Schlagwortarchiv für: Home-Office

In den letzten neun Beiträgen wurden die wesentlichen Elemente für ein sicheres Arbeiten im Home Office dargestellt. Dabei wurden technische Aspekte angesprochen, wie die Geräteausstattung und der Support, die Einbindung der Mitarbeiter in die betriebliche Kommunikation sowie die Nutzung von Privatgeräten.

Aber auch organisatorische Fragestellungen wurden beleuchtet, wie die Notwendigkeit der Erstellung von Vorgaben und Regeln für das Arbeiten im Home Office, die Schulung dieser Regeln oder auch Überlegungen zum Umgang mit klassifizierten Informationswerten. Zur Erinnerung – bei der Klassifizierung geht es um die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und auch Authentizität.

In diesem abschließenden Artikel soll noch auf eine Feinheit in den Formulierungen eingegangen werden, die oftmals übersehen wird. „Home Office“, „Telearbeit“ und „mobiles Arbeiten“ werden häufig als identisch betrachtet, sind es aber nicht – und sind auch inhaltlich zu unterscheiden.

Telearbeit

„Telearbeit“ ist im Arbeitsrecht bereits lange Zeit vor der Corona-Pandemie bekannt und bedeutet, dass es für einen Mitarbeiter mehrere Arbeitsstätten geben kann – und eine dieser Arbeitsstätten kann sich in der eigenen Wohnung befinden. Diese Betrachtung bedeutet aber auch, dass die Behandlung dieser Arbeitsstätte in der eigenen Wohnung den gleichen Regeln unterliegt wie der Arbeitsplatz im Unternehmen, was z.B. die Ausstattung, die Ergonomie und generell die Verantwortlichkeit des Arbeitgebers für diese Arbeitsstätte betrifft. Außerdem ist bei Telearbeit die Einbindung des Betriebsrates zu beachten. Aus dem Blickwinkel der Informationssicherheit allerdings ist Telearbeit eher positiv einzuschätzen – eben wegen der umfangreichen Gestaltungsmöglichkeiten des Arbeitens.

Unterscheidung von “Home Office” und “mobilem Arbeiten”

„Home Office“ und auch „mobiles Arbeiten“ sind oftmals im juristischen Sinne nicht so strikt geregelt. Daher ist es notwendig, dass Arbeitnehmer und Arbeitgeber hier eine klare Abstimmung über die Rechte, Pflichten und Abläufe treffen. Einige Anregungen für die Inhalte dieser Abstimmung finden sich in den einzelnen Artikeln dieser Blogreihe.

Auch die beiden Begriffe „Home Office“ und „mobiles Arbeiten“ haben nicht die gleiche Bedeutung. Unter „Home Office“ wird das Arbeiten in der eigenen Wohnung des Arbeitnehmers verstanden. „Mobiles Arbeiten“ geht über diese Bedeutung hinaus. Zumeist bedeutet „mobiles Arbeiten“ das Erbringen der Arbeitsleistung an einem beliebigen Ort. Dies kann die eigene Wohnung sein, es kann aber auch das Zugabteil, die Parkbank oder das Hotelzimmer während einer Dienstreise sein. Entscheidend bei diesen beiden Formen ist, dass Arbeitnehmer beim Arbeiten im Home Office durchaus eigene Gestaltungsmöglichkeiten haben. Beispiele hierfür sind die Nutzung eines Schredders für Papierunterlagen oder des eigenen – vertrauenswürdigen – Internetzugangs. Dagegen sind die Möglichkeiten, die Arbeitsumgebung sicher zu gestalten, beim mobilen Arbeiten deutlich eingeschränkt. Daher ist es durchaus sinnvoll, bei dem Erstellen von Vorgaben und Richtlinien alle drei Arbeitsorte zu bedenken und die Regeln für das sichere Arbeiten entsprechend zu fixieren: für den Arbeitsplatz im Unternehmen, für das Home Office und auch für das mobile Arbeiten.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Blogartikel wurden die Schutzziele „Verfügbarkeit“ und „Vertraulichkeit“ für das Arbeiten im Home Office betrachtet. Zunächst wurde die mögliche Verletzung der Vertraulichkeit beim Transport von zumeist physischen Informationswerten zum häuslichen Arbeitsplatz angesprochen. Dies ist aber nicht das einzige Szenario. Man könnte auch hinterfragen, ob sich in den Räumlichkeiten „Smart Home“- oder ähnliche Gerätschaften befinden, wie z.B. die vorrangig im privaten Bereich genutzten Sprachassistenten, smarte Lautsprecher oder Fernsehgeräte mit Sprachsteuerung. Es ist bei solchen Geräten nicht jedem Benutzer immer klar, ob und unter welchen Bedingungen diese Geräte Umgebungsgeräusche aufzeichnen, auswerten oder weitergeben. Eine Verletzung der Vertraulichkeit des gesprochenen Wortes – z.B. in einem dienstlichen Telefonat oder auch in einer privaten Unterhaltung – könnte also durchaus möglich sein.

