Corona-bedingte Entwicklungen
Aufgrund der Schutzmaßnahmen zur Verlangsamung der weiteren Ausbreitung des Corona-Virus (SARS-Cov-2) verlagern viele Menschen ihre Arbeit ›ins Homeoffice‹. Für manche Menschen war das im Rahmen von Telearbeit oder mobilem Arbeiten[1] schon Alltag; für andere ist das Neuland[2] – eine Situation, auf die es kurzfristig und dennoch angemessen zu reagieren gilt. Die unbeliebtesten Ratschläge in derlei akuten Situationen sind solche, die einem mit dem Seitenhieb, man habe schon immer auf den Vorbereitungsbedarf hingewiesen und vor den Gefahren gewarnt, gegeben werden, obwohl ›das Kind jetzt in den Brunnen gefallen ist‹: Wer kennt nicht den Ratschlag der regelmäßigen Backups, wenn wichtige Daten erst unwiederbringlich verloren sind. Hilfe sieht in solchen Momenten anders aus. Umso komfortabler und ergreifenswerter ist doch eigentlich die Chance, die sich in der gegenwärtige Situation bietet: Eine Vielzahl von Unternehmen und Angestellten sind nun erstmalig und teils unvorbereitet mit der Homeoffice-Gegebenheit konfrontiert und müssen nun mit der Situation umgehen.[3] Das bietet die Möglichkeit, mit den anderen ebenfalls Betroffenen zu lernen und – sollte einmal etwas nicht direkt perfekt umgesetzt werden – verständnisvoller behandelt zu werden, aber auch selber mit anderen nachsichtig in dieser Ausnahmesituation umzugehen. Und schließlich spricht nichts dagegen, im Anschluss an diese Ausnahmesituation auch langfristig den entsprechenden Rahmen in Form von Leitlinien, Maßnahmen, Strategien und Anweisungen für das Homeoffice (unternehmensseitig) zu etablieren und in die Form von Dienst-/Betriebs- oder individualvertraglichen Vereinbarungen zu „gießen“. Bis dahin kann dieser Crashkurs in 20 Schritten Ihnen kurzfristig helfen.
Maßnahmeempfehlungen
Eben aufgrund dieser Breitenwirkung des Homeoffice-Phänomens haben eine Vielzahl von Institutionen Handreichungen herausgebracht, mit Hilfe derer Betroffene auf wichtige Aspekte, die es (auch und gerade) im Homeoffice zu beachten gilt, aufmerksam gemacht werden.[4] Neben teils arbeitsrechtlichen Aspekten thematisieren diese vor allem datenschutz- und IT-sicherheitsrechtliche Aspekte. In diesem Beitrag möchten wir Ihnen einen Überblick[5] über die empfohlenen grundsätzlichen Maßnahmen geben, die maßgeblich zum Schutz aus IT-sicherheitsrechtlicher Perspektive, also zur Herstellung und Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme,[6] beitragen können.[7]
Online-Tool »Virus fördert Viren«
Eine gelungene Art, Betroffene ›an die Hand zu nehmen‹ und mit ihnen die wichtigsten Schritte für eine bessere IT-Sicherheit durchzugehen, bietet das Online-Tool „Virus fördert Viren“.[8] Dieses Tool, eine Website, die im Rahmen des Hackathons #WirVersusVirus[9] entwickelt wurde, fragt interaktiv IT-sicherheitsrelevante Aspekte dezidiert technischer Natur ab und gibt zu diesen Tipps.
Maßnahmen
Für alle, die lieber eine schriftliche Checkliste mögen, hier ein Überblick über die wichtigsten Überlegungen und Handlungsempfehlungen:
Generelle Überlegungen
- Verwenden Sie (möglichst) die IT (Geräte und Software) Ihres Unternehmens und (möglichst) lediglich für berufliche Zwecke.
- Bedarf es überhaupt dringend einer Verarbeitung von personenbezogenen[10] oder geheimen Daten, oder lässt sich diese verschieben? Arbeiten Sie zunächst mit Daten ohne Personenbezug[11] oder besonderer Relevanz, um sich an die neue Situation und die neuen Regelungen zu gewöhnen.
- Grundsätzlich gilt: Vermeiden Sie die Verarbeitung (möglichst) geheim zu haltender und personenbezogener Daten[12] – „je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen“[13].
Organisatorische Maßnahmen
- Klären Sie, welche Kommunikationskanäle (Messenger, E-Mail-Dienste oder beispielsweise Videokonferenz-Software[14]) wie und wozu genutzt werden dürfen.
- Klären Sie die Kontaktmöglichkeiten, an die Sie sich im Falle von technischen Problemen, Daten- oder Geräteverlusten oder Fragen wenden können.
- Vermeiden Sie Medienbrüche, arbeiten Sie möglichst nur mit einem Medium, um die Orte, an denen wichtige Daten festgehalten sind, zu minimieren.
- Führen Sie regelmäßig Datensicherungen (möglichst im Rahmen der Infrastruktur Ihres Unternehmens, gegebenenfalls über einen Online-Zugriff[15]) durch; vermeiden Sie hingegen (möglichst) das Speichern personenbezogener oder geheimer Daten auf privater IT[16].
