Sicheres Arbeiten im Home Office – Was sonst noch bleibt…

Nachdem der Schwerpunkt der ersten Blogartikel eher auf technischen Fragstellungen gelegen hat, wurden in den letzten Beiträgen organisatorische und eher „softe“ Themen betrachtet, wie z.B. die Einbindung der Mitarbeiter in den innerbetrieblichen Informationsfluss oder die Notwendigkeit, bestehende Regelungen auf ihre Anwendbarkeit im Home Office zu prüfen und gegebenenfalls anzupassen. Zusätzlich sollten jedoch noch einige weitere Punkte betrachtet werden.

Schutzziel: Verfügbarkeit im Home Office

Die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität bilden die Basis vieler Überlegungen zur Informationssicherheit. Das Schutzziel Verfügbarkeit kann durch das Arbeiten im Home Office beeinträchtigt werden – wenn Informationswerte, insbesondere wenn es physische Informationswerte sind, in das Home Office mitgenommen werden. Nicht nur, dass diese Informationswerte den Mitarbeitern am Firmenstandort nicht mehr zur Verfügung stehen, es muss auch sichergestellt sein, dass diese Informationswerte wieder zurückgeführt werden. Es bietet sich daher an, z.B. im Klassifizierungsschema für physische Informationswerte entsprechende Handhabungsvorgaben zu machen, und natürlich muss der Verbleib des Informationswertes in der Inventarliste dokumentiert werden.

Diese Überlegung betrifft zumeist physische Informationswerte wie z.B. Modelle, Prototypen, Bauteile und auch ganze Systeme, weil diese Dinge sich oft nur schlecht vervielfältigen lassen. Elektronische Informationswerte sind dagegen oftmals vergleichsweise einfach zu duplizieren – es sei denn, die Vervielfältigung ist verboten oder wird technisch unterbunden.

Schutzziel: Vertraulichkeit

Auch für das Schutzziel der Vertraulichkeit finden sich solche nicht offensichtlichen Fragestellungen, wie z.B. die Überlegung, ob der Transport von Informationswerten zwischen dem Firmenstandort und dem häuslichen Arbeitsplatz ausreichend abgesichert ist. Es kann durchaus geschehen, dass ein Laptop gestohlen wird, dass eine Tasche in der S-Bahn vergessen wird oder man durch einen Unfall die mitgeführten Informationswerte nicht mehr wie vorgesehen beaufsichtigen kann. Der Verlust eines Laptops wird in diesen Fällen vielleicht vergleichsweise unproblematisch sein, da er hoffentlich verschlüsselt ist. Aber wie sieht es mit anderen mitgeführten Informationswerten aus, vor allem mit den weiter oben beschriebenen physischen Informationswerten?

Und noch ein Gedanke sollte bei den Vorgaben für das Arbeiten im Home Office betrachtet werden. Bei unternehmenseigenen Informationswerten müssen bei den Regelungen nur die eigenen Anforderungen und Einschätzungen berücksichtigt werden. Bei unternehmensfremden Informationswerten müssen vor allem die Vorgaben des Eigentümers der Informationswerte berücksichtigt werden. Es ist also möglich, dass das Mitführen oder Nutzen unternehmensfremder Informationswerte aus vertraglicher Sicht nicht zulässig ist.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.