Schutzziel: Authentizität im Home Office

Neben den beiden bisher erwähnten Schutzzielen erweist sich auch das oft nicht ganz so präsente Schutzziel „Authentizität“ als beachtenswert. Es beinhaltet die überprüfbare „Echtheit“ von Systemen oder auch von Menschen. So möchte man z.B. sicher sein, dass die Webseite der eigenen Hausbank für das Homebanking „authentisch“ ist, also tatsächlich von der eigenen Hausbank stammt und keine gut gemachte Fälschung ist. Übertragen auf das Arbeiten im Home Office stellt sich also die Frage, wie die IT-Abteilung, der Mitarbeiter am Service Desk oder vielleicht sogar die Kollegen sicher sein können, dass ein eingehender Anruf tatsächlich authentisch ist, also wirklich vom eignen Mitarbeiter im Home Office stammt, und nicht von einem Unbefugten oder gar einem Angreifer. Die angezeigte Telefonnummer alleine reicht da nicht aus – sie könnte recht einfach gefälscht werden, was in Deutschland allerdings illegal ist. Auch ein Videobild alleine oder eine Ähnlichkeit in der Stimme sind nicht ausreichend – mit aktueller Technik sind recht erstaunliche Fälschungen von Gesichtern, Mimik und auch Tonfall von realen Menschen in Echtzeit möglich, so genannte „Deep Fakes“. Wie schwierig es ist, hier eine ausreichende Zuverlässigkeit zu erreichen, zeigt insbesondere die permanente Verfeinerung von Verfahren wie z.B. „Videoident“, welches in der Finanzbranche zur Legitimationsprüfung mittels Videokonferenz dient.

Lösungsmöglichkeit: Mehrere Faktoren im Home Office

Eine Möglichkeit, wie sichergestellt werden kann, dass ein Anruf auch tatsächlich von dem Mitarbeiter im Home Office stammt, wäre ein Rückruf zu der in den internen Stammdaten hinterlegten Rufnummer, z.B. auf das dienstliche Mobiltelefon. Eine mögliche Alternative könnte die Abfrage der Personalnummer sein, die als weiteres Merkmal zur Sicherstellung der Authentizität herangezogen werden könnte. Generell ist es für solche Szenarien immer eine gute Idee, einen zweiten Faktor mit einzubinden, sei es der Faktor „Wissen“ (wie beschrieben, die Personalnummer) oder der Faktor „Besitz“, wie z.B. bei der Nutzung einer Authenticator App auf einem Mobiltelefon. Dieser Ratschlag zur Nutzung von Zwei- oder Mehrfaktorauthentifikation gilt generell, nicht nur für das Arbeiten im Home Office.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Nachdem der Schwerpunkt der ersten Blogartikel eher auf technischen Fragstellungen gelegen hat, wurden in den letzten Beiträgen organisatorische und eher „softe“ Themen betrachtet, wie z.B. die Einbindung der Mitarbeiter in den innerbetrieblichen Informationsfluss oder die Notwendigkeit, bestehende Regelungen auf ihre Anwendbarkeit im Home Office zu prüfen und gegebenenfalls anzupassen. Zusätzlich sollten jedoch noch einige weitere Punkte betrachtet werden.

