Datensicherheit und Compliance im Home-Office
dataprotectionAm Anfang war die Datensicherheit
Bereits jetzt wird geschätzt, dass zukünftig bis zu 25% der Datensicherheitsverletzungen außerhalb der Unternehmensinfrastruktur ihre Ursache finden werden[1]. Alarmierend ist vor allem, dass Arbeitnehmern oftmals keine, unklare oder unzureichenden Regelungen und Maßnahmen für den sicheren Umgang mit Unternehmensdaten am Heimarbeitsplatz bekannt sind.[2] In vielen Unternehmen gibt es nicht einmal entsprechende Vorgaben für Telearbeit.
Geeignete Sicherheitskonzepte in Form von entsprechenden Richtlinien, Prozessen und auch technischen Schutzmaßnahmen für die Verarbeitung ihrer sensiblen Unternehmensdaten sind deswegen unbedingt zu empfehlen.
In Zusammenhang mit Telearbeit sind diese Sicherheitsthematiken besonders relevant:
- Richtlinien und Prozesse: Das Unternehmen sollte eine Sicherheitsrichtlinie und Prozesse für Datenverarbeitungen im Home-Office etablieren, die klare Regeln und Verhaltensweisen vorgeben.
- Verschlüsselung von Daten: Gespeicherte und übertragene Daten im Home-Office sowie bei Fernzugriffen auf die Unternehmensinfrastruktur müssen mittels sicherer Algorithmen verschlüsselt werden.
- Schutz vor Endgeräten: Sofern private Geräte für Arbeitstätigkeiten verwendet werden, die nicht durch das Unternehmen verwaltet werden können, sollten alternative Ansätze gewählt werden (bspw. Empfehlungen an die einzelnen Mitarbeiter, wie Privatgeräte geschützt werden können).
- Trennung von Privat- und Unternehmensgeräten: Privat- und Unternehmensgeräten sollten wenn möglich voneinander getrennt werden. Insbesondere sollten Unternehmensdaten niemals auf privaten Speichermedien abgelegt werden. Der Schutz von Firmengeräten vor unsicheren oder mit Schadsoftware infizierten Privatgeräten des Mitarbeiters muss sichergestellt werden.
- Monitoring und Protokollierung: Durch entsprechende Monitoring-Lösungen können Benutzeraktivitäten protokolliert werden. Es ist aber unbedingt Vorsicht im Zusammenhang mit unzulässiger Überwachung geboten – die Kontrolle von Privatgeräten kann unzulässig oder problematisch sein.
Sicherheitsstandards als hilfreiches Grundgerüst
Die Auswahl an sinnvollen Schutzmaßnahmen ist oft kompliziert und langwierig. Es ist deswegen empfehlenswert sich an anerkannten Sicherheitsstandards zu orientieren. Dazu zählen zum Beispiel ISO/IEC 27001 und 27002, NIST CSF oder auch IT-Grundschutz des BSI.
Ein anerkannter Sicherheitsstandard hilft insbesondere um ein Rahmenwerk an Maßnahmen vorzugeben. Dadurch wird die Gefahr einer unübersichtlichen, ineffizienten, ineffektiven und kostspieligen Umsetzung von nicht zielführenden Einzelmaßnahmen entgegengewirkt. Es wird sichergestellt, dass die Sicherheitskontrollen im Unternehmen sowohl effektiv als auch wirtschaftlich sind.
Die Sache mit der Compliance
Wie auch bei allen anderen Tätigkeiten ist im Zusammenhang mit Arbeiten, die im Home-Office verrichtet werden sicherzustellen, dass gesetzliche, vertragliche und interne Datenschutzbestimmung nachweisbar eingehalten werden. Zu diesem Zweck haben viele Unternehmen über die letzten Jahre hinweg bereits einige Datenschutzinitiativen bis hin zur Errichtung ganzer Datenschutzmanagementsysteme gestartet[3]. Meist sind diese sehr stark auf den herkömmlichen Geschäftsbetrieb ausgelegt. Compliance-Themen im Bereich Telearbeit werden kaum berücksichtigt.
Hier finden Sie eine Übersicht über relevante, zu berücksichtigende Aspekte:
- Prüfung / Anpassung Datenschutzverträgen bzgl. neuer ArbeitssituationData protection
- Auftragsverarbeitung
- Gemeinsame Verantwortlichkeiten
- SLAs
- Aktualisierung bestehender Aufzeichnungen zu Home-Office-Betrieb
- Verzeichnis der Verarbeitungstätigkeiten
- Interne Sicherheitsrichtlinien
- Datenschutzerklärungen/-hinweise
- Adaptierung der Risikobetrachtung
- Berücksichtigen von Home-Office-Aktivitäten in Datenschutz-Folgenabschätzungen und Risikobewertungen
Kontrolle der Umsetzung pragmatisch lösen
Unternehmen müssen sicherstellen, dass die umgesetzten technischen und organisatorischen Datensicherheitsmaßnahmen wirksam sind und eingehalten werden. Schon im normalen Arbeitsalltag stellt das eine Herausforderung dar, welche durch die Verlagerung ins Home-Office jedoch noch zusätzlich erschwert wird.
Eine effektive Kontrolle des Arbeitnehmers ist nur sehr eingeschränkt möglich. Wie will man schließlich überprüfen ob tatsächlich die Sicherheitsstandards des Unternehmens innerhalb des privaten Heimnetzwerks in einer Privatwohnung eingehalten werden?
Das Festlegen angemessener sowie effektiv durchsetzbarer Kontrollrechte sollte dabei pragmatisch gelöst werden. Vorhandene Datensicherheitskonzepte müssen die mit der Telearbeit einhergehenden Risiken ausreichend berücksichtigen und entsprechende Schutzmaßnahmen vorsehen. Wichtig ist es die Mitarbeiter auf allen Unternehmensebenen bei der effektiven Einhaltung gezielt zu unterstützen.
Weitere Home-Office Tipps für Mitarbeiter und Manager gibt’s in diesem Blog Artikel: „IT-Sicherheit im Home-Office – was ist zu beachten?“
[1] https://www.watchguard.com/wgrd-resource-center/predictions-2020
[2] https://www.helpnetsecurity.com/2020/06/23/cyber-threats-home-office-environments/
[3] Backer McKenzie International (2020), GDPR Survey – Benefits beyond compliance, https://www.bakermckenzie.com/en/insight/publications/2020/04/gdpr-survey-benefits-beyond-compliance