Corona-News # 15: IT-Sicherheit und Datenschutz im Homeoffice in Zeiten von Corona (Stand 30. März 2020)

Viele Unternehmen haben kurzfristig bereits Homeoffice in Zeiten von Corona eingeführt bzw. angeordnet, um die Weiterverbreitung einzudämmen bzw. zu verhindern. Trotz der gegebenen herausfordernden Situation sollten auch bei der Einrichtung von Homeoffice-Arbeitsplätzen die Themen IT-Sicherheit und Datenschutz angemessen berücksichtigt werden. Unser Experte Stefan Henschel gibt einen ersten Überblick.

Bei spontanen Lösungen für mobiles Arbeiten können in der Regel nicht alle Anforderungen zur IT-Sicherheit vollständig umgesetzt werden. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) empfiehlt eine Reihe einfacher Maßnahmen, die ohne größeren Aufwand einen Grundstein für IT-Sicherheit im mobilen Arbeiten darstellen. Neben der IT-Sicherheit und den damit verbundenen Maßnahmen sind auch datenschutzrechtlich einige Maßnahmen erforderlich. Entsprechend der Datenschutzgrundverordnung haben die Unternehmen entsprechende technische und organisatorische Maßnahmen zu treffen, um mögliche Datenschutzrisiken (in Bezug auf Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten) zu vermeiden bzw. zu minimieren.

Wesentliche Punkte zum Thema IT-Sicherheit und Datenschutz im Homeoffice sind:

Klare Regeln
Treffen Sie deutliche, unmissverständliche und verbindliche Regelungen zur IT-Sicherheit und zum Datenschutz Ihrer Daten in Papierform. Kommunizieren Sie diese schriftlich an alle Beteiligten. Bestenfalls lassen Sie sich die Kenntnisnahme schriftlich bestätigen.

Ergreifen Sie Maßnahmen zur Sicherheit am Heimarbeitsplatz
Ergreifen Sie an ihrem Heimarbeitsplatz Maßnahmen, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist.
– Verschließen Sie Türen, wenn Sie den Arbeitsplatz verlassen, geben Sie Dritten keine Chancen durch einsehbare oder gar geöffnete Fenster.
– Stellen Sie sicher, dass andere Personen keinen Zugang zu den im Zusammenhang mit der Beschäftigung verarbeiteten Daten erhalten. Dies gilt insbesondere für Personen, die in demselben Haushalt leben.
– Beschäftigte müssen daher beim Verlassen des Homeoffice-Arbeitsplatzes unverzüglich eine Bildschirmsperre aktivieren, die nur mit einem Passwort aufgehoben werden kann, das dem Beschäftigten bekannt ist.
– Dokumente sollten grundsätzlich nicht im Homeoffice ausgedruckt werden. Sollte dies für die Erledigung von betriebsbedingten Aufgaben zwingend erforderlich sein, hat der Beschäftigte Sorge dafür zu tragen, dass die ausgedruckten Informationen auch direkt vor Ort geeignet vernichtet werden können.
– Im Hinblick auf die Installation von Software auf den betrieblichen mobilen IT-Systemen sollte es eine entsprechende „IT-Richtlinie für Nutzer“ geben.
– Besonders schutzbedürftige Informationen sollten nach Möglichkeit nur an Orten im Homeoffice verarbeitet werden, die von Dritten nicht einzusehen sind. Sollte dies nicht möglich sein, muss der Nutzer einen Ort bzw. Platz zur Verarbeitung von Daten wählen, der gewährleistet, dass der Bildschirm nicht von Dritten eingesehen werden kann.
– Daten sind grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten zu speichern, die nicht im Eigentum oder Besitz des Unternehmens sind. Die Speicherung von Daten hat grundsätzlich in den Verzeichnissen/Ordnern von Servern bzw. zentralen IT-Systemen des Unternehmens zu erfolgen, die für den Benutzer freigegeben sind. Ausnahmen hiervon dürfen nur gemacht werden, wenn eine Internet-Anbindung an die zentralen IT-Systeme und damit eine Speicherung auf den IT-Systemen nicht möglich ist.

Eindeutige Verifizierung
Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können. Im Idealfall können die Mitarbeiter ihre Büronummer in das Homeoffice weiterleiten bei eingehenden Telefonaten ist der Mitarbeiter auf der Büro-Rufnummer erreichbar und bei ausgehenden Telefonaten erscheint nicht seine private Rufnummer.

Vorsicht Phishing
Es treten vermehrt Phishing E-Mails auf, die die aktuelle Situation ausnutzen und versuchen werden, Ihre sensiblen Daten mit Hinweis auf Remote Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen.

VPN
Idealerweise greifen Sie über einen sicheren Kommunikationskanal (z. B. kryptografisch abgesicherte Virtual Private Networks, kurz: VPN) auf interne Ressourcen der Institution zu. Sofern Sie bisher keine sichere und skalierbare VPN-Infrastruktur haben, informieren Sie sich über mögliche Lösungen.

Datenpannen
Beschäftigte haben mögliche Datenschutzvorfälle unverzüglich an den Datenschutzbeauftragen zu melden. Ein Datenschutzvorfall liegt insbesondere vor, wenn die Annahme besteht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann. Ein Datenschutzvorfall liegt auch bei jedem Sachverhalt vor, bei dem die Annahme besteht, dass Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten haben oder hatten.
Weitere Maßnahmen mit vertiefenden Details zum Thema IT-Sicherheit im Home-Office stehen als PDF auf der Webseite des BSI zur Verfügung Homeoffice? – Aber sicher! (PDF, 240KB, Datei ist barrierefrei⁄barrierearm).

Bei Fragen zu diesem Thema wenden Sie sich bitte gerne jederzeit an unseren Experten Herrn Stefan Henschel (Certified Information System Auditor (CISA) / IT-Auditor (IDW) / gepr. Datenschutzbeauftragter).


STEFAN HENSCHEL

STEFAN HENSCHEL

Diplom-Kaufmann IT-Auditor (IDW) gepr. Datenschutzbeauftragter

+49 711 48931-408

E-MAIL SCHREIBEN
VCARD HERUNTERLADEN

Abschließender Hinweis:
Die Ausführungen in diesem Sonderrundschreiben dienen lediglich der allgemeinen Information und stellen keine rechtliche und sonstige Beratung für konkrete Einzelfälle dar. Bei individuellen Sachverhalten empfehlen wir die Einholung von auf diese Sachverhalte bezogenem Rat. Hierfür stehen wir Ihnen gerne zur Verfügung.