Schutzziel: Verfügbarkeit im Home Office

Die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität bilden die Basis vieler Überlegungen zur Informationssicherheit. Das Schutzziel Verfügbarkeit kann durch das Arbeiten im Home Office beeinträchtigt werden – wenn Informationswerte, insbesondere wenn es physische Informationswerte sind, in das Home Office mitgenommen werden. Nicht nur, dass diese Informationswerte den Mitarbeitern am Firmenstandort nicht mehr zur Verfügung stehen, es muss auch sichergestellt sein, dass diese Informationswerte wieder zurückgeführt werden. Es bietet sich daher an, z.B. im Klassifizierungsschema für physische Informationswerte entsprechende Handhabungsvorgaben zu machen, und natürlich muss der Verbleib des Informationswertes in der Inventarliste dokumentiert werden.

Diese Überlegung betrifft zumeist physische Informationswerte wie z.B. Modelle, Prototypen, Bauteile und auch ganze Systeme, weil diese Dinge sich oft nur schlecht vervielfältigen lassen. Elektronische Informationswerte sind dagegen oftmals vergleichsweise einfach zu duplizieren – es sei denn, die Vervielfältigung ist verboten oder wird technisch unterbunden.

Schutzziel: Vertraulichkeit

Auch für das Schutzziel der Vertraulichkeit finden sich solche nicht offensichtlichen Fragestellungen, wie z.B. die Überlegung, ob der Transport von Informationswerten zwischen dem Firmenstandort und dem häuslichen Arbeitsplatz ausreichend abgesichert ist. Es kann durchaus geschehen, dass ein Laptop gestohlen wird, dass eine Tasche in der S-Bahn vergessen wird oder man durch einen Unfall die mitgeführten Informationswerte nicht mehr wie vorgesehen beaufsichtigen kann. Der Verlust eines Laptops wird in diesen Fällen vielleicht vergleichsweise unproblematisch sein, da er hoffentlich verschlüsselt ist. Aber wie sieht es mit anderen mitgeführten Informationswerten aus, vor allem mit den weiter oben beschriebenen physischen Informationswerten?

Und noch ein Gedanke sollte bei den Vorgaben für das Arbeiten im Home Office betrachtet werden. Bei unternehmenseigenen Informationswerten müssen bei den Regelungen nur die eigenen Anforderungen und Einschätzungen berücksichtigt werden. Bei unternehmensfremden Informationswerten müssen vor allem die Vorgaben des Eigentümers der Informationswerte berücksichtigt werden. Es ist also möglich, dass das Mitführen oder Nutzen unternehmensfremder Informationswerte aus vertraglicher Sicht nicht zulässig ist.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Nachdem in den ersten Blogartikeln mit vorrangig technischen Aspekten begonnen wurden, soll hier an die eher organisatorischen Fragestellungen aus dem letzten Artikel angeknüpft werden. Aus einer rein technischen Sicht heraus ist das Arbeiten im Home Office mit einer passenden Ausstattung und bei geschäftlichen Abläufen, die eine Präsenz im Unternehmen nicht erfordern, vergleichsweise einfach umzusetzen. Mit Hilfe der im vorherigen Artikel beschriebenen Vorgaben gibt das Unternehmen den Rahmen vor, wie im außerhalb des Büros gearbeitet werden soll.

