News Ticker

Datensicherheit im Home Office

Während der Corona-Krise lassen viele Unternehmen ihre Mitarbeiter im Home Office arbeiten. Das bringt einigee Vorteile, aber auch viele Herausforderungen mit sich. Ein Risikofaktor ist der Umgang mit sensiblen Firmen- und Kundendaten. Cybersicherheit sollte auch im Home Office oberste Priorität haben.

Datensicherheit im Home Office © FreeImages.com/iliana

Hoher Schaden durch Cyberkriminalität

Über 100 Milliarden Euro Schaden sind den Unternehmen in Deutschland im Jahr 2019 durch Cyberkriminalität entstanden. Das meldet der Branchenverband Bitkom. Drei von vier Unternehmen wurden demnach Opfer von Sabotage, Spionage und Erpressung. Arbeiten Angestellte im Home Office, kommt zu den üblichen Risikofaktoren ein weiterer hinzu: Private Rechner können zum Einfallstor für Hacker werden.

Schickt ein Unternehmen seine Mitarbeiter ins Home Office, stellt es im Idealfall betriebliche Computer, Smartphones und bei Bedarf Tablets zur Verfügung, die über die nötigen Sicherheitsupdates und Antivirus-Programme verfügen. Für ein Plus an Datensicherheit im Home Office ist es sinnvoll, zumindest ein hochwertiges Antivirus free für Windows zu installieren.

Viele kleinere Firmen können sich die Ausgabe betrieblicher Geräte jedoch nicht leisten und setzen stattdessen auf die sogenannte „Bring Your Own Device“-Lösung, kurz als BYOD bezeichnet: Die Angestellten nutzen ihre privaten Geräte. Das schränkt die Kontrollmöglichkeiten des Arbeitgebers zum Umgang mit sensiblen Geschäfts- und Kundendaten ein. Arbeiten Betriebsangehörige am eigenen Rechner, sind nämlich nicht nur Unternehmensdaten, sondern auch die Privatsphäre jedes Angestellten zu schützen. Loggen sich Mitarbeiter über den eigenen Computer ins Firmennetzwerk ein, besteht allerdings ein besonders hohes Sicherheitsrisiko. Befindet sich Schadsoftware auf dem Computer und wird auf diese Weise ins Unternehmensnetzwerk eingeschleust, ist neben der Datensicherheit auch die IT-Infrastruktur des gesamten Betriebs gefährdet.

Home Office-Vereinbarung

Um die Risiken außerhalb des Unternehmens zu begrenzen, sollten Unternehmen und Mitarbeiter eine sogenannte Home Office-Vereinbarung abschließen. Dabei handelt es sich um eine Zusatzvereinbarung zum Arbeitsvertrag, welche die allgemeinen betrieblichen Datenschutzbestimmungen ergänzt.

Per Home Office-Vereinbarung werden die Mitarbeiter zum Beispiel verpflichtet, bestimmte technische und organisatorische Sicherheitsmaßnahmen zu treffen. Außerdem sollte in der Home Office-Vereinbarung die strikte Trennung privater und geschäftlicher Daten geregelt werden. Alle geschäftlichen Dokumente sind so beispielsweise in eigenen Ordnern, getrennt von den privaten Dateien, zu speichern.

Was viele Arbeitnehmer nicht wissen: Ihr Arbeitgeber hat die Pflicht, die Einhaltung der geltenden Datenschutzvorgaben zu überprüfen. Das gilt auch, wenn Beschäftigte im Home Office arbeiten. Über die Home Office-Vereinbarung können dem Arbeitgeber und bei Bedarf der entsprechenden Aufsichtsbehörde etwa Zugangsrechte auf die Ordner mit den geschäftlichen Dateien erteilt werden. Die privaten Ordner bleiben davon unberührt. Arbeiten die Beschäftigten am eigenen Rechner, muss die Home Office-Vereinbarung zudem Regelungen zur dienstlichen und privaten Nutzung des Geräts treffen.

Wie können Unternehmen zur Datensicherheit im Home Office beitragen?

Neben der Home Office-Vereinbarung können Unternehmen noch einige weitere Maßnahmen treffen, die zur Datensicherheit im Home Office beitragen. Dazu gehört es zum Beispiel, die Mitarbeiter für die Themen Datenschutz und Cybersicherheit zu sensibilisieren. Im Idealfall finden regelmäßige Schulungen statt, die sowohl auf geeignete technische Hilfsmittel sowie auf den richtigen Umgang mit sensiblen Daten am Arbeitsplatz und im Home Office hinweisen.

Für den Zugriff auf das Firmennetzwerk sowie sensible Daten sollten hinreichend starke Passwörter mit mindestens 20 Zeichen eingerichtet werden. Dabei empfiehlt sich die Verwendung eines Passwortmanagers. Erhalten Mitarbeiter vom heimischen Computer aus Zugang ins Firmennetzwerk, sollten Unternehmen dafür eine Zwei-Faktoren-Authentifizierung einführen. Die Beschäftigten erhalten dann nach der Passworteingabe etwa eine Push-Mitteilung oder eine SMS mit einem weiteren, individuellen Zugangscode, den sie eingeben müssen. Noch sicherer ist es, wenn betriebliche Daten nur über ein Karten mit zertifiziertem Kartenlesegerät zugänglich sind. Der Zugang zu betrieblichen Daten sollte darüber hinaus auf das Nötigste beschränkt bleiben.

Was müssen Arbeitnehmer beachten?

Verletzt der Arbeitnehmer seine Verpflichtungen für den Datenschutz im Home Office und der Arbeitgeber erleidet dadurch einen Schaden, steht der Arbeitnehmer in der Haftpflicht. Es liegt daher im Interesse jedes Beschäftigten, die geeigneten Voraussetzungen für mehr Datensicherheit im Home Office zu treffen. Auf den verwendeten Endgeräten sollten stets aktuelle Updates für Betriebssystem und Software installiert werden. Außerdem ist ein aktuelles, leistungsstarkes Antiviren-Programm zu installieren. Die Firewall muss ebenfalls auf dem neuesten Stand sein.

Betriebliche Daten sollten ausschließlich verschlüsselt gespeichert werden. Der Zugang zum Firmennetzwerk erfolgt über einen separaten, vom privaten WLAN getrennten, Internetzugang. Für ein höheres Maß an Sicherheit sollte zudem ein VPN (Virtual Private Network) dazwischengeschaltet werden. Sofern sie nicht erforderlich sind, sollten Bluetooth und andere Nahfeldtechnologien deaktiviert werden.

Werden Daten zwischen Unternehmen und Home Office transportiert, dürfen dafür keine privaten externen Speichergeräte verwendet werden. USB-Sticks oder Speicherkarten sollten vom Arbeitgeber zur Verfügung gestellt werden, die Datenspeicherung hat verschlüsselt zu erfolgen. Werden Unterlagen transportiert, hat dies in einem abgeschlossenen Behältnis zu erfolgen, etwa in einem Aktenkoffer mit Schloss. Datenträger und Behältnis dürfen während des Transports nicht unbeaufsichtigt gelassen werden.

Betriebliche Daten sollten nicht in privaten Cloud-Speichern abgelegt werden. Auch die Weiterleitung dienstlicher E-Mails an die private E-Mailadresse ist tabu. Arbeitnehmer haben weiterhin darauf zu achten, dass ihre Familienangehörigen und Besucher keinen Einblick in sensible Firmendaten erhalten. So sollte sich das Arbeitszimmer abschließen lassen. Wenn man sich vom Computer entfernt, ist dieser zu sperren.