A. Corona-bedingte Entwicklungen

Aufgrund der Schutzmaßnahmen zur Verlangsamung der weiteren Ausbreitung des Corona-Virus (SARS-Cov-2) verlagern viele Menschen ihre Arbeit ›ins Homeoffice‹. Für manche Menschen war das im Rahmen von Telearbeit oder mobilem Arbeiten1Vgl. zu diesen Begrifflichkeiten Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein ...continue schon Alltag; für andere ist das Neuland6Für Zahlen zu IT-Sicherheitsmaßnahmen, die im Homeoffice Tätige laut einer Umfrage bisher getroffen haben, siehe Bundesverband IT-Sicherheit e.V. ...continue – eine Situation, auf die es kurzfristig und dennoch angemessen zu reagieren gilt. Die unbeliebtesten Ratschläge in derlei akuten Situationen sind solche, die einem mit dem Seitenhieb, man habe schon immer auf den Vorbereitungsbedarf hingewiesen und vor den Gefahren gewarnt, gegeben werden, obwohl ›das Kind jetzt in den Brunnen gefallen ist‹: Wer kennt nicht den Ratschlag der regelmäßigen Backups, wenn wichtige Daten erst unwiederbringlich verloren sind. Hilfe sieht in solchen Momenten anders aus. Umso komfortabler und ergreifenswerter ist doch eigentlich die Chance, die sich in der gegenwärtige Situation bietet: Eine Vielzahl von Unternehmen und Angestellten sind nun erstmalig und teils unvorbereitet mit der Homeoffice-Gegebenheit konfrontiert und müssen nun mit der Situation umgehen.2Laut einer Befragung des Digitalverbandes BITKOM wurde bei jedem dritten Beschäftigten erstmals Homeoffice eingeführt, siehe Pauly/Holdampf-Wendel, ...continue Das bietet die Möglichkeit, mit den anderen ebenfalls Betroffenen zu lernen und – sollte einmal etwas nicht direkt perfekt umgesetzt werden – verständnisvoller behandelt zu werden, aber auch selber mit anderen nachsichtig in dieser Ausnahmesituation umzugehen. Und schließlich spricht nichts dagegen, im Anschluss an diese Ausnahmesituation auch langfristig den entsprechenden Rahmen in Form von Leitlinien, Maßnahmen, Strategien und Anweisungen für das Homeoffice (unternehmensseitig) zu etablieren und in die Form von Dienst-/Betriebs- oder individualvertraglichen Vereinbarungen zu ›gießen‹. Bis dahin kann dieser Crashkurs in 20 Schritten Ihnen kurzfristig helfen.

 

B. Maßnahmeempfehlungen

Eben aufgrund dieser Breitenwirkung des Homeoffice-Phänomens haben eine Vielzahl von Institutionen Handreichungen herausgebracht, mit Hilfe derer Betroffene auf wichtige Aspekte, die es (auch und gerade) im Homeoffice zu beachten gilt, aufmerksam gemacht werden.3Siehe als Auswahl an Handreichungen, die dieser Übersicht zugrunde liegen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ...continue Neben teils arbeitsrechtlichen Aspekten thematisieren diese vor allem datenschutz- und IT-sicherheitsrechtliche Aspekte. In diesem Beitrag möchten wir Ihnen einen Überblick4Selbstverständlich erhebt diese Darstellung nicht den Anspruch eines abschließenden und allumfassenden Überblicks. Je nach individuellem ...continueüber die empfohlenen grundsätzlichen Maßnahmen geben, die maßgeblich zum Schutz aus IT-sicherheitsrechtlicher Perspektive, also zur Herstellung und Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme,5Vgl. Art. 25 Abs. 1 lit. b DS-GVO. beitragen können.7Vgl. hinsichtlich der Anforderungen insbesondere Art. 32 sowie Art. 25 Abs. 1 DS-GVO.

 

I. Online-Tool »Virus fördert Viren«

Eine gelungene Art, Betroffene ›an die Hand zu nehmen‹ und mit ihnen die wichtigsten Schritte für eine bessere IT-Sicherheit durchzugehen, bietet das Online-Tool »Virus fördert Viren«.8Siehe https://virus-foerdert-viren.netlify.com  (zuletzt abgerufen am: 26.04.2020). Dieses Tool, eine Website, die im Rahmen des Hackathons »#WirVersusVirus«9Siehe dazu https://www.bundesregierung.de/breg-de/themen/coronavirus/hackathon-der-bundesregierung-1733632. entwickelt wurde, fragt interaktiv IT-sicherheitsrelevante Aspekte dezidiert technischer Natur ab und gibt zu diesen Tipps.

 

II. Maßnahmen

Für alle, die lieber eine schriftliche Checkliste mögen, hier ein Überblick über die wichtigsten Überlegungen und Handlungsempfehlungen:

 

Generelle Überlegungen

  1. Verwenden Sie (möglichst) die IT (Geräte und Software) Ihres Unternehmens und (möglichst) lediglich für berufliche Zwecke.
  2. Bedarf es überhaupt dringend einer Verarbeitung von personenbezogenen10Für eine Definition siehe Art. 4 Nr. 1 i.V.m. ErwGr. 26 S. 3f. DS-GVO. oder geheimen Daten, oder lässt sich diese verschieben? Arbeiten Sie zunächst mit Daten ohne Personenbezug11Vgl. für eine Definition anonymer Informationen ErwGr. 26 S. 5 DS-GVO. oder besonderer Relevanz, um sich an die neue Situation und die neuen Regelungen zu gewöhnen.
  3. Grundsätzlich gilt: Vermeiden Sie die Verarbeitung (möglichst) geheim zu haltender und personenbezogener Daten12Entsprechend dem Datenverarbeitungsgrundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DS-GVO: »dem Zweck angemessen und erheblich sowie ...continue»je sensibler und damit schützenswerter personenbezogene Daten sind, desto stärker sind sie zu schützen«13Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser (vgl.  ...continue.

 

Organisatorische Maßnahmen

  1. Klären Sie, welche Kommunikationskanäle (Messenger, E-Mail-Dienste oder beispielsweise Videokonferenz-Software14Zur aus datenschutz- wie auch aus IT-sicherheitsrechtlicher Sicht nicht unumstrittenen Videokonferenz-Software Zoom siehe für eine ...continue) wie und wozu genutzt werden dürfen.
  2. Klären Sie die Kontaktmöglichkeiten, an die Sie sich im Falle von technischen Problemen, Daten- oder Geräteverlusten oder Fragen wenden können.
  3. Vermeiden Sie Medienbrüche, arbeiten Sie möglichst nur mit einem Medium, um die Orte, an denen wichtige Daten festgehalten sind, zu minimieren.
  4. Führen Sie regelmäßig Datensicherungen (möglichst im Rahmen der Infrastruktur Ihres Unternehmens, gegebenenfalls über einen Online-Zugriff15Siehe dazu auch 15.) durch; vermeiden Sie hingegen (möglichst) das Speichern personenbezogener oder geheimer Daten auf privater IT16Vgl.1., 2. und 3 und siehe insbesondere auch 18..
  5. Verwenden Sie sichere Passwörter und Persönliche Identifikationsnummern (PIN).17Siehe dazu grundsätzlich Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium Edition 2020 (zuletzt abgerufen am: ...continue
  6. Schützen Sie Ihre Monitore durch Sichtschutzfolien.

 

Technische Maßnahmen

  1. Verwenden Sie – je nach Gerät und Betriebssystem entsprechende – Schutzsoftware wie Virenscanner und Firewalls.
  2. Halten Sie die Software all ihrer Geräte18Damit sind neben Computern insbesondere auch (WLAN-)Router, Handys, aber auch andere Geräte gemeint, die über eine eigenständige Software und eine ...continue, insbesondere Betriebssysteme, Firewalls und Anti-Viren-Programme auf dem neuesten Stand und achten Sie auf aktuelle Warnungen des Bundesamtes für Sicherheit in der Informationstechnik19Diese sind abrufbar unter: https://www.bsi.bund.de/DE/Service/Aktuell/aktuelles_node.html..
  3. Sperren Sie Ihren Bildschirm – sowohl durch eine automatische Funktion durch Zeitablauf als auch immer manuell, wenn Sie den Arbeitsbereich verlassen.
  4. Sichern Sie Ihr WLAN und Ihren Router durch sichere Passwörter ab.20Vgl. dazu 8. und Fn. 17.
  5. Nutzen Sie Möglichkeiten der Zwei-Faktor-Authentisierung.21Vgl. dazu auch im Zusammenspiel 8.
  6. Nutzen Sie Möglichkeiten sicherer Virtual Private Networks (VPN), um auf Ressourcen Ihres Unternehmens zuzugreifen.
  7. Verschlüsseln Sie Ihre IT-Systeme wie Computer, Handys, insbesondere auch Festplatten und USB-Sticks.
  8. Achten Sie auf eine Ende-zu-Ende-Verschlüsselung, falls Sie Messenger-Dienste verwenden.22Vgl. dazu auch 4.
  9. Verwenden Sie keine privaten Festplatten oder USB-Sticks, um das Risiko von Schadsoftware zu verringern.23Vgl. dazu auch 1. und 7.

 

Besondere Vorsichtsmaßnahmen im thematischen Zusammenhang mit der Corona-Pandemie

  1. Reagieren Sie besonnen und hinterfragen Sie Mails oder Webseiten, die Sie (insbesondere im Zusammenhang mit der Corona-Pandemie) zur Angabe persönlicher Informationen animieren wollen.24Siehe dazu Bundesamt für Sicherheit in der Informationstechnik (BSI), Vorsicht Phishing: Die Corona-Krise als Köder sowie Wie schützt man sich ...continue Klicken Sie (möglichst) nicht auf Links in E-Mails und öffnen Sie (möglichst) keine E-Mail-Anhänge. Seien Sie grundsätzlich bei E-Mails skeptisch; Absenderadressen lassen sich leicht ›fälschen‹ oder irreführend darstellen. Versuchen Sie – falls Sie die Anliegen nicht als offensichtlich unbegründet und missbräuchlich identifizieren können – auf alternativem Wege die Absender und Anliegen zu verifizieren.
  2. Informieren Sie sich über aktuelle Geschehnisse und Nachrichten zur Corona-Pandemie durch etablierte und offizielle Kommunikationswege25Zum Beispiel über die Webseite des Robert-Koch-Instituts (zuletzt abgerufen am: 25.04.2020)., seien Sie vorsichtig bei alternativen Angeboten26So wurde zum Beispiel von ›gefälschten‹ digitalen Karten zur Ausbreitung des Corona-Virus berichtet, die als Vorwand zur Verbreitung von ...continue.

 

C. Ausblick

Vielleicht musste die ›Einrichtung‹ Ihres Homeoffice schnell gehen und Sie waren nicht darauf vorbereitet. Wir hoffen, Ihnen mit diesem Überblick die wichtigsten Aspekte und Maßnahmen für IT-Sicherheit im Homeoffice haben aufzeigen können, möchten Sie jedoch zum Schluss nochmals darauf hinweisen, dass natürlich die Anweisungen Ihres Dienstvorgesetzten im Zweifel Vorrang vor unseren allgemeinen Empfehlungen haben, die zu treffenden Maßnahmen immer auch dem jeweiligen Arbeitsbereich und der jeweiligen Situation angemessen angepasst und getroffen werden müssen. Sollte sich – was wir alle nicht hoffen, aber in Anbetracht des Umfangs und der Auswirkungen der Pandemie derzeit durchaus realistisch erscheint – der Ausnahmezustand noch über eine längere Zeit erstrecken, sollten seitens des Unternehmens klare Regelungen zum Homeoffice, insbesondere hinsichtlich technischer und organisatorischer Maßnahmen (TOMs), getroffen werden. Schützen Sie sich und den womöglich neuen Teil ihres castles, das Homeoffice, und bleiben Sie gesund!

Referenzen   [ + ]

1. Vgl. zu diesen Begrifflichkeiten Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser, Stand: Januar 2019 (zuletzt abgerufen am: 25.04.2020), S. 5.
2. Laut einer Befragung des Digitalverbandes BITKOM wurde bei jedem dritten Beschäftigten erstmals Homeoffice eingeführt, siehe Pauly/Holdampf-Wendel, Corona-Pandemie: Arbeit im Homeoffice nimmt deutlich zu, 18.03.2020 (zuletzt abgerufen am: 25.04.2020).
3. Siehe als Auswahl an Handreichungen, die dieser Übersicht zugrunde liegen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser (vgl. Fn. 1); EU Agency for Cybersecurity’s (ENISA) Executive Director, Lepassar, Top Tips for Cybersecurity when Working Remotely; Bundesamt für Sicherheit in der Informationstechnik (BSI), Home-Office? –Aber sicher! und Tipps für sicheres mobiles Arbeiten; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Datenschutz: Plötzlich im Homeoffice – und nun? (PDF); jeweils zuletzt abgerufen am: 25.04.2020. Für eine Übersicht über die Handreichungen und Empfehlungen der Datenschutzbehörden auf internationaler Ebene siehe Etteldorf, COVID-19 Special, EU Memer State-Date Protection Authorities Deal with COVID-19: An Overview, PRE-PRINT: COVID-19 Special, EDPL (2) 2020, 1–11.
4. Selbstverständlich erhebt diese Darstellung nicht den Anspruch eines abschließenden und allumfassenden Überblicks. Je nach individuellem Einsatzszenario und Arbeitsbereich können andere Maßstäbe und Maßnahmen erforderlich sein. Bitte klären Sie gegebenenfalls für Sie relevante Besonderheiten mit Ihren Vorgesetzten ab; bei dem vorliegenden Überblick handelt es sich lediglich um grundsätzliche Empfehlungen!
5. Vgl. Art. 25 Abs. 1 lit. b DS-GVO.
6. Für Zahlen zu IT-Sicherheitsmaßnahmen, die im Homeoffice Tätige laut einer Umfrage bisher getroffen haben, siehe Bundesverband IT-Sicherheit e.V. (TeleTrusT), Pressemitteilung – Deutschland-Umfrage »IT-Sicherheit im Home Office«, 31.03.2020 (zuletzt abgerufen am: 25.04.2020).
7. Vgl. hinsichtlich der Anforderungen insbesondere Art. 32 sowie Art. 25 Abs. 1 DS-GVO.
8. Siehe https://virus-foerdert-viren.netlify.com  (zuletzt abgerufen am: 26.04.2020).
9. Siehe dazu https://www.bundesregierung.de/breg-de/themen/coronavirus/hackathon-der-bundesregierung-1733632.
10. Für eine Definition siehe Art. 4 Nr. 1 i.V.m. ErwGr. 26 S. 3f. DS-GVO.
11. Vgl. für eine Definition anonymer Informationen ErwGr. 26 S. 5 DS-GVO.
12. Entsprechend dem Datenverarbeitungsgrundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DS-GVO: »dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt […] (›Datenminimierung‹)«.
13. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Telearbeit und Mobiles Arbeiten – Ein Datenschutz-Wegweiser (vgl.  Fn. 1), S. 10, vgl. dazu insgesamt S. 6–10.
14. Zur aus datenschutz- wie auch aus IT-sicherheitsrechtlicher Sicht nicht unumstrittenen Videokonferenz-Software Zoom siehe für eine datenschutzrechtliche Einschätzung Roßnagel, Zoom und Datenschutz (PDF), 03.04.2020, sowie aus IT-Sicherheitsperspektive Ries, Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum? UPDATE, 02.04.2020, jeweils zuletzt abgerufen am: 25.04.2020.
15. Siehe dazu auch 15.
16. Vgl.1., 2. und 3 und siehe insbesondere auch 18.
17. Siehe dazu grundsätzlich Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium Edition 2020 (zuletzt abgerufen am: 24.04.2020) unter ORP.4.A8 sowie ORP.4.A22; als schnelle Anleitung siehe Bundesamt für Sicherheit in der Informationstechnik (BSI), Sichere Passwörter – Faktenblatt, 01.02.2019 (zuletzt abgerufen am: 24.04.2020).
18. Damit sind neben Computern insbesondere auch (WLAN-)Router, Handys, aber auch andere Geräte gemeint, die über eine eigenständige Software und eine Verbindung zum Internet verfügen.
19. Diese sind abrufbar unter: https://www.bsi.bund.de/DE/Service/Aktuell/aktuelles_node.html.
20. Vgl. dazu 8. und Fn. 17.
21. Vgl. dazu auch im Zusammenspiel 8.
22. Vgl. dazu auch 4.
23. Vgl. dazu auch 1. und 7.
24. Siehe dazu Bundesamt für Sicherheit in der Informationstechnik (BSI), Vorsicht Phishing: Die Corona-Krise als Köder sowie Wie schützt man sich gegen Phishing? und allgemeiner zur Funktionsweise von Phishing Passwortdiebstahl durch Phishing, jeweils zuletzt abgerufen am: 25.04.2020; zur konkreten Situation siehe insbesondere auch Verbraucherzentrale Nordrhein-Westfalen, Achtung, Phishing! Wie Betrüger die Corona-Krise in E-Mails nutzen, 18.03.2020 (zuletzt abgerufen am: 25.04.2020).
25. Zum Beispiel über die Webseite des Robert-Koch-Instituts (zuletzt abgerufen am: 25.04.2020).
26. So wurde zum Beispiel von ›gefälschten‹ digitalen Karten zur Ausbreitung des Corona-Virus berichtet, die als Vorwand zur Verbreitung von Schadsoftware genutzt wurden, siehe Kerkmann, Der perfekte Köder: Cyberkriminelle nutzen die Corona-Panik, 14.03.2020 (zuletzt abgerufen am: 25.04.2020) mit weiteren Nachweisen.