Dieser Rahmen erlaubt es, einen erheblichen Teil der internen Kommunikation auch im Home Office nachzubilden. Allerdings setzt es voraus, dass die technischen Möglichkeiten auch regelmäßig und intensiv genutzt werden, um die Mitarbeiter im Home Office in den internen Informationsfluss des Unternehmens auf eine Art und Weise einzubinden, die mit der bei vollständiger Büropräsenz vergleichbar ist. Oder anders gesagt: Man bekommt oft im Home Office vieles nicht mit, was im Unternehmen geschieht. Insbesondere der informelle Informationsfluss leidet oft, man vermisst den Smalltalk mit dem Gegenüber im Büro, bei der Raucherpause oder dem Weg in die Kantine.

Einen Teil zu diesem verringerten Informationsfluss kann auch die schlechtere Erreichbarkeit außerhalb des Büros beitragen. Nicht immer ist ein ablenkungsfreies und ungestörtes Arbeiten möglich, und gelegentlich werden die Freiheiten bei der Gestaltung der Arbeitszeiten auch genutzt – schließlich ist es ja entscheidend, dass die Ergebnisse stimmen, ODER? Insbesondere wenn es darum geht, schnell gemeinsame Entscheidungen außerhalb der gewohnten Abläufe zu treffen, kann sich eine eingeschränkte Erreichbarkeit durchaus negativ auswirken.

Führungsstil und Vertrauen

Somit wird klar, dass sich auch die Tätigkeiten und Herausforderungen im Bereich Mitarbeiterführung erweitern. Ein eng angelegter Führungsstil, der in hohem Maße auf direkter Kontrolle und unmittelbarer Ansprache beruht, funktioniert im Home Office vermutlich eher schlecht. Vielmehr dürfte ein ergebnisorientiertes, vertrauensvolles Anleiten durch den Vorgesetzten eher zu guten Ergebnissen führen. Dazu gehört natürlich auch, dass es Vorgaben und Richtlinien für das Arbeiten im Home Office geben muss, die den geänderten äußeren Bedingungen Rechnung tragen. Home Office bietet dem Arbeitnehmer zwar Gestaltungsmöglichkeiten und Vorteile, darf aber nicht mit absoluter Freiheit und „Wild West“ verwechselt werden. Und dazu kann es auch gehören, dass Arbeitsweisen oder Abläufe anders geregelt, manchmal sogar neu erschaffen oder zumindest entsprechend abgesprochen werden.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Nach zwei Jahren der Pandemie kann man schon einmal Bilanz ziehen: Was hat gut geklappt, und an welchen Stellen muss noch nachgebessert werden? Von einem pragmatischen Standpunkt und rein aus der Funktionalität heraus ist das Arbeiten im Home-Office für viele von uns zur neuen Normalität geworden. Allerdings ist das noch lange kein Anlass, sich auf dem Erreichten auszuruhen.

Wie wir in einem vorherigen Beitrag bereits angedeutet hatten, müssen neben den technischen Fragestellungen auch viele rechtliche, organisatorische, methodische und auch psychologische Fragestellungen beantwortet werden, bevor man wirklich von einem sicheren und datenschutzkonformen Arbeiten im Home-Office sprechen kann.

So sind beispielsweise Regelungen für das Drucken im Home-Office durchaus notwendig – und dabei geht es nicht voranging um die Kosten für Papier oder Druckertinte, es geht vielmehr um die Details des Drumherum. Darf ich rein formal überhaupt mein privates Equipment für dienstliche Zwecke nutzen, oder besteht ein Verbot des Arbeitgebers? Und wenn ich es darf – ist es mir technisch möglich, den passenden Druckertreiber zu installieren? Speichert der Drucker vielleicht den Dokumenteninhalt langfristig? Wie soll ich die Ausdrucke im Home-Office lagern, damit auch Familienmitglieder oder gar Besucher keinen Einblick erhalten können? Habe ich eine sichere Transportmöglichkeit, um die Ausdrucke bei Nichtgebrauch in der Firma sicher entsorgen zu können? Oder ist es akzeptabel, wenn ich stattdessen den privaten Shredder zur Vernichtung benutze? Schon so einfache Fragen wie die nach dem Drucken im Home-Office erzeugen einen weitreichenden Klärungsbedarf – und diese Fragen müssen geklärt werden, weil die angesprochenen Lücken ansonsten offen bleiben.

