Die Corona-Pandemie hat weitreichende Folgen für Gesellschaft und Wirtschaftsleben: Das öffentliche Leben ist stark eingeschränkt, viele Verwaltungen begrenzen den Besucherverkehr, zahlreiche Unternehmen werden für ihre Arbeitskräfte auf das Instrument der Kurzarbeit zurückgreifen müssen. Die IT bietet in diesem Kontext die Möglichkeit, die Verbreitung von Corona im eigenen Unternehmen zu verhindern. Dazu kommen in Betracht
- Home-Office / Telearbeit / mobiles Arbeiten
- Tele-Meetings
- Reduzierung von Veranstaltungsbesuchen durch vermehrte Nutzung von Online-Seminaren
- Umlenkung von Schulungsleistung auf eLearningplattformen uvm.
Telearbeit, Mobile Working, Home-Office
Staat und Wirtschaft setzen alles daran, weiter handlungsfähig zu sein und „verordnen“ ihren Beschäftigten in großer Zahl, mobil bzw. von zu Hause zu arbeiten.
Der Begriff Telearbeit bezeichnet das, was man landläufig unter Home-Office versteht: das ortsgebundene Arbeiten von zu Hause aus. Diese Gestaltung ist in der Arbeitsstättenverordnung definiert und bedeutet, dass es sich um vom Arbeitgeber oder Arbeitnehmer fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten handelt. Arbeitgeber und Beschäftigte haben die Bedingungen der Telearbeit arbeitsvertraglich oder im Rahmen einer gesonderten Vereinbarung festgelegt (wöchentliche Arbeitszeit, Dauer der Einrichtung, Stellung der Arbeitsmittel etc.).
Mobiles Arbeiten dagegen meint, dass Beschäftigte ihre Arbeit zeitweise an beliebigen Orten erledigen können und dafür keinen festen Arbeitsplatz im Unternehmen brauchen – also zum Beispiel wechselnd beim Kunden, vom Restaurant aus, während einer Reise in der Bahn oder eben auch von zu Hause aus für den Arbeitgeber tätig sind. Im Gegensatz zu Telearbeit ist mobiles Arbeiten aber nicht weiter gesetzlich definiert. Dennoch sind (meist betrieblich individuelle) Vorgaben für Bildschirmarbeitsplätze zu beachten, wenn Beschäftigte regelmäßig mobile Arbeitsgeräte wie Notebook, Tablet oder Smartphone verwenden.
Home-Office ist aktuell ein vieldiskutierter Lösungsansatz. Die Vorteile sind offensichtlich und losgelöst von der akuten Situation rund um die Pandemie-Problematik, ermöglicht es doch ein (ungestörtes) Arbeiten zu Hause nach dem persönlichen Lebensrhythmus. Es kann zu einer Integration von Beruf und Familie führen (und die Umweltbelastung durch weniger Fahrten zwischen Wohnung und Arbeitsstätte reduzieren). In Zeiten von Corona bietet das Home-Office außerdem den großen Vorteil, dass kein direkter sozialer Kontakt mit Kolleginnen und Kollegen besteht und somit die Ansteckungsgefahr gemindert wird.
Anforderungen an die Informationssicherheit im Home-Office
In der aktuellen Situation gilt es, pragmatische IT-Lösungen zu finden, die einerseits die Arbeitsfähigkeit der Einrichtung erhalten, gleichzeitig jedoch die Vertraulichkeit, Verfügbarkeit und Integrität für die Kommunikation und Informationsverarbeitung gewährleisten. Trotz der zahlreichen Herausforderungen sind dabei die folgenden Anforderungen an Datenschutz und Informationssicherheit angemessen zu berücksichtigen:
- Es sollten vorrangig dienstliche und keine privaten Geräte genutzt werden. Ausnahmen sind möglich, wenn die tatsächliche Datenverarbeitung trotz privatem Endgerät auf den dienstlichen Servern stattfindet (beispielsweise Webmail, Terminal-Server-Instanzen).
- Jedes eingesetzte Endgerät ist periodisch darauf zu prüfen, ob der Anti-Malware-Schutz aktuell ist und erforderliche Updates bzw. Patches für das Betriebssystem und Anwendungssoftware installiert sind.
- Die Speichersysteme von mobilen Endgeräten und externen Datenträgern sind zu verschlüsseln.
- Alle Unterlagen und sonstigen Datenträger mit vertraulichen Daten sind bei Nichtgebrauch und außerhalb der Arbeitszeiten in geeigneten (abschließbaren) Schränken aufzubewahren.
- Nicht mehr benötigte Unterlagen sind zu vernichten (sofern im Home-Office keine sichere Vernichtung mittels Shredder möglich ist, sollten die Unterlagen sicher verwahrt und zu gegebener Zeit an Ihrer Einrichtung vernichtet werden).
- Sofern das heimische WLAN-Netzwerk genutzt werden soll, so sind auch hier Vorgaben zur sicheren Konfiguration zu beachten (WPA2-Verschlüsselung). Über öffentliche oder privat zugängliche Netze dürfen Bedienstete nur über einen sicheren Kommunikationskanal (z. B. VPN-Dienst) auf interne Ressourcen der Institution zugreifen.
- Die geltenden Sicherheitsanforderungen für Passwortgebrauch, Verhinderung der Einsicht von Unterlagen und Monitoren sowie der Vertraulichkeit des gesprochenen Worts bei Telefonaten sind zu