- Verwenden Sie sichere Passwörter und Persönliche Identifikationsnummern (PIN).[17]
- Schützen Sie Ihre Monitore durch Sichtschutzfolien.
Technische Maßnahmen
- Verwenden Sie – je nach Gerät und Betriebssystem entsprechende – Schutzsoftware wie Virenscanner und Firewalls.
- Halten Sie die Software all ihrer Geräte[18], insbesondere Betriebssysteme, Firewalls und Anti-Viren-Programme auf dem neuesten Stand und achten Sie auf aktuelle Warnungen des Bundesamtes für Sicherheit in der Informationstechnik[19].
- Sperren Sie Ihren Bildschirm – sowohl durch eine automatische Funktion durch Zeitablauf als auch immer manuell, wenn Sie den Arbeitsbereich verlassen.
- Sichern Sie Ihr WLAN und Ihren Router durch sichere Passwörter ab.[20]
- Nutzen Sie Möglichkeiten der Zwei-Faktor-Authentisierung.[21]
- Nutzen Sie Möglichkeiten sicherer Virtual Private Networks (VPN), um auf Ressourcen Ihres Unternehmens zuzugreifen.
- Verschlüsseln Sie Ihre IT-Systeme wie Computer, Handys, insbesondere auch Festplatten und USB-Sticks.
- Achten Sie auf eine Ende-zu-Ende-Verschlüsselung, falls Sie Messenger-Dienste verwenden.[22]
- Verwenden Sie keine privaten Festplatten oder USB-Sticks, um das Risiko von Schadsoftware zu verringern.[23]
Besondere Vorsichtsmaßnahmen im thematischen Zusammenhang mit der Corona-Pandemie
- Reagieren Sie besonnen und hinterfragen Sie Mails oder Webseiten, die Sie (insbesondere im Zusammenhang mit der Corona-Pandemie) zur Angabe persönlicher Informationen animieren wollen.[24] Klicken Sie (möglichst) nicht auf Links in E-Mails und öffnen Sie (möglichst) keine E-Mail-Anhänge. Seien Sie grundsätzlich bei E-Mails skeptisch; Absenderadressen lassen sich leicht ›fälschen‹ oder irreführend darstellen. Versuchen Sie – falls Sie die Anliegen nicht als offensichtlich unbegründet und missbräuchlich identifizieren können – auf alternativem Wege die Absender und Anliegen zu verifizieren.
- Informieren Sie sich über aktuelle Geschehnisse und Nachrichten zur Corona-Pandemie durch etablierte und offizielle Kommunikationswege[25], seien Sie vorsichtig bei alternativen Angeboten[26].
Ausblick
Vielleicht musste die „Einrichtung“ Ihres Homeoffice schnell gehen und Sie waren nicht darauf vorbereitet. Wir hoffen, Ihnen mit diesem Überblick die wichtigsten Aspekte und Maßnahmen für IT-Sicherheit im Homeoffice haben aufzeigen können, möchten Sie jedoch zum Schluss nochmals darauf hinweisen, dass natürlich die Anweisungen Ihres Dienstvorgesetzten im Zweifel Vorrang vor unseren allgemeinen Empfehlungen haben, die zu treffenden Maßnahmen immer auch dem jeweiligen Arbeitsbereich und der jeweiligen Situation angemessen angepasst und getroffen werden müssen. Sollte sich – was wir alle nicht hoffen, aber in Anbetracht des Umfangs und der Auswirkungen der Pandemie derzeit durchaus realistisch erscheint – der Ausnahmezustand noch über eine längere Zeit erstrecken, sollten seitens des Unternehmens klare Regelungen zum Homeoffice, insbesondere hinsichtlich technischer und organisatorischer Maßnahmen (TOMs), getroffen werden. Schützen Sie sich und den womöglich neuen Teil ihres castles, das Homeoffice, und bleiben Sie gesund!
[1] Vgl. zu diesen Begrifflichkeiten Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Stand: Januar 2019 (zuletzt abgerufen am: 25.04.2020), S. 5.
[2] Für Zahlen zu IT-Sicherheitsmaßnahmen, die im Homeoffice Tätige laut einer Umfrage bisher getroffen haben, siehe Bundesverband IT-Sicherheit e.V. (TeleTrusT), Pressemitteilung – Deutschland-Umfrage »IT-Sicherheit im Home Office«, 31.03.2020, abrufbar unter: https://www.teletrust.de/presse/pressemitteilungen/it-sicherheit-im-home-office/ (zuletzt abgerufen am: 25.04.2020).
[3] Laut des Digitalverbandes BITKOM wurde bei jedem dritten Beschäftigten erstmals Homeoffice eingeführt, siehe Pauly/Holdampf-Wendel, Corona-Pandemie: Arbeit im Homeoffice nimmt deutlich zu, 18.03.2020, abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/Corona-Pandemie-Arbeit-im-Homeoffice-nimmt-deutlich-zu (zuletzt abgerufen am: 25.04.2020).
