-Server-/Fernzugriff. Bei beiden Möglichkeiten dient der häusliche PC oder das Notebook nur als „Sichtgerät“ auf die Unternehmensanwendung. Damit wird das Unternehmen im Prinzip in’s Haus geholt, die eigentliche Verarbeitung findet nach wie vor auf unternehmenseigenen gesicherten Systemen statt und nach Beendigung der Tätigkeit verbleiben keinerlei Daten physisch zu Hause. Andere Verfahren würden eine Duplizierung oder einen physischen Transport mit den Risiken des Verlustes oder des unberechtigten Zugriffs mit sich bringen.

Die Risiken

Voraussetzung für ein sicheres Arbeiten sind folgende Maßnahmen:

1.  Verschlüsselung
Die Browser-Anwendung verlangt eine sichere https-Verbindung, auf den unternehmenseigenen Terminal-Server wählt man sich per VPN ein, in beiden Fällen wird Ihre „private“ Internetanbindung verwendet. Aktuelle Verschlüsselungsverfahren und Zertifikate sind hierbei Voraussetzung. Eine VPN-Verbindung schlägt sozusagen eine sichere Schneise durch den wilden Dschungel des Internets. Und wenn Sie per WLAN von der Couch aus arbeiten, sollte natürlich auch ein sicheres WLAN-Passwort und aktuelle WLAN-Technologie verwendet werden.

2.    Technik
Kurz gesagt: vom Unternehmens-Server bis zum Verarbeitungsgerät vor Ort sollte „sichere“ IT eingesetzt worden sein. Idealerweise findet auch die häusliche Verarbeitung auf vom Unternehmen gestellter Hardware statt. Wird private IT eingesetzt, besteht immer die Gefahr, veraltete IT zu verwenden für die bekannte Sicherheitslücken existieren, deren Betriebssysteme nicht aktuell oder mit den notwendigen Updates versorgt sind oder durch Installation privater Software auch Schadsoftware mit auf den Rechner gelangt ist. Die Risiken gehen von der Anfertigung regelmäßiger Screenshots des PCs, das Mitschneiden von Tastatureingaben, das Infiltrieren der Unternehmens-IT durch Schadsoftware, Mitschnitte der Kommunikation, Beeinflussung von Kollegen durch Fake-Messages, Löschen oder Zwangsverschlüsselung von Daten bis hin zur Nutzung von Unternehmensressourcen für fremde Zwecke.

Mehr zum Thema
nach oben