Compliance und IT-Sicherheit im Home Office
VPN-Verbindungen und IT-Security
HOMEOFFICE STRUKTUREN BRAUCHEN EIN KONZEPT
Modern Work, Remote Work und dezentrale Arbeitsumgebungen für Unternehmen
Hochsicher, aktuell und per Monitoring richtlinienkonform
Durch die Corona Pandemie wurde das Thema der Arbeit von zu Hause aus quasi über Nacht ein Bestandteil moderner, bzw. notwendiger IT-Strukturen. Homeoffice, Remote Work und der Begriff Workation sind heute feste Bestandteile von der sogenannten Modern Work. Über Nacht geboren und aus der Not heraus zunächst ohne passende IT-Sicherheit und Richtlinien.
Ohne ausreichende Konzepte, aktuelle technische Maßnahmen und bedarfsgerechte IT-Sicherheit ist ein Homeoffice Betrieb nicht möglich – sogar rechtswidrig und strafbar.
Bereits bei der Verbindung von externen Standorten (Homeoffice oder remote von Unterwegs) in die IT-Strukturen eines Unternehmens bedarf es bestimmter Vorkehrungen. Eine sichere Verbindung ist grundsätzlich unerlässlich, um Daten- und Informationssicherheit zu gewährleisten. Eine unsichere Verbindung kann zu Datendiebstahl, Hackerangriffen oder Datenmanipulation führen, was für Unternehmen und Mitarbeitende gleichermaßen schwerwiegende Folgen haben kann. Eine sichere Verbindung schützt zudem die Privatsphäre und sorgt dafür, dass vertrauliche Informationen nicht in die falschen Hände geraten. Ohne eine professionelle VPN-Lösung ist ein Zugriff von externen Geräten nicht zu empfehlen.
Grundsätzlich sollten Arbeitgeber Ihren Mitarbeitern entsprechende betriebliche Arbeitsmittel zur Verfügung stellen, mit denen eine sichere Verbindung in das Unternehmensnetzwerk möglich ist!
GESICHERTE VERBINDUNG AUS DEM HEIMBÜRO INS FIRMENNETZERK
VPN: ein Muss für die „Einwahl“ ins sichere Unternehmensnetz. Alternativ ein gleichwertiger Web-Client mit passender Hardware.
Aufgrund der Anforderungen durch den Datenschutz (DGSVO und BDSG) muss eine Übertragung von personenbezogenen Daten immer und ausschließlich verschlüsselt erfolgen. Alleine bedingt schon durch diese Vorgabe sollte jedes Unternehmen seine Verbindungsstrategie für das Homeoffice ganz genau analysieren.
Eine Virtual Private Network (VPN)-Struktur ist das Rückgrat eines sicheren Homeoffice. Ohne eine solche verschlüsselte Verbindung könnten sensible Daten leicht abgefangen werden. Ein VPN schafft einen sicheren Tunnel für den Datenverkehr zwischen dem Homeoffice und der Unternehmens-IT, der es externen Angreifern erschwert, Zugriff auf übertragene Informationen zu erlangen
Der externe Zugriff auf Unternehmensressourcen darf nur von qualifiziertem Personal eingerichtet, freigegeben und gewartet werden.
KLARE VERHALTENSREGELN IM HOMEOFFICE
Nicht nur die technischen Maßnahmen sollten für die Arbeit im Homeoffice klar geregelt sein. Organisatorische Maßnahmen wie die sichere Verwahrung der Arbeitsmittel, Einschränkung des Zugriffs auf diese und ein datenschutzkonformes Arbeitsumfeld sollten für alle Mitarbeiter, die im Homeoffice arbeiten, bekannt und verpflichtend sein.
Schriftliche Regelungen für diese Homeoffice-Etikette sind zwingend notwendig. Eine schriftliche Erweiterung der IT- und Datenschutzrichtlinien jedes Unternehmens muss ebenfalls hierzu erfolgen. Nur so lassen sich rechtssicher und datenschutzkonform Homeoffice-Lösungen etablieren.
Mit den Mitarbeitern, die von Zuhause aus arbeiten, müssen grundsätzlich entsprechende Vereinbarungen für die Arbeit im Homeoffice getroffen werden. Wichtig ist, dass dies schriftlich erfolgt. So ist für alle Beteiligten jederzeit ersichtlich, was und inwieweit Prozesse erlaubt sind.
IT-SICHERHEITSKONZEPT AUCH IM HOMEOFFICE
Ein umfassendes IT-Sicherheitskonzept ist auch im Homeoffice unabdingbar. Dieses Konzept sollte Maßnahmen zur Identifizierung und Abwehr von Bedrohungen, zur Sicherung von Daten und Netzwerken sowie zur Schulung der Mitarbeiter in Sicherheitsfragen umfassen. Nur so lässt sich ein hohes Maß an Sicherheit gewährleisten, das den modernen Bedrohungen standhält.
In der Regel haben Unternehmen ja ein entsprechendes Konzept. Wichtig ist, dass auch alle Homeoffice und oder Mobilgeräte in diesem Konzept Berücksichtigung finden und keine Insellösung darstellen. Alle Geräte und Anwendungen die in irgendeiner Form für die Verarbeitung von Unternehmensdaten verwendet werden, müssen in diesem Sicherheitskonzept berücksichtig werden. Unabhängig von Standort oder Verwendung.
SICHERUNG VON UNTERNEHMENSDATEN
Auch in Homeoffice-Strukturen werden regelmäßig wichtige Unternehmensdaten verarbeitet. Je nach Architektur der IT, kann auch auf Endgeräten im Homeoffice lokal die Verarbeitung von sensiblen und relevanten Unternehmensdaten erfolgen.
Zusätzlich kann es auf Homeoffice-Geräten Anwendungen geben, die nur hier betrieben werden. Sicherlich ist eine solche Konstellation nicht zu empfehlen, ggf. lässt sie sich aber nicht vermeiden. Daher sollte man sich frühzeitig Gedanken über eine Backup-Strategie und im Bedarfsfall auch ein Wiederherstellungsszenario machen. Datensicherheit, zu der auch eine professionelle Datensicherung zählt, kann auch bei externen Homeoffice-Strukturen essentiell wichtig sein.
REGELMÄßIGE UPDATES VON BETRIEBSSYSTEM, ANWENDUNGEN UND SICHERHEITSKOMPONENTEN
Die Sicherheit eines Netzwerks ist nur so stark wie das schwächste Glied. Veraltete Software ist ein häufiges Einfallstor für Cyberangriffe. Daher ist es entscheidend, dass auch Arbeitsplatzrechner und Notebooks im Homeoffice regelmäßig mit den neuesten Sicherheitsupdates und Patches versorgt werden. Diese Updates schließen Sicherheitslücken, durch die Angreifer sonst leicht eindringen könnten.
Wichtig auch bei Homeoffice-Geräten, die Updates müssen zentralisiert erfolgen und nicht vom Benutzer selber zu steuern sein. Denn solange man auf „später durchführen“ klicken kann, ist das Schließen von Sicherheitslücken nicht gesichert. Daher bedarf es auch im Homeoffice Strukturen, die genau so wie die Geräte im Unternehmen, durch ein professionelles Update-Management (Patch-Management) im Hinblick auf Updates verwaltet werden.
PRIVATE HARDWARE NUR MIT BESONDEREN MAßNAHMEN
Die Nutzung privater Geräte für berufliche Zwecke (BYOD) mag auf den ersten Blick praktisch erscheinen, birgt jedoch erhebliche Sicherheitsrisiken. Private IT-Komponenten sind oft nicht ausreichend gesichert und können somit leicht zum Einfallstor für Cyberangriffe werden. Darüber hinaus erschwert BYOD die Durchsetzung von Unternehmensrichtlinien zur IT-Sicherheit und den Schutz sensibler Unternehmensdaten.
Sofern private Hardware zu betrieblichen Zwecken eingesetzt werden soll, bedarf es der Berücksichtigung diverser Vorgaben und rechtlichen Anforderungen. Neben den arbeitsrechtlichen Anforderungen und der IT-Sicherheit, müssen auch die datenschutzrechtlichen Anforderungen berücksichtigt werden.
Den Mitarbeitern ohne entsprechende Vereinbarungen und technischen Maßnahmen die Nutzung von privater Hardware zu gestatten, ist grob fahrlässig. Dabei sollten Arbeitgeber immer vor Augen haben, dass die Verantwortung für die Datenverarbeitung und die Daten an sich immer bei ihnen liegt.
Dennoch ist der Einsatz von privaten Geräten kein no go. Gerne zeigen wir Ihnen, wie auch in Ihrem Unternehmen der Einsatz privater Hardware – Bring Your Own Device (BYOD) – sicher möglich ist.
VERANTWORTUNG DES ARBEITGEBENDEN UND KONTROLLRECHTE
Da auch bei der Arbeit im Homeoffice der Arbeitgeber für den Schutz und die Sicherheit der Daten, sowie die Einhaltung des Daten- als auch des Arbeitsschutzes verantwortlich ist, sollten definitiv Kontrollen durch den Arbeitgeber bzw. dessen Beauftragte durchgeführt werden.
Gesetzlich sind persönliche Kontrollbesuche erlaubt. Dies sollte aber nur nach vorheriger Absprache mit dem Mitarbeiter erfolgt. Bei berechtigtem Verdacht bzw. wenn ein konkreter Anlass vorliegt, dann ist eine Kontrolle auch ohne eine solche Ankündigung möglich. Das Einräumen von Kontrollrechten bietet sich bereits in der verpflichtenden Homeoffice-Richtlinie / Regelung an. Hier kann auch detailliert vereinbart werden, wie diese Kontrollen stattfinden.
FÜR ERFOLGREICHE ANGRIFFE
NUTZEN CYBER-KRIMINELLE DIE FEHLENDEN SICHERHEITSSTRUKTUREN
Durch die fehlende Kommunikation aufgrund der dezentralen Arbeitsstätten wie Homeoffice und Remote Work haben Cyberkriminelle die Angriffsmethoden in den letzten Jahren angepasst. Grundsätzlich bedarf es in beiden Fällen der gleichen IT-Sicherheit, wie innerhalb der Unternehmensräume im Büro.
Worauf Sie unbedingt achten sollten:
- eine sichere, verschlüsselte Verbindung zwischen Homeoffice-Standort und Unternehmensnetzwerk
- klare IT-Richtlinien, Hardware- und Systemvorgaben
- keine privaten Endgeräte (Notebook, PC, Smartphone, etc.)
- automatisiertes und intelligentes Monitoring (Schwachstellen und Attacken)
- Sicherstellung von Regelupdates aller relevanten Komponenten (Betriebssystem, Netzwerkverbindung, Antivirus-Software, etc.)
Gerne unterstützen wir auch Sie und zeigen Ihnen die individuellen Optionen für Ihr Unternehmen auf, erstellen ein passendes Konzept und setzen dieses zusammen mit Ihnen um.
Vereinbaren Sie einen kostenfreien und unverbindlichen Gesprächstermin. Gerne erläutern wir Ihnen in einem persönlichen Gespräch was wir auch für Ihr Unternehmen tun können.
Stabiles Internet
Eine stabile und schnelle Internetverbindung ist essentiell, um effizient von zu Hause aus arbeiten zu können. Dies umfasst auch ausreichende Bandbreite für IP-Telefonie, Videokonferenzen und den Zugriff auf Cloud-Dienste, sowie ggf. notwendige Onlinesicherungen.
Arbeitsplatzgestaltung
Ein ergonomisch eingerichteter Arbeitsplatz ist wichtig, um langfristige Gesundheitsschäden zu vermeiden. Dazu gehören eine geeignete Sitzgelegenheit, ein höhenverstellbarer Schreibtisch und eine angemessene Beleuchtung.
Sicherheit und Datenschutz
Die Sicherheit von Firmendaten muss durch sichere VPN-Verbindungen, Firewall-Schutz, Antivirus-Software und regelmäßige Sicherheitsupdates gewährleistet sein. Zudem sollten Richtlinien zum Datenschutz befolgt werden, um die Integrität sensibler Informationen zu sichern.
Zugriff auf Ressourcen
Mitarbeiter müssen Zugriff auf alle notwendigen Tools und Anwendungen haben, die sie für ihre tägliche Arbeit benötigen. Dies kann über Cloud-Dienste oder durch Remote-Zugriff auf Firmenserver realisiert werden.
Stephan Zander
Datenschutz, IT-Sicherheit und AIS
Kaufmännische Leitung - CFO
Ihr persönlicher Ansprechpartner.
ITone GmbH
Uerdinger Str. 420
47800 Krefeld
+49 2151 47 96 70
Münsterstr. 334
40470 Düsseldorf
+49 211 542 647 00
Ihr Kontakt zu uns
Individuelle Erstberatung anfordern – wir freuen uns, Sie und Ihr Unternehmen kennenzulernen.