[4] Siehe als Auswahl an Handreichungen, die dieser Übersicht zugrunde liegen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser (vgl. Fn. 1); EU Agency for Cybersecurity’s (ENISA) Executive Director, Lepassar, Top Tips for Cybersecurity when Working Remotely; Bundesamt für Sicherheit in der Informationstechnik (BSI), Home-Office? –Aber sicher! mit Tipps für sicheres mobiles Arbeiten; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Datenschutz: Plötzlich im Homeoffice – und nun? (PDF); jeweils zuletzt abgerufen am: 25.04.2020. Für eine Übersicht über die Handreichungen und Empfehlungen der Datenschutzbehörden auf internationaler Ebene siehe Etteldorf, COVID-19 Special, EU Memer State-Date Protection Authorities Deal with COVID-19: An Overview, PRE-PRINT: COVID-19 Special, EDPL (2) 2020, 1–11.
[5] Selbstverständlich erhebt diese Darstellung nicht den Anspruch eines abschließenden und allumfassenden Überblicks. Je nach individuellem Einsatzszenario und Arbeitsbereich können andere Maßstäbe und Maßnahmen erforderlich sein. Bitte klären Sie gegebenenfalls für Sie relevante Besonderheiten mit Ihren Vorgesetzten ab; bei dem vorliegenden Überblick handelt es sich lediglich um grundsätzliche Empfehlungen!
[6] Vgl. Art. 25 Abs. 1 lit. b DS-GVO.
[7] Vgl. hinsichtlich der Anforderungen insbesondere Art. 32 sowie Art. 25 Abs. 1 DS-GVO.
[8] Siehe https://virus-foerdert-viren.netlify.com (zuletzt abgerufen am: 25.04.2020).
[9] Siehe dazu Bundesregierung, Fragen und Antworten zum Hackathon #WirVersusVirus (zuletzt abgerufen am: 25.04.2020).
[10] Für eine Definition siehe Art. 4 Nr. 1 i.V.m. ErwGr. 26 S. 3 f. DS-GVO.
[11] Vgl. für eine Definition anonymer Informationen ErwGr. 26 S. 5 DS-GVO.
[12] Entsprechend dem Datenverarbeitungsgrundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO: „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt […] („Datenminimierung“)“.
[13] Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser (vgl. Fn. 1), S. 10, vgl. dazu insgesamt S. 6–10.
[14] Zur aus datenschutz- wie auch aus IT-sicherheitsrechtlicher Sicht nicht unumstrittenen Videokonferenz-Software Zoom siehe für eine datenschutzrechtliche Einschätzung Roßnagel, Zoom und Datenschutz (PDF), 03.04.2020, sowie aus IT-Sicherheitsperspektive Ries, Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum? UPDATE, 02.04.2020 (jeweils zuletzt abgerufen am: 25.04.2020).
[15] Siehe dazu auch 15.
[16] Vgl. 1., 2. und 3 und insbesondere auch 18.
[17] Siehe dazu grundsätzlich Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium Edition 2020, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html;jsessionid=9E6490AF88CBFBE3871F78105E174287.1_cid351 (zuletzt abgerufen am: 24.04.2020) unter ORP.4.A8 sowie ORP.4.A22; als schnelle Anleitung siehe Bundesamt für Sicherheit in der Informationstechnik (BSI), Sichere Passwörter – Faktenblatt, 01.02.2019 (zuletzt abgerufen am: 24.04.2020).
[18] Damit sind neben Computern insbesondere auch (WLAN-)Router, Handys, aber auch andere Geräte gemeint, die über eine eigenständige Software und eine Verbindung zum Internet verfügen.
[19] Diese sind abrufbar unter: https://www.bsi.bund.de/DE/Service/Aktuell/aktuelles_node.html.
[20] Vgl. dazu 8. und Fn. 17.
[21] Vgl. dazu auch im Zusammenspiel 8.
[22] Vgl. dazu auch 4.
[23] Vgl. dazu auch 1. und 7.
[24] Siehe dazu Bundesamt für Sicherheit in der Informationstechnik (BSI), Vorsicht Phishing: Die Corona-Krise als Köder sowie Wie schützt man sich gegen Phishing? und allgemeiner zur Funktionsweise von Phishing Passwortdiebstahl durch Phishing (jeweils zuletzt abgerufen am: 25.04.2020); zur konkreten Situation insbesondere auch Verbraucherzentrale Nordrhein-Westfalen, Achtung, Phishing! Wie Betrüger die Corona-Krise in E-Mails nutzen, 18.03.2020 (zuletzt abgerufen am: 25.04.2020).
[25] Zum Beispiel über die Webseite des Robert-Koch-Instituts (zuletzt abgerufen am: 25.04.2020).
[26] So wurde zum Beispiel von „gefälschten“ digitalen Karten zur Ausbreitung des Corona-Virus berichtet, die als Vorwand zur Verbreitung von Schadsoftware genutzt wurden, siehe Kerkmann, Der perfekte Köder: Cyberkriminelle nutzen die Corona-Panik, 14.03.2020 (zuletzt abgerufen am: 25.04.2020) (m.w.N.).