In den letzten Jahren ist das Homeoffice immer mehr im Alltag der Arbeitswelt angekommen. Nun bietet diese „freie“ Art zu arbeiten einige Risiken für die IT-Sicherheit und damit für den Datenschutz. In diesem Beitrag wollen wir darauf eingehen und die wichtigsten Punkte betrachten, wie man die Lage verbessern kann.
Welche Datenschutz-Risiken gibt es im Homeoffice?
Die Risiken für den Datenschutz sind vielfältig und dies erst recht im Homeoffice. Dabei ist zu beachten, dass diese sich in Teilen besonders durch das häusliche Umfeld von den Risiken im Unternehmen bzw. in einer kontrollierten Umgebung unterscheiden. So sind im Blick des Datenschutzes verschiedene Arten von Risiken bzw. den Folgen zu unterscheiden, z. B.: Verletzung der Vertraulichkeit, Verlust der Daten, Verlust der Integrität und Einschleusung von Schadsoftware.
Zu den Risiken gehört beispielsweise die Entsorgung von vertraulichen Informationen über den normalen Hausmüll oder auch die Speicherung auf privaten Endgeräten. In diesem Fall haben wir daher das Risiko „Verlust der Vertraulichkeit“. Ebenso ist grundsätzlich vom Risiko eines Datenverlusts und damit dem Verlust der Integrität auszugehen, wenn die Daten außerhalb des Unternehmensnetzwerkes gespeichert werden und dadurch nicht mehr in der Datensicherung beinhaltet sind. Aber wichtig ist auch der Fakt, dass Zuhause kein Einfluss auf das Netzwerk genommen werden kann und dadurch die Einschleusung von Schadsoftware möglich ist. Wird diese eingeschleust, ist grundsätzlich von einem Vertraulichkeitsverlust, einem Datenverlust und einem Integritätsverlust auszugehen, bis das Gegenteil bewiesen ist.
Es zeigt sich, dass die Angriffe bzw. die Risiken im Homeoffice vor allem durch die unkontrollierte Umgebung entstehen. Daher ist es notwendig, Gegenmaßnahme zu treffen, welche ein Grundmaß an Kontrolle über die „fremde“ Umgebung bietet.
Wie kann ich mich vor diesen Gefahren schützen?
Doch nun stellt sich die Frage, welche Maßnahmen ergriffen werden können, um das Homeoffice möglichst sicher zu gestalten. Nachfolgend zeigen wir ein paar Maßnahmen auf, welche z. B. geeignet sind. Es gilt dabei jedoch, dass es sich um individuelle Entscheidungen handelt, welche jeweils im Einzelfall betrachtet werden müssen.
Eine zentrale Technik sollte hierbei der Einsatz einer VPN sein, welcher die Verbindung zum Unternehmenswerk sichert und über welche sämtliche Unternehmensprozesse laufen. Ebenso sollte stets eine aktuelle Antivirenlösung auf den Endgeräten installiert sein, welche regelmäßig Updates erhält. Dadurch ist die Kommunikation und das Endgerät abgesichert. Die Verschlüsselung des Systems und der Einsatz von MFA ergänzen die getroffenen Maßnahmen.
Organisatorisch sollte via Richtlinie angeordnet werden, dass die Daten ausschließlich auf Laufwerken des Unternehmens gespeichert werden dürfen und die Kopie auf private Geräte unzulässig ist. Dazu gehört auch das Verbot, private Drucker zu verwenden. Im Optimalfall und wenn technisch möglich, verlassen Daten nie das Unternehmensnetzwerk und die User arbeiten auf z. B. Terminalservern. Falls technisch möglich, sollten sämtliche Verfahrensanweisungen bzw. Richtlinien auch via GPOs o. ä. erzwungen werden.
Kurz gesagt ist es notwendig, dass Datenflüsse begrenzt werden und verhindert wird, dass Daten auf nicht durch das Unternehmen kontrollierte Art verarbeitet werden. Dabei ist jedoch stets zu beachten, dass mit erhöhter Sicherheit ein Komfortverlust für die User entsteht. Daher ist hierbei auf ein Mittelweg zu setzen.
Mitarbeitersensibilisierung – Notwendig oder nicht für den Datenschutz?
Viele Unternehmen sehen die technischen und organisatorischen Schutzmaßnahmen als ausreichend an und vergessen, dass der Faktor Mensch einen großen Einfluss hat. Die Maßnahmen können noch so gut geplant sein, wenn die Mitarbeiter diese nicht umsetzen oder möglicherweise sogar bewusst umgehen, folgen daraus Vorfälle.
Wie im übrigen Datenschutz ist es daher unbedingt notwendig, dass die Mitarbeiter abgeholt und auf die Maßnahmen geschult werden. Dadurch kann sichergestellt werden, dass auf einen Grundwissensstand zurückgegriffen werden kann und die Umsetzung korrekt erfolgen kann. Jedoch ist es so, dass das beste Schulungsprogramm keinen Erfolg erzielen kann, wenn die Anwendung des Wissens durch die Mitarbeiter nicht erfolgt. Daher sollten neben Schulungs- auch Sensibilisierungsmaßnahmen durchgeführt werden. Diese haben das Ziel, den Angestellten den Zweck der Maßnahmen aufzuzeigen und daher der Umsetzung einen Sinn zu geben. Dadurch wird die Umsetzung erleichtert, denn Aufgaben mit einem verständlichen Sinn werden lieber ausgeführt als welche ohne.
Nun ist der Mensch jedoch auch ein Gewohnheitstier und fällt oft wieder in alte oder bequemere Muster zurück. Dies gilt auch für den Umgang mit Maßnahmen und für Arbeitsweisen. Mit diesem Gedanken im Kopf lässt sich erkennen, dass eine regelmäßige Wiederholung der Sensibilisierungs- und Schulungsmaßnahmen notwendig ist, was auch dem Grundgedanken der DSGVO entspricht. Als wirksam hat sich hierbei eine jährliche oder höchstens zweijährige Wiederholung erwiesen. Es ist zu beachten, dass die Teilnahme zu dokumentieren ist.
Fazit
Wie zu sehen ist, sind die Risiken für den Datenschutz vielfältig und die notwendigen Gegenmaßnahmen genauso. Daher ist es notwendig sich im Detail mit diesem Thema zu befassen und entsprechende Konzepte, Strategien und Richtlinien zu erstellen. Dies erfordert jedoch nicht nur eine organisatorische und technische Betrachtung, sondern auch die Einbeziehung des Faktors Mensch und die dadurch folgende Sensibilisierung der Mitarbeiter. Gerne helfen wir bei Rewion Ihnen dabei und stehen mit Rat und Tat zur Seite. Weitere Informationen erhalten Sie auf unserer Datenschutz-Seite: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.