Auch weniger technische Aspekte wie z.B. die Einbindung aller Beteiligten in die innerbetrieblichen Informationsflüsse, das Aufrechterhalten des Austauschs mit den Kollegen und viele weitere Punkte müssen umgesetzt sein, damit das Arbeiten außerhalb der betrieblichen Räumlichkeiten zu einem Erfolgsmodell wird, ohne das bestehende Sicherheitsniveau zu gefährden. Denn durch diese neue Normalität kommen auch neue Gefährdungen der Informationssicherheit hinzu.

So ist es z.B. durchaus nachvollziehbar, dass man sich in seinen eigenen vier Wänden sicher fühlt, und dadurch leider unvorsichtiger wird – und schon öffnet man eine angebliche Mail von einem IT-Dienstleister, in der die Vergrößerung des Postfachs angeboten wird. Im dienstlichen Umfeld dagegen hätte man diese Mail vielleicht als Phishingversuch erkannt, z.B. durch einen kurzen Gedankenaustausch mit dem Kollegen gegenüber.

Nun ist das Home-Office sicher keine neue Erfindung. Einige Anregungen zur sicheren und datenschutzkonformen Gestaltung des Arbeitens im Home-Office finden sich bereits in etablierten Normen und Standards, wie z.B. dem „IT-Grundschutz“ des BSI oder in der ISO 27001.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den bisherigen Blogbeiträgen wurden einige technische und organisatorische Aspekte betrachtet, die bei der sicheren Gestaltung von Home Office zu beachten sind. In den meisten der Artikel fanden sich Hinweise auf zu regelnde Fragestellungen, wie z.B. die dienstliche Nutzung privater Peripherie oder Gedanken zur Datensicherung. Dies zeigt: man kann den „menschlichen Faktor“ nicht hoch genug bewerten, wenn es um die Etablierung eines angemessenen Niveaus von Informationssicherheit geht, auch und gerade beim Arbeiten im Home Office!

Man kann nicht erwarten, dass sich alle Mitarbeiter von sich aus sicher verhalten, wenn es von Seiten des Unternehmens keine Vorgaben und Handreichungen gibt, was genau zu einem sicheren Verhalten gehört. Diese Art von Vorgaben und Regeln gibt es für das Arbeiten im Unternehmen selber, wo ihre Einhaltung vom Vorgesetzen, vielleicht auch von den Kollegen, nachverfolgt und gegebenenfalls angemahnt wird. Es sollte an die Mitarbeiter klar kommuniziert werden, dass es eine vergleichbare Erwartungshaltung auch für die Tätigkeit im Home Office gibt.

Einige der bisherigen Vorgaben gelten sicher genauso wie im Büro (z.B. das Verhalten am Telefon), einige Regeln müssen vielleicht für die Arbeit im Home Office ergänzt oder präzisiert werden (z.B. bezüglich des Speicherns von neuen Dokumenten), und wieder andere Regeln sind hauptsächlich für das Arbeiten außerhalb des Unternehmens gedacht (z.B. die Möglichkeit des Einsehens von Bildschirminhalten), oder müssen für das Arbeiten im Home Office überhaupt erst getroffen werden, wie z.B. Vorgaben zur Nutzung von privater Peripherie am Firmenrechner.

Erster Schritt: Regelungen treffen!

Eine erste Aufgabe des Unternehmens besteht also darin, diese Regelungen überhaupt erst einmal zu treffen, und sie dann natürlich auch zu kommunizieren. Zum Kommunizieren kann auch gehören, Abläufe oder neue Tools zu erklären, Unterschiede zwischen Büro und Home Office aufzuzeigen oder Hilfestellungen zu geben, z.B. durch Checklisten, Unterstützung bei der Einrichtung des häuslichen Arbeitsplatzes oder der Möglichkeit für Rückfragen und Klarstellungen.

Dieses Herangehen erzeugt nicht nur ein für beide Seiten klar geregeltes Umfeld, sondern ermöglicht es auch dem Mitarbeiter, sich bewusst sicher zu verhalten. Schließlich gibt es im privaten Umfeld Umstände, die das sichere Arbeiten durchaus beeinflussen können, wie z.B. kleine Kinder, die dem Elternteil gerne mal über die Schulter schauen, fehlende Vernichtungsmöglichkeiten für Papier und vieles mehr … Und man ist im Home Office ohne Kollegen oder Vorgesetzte, die auf die Einhaltung der Vorgaben hinweisen …

Doch dazu mehr im kommenden Blogartikel.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den bisherigen Artikeln zum sicheren Arbeiten im Home Office wurde deutlich, dass die breite Nutzung von Home Office auch als Türöffner für die Digitalisierung und Weiterentwicklung von betrieblichen Prozessen gesehen werden kann. Wichtig ist hierbei, dass die Regelungen und Vorgaben aus dem betrieblichen Umfeld nicht immer 1-zu-1 direkt auf das Arbeiten im häuslichen Umfeld übertragen werden können. Sicher soll das Home Office sein, aber auch praktikabel und mit überschaubarem Aufwand zu gestalten.

Eine häufig auftretende Fragestellung in diesem Themengebiet ist die nach der Privatnutzung: Ist es statthaft, private Geräte (oder private Peripherie) für dienstliche Zwecke zu nutzen? In Diskussionen hierzu findet sich oft die Abkürzung BYOD – „Bring Your Own Device“. Aber auch die entgegengesetzte Fragestellung sollte beantwortet werden: Ist die private Nutzung von dienstlicher Ausstattung zulässig? Die eigentliche Schwierigkeit bei der Beantwortung entsteht durch die Vermischung von dienstlichen und privaten Inhalten. So ist es ohne zusätzliche Maßnahmen kaum möglich, die privaten Fotos auf dem Mobiltelefon von den dienstlichen zu unterscheiden, ebenso wie die gespeicherten Kontakte oder die versendeten Emails. Es zeigt sich somit der Konflikt zwischen Arbeitnehmerrechten und Datenschutz auf der einen Seite und dem berechtigten Interesse des Unternehmens an dem Schutz sensibler Informationen auf der anderen Seite.

Ansatz 1: Strikte Trennung

Als sinnvoll haben sich hier nur zwei Lösungsansätze erwiesen. Da wäre als erster Ansatz die strikte Trennung von dienstlicher und privater Nutzung – dienstliche Informationen dürfen ausschließlich auf dienstlichen Geräten verarbeitet werden. Dieser Ansatz ist einfach zu verstehen, erfordert aber Konsequenz und auch einigen Aufwand in der Umsetzung: externer Monitor, Maus und Tastatur für ein ergonomisches Arbeiten, vielleicht noch einen Drucker oder weitere Peripherie … Was oft vergessen wird: wenn hier nicht die im Unternehmen übliche Standardperipherie gestellt wird, neigen Nutzer dazu, ersatzweise bereits vorhandene private Peripherie zu nutzen, die nicht immer sicher ist (z.B. nicht durchgeführte Firmwareaktualisierung beim privaten Drucker oder Nutzung des Smart-TV als Monitor), oder die durch notwendige Treiberinstallationen einen erhöhten Supportaufwand in der IT-Abteilung erzeugen.

Ansatz 2: MDM

Insbesondere für Mobilgeräte bietet sich als Lösung für das angesprochene Problem der Vermengung privater und dienstlicher Daten ein „Mobile Device Management“ (MDM) an. Diese Art von Software dient der zentralen Verwaltung der dienstlichen Mobilgeräte und ermöglicht – zumeist durch Containerisierung – die vollständige Trennung von dienstlichen und privaten Inhalten. Dadurch ist es beispielsweise möglich, den dienstlichen Container mitsamt den dienstlichen Inhalten komplett aus der Ferne zu löschen, ohne dass die privaten Inhalte außerhalb des dienstlichen Containers betroffen wären.

Es zeigt sich im Verlauf dieser Artikelserie deutlich, dass es für ein sicheres Arbeiten im Home Office in hohem Maße auf organisatorische Regelungen und Überlegungen ankommt, um nicht nur das Arbeiten sicher zu machen, sondern um auch für die Weiterentwicklung und Verbesserung der betrieblichen Abläufe einen Nutzen zu generieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wie wir in dem vorherigen Artikel beschrieben hatten, bietet die Einführung und dauerhafte sichere Nutzung des Arbeitens im Home Office vielfach Anlass oder sind Auslöser, um Abläufe und Prozesse im eigenen Unternehmen zu überdenken und zu digitalisieren. Dazu gehören natürlich auch Prozesse zum Support und zur Infrastruktur.

Internetbasierte Lösungen

In der Zeit des ersten Lockdowns war es für die IT-Abteilungen oftmals eine große Herausforderung, ausreichend Geräte und Einwahlverbindungen für alle Mitarbeiter für die mobile Nutzung von zu Hause zur Verfügung zu stellen. Andererseits zeigt sich an dieser Stelle deutlich ein Vorteil von internetbasierten Lösungen: man benötigt eben keine Einwahlverbindung für das Speichern der soeben frisch erstellten Dokumente oder zum Starten einer Videokonferenz mit den Kollegen, wenn auf diese Dienste per Internet zugegriffen werden kann.

Ein weiterer Sicherheitsaspekt ist die zentrale Ablage – es gibt keinen Grund mehr, Dateien lokal auf dem Rechner abzulegen, um sie „später“ hochzuladen, d.h. man führt die Dateien auch nicht mehr mit sich, ein Verlust (im Sinne von: ich kann die Inhalte nicht wiederherstellen) ist ausgeschlossen. Voraussetzung ist natürlich ein zuverlässiger Betrieb einer solchen Lösung, damit sie von den Mitarbeitern auch angenommen und akzeptiert wird. Zugleich ergibt sich in einer solchen Konstellation die Möglichkeit, das Backup von Endanwendergeräten komplett zu überdenken – warum sollten diese Geräte gesichert werden, wenn alle relevanten Daten zentral abgelegt sind und sowohl vom Firmengelände aus als auch im Home Office jederzeit genutzt werden können? Die dargestellte Konstellation erleichtert also auch für die IT-Abteilungen das Anfertigen von Datensicherungen, da sich alle relevanten Dateien nur in einigen wenigen, bekannten Systemen befinden.

Turnschuhadministration vs Fernwartung

Dafür kommt auf die IT-Abteilungen eine andere Herausforderung zu: Wie erfolgt der Support der Mitarbeiter im Home Office? Während in großen Unternehmen häufig schon vor der Pandemie Lösungen zur Fernwartung umgesetzt waren, findet man in kleineren Unternehmen solche Konzepte nicht so oft – schließlich hat man ja kurze Wege, und „Turnschuhadministration“ funktioniert im Büro sehr zuverlässig. Man wird also kaum umhinkommen, für die Sicherstellung der technischen Unterstützung im Home Office eine Lösung zur Fernwartung zu etablieren.

Datensicherung, Patchmanagement und technischer Support sind neben den in einem vorherigen Artikel angesprochenen organisatorischen Fragestellungen Punkte, die für ein sicheres Arbeiten im Home Office in technischer Hinsicht unbedingt betrachtet werden sollten.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Unverbesserliche Optimisten sehen in allen Situationen immer auch die positiven Aspekte. So ermöglichen die Erfahrungen mit den aus der Not heraus getroffenen Maßnahmen zu Beginn der Corona-Pandemie – die Pflicht zum Home-Office und das Homeschooling – einen schärferen Blick darauf, wie Prozesse und Abläufe in Unternehmen und der Verwaltung sich verändern müssen, um vom technologischen Fortschritt in einem größeren Umfang als bisher zu profitieren. Das Arbeiten im Home-Office erweist sich dabei als ein „Türöffner“.

Hierzu gehört mit Sicherheit auch eine geänderte Art der Kommunikation. Viele Menschen haben Erfahrungen mit Videokonferenzen gesammelt, die notwendige Ausstattung (Headset, Webcam) ist mittlerweile weit verbreitet und wird wie selbstverständlich genutzt. Und falls es noch nicht geschehen sein sollte, wäre es spätestens jetzt an der Zeit, von Unternehmensseite das weitere Vorgehen festzulegen, z.B. durch das Bestimmen der künftig zu nutzenden Plattformen und Anbieter. Aus organisatorischer Sicht gehören das Abschneiden alter Zöpfe und die Berücksichtigung der technologischen Möglichkeiten bei der Einführung neuer Prozesse dazu, genauso wie die Einbindung der Mitarbeiter. Nur so ist es möglich, neben der Verbesserung der Informationssicherheit auch Nutzen aus den geänderten Arbeitsweisen zu ziehen.

So ist z.B. in den Produkten vieler Festnetzanbieter auch die Möglichkeit zur softwarebasierten IP-Telefonie enthalten. Dadurch ist es möglich, Anrufe mit der dienstlichen Festnetznummer nicht nur aus dem Büro heraus zu tätigen, sondern auch vom Rechner im Homeoffice aus.  Benötigt wird lediglich das Headset, die Software für IP-Telefonie auf dem eigenen Rechner sowie ein Internetzugang – und die Vermischung von dienstlichen und privaten Telefonaten auf dem privaten Telefonanschluss ist Vergangenheit. Nicht zuletzt aus der Sicht von Datenschutz und Informationssicherheit eine deutliche Verbesserung, auch die Privatsphäre der Mitarbeiter wird so geschützt.

Zu den Veränderungen gehört auch das Erlernen von neuen Verhaltensweisen und Regeln. Nicht alles, was technisch möglich ist, ist auch immer erlaubt. So bieten Videokonferenzlösungen die Möglichkeit, Gespräche aufzuzeichnen – was allerdings rechtlich durchaus bedenklich ist. Ob und unter welchen Umständen derartige Aufzeichnungen zulässig sind, muss nicht nur vorher zuverlässig geklärt, sondern auch den Mitarbeitern vermittelt werden. Denn nur mit einer sicheren und rechtlich einwandfreien Nutzung werden sich die neuen Arbeitsweisen dauerhaft etablieren.

Für einen erfolgreichen Einstieg in die Gestaltung des Arbeitens im Home-Office haben wir unser eintägiges, praxisorientiertes Seminar entwickelt, in dem die Fragestellungen aus diesem und den vorherigen Artikeln  vertieft werden und das dabei unterstützen soll, das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform zu organisieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der dritte Teil unserer Podcast-Serie „Security im Home-Office“

In den letzten beiden Folgen unserer Home-Office-Serie ging es um praktische Themen wie das Dokumentenmanagement, die digitale Signatur, den Unterschied zwischen Home-Office, mobilem Arbeiten und Telearbeit sowie Vorgaben aus Sicht der Informationssicherheit und der Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu diesem Thema.

Im dritten Teil schauen unsere Berater Andreas Kondek und Andreas Lange nun auf den Mitarbeiter selbst, welche Auswirkungen das Home-Office auf das Miteinander im Büro hat, welche Gefahren durch die Isolierung im Home-Office aus Sicht der Informationssicherheit entstehen und wie Angreifer das Arbeiten im Home-Office für Ihre Zwecke nutzen. Auch auf die Bedeutung von Awareness Maßnahmen in dieser besonderen Situation werfen die beiden dabei einen Blick.

Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Schlagwortarchiv für: Home-Office