05/2020 – Fachartikel Swiss Infosec AG
Ein Schreibtisch, ein Stuhl, ein Notebook mit Zugriff auf die Geschäftsdaten und ein Telefon – schon steht das Homeoffice bereit. Aber wie sieht es mit der Sicherheit aus? Gerade Mitarbeitende, die normalerweise in einer physisch geschützten Umgebung arbeiten, finden sich daheim in einem völlig anderen Arbeitsumfeld wieder. Worauf ist zu achten?
In unserem letzten Beitrag sind wir bereits auf die beim Arbeitgeber – vom Arbeitsort der Mitarbeitenden unabhängige – verbleibende Verantwortlichkeit bei der Bearbeitung von Personendaten und auf die Notwendigkeit angemessener technischer und organisatorischer Massnahmen eingegangen.
Da es in dieser Hinsicht noch einiges mehr zu beachten gilt, haben unsere Sicherheitsexperten für Sie eine Reihe von Grundsätzen zusammengestellt, die bei der Arbeit im Homeoffice (oder auch unterwegs) beachtet werden sollten.
Konzentration auf elektronische Datenverarbeitung
Homeoffice sollte grundsätzlich als eine voll elektronische Datenverarbeitung ohne Medienbruch ausgestaltet werden. D.h., die schriftliche Kommunikation mit dem Arbeitgeber, die Entgegennahme von Aufgaben, der Umgang mit Personendaten und anderen sensitiven Informationen sowie die Übermittlung der Arbeitsergebnisse sollten automatisiert mit Hilfe von IT-Einrichtungen und über verschlüsselte elektronische Kommunikationswege stattfinden. Dadurch entfällt die Notwendigkeit, Unterlagen zu transportieren, was ein hohes Risiko des Verlusts, der Beschädigung sowie der unbefugten Kenntnisnahme birgt.
Zutritt und Zugriff
Auch im Homeoffice ist sicherzustellen, dass Unbefugte zu keiner Zeit Zugang zu Geschäftsunterlagen erhalten – die Clear Desk Policy gilt auch daheim. Die Zugriffsmöglichkeiten auf Informatikmittel sowie Zugriffsrechte müssen kontrolliert sein.
Passwortschutz
Jeder Nutzeraccount ist mit einem sicheren Passwort zu schützen; Best Practice ist zurzeit eine Mindestlänge von 8 bis 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen. Der Einsatz einer Zwei-Faktor-Authentifizierung erhöht den Schutz zusätzlich.
Datenspeicherung
Es bedarf klarer Regeln, wo Personendaten und Informationen gespeichert werden dürfen. Sofern eine VPN-Verbindung zum Firmenserver eingerichtet wurde oder ein Cloud-System im Einsatz ist, sollten ausschliesslich diese Datenspeicher verwendet werden. Gibt es keine andere Möglichkeit, als die Daten lokal zu speichern, so müssen diese bei der nächstmöglichen Gelegenheit auf den üblicherweise verwendeten Datenspeicher übertragen und sicher aus dem lokalen Speicher gelöscht werden.
Sicherheitstechnische Anforderungen an die Informatikmittel
Zur Minimierung der Angriffsfläche sind bei Informatikmitteln nicht benötigte Funktionen zu entfernen und Standard-Schutzmassnahmen (z.B. das Einspielen aktueller Software-Patches und AV-Signaturen) vorzunehmen. Die eingesetzten Geräte sollten über eine aktuelle Firewall und Viren- und Malware-Erkennungssoftware verfügen. Installierte Software ist immer auf dem aktuellen Stand zu halten. Datenträger sind zu verschlüsseln.
Sicherer Remote-Zugriff auf das Geschäftsnetzwerk
Die privaten WLAN-Zugangspunkte müssen mit einem mindestens 20-stelligen Passwort geschützt und mit dem WPA2-Standard verschlüsselt sein. Idealerweise sollte die Verbindung zum Geschäftsnetzwerk über VPN erfolgen, damit eine verschlüsselte Datenübertragung gewährleistet ist. Alternativ kann eine Cloud-Lösung mit automatischen Backup-Funktionen und Berechtigungskonzepten eingesetzt werden.
Audio- und Videokonferenzen
Audio- und Videokonferenzen sind praktisch, bergen aber auch die Gefahr in sich, dass Unbefugte mithören oder unerlaubterweise Aufzeichnungen erstellt werden. Zu beachten ist, dass datenschutzrechtlich das Unternehmen verantwortlich bleibt und nicht etwa der Anbieter des Tools.
Soweit das eingesetzte Tool Funktionen enthält, die über das betrieblich Erforderliche hinausgehen (z.B. das Fertigen von individuellen Nutzungsstatistiken), sollten diese deaktiviert werden. Sind besonders schützenswerte Personendaten, Geschäftsgeheimnisse oder Informationen, die einem Berufsgeheimnis unterliegen, Gegenstand der Kommunikation, ist eine verschlüsselte Übertragung Pflicht.
Typischerweise ist zwischen dem Unternehmen und dem Anbieter der Tools ein Vertrag abzuschliessen. Im Anwendungsbereich der DSGVO muss dieser Art. 28 DSGVO entsprechen. Sofern das Hosting bzw. die Bereitstellung des Tools (auch) auf Servern ausserhalb der Schweiz, der EU und des EWR stattfindet, müssen mit dem Anbieter zusätzliche Garantien vereinbart werden (z.B. Standard-Vertragsklauseln, Zertifizierung unter dem US-CH Privacy Shield).
Klarer Prozess bei Datenpannen und IT-Problemen
IT-Support und Incident Management-Prozesse sollten so ausgelegt sein, dass sie auch im Homeoffice funktionieren und nicht an der räumlichen Distanz zum Geschäftssitz scheitern. Der Einsatz von Fernwartungstools wie TeamViewer kann hilfreich sein.
Sensibilisierung der Mitarbeitenden
Bei der regelmässigen Schulung der Mitarbeitenden im sicheren und datenschutzgerechten Umgang mit Informatikmitteln sollte der Arbeitgeber dem richtigen Verhalten im Homeoffice die nötige Beachtung schenken.
Einräumung von Kontrollrechten des Arbeitgebers
Damit der Arbeitgeber die Einhaltung der Sicherheitsvorschriften auch im Homeoffice überprüfen kann, sollte er sich ein vertragliches Kontrollrecht einräumen lassen. Das mag unangenehm sein, ist aber unverzichtbare Bedingung für das Arbeiten zu Hause.
Weiterführende Literatur
- www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich/bring-your-own-device–byod-.html
- www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.pdf?__blob=publicationFile
- www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/empfehlung_home_office.pdf?__blob=publicationFile&v=4
- www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
- www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home
- www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail
- www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.