Mit der Corona-Krise haben Hackerangriffe auf das Homeoffice erheblich zugenommen. Die Methoden reichen von üblichen Ransomware-Attacken bis zu immer neuen Phishing-Varianten. Dabei wird ausgenutzt, dass viele Angestellte zu Hause weniger Austausch mit Kollegen und Vorgesetzten haben. Um die Datensicherheit zu erhöhen, sind IT-Abteilungen mehr denn je gefordert, geeignete technische und organisatorische Massnahmen für das Homeoffice umzusetzen. Nachfolgend deshalb ein paar Eckpunkte für ein erfolgreiches Datensicherheitskonzept.
Technische und organisatorische Massnahmen
Nach Artikel 8 Absatz 2 der Verordnung zum Datenschutzgesetz (VDSG) müssen die technischen und organisatorischen Massnahmen angemessen sein und insbesondere den folgenden Kriterien Rechnung tragen:
- Zweck der Datenbearbeitung;
- Art und Umfang der Datenbearbeitung;
- Einschätzung der möglichen Risiken für die betroffenen Personen;
- gegenwärtiger Stand der Technik.
Artikel 9 VDSG enthält sodann eine Reihe von Kontrollzielen. Diese sind datiert von 1992 und werden nun im Rahmen des neuen DSG überarbeitet. Ähnliche Ziele enthält das Bundesdatenschutzgesetz in Deutschland, welches anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 revidiert wurde. Diese Vorschriften können als wertvolle Orientierungshilfe zur Planung und Umsetzung der Eckpunkte für ein erfolgreiches Datensicherheitskonzept im Homeoffice herbeigezogen werden.
Zugriffs- und Zutrittskontrolle
Es ist zu prüfen, ob ein separater Arbeitsraum zur Verfügung steht. Familienmitglieder, Besucher, Handwerker oder Nachbarn dürfen keinen Einblick in Geschäftsinformationen erhalten. Der Einsatz von Sichtschutzfolien und die Ausrichtung des Monitors weg vom Fenster sowie das Aktivieren der Bildschirmsperre kann dies verhindern.
Datenträgerkontrolle
Die Sicherheit von Datenträgern ist wichtig. Personendaten, die auf mobilen Datenträgern wie CDs, DVDs oder USB-Sticks gespeichert sind, sollten verschlüsselt werden. Auch zu empfehlen ist die sichere Aufbewahrung in einem abschliessbaren Schrank oder einem Tresor.
Speicherkontrolle
Es bedarf klarer Regeln, wo Personendaten und Informationen gespeichert werden dürfen. Sofern eine VPN-Verbindung zum Firmenserver eingerichtet wurde oder ein Cloud-System im Einsatz ist, sollten ausschliesslich diese Datenspeicher verwendet werden. Gibt es keine andere Möglichkeit, als die Daten lokal zu speichern, so müssen diese bei der nächstmöglichen Gelegenheit auf den üblicherweise verwendeten Datenspeicher übertragen und sicher aus dem lokalen Speicher gelöscht werden.
Zugriffskontrolle
Die Berechtigungen werden in CRM-Anwendungen üblicherweise für jeden Nutzer individuell festgelegt. Die Verwaltung dieser Rechte hat der jeweilige Systemadministrator vorzunehmen. Jeder Zugriff auf Anwendungen und Daten ist zu protokollieren. Die Nutzer legen sichere Passwörter fest.
Die Steuerung des Zugriffs auf IT-Systeme, mit denen Personendaten bearbeitet werden, ist gleich handzuhaben.
Benutzerkontrolle
Es sind Benutzerprofile zu erstellen und anhand derselben regelmässig zu kontrollieren, ob die Berechtigungen aktuell und korrekt zugeordnet sind. Über die sichere Nutzer-Authentifikation mit Hilfe einer Mehrfaktoren-Authentifikation ist sicherzustellen, dass kein unbefugter Zugriff auf Systeme und Daten erfolgt.
Übertragungskontrolle
Bei der elektronischen Übermittlung von Personendaten muss gewährleistet sein, dass die Daten tatsächlich an die richtigen Empfänger gesendet werden. Im Homeoffice muss hierfür eine technische Lösung wie beispielsweise ein VPN-Tunnel mit Transportverschlüsselung eingerichtet werden.
Transportkontrolle
Im Homeoffice sollte nach Möglichkeit vermieden werden, Personendaten zu transportieren. Das ist im Normalfall auch nicht nötig, es sei denn, der PC oder Laptop selbst wird transportiert. Hier wird die Sicherheit jedoch durch die Speicherkontrolle und die Zugriffskontrolle bereits gewährleistet.
Eingabekontrolle
Durch eine Protokollierung wird überprüfbar, wer wann welche Daten im System eingegeben oder verändert hat. Die Protokolldaten müssen ebenfalls gegen Veränderung oder Verlust gesichert werden.
Datenintegrität und Wiederherstellbarkeit von Daten
Voraussetzung hierfür ist, dass eine regelmässige Datensicherung vom Unternehmen durchgeführt wird. Fehlfunktionen des Systems dürfen auch im Homeoffice nicht dazu führen, dass es zu einer Beschädigung von gespeicherten Daten kommt. Alle Schutzprogramme gegen Malware, notwendige Updates und benötigte Programme müssen ständig aktuell sein und funktionieren.
Auftragskontrolle
Werden Auftragsverarbeiter für ein Unternehmen tätig, dann müssen auch sie sämtliche technischen und organisatorischen Massnahmen treffen, die notwendig sind, um Personendaten zu schützen. Ferner gilt, dass Auftragsverarbeiter die Verarbeitung von Personendaten nur nach den Weisungen des Auftraggebers vornehmen dürfen. Eine Auftragskontrolle ist daher Pflicht.
Verfügbarkeitskontrolle und Trennbarkeit
Die Verfügbarkeitskontrolle muss durch Massnahmen wie Klimatisierung, Brandschutz, Backups usw. sichergestellt werden. Auch die Trennbarkeit von Personendaten, die zu unterschiedlichen Zwecken erhoben wurden, muss gewährleistet sein.
Sensibilisierung der Mitarbeitenden und des Managements
Bei der regelmässigen Schulung hat der Arbeitgeber dem richtigen Verhalten im Homeoffice die nötige Beachtung zu schenken.
Klare Prozesse bei Datensicherheitsverletzungen und IT-Support
IT-Support und Incident Management-Prozesse sollten so ausgelegt sein, dass sie auch im Homeoffice funktionieren und nicht an der räumlichen Distanz zum Geschäftssitz scheitern. Der Einsatz von Fernwartungstools wie TeamViewer kann hilfreich sein.
