Homeoffice 2.0 – die Folgen der vergangenen Monate, sowie die Lehren für Datenschutzaudits
Vergangene Woche führten SPD, Grünen und FDP die 3G Regel am Arbeitsplatz ein und viele Arbeitnehmer traten den kurzfristigen Umzug ins heimische Büro an. Bei weiterhin steigenden Infektionszahlen und mäßiger Impfquote, könnte auch eine baldige, flächendeckende Rückkehr ins Homeoffice denkbar sein. Auch hegen zunehmend mehr Angestellte den Wunsch, frei über den Ort, an dem sie ihre Arbeit erbringen, entscheiden zu können. Doch wieso sollte diesem Thema weiterhin eine gesonderte Aufmerksamkeit aus Datenschutzaudit Sicht geschenkt werden und was sind die Lehren aus den vergangenen Monaten im Homeoffice, welche wir noch zu Beginn des Jahres erlebt haben?
Homeoffice und Cyberattacken
Gilt die Art und Weise wie die Tätigkeit im heimischen Büro verübt wird als nicht oder nur unzureichend geregelt, entsteht eine Vielzahl an Risiken, insbesondere – aber nicht ausschließlich – im Hinblick auf die Informationssicherheit. Einer jüngst veröffentlichen Studie von EY zufolge, geht jedes dritte Unternehmen davon aus, dass sich das Risiko von Cyberangriffen während der Corona-Pandemie intensiviert hat. Grund hierfür sei maßgeblich die schnelle Verlagerung der Arbeitsstätte in die eigenen vier Wände. Da Mitarbeiter binnen Tagen in die Heimarbeit geschickt wurden, war nur wenig Zeit Datenschutzberatung in Anspruch zu nehmen und entsprechende Sicherheitsvorkehrungen zu treffen. Demnach sind Risiken entstanden, die auch nach der Rückkehr in die Bürogebäude bestehen und vor allem wiederkehren, sollte es bald ohne jegliche Gegenmaßnahmen zurück ins Homeoffice gehen.
Von 500 Umfrageteilnehmern schätzten rund 63 Prozent das Risiko ein Opfer von Datendiebstahl oder Cyberangriffen zu werden als „eher hoch“ oder sogar „sehr hoch“ ein. Ein Wert, der den vergangenen Höchststand des Jahres 2017 um zwei Prozentpunkte übersteigt. Demnach gilt das Jahr 2021 aus Sicht der Unternehmen, als das Jahr mit dem höchsten Risiko ein Opfer von Cyberkriminalität zu werden.
Innerhalb der ersten Homeoffice Phase nahmen laut Angaben der Unternehmen die Zahl der Hacker-Angriffe spürbar zu. Grund der Angriffe seien hierbei meist monetäre Interessen und es werde beispielsweise versucht, Zugänge zu Datenräumen zu sperren und diese nur gegen Zahlung von Lösegeldern, oftmals in Millionenhöhe, freizugeben. Es gilt demnach als unabdingbar, die gegenwärtige Lage hinsichtlich der IT-Sicherheit zu eruieren und notwendige Maßnahmen zu integrieren.
Essenzielle Bestandteile eines Datenschutzaudits für das Homeoffice 2.0
Da in so gut wie allen Betrieben bereits Arbeiten im Rahmen einer Homeoffice Tätigkeit erbracht wurden, gilt es in einem ersten Schritt die Ist-Situation des Unternehmens und der gegebenenfalls definierten Maßnahmen im Rahmen des Datenschutzaudits darzustellen. Noch im selben Schritt, müssen die ermittelten Punkte – oftmals durch externe Datenschutzberater – nach verschiedenen Kriterien bewertet werden, um so deren Effekt in Bezug auf den Datenschutz der Unternehmung erkennen zu können und eine Basis für das weitere Vorgehen zu schaffen.
Wurde die Ausgangslage erfolgreich auditiert, ist es ratsam zuerst die generellen Sicherheitsrichtlinien für die Arbeit im Homeoffice zu hinterfragen. Die Richtlinien sollten hierbei unter anderem regeln, welche Informationen (sowohl auf Papier, aber auch in IT-Systemen) außerhalb der Institution transportiert und bearbeitet werden dürfen, wer diese mitnehmen darf und welche Schutzvorkehrungen (Sicherheitsmaßnahmen) dabei zu treffen sind. Des Weiteren sollte auch eindeutig dargestellt werden, welche Kommunikationsmöglichkeiten im Homeoffice genutzt werden dürfen und wie diese verpflichtenden Sicherheitsrichtlinien im späteren Verlauf dokumentiert werden.
Auch wenn Sicherheitsrichtlinien und Vorgehensweisen in einem Unternehmen definiert sind, zeigen die letzten Monate, dass sich Mitarbeiter daran oftmals nicht uneingeschränkt halten. Daher gilt es in einem zweiten Schritt die Mitarbeiter wiederholt für das überarbeitete Konzept zu sensibilisieren und diese auch für den unsachgemäßen Umgang in die Verantwortung zu ziehen. So müssen Mitarbeiter die Gefahren kennen, welche durch den unangemessenen Umgang mit Informationen und Daten, den unsicheren Transport / Übermittlung oder eine unsichere Kommunikation entstehen können. Darüber hinaus kann nicht davon ausgegangen werden, dass in den heimischen Büros eine gleiche infrastrukturelle Sicherheit vorliegt, wie sie in den Büroräumen einer Institution anzutreffen ist. Einem Mitarbeiter in Heimarbeit muss demnach klar sein, welche Regelungen und Maßnahmen zum Einbruch- und Zutrittsschutz zu beachten sind. Generell muss sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können. Demnach müssen ausreichende verschließbare Behältnisse wie ein abschließbarer Schreibtisch oder Schrank vorhanden sein.
Neben möglichen Risiken, die durch Unachtsamkeit von Mitarbeitern entstehen, kann es im Umfeld des Homeoffice auch zu Problemen durch unsicher konfigurierte und/oder unzureichend zur Verfügung stehender IT-Systeme kommen. Um solch ein Risiko auf ein Minimum zu beschränken, sollten die für das Homeoffice verwendeten IT-Systeme besonderen Sicherheitsanforderungen unterliegen und in der Vergangenheit vergebene Zugangsrechte im Rahmen des Datenschutzaudits hinterfragt werden. Ferner sind Standardmaßnahmen zum Datenschutz und Schutz von IT-Systemen umzusetzen und zu kontrollieren – hierzu zählen insbesondere das Aktualisieren von Software-Patches und AV-Signaturen sowie der Einsatz einer Firewall. Es sollten zudem jegliche Zugriffsmöglichkeiten auf Server und deren Daten auf ein Minimum beschränkt werden. Um jedoch im Fall der Anwendung einen sicheren Fernzugriff auf das Unternehmensnetzwerk zu ermöglichen, muss weiterhin ein sicherer Remote-Zugang eingerichtet sein, z. B. kryptografisch abgesicherte Virtual Private Networks (VPN). Müssen Mitarbeiter im Home-Office auf eigene Laptops zurückgreifen, steigt die Eigenverantwortung des Angestellten um ein Vielfaches und zusätzliche Sensibilisierung gilt demnach als ratsam.
PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)
Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.
Sie erreichen uns jederzeit über unser Kontaktformular !