Nicht erst seit der Corona Pandemie taucht der Begriff HomeOffice in der öffentlichen Diskussion des Öfteren auf. Daher verwundert es nicht, wenn man entsprechende Anforderungen auch im VDA-ISA-Katalog (TISAX®) findet – allerdings unter der Bezeichnung „Mobiles Arbeiten“ …
Mobiles Arbeiten bezeichnet in der Informationssicherheit das Arbeiten außerhalb des eigenen Firmenstandortes. Die Arbeitsleistung kann dabei sowohl in der Privatwohnung („HomeOffice“) als auch außerhalb der Privatwohnung erbracht werden, z.B. beim Treffen in den Räumlichkeiten von Kunden, während der Bahnfahrt oder im Hotel. Wesentlich sind hier die unterschiedlichen Möglichkeiten des mobil Arbeitenden, Einfluss auf seine Umgebung zu nehmen. In der eigenen Wohnung kann man die Arbeitsumgebung meist sicher gestalten, z.B. mit abschließbaren Ablagen für Papiere oder Modelle, oder indem das Mithören von Gesprächen durch geschlossene Türen und Fenster verhindert wird. Genau diese Möglichkeit, die Umgebung, in der die dienstliche Tätigkeit erbracht wird, zu Gunsten der Informationssicherheit zu gestalten, hat man in der Bahn oder beim Treffen mit Kunden meist nicht.
TISAX® – Risiko Reise
Viele der Gefährdungen entstehen dadurch, dass Informationswerte (Assets – siehe Beitrag Asset Management) bei der Reise mitgeführt und durch sehr verschiedenartige Szenarien bedroht werden. Der Verlust durch Diebstahl ist dabei ein recht offensichtliches Szenario. Verletzungen der Vertraulichkeit können aber auch durch Einsichtnahme geschehen, z.B. durch Behörden beim Grenzübertritt oder durch die Nutzung von nicht ausreichend abgesicherten Kommunikationsverbindungen. Letztlich kann eine Offenlegung aber auch durch eine unbedachte Nutzung durch den eigenen Mitarbeiter erfolgen – Stichworte wären hier „Lautes Telefonieren in der Öffentlichkeit“ oder „Einsichtnahme von Bildschirminhalten in dar Bahn oder in Flugzeugen“ … Daher werden diese Szenarien (Offenlegung bei Reisen, Verhalten bei Grenzübertritten, Vorkehrungen gegen Diebstahl u.v.a.m.) auch im VDA-ISA-Katalog, in dem Control zum mobilen Arbeiten, thematisiert.
Mögliche Maßnahmen
Die genannten Beispiele zeigen, dass es gerade beim mobilen Arbeiten in hohem Maße auf die Verlässlichkeit der eigenen Mitarbeiter ankommt, und zwar sowohl durch die Beachtung der Vorgaben des Unternehmens für das mobile Arbeiten, als auch durch das bewusste „Mitdenken“ von Gefährdungen der Informationssicherheit, die in den Vorgaben vielleicht nicht genannt sind.
Von Seiten des Arbeitgebers sollten die mobil Arbeitenden hinsichtlich der bestehenden Gefährdungen angemessen sensibilisiert werden, z.B. durch Schulungen, durch Vorgaben zum Arbeiten im HomeOffice, zum Verhalten während einer Dienstreise oder auch zu Reisen ins Ausland. Die Sensibilisierung sollte dabei auch durch Checklisten, Reisehinweise, Notfallkontakte und ähnliche Materialien unterstützt werden. Und aus diesem Grund findet sich das Thema “Sensibilisierung und Awareness” nicht nur im VDA-ISA-Katalog, sondern eigentlich in allen Standards zur Informationssicherheit.
Bei genauer Betrachtung wird man feststellen, dass viele der genannten Aspekte eine mehr oder weniger starke Verbindung zu anderen Elementen des ISMS haben, und sich daher an einigen Stellen des VDA-ISA-Kataloges wiederfinden lassen. So könnte man z.B. das HomeOffice als eine mögliche Zone im Zonenkonzept betrachten. Auch das Asset Management könnte sich wiederfinden lassen, z.B. beim Mitführen von Informationswerten oder der Vernichtung von Datenträgern (Papier) im HomeOffice. Oder bei der Umsetzung der Klassifizierung …
Der Aspekt der physischen Sicherheit, der in diesem Artikel an einigen Stellen angerissen wurde, wird im Mittelpunkt des nächsten Blogartikels stehen.
Was Sie auch interessieren könnte:
Seminar:
„TISAX® – Informationssicherheit in der Automobilindustrie“
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!