Compliance und IT-Sicherheit im HomeOffice
VPN-Verbindungen und IT-Security
Modern Work und dezentrale Arbeitsumgebungen
Hochsicher und überwacht
HOMEOFFICE STRUKTUREN BRAUCHEN EIN KONZEPT
Durch die Corona Pandemie wurde das Thema der Arbeit von zu Hause aus quasi über Nacht ein Bestandteil moderner, bzw. notwendiger IT-Strukturen. Homeoffice, Remote Work und der Begriff Workation sind heute feste Bestandteile von der sogenannten Modern Work. Über Nacht geboren und aus der Not heraus zunächst ohne passende IT-Sicherheit und Richtlinien.
Ohne ausreichende Konzepte, aktuelle technische Maßnahmen und bedarfsgerechte IT-Sicherheit ist ein Homeoffice Betrieb nicht möglich – sogar rechtswidrig und strafbar.
Bereits bei der Verbindung von externen Standorten (Homeoffice oder remote von Unterwegs) in die IT-Strukturen eines Unternehmens bedarf es bestimmter Vorkehrungen. Eine sichere Verbindung ist grundsätzlich unerlässlich, um Daten- und Informationssicherheit zu gewährleisten. Eine unsichere Verbindung kann zu Datendiebstahl, Hackerangriffen oder Datenmanipulation führen, was für Unternehmen und Mitarbeitende gleichermaßen schwerwiegende Folgen haben kann. Eine sichere Verbindung schützt zudem die Privatsphäre und sorgt dafür, dass vertrauliche Informationen nicht in die falschen Hände geraten. Ohne eine professionelle VPN-Lösung ist ein Zugriff von externen Geräten nicht zu empfehlen.
Grundsätzlich sollten Arbeitgeber Ihren Mitarbeitern entsprechende betriebliche Arbeitsmittel zur Verfügung stellen, mit denen eine sichere Verbindung in das Unternehmensnetzwerk möglich ist!
GESICHERTE VERBINDUNG AUS DEM HEIMBÜRO INS FIRMENNETZERK
VPN: ein Muss für die „Einwahl“ ins sichere Unternehmensnetz. Alternativ ein gleichwertiger Web-Client mit passender Hardware.
Aufgrund der Anforderungen durch den Datenschutz (DGSVO und BDSG) muss eine Übertragung von personenbezogenen Daten immer und ausschließlich verschlüsselt erfolgen. Alleine bedingt schon durch diese Vorgabe sollte jedes Unternehmen seine Verbindungsstrategie für das Homeoffice ganz genau analysieren.
Der externe Zugriff auf Unternehmensressourcen darf nur von qualifiziertem Personal eingerichtet, freigegeben und gewartet werden.
KLARE VERHALTENSREGELN IM HOMEOFFICE
Nicht nur die technischen Maßnahmen sollten für die Arbeit im Homeoffice klar geregelt sein. Organisatorische Maßnahmen wie die sichere Verwahrung der Arbeitsmittel, Einschränkung des Zugriffs auf diese und ein datenschutzkonformes Arbeitsumfeld sollten für alle Mitarbeiter, die im Homeoffice arbeiten, bekannt und verpflichtend sein.
Schriftliche Regelungen für diese Homeoffice-Etikette sind zwingend notwendig. Eine schriftliche Erweiterung der IT- und Datenschutzrichtlinien jedes Unternehmens muss ebenfalls hierzu erfolgen. Nur so lassen sich rechtssicher und datenschutzkonform Homeoffice-Lösungen etablieren.
Mit den Mitarbeitern, die von Zuhause aus arbeiten, müssen grundsätzlich entsprechende Vereinbarungen für die Arbeit im Homeoffice getroffen werden. Wichtig ist, dass dies schriftlich erfolgt. So ist für alle Beteiligten jederzeit ersichtlich, was und inwieweit Prozesse erlaubt sind.
PRIVATE HARDWARE NUR MIT BESONDEREN MAßNAHMEN
Sofern private Hardware zu betrieblichen Zwecken eingesetzt werden soll, bedarf es der Berücksichtigung diverser Vorgaben und rechtlichen Anforderungen. Neben den arbeitsrechtlichen Anforderungen und der IT-Sicherheit, müssen auch die datenschutzrechtlichen Anforderungen berücksichtigt werden.
Den Mitarbeitern ohne entsprechende Vereinbarungen und technischen Maßnahmen die Nutzung von privater Hardware zu gestatten, ist grob fahrlässig. Dabei sollten Arbeitgeber immer vor Augen haben, dass die Verantwortung für die Datenverarbeitung und die Daten an sich immer bei ihnen liegt.
Dennoch ist der Einsatz von privaten Geräten kein no go. Gerne zeigen wir Ihnen, wie auch in Ihrem Unternehmen der Einsatz privater Hardware – Bring Your Own Device (BYOD) – sicher möglich ist.
VERANTWORTUNG DES ARBEITGEBENDEN UND KONTROLLRECHTE
Da auch bei der Arbeit im Homeoffice der Arbeitgeber für den Schutz und die Sicherheit der Daten, sowie die Einhaltung des Daten- als auch des Arbeitsschutzes verantwortlich ist, sollten definitiv Kontrollen durch den Arbeitgeber bzw. dessen Beauftragte durchgeführt werden.
Gesetzlich sind persönliche Kontrollbesuche erlaubt. Dies sollte aber nur nach vorheriger Absprache mit dem Mitarbeiter erfolgt. Bei berechtigtem Verdacht bzw. wenn ein konkreter Anlass vorliegt, dann ist eine Kontrolle auch ohne eine solche Ankündigung möglich. Das Einräumen von Kontrollrechten bietet sich bereits in der verpflichtenden Homeoffice-Richtlinie / Regelung an. Hier kann auch detailliert vereinbart werden, wie diese Kontrollen stattfinden.


CYBER-KRIMINELLE NUTZEN DIE FEHLENDEN SICHERHEITSSTRUKTUREN
FÜR ERFOLGREICHE ANGRIFFE
Durch die fehlende Kommunikation aufgrund der dezentralen Arbeitsstätten wie Homeoffice und Remote Work haben Cyberkriminelle die Angriffsmethoden in den letzten Jahren angepasst.
Worauf Sie unbedingt achten sollten:
- eine sichere, verschlüsselte Verbindung zwischen Homeoffice-Standort und Unternehmensnetzwerk
- klare IT-Richtlinien, Hardware- und Systemvorgaben
- keine privaten Endgeräte (Notebook, PC, Smartphone, etc.)
- automatisiertes und intelligentes Monitoring (Schwachstellen und Attacken)
- Sicherstellung von Regelupdates aller relevanten Komponenten (Betriebssystem, Netzwerkverbindung, Antivirus-Software, etc.)
Gerne unterstützen wir auch Sie und zeigen Ihnen die individuellen Optionen für Ihr Unternehmen auf, erstellen ein passendes Konzept und setzen dieses zusammen mit Ihnen um.
Phishing-Angriffe
Betrügerische E-Mails, die als vertrauenswürdig erscheinen, werden an Mitarbeitende im Homeoffice gesendet, um sensible Informationen wie Passwörter und Kreditkartendaten zu stehlen.
Malware-Angriffe
Viren, Trojaner oder andere bösartige Software können auf einem PC im Homeoffice installiert werden, um Daten zu stehlen oder das Netzwerk zu beeinträchtigen.
Man-in-the-Middle-Angriffe
Cyberkriminelle können Daten, die zwischen der Homeoffice-Umgebung und dem Unternehmensnetzwerk übertragen werden, abfangen, diese stehlen oder manipulieren.
Social Engineering
Cyberkriminelle nutzen Psychologie sehr geschickt, um Mitarbeiter im Homeoffice dazu zu bringen, vertrauliche Informationen freiwillig preiszugeben.

Stephan Zander
Datenschutz, IT-Sicherheit und AIS
Ihr persönlicher Ansprechpartner.
Ihr Kontakt zu uns
Individuelle Erstberatung anfordern – wir freuen uns, Sie und Ihr Unternehmen kennenzulernen.