Corona-Krise: Das Home Office – ein erhöhtes Risiko für IT-Sicherheit und Datenschutz

seperator

Zahlreiche Unternehmen haben ihre Mitarbeiter in den vergangenen Wochen nach Möglichkeit ins Home Office geschickt. Die eigenen vier Wände schützen zwar vor dem Corona-Virus, aber nicht vor Datendiebstahl oder -missbrauch. Unternehmen, die bislang keine konkreten Richtlinien und Regeln für Home-Office-Tätigkeiten getroffen hatten, lassen ihre Mitarbeiter nun nicht selten auch mit dem privaten Notebook, PC oder Smartphone arbeiten. Das Sicherheitsrisiko steigt also signifikat für die Unternehmen und versetzt gerade die IT-Abteilungen in helle Aufregung – vorausgesetzt diese ist überhaupt vorhanden.

Mindestanforderungen an Mitarbeiter und IT

Um mögliche Risiken zu vermeiden, sollten Unternehmen einen Standard einführen, der gewisse Mindestanforderungen an das Personal und IT enthält. Dazu gehören technische Maßnahmen, wie beispielsweise die Einrichtung eines Virtual Private Networks (kurz: VPN), sodass die Kommunikation mit dem Unternehmensnetzwerk nur noch verschlüsselt erfolgen kann. Auch eine eindeutige Identikation der Benutzers sollte vorhanden sein. Konkrete Maßnahmen wie die Einführung einer Zwei-Faktor-Authenfizierung (kurz: 2FA) mittels TAN oder SMS sowie erweiterter Kennwort- und Anmelderichtlinien sind eine Grundvorrausetzung. Hierzu gehören auch zeitliche Beschränkungen wie das automatisches Abmelden: Benutzer sollten nach einem gewissen Zeitraum oder nachdem für längere Zeit keine Eingaben mehr erfolgt sind, automatisch vom Netzwerk abgemeldet werden, damit kein unberechtigter Zugang erfolgt. Klare Verhaltensregeln wie beispielsweise das verschließen von Türen und Fenstern beim Verlassen des Arbeitszimmers sollten ebenfalls existieren.

BSI unterstützt mit Merkblatt

Compliance spielt eine wichtige Rolle

Auch der rechtliche Rahmen spielt beim mobilen Arbeiten eine große Rolle: so sollten beispielsweise klare Richtlinien und ggf. auch vertragliche Zusatzvereinbarungen existieren, die das Arbeiten im Home-Office regeln. Themen wie Arbeitszeit und Arbeitsmittel inklusive Nutzungsbedingungen müssen konkret benannt werden. Auch Überlassungsverträge für mobile Endgeräte wie PC, Notebook und Telefon samt Rückgaberegeln sollten klar definiert werden. Weitere Themen sind die Haftung und Versicherung während des mobilen Arbeitens sowie eine Verpflichtungserklärung zur Einhaltung der Datenschutzvorschriften.

Weitergehende Beratung

Wünschen Sie eine konkrete Überprüfung, ob Ihre getroffenen Maßnahmen ein ausreichendes Schutznivau bieten oder wünschen Sie, dass wir Sie beim Einführen von IT-Sicherheitsmaßnahmen begleiten? Gerne stehen wir Ihnen für ein umfangreiches Beratungsgespräch (auch online) zur Verfügung. Auch eine langfristige Etablierung von IT-Sicherheitsstandards und Informationssicherheitsmaßnahmen in Ihrem Unternehmen sollte ein Ziel sein, dass es sich zu verfolgen lohnt. Wir begleiten Sie gerne bei der Einführung von Sicherheitskonzepten und Management-Systemen. Betrachten Sie hierzu bitte unsere konkreten Beratungsangebote im Bereich IT-Sicherheitsmanagement und BSI-Grundschutz, Informationssicherheitsmanagement nach ISO 27001 sowie unsere generellen Beratungen im Bereich IT-Sicherheit, Datenschutz und Compliance.

Wichtiger Hinweis: Bitte beachten Sie, dass wir keine Steuer- oder Rechtsberatung erbringen dürfen und mit dieser Information keine Steuer- oder Rechtsberatung erbracht wird. Es handelt sich um allgemeine und öffentlich zugängliche Informationen, die auf den jeweiligen Sachverhalt Ihres Unternehmens im Einzelfall anzupassen und aus steuer- und rechtlicher Sicht zu bewerten sind. Bitte holen Sie eine auf Ihre Umstände zugeschnittene Beratung Ihres Steuer- bzw. Rechtsberaters ein, bevor Sie Entscheidungen über die sich in Zusammenhang mit diesem Thema befindlichen Informationen treffen. Für die Richtigkeit der in diesem Artikel enthaltenen Angaben können wir trotz sorgfältiger Prüfung keine Gewähr übernehmen.