HOMEOFFICE STRUKTUREN BRAUCHEN EIN KONZEPT

Modern Work, Remote Work und dezentrale Arbeitsumgebungen für Unternehmen

Hochsicher, aktuell und per Monitoring richtlinienkonform

Durch die Corona Pandemie wurde das Thema der Arbeit von zu Hause aus quasi über Nacht ein Bestandteil moderner, bzw. notwendiger IT-Strukturen. Homeoffice, Remote Work und der Begriff Workation sind heute feste Bestandteile von der sogenannten Modern Work. Über Nacht geboren und aus der Not heraus zunächst ohne passende IT-Sicherheit und Richtlinien.

Ohne ausreichende Konzepte, aktuelle technische Maßnahmen und bedarfsgerechte IT-Sicherheit ist ein Homeoffice Betrieb nicht möglich – sogar rechtswidrig und strafbar.

Bereits bei der Verbindung von externen Standorten (Homeoffice oder remote von Unterwegs) in die IT-Strukturen eines Unternehmens bedarf es bestimmter Vorkehrungen. Eine sichere Verbindung ist grundsätzlich unerlässlich, um Daten- und Informationssicherheit zu gewährleisten. Eine unsichere Verbindung kann zu Datendiebstahl, Hackerangriffen oder Datenmanipulation führen, was für Unternehmen und Mitarbeitende gleichermaßen schwerwiegende Folgen haben kann. Eine sichere Verbindung schützt zudem die Privatsphäre und sorgt dafür, dass vertrauliche Informationen nicht in die falschen Hände geraten. Ohne eine professionelle VPN-Lösung ist ein Zugriff von externen Geräten nicht zu empfehlen.

Grundsätzlich sollten Arbeitgeber Ihren Mitarbeitern entsprechende betriebliche Arbeitsmittel zur Verfügung stellen, mit denen eine sichere Verbindung in das Unternehmensnetzwerk möglich ist!

GESICHERTE VERBINDUNG AUS DEM HEIMBÜRO INS FIRMENNETZERK

VPN: ein Muss für die „Einwahl“ ins sichere Unternehmensnetz. Alternativ ein gleichwertiger Web-Client mit passender Hardware.

Aufgrund der Anforderungen durch den Datenschutz (DGSVO und BDSG) muss eine Übertragung von personenbezogenen Daten immer und ausschließlich verschlüsselt erfolgen. Alleine bedingt schon durch diese Vorgabe sollte jedes Unternehmen seine Verbindungsstrategie für das Homeoffice ganz genau analysieren. 

Eine Virtual Private Network (VPN)-Struktur ist das Rückgrat eines sicheren Homeoffice. Ohne eine solche verschlüsselte Verbindung könnten sensible Daten leicht abgefangen werden. Ein VPN schafft einen sicheren Tunnel für den Datenverkehr zwischen dem Homeoffice und der Unternehmens-IT, der es externen Angreifern erschwert, Zugriff auf übertragene Informationen zu erlangen

Der externe Zugriff auf Unternehmensressourcen darf nur von qualifiziertem Personal eingerichtet, freigegeben und gewartet werden.

KLARE VERHALTENSREGELN IM HOMEOFFICE 

Nicht nur die technischen Maßnahmen sollten für die Arbeit im Homeoffice klar geregelt sein. Organisatorische Maßnahmen wie die sichere Verwahrung der Arbeitsmittel, Einschränkung des Zugriffs auf diese und ein datenschutzkonformes Arbeitsumfeld sollten für alle Mitarbeiter, die im Homeoffice arbeiten, bekannt und verpflichtend sein.

Schriftliche Regelungen für diese Homeoffice-Etikette sind zwingend notwendig. Eine schriftliche Erweiterung der IT- und Datenschutzrichtlinien jedes Unternehmens muss ebenfalls hierzu erfolgen. Nur so lassen sich rechtssicher und datenschutzkonform Homeoffice-Lösungen etablieren.

Mit den Mitarbeitern, die von Zuhause aus arbeiten, müssen grundsätzlich entsprechende Vereinbarungen für die Arbeit im Homeoffice getroffen werden. Wichtig ist, dass dies schriftlich erfolgt. So ist für alle Beteiligten jederzeit ersichtlich, was und inwieweit Prozesse erlaubt sind.

IT-SICHERHEITSKONZEPT AUCH IM HOMEOFFICE

Ein umfassendes IT-Sicherheitskonzept ist auch im Homeoffice unabdingbar. Dieses Konzept sollte Maßnahmen zur Identifizierung und Abwehr von Bedrohungen, zur Sicherung von Daten und Netzwerken sowie zur Schulung der Mitarbeiter in Sicherheitsfragen umfassen. Nur so lässt sich ein hohes Maß an Sicherheit gewährleisten, das den modernen Bedrohungen standhält.

In der Regel haben Unternehmen ja ein entsprechendes Konzept. Wichtig ist, dass auch alle Homeoffice und oder Mobilgeräte in diesem Konzept Berücksichtigung finden und keine Insellösung darstellen. Alle Geräte und Anwendungen die in irgendeiner Form für die Verarbeitung von Unternehmensdaten verwendet werden, müssen in diesem Sicherheitskonzept berücksichtig werden. Unabhängig von Standort oder Verwendung. 

SICHERUNG VON UNTERNEHMENSDATEN 

Auch in Homeoffice-Strukturen werden regelmäßig wichtige Unternehmensdaten verarbeitet. Je nach Architektur der IT, kann auch auf Endgeräten im Homeoffice lokal die Verarbeitung von sensiblen und relevanten Unternehmensdaten erfolgen.

Zusätzlich kann es auf Homeoffice-Geräten Anwendungen geben, die nur hier betrieben werden. Sicherlich ist eine solche Konstellation nicht zu empfehlen, ggf. lässt sie sich aber nicht vermeiden. Daher sollte man sich frühzeitig Gedanken über eine Backup-Strategie und im Bedarfsfall auch ein Wiederherstellungsszenario machen. Datensicherheit, zu der auch eine professionelle Datensicherung zählt, kann auch bei externen Homeoffice-Strukturen essentiell wichtig sein.

REGELMÄßIGE UPDATES VON BETRIEBSSYSTEM, ANWENDUNGEN UND SICHERHEITSKOMPONENTEN 

Die Sicherheit eines Netzwerks ist nur so stark wie das schwächste Glied. Veraltete Software ist ein häufiges Einfallstor für Cyberangriffe. Daher ist es entscheidend, dass auch Arbeitsplatzrechner und Notebooks im Homeoffice regelmäßig mit den neuesten Sicherheitsupdates und Patches versorgt werden. Diese Updates schließen Sicherheitslücken, durch die Angreifer sonst leicht eindringen könnten.

Wichtig auch bei Homeoffice-Geräten, die Updates müssen zentralisiert erfolgen und nicht vom Benutzer selber zu steuern sein. Denn solange man auf „später durchführen“ klicken kann, ist das Schließen von Sicherheitslücken nicht gesichert. Daher bedarf es auch im Homeoffice Strukturen, die genau so wie die Geräte im Unternehmen, durch ein professionelles Update-Management (Patch-Management) im Hinblick auf Updates verwaltet werden.

PRIVATE HARDWARE NUR MIT BESONDEREN MAßNAHMEN 

Die Nutzung privater Geräte für berufliche Zwecke (BYOD) mag auf den ersten Blick praktisch erscheinen, birgt jedoch erhebliche Sicherheitsrisiken. Private IT-Komponenten sind oft nicht ausreichend gesichert und können somit leicht zum Einfallstor für Cyberangriffe werden. Darüber hinaus erschwert BYOD die Durchsetzung von Unternehmensrichtlinien zur IT-Sicherheit und den Schutz sensibler Unternehmensdaten.

Sofern private Hardware zu betrieblichen Zwecken eingesetzt werden soll, bedarf es der Berücksichtigung diverser Vorgaben und rechtlichen Anforderungen. Neben den arbeitsrechtlichen Anforderungen und der IT-Sicherheit, müssen auch die datenschutzrechtlichen Anforderungen berücksichtigt werden.

Den Mitarbeitern ohne entsprechende Vereinbarungen und technischen Maßnahmen die Nutzung von privater Hardware zu gestatten, ist grob fahrlässig. Dabei sollten Arbeitgeber immer vor Augen haben, dass die Verantwortung für die Datenverarbeitung und die Daten an sich immer bei ihnen liegt.

Dennoch ist der Einsatz von privaten Geräten kein no go. Gerne zeigen wir Ihnen, wie auch in Ihrem Unternehmen der Einsatz privater Hardware – Bring Your Own Device (BYOD) – sicher möglich ist.

VERANTWORTUNG DES ARBEITGEBENDEN UND KONTROLLRECHTE 

Da auch bei der Arbeit im Homeoffice der Arbeitgeber für den Schutz und die Sicherheit der Daten, sowie die Einhaltung des Daten- als auch des Arbeitsschutzes verantwortlich ist, sollten definitiv Kontrollen durch den Arbeitgeber bzw. dessen Beauftragte durchgeführt werden.

Gesetzlich sind persönliche Kontrollbesuche erlaubt. Dies sollte aber nur nach vorheriger Absprache mit dem Mitarbeiter erfolgt. Bei berechtigtem Verdacht bzw. wenn ein konkreter Anlass vorliegt, dann ist eine Kontrolle auch ohne eine solche Ankündigung möglich. Das Einräumen von Kontrollrechten bietet sich bereits in der verpflichtenden Homeoffice-Richtlinie / Regelung an. Hier kann auch detailliert vereinbart werden, wie diese Kontrollen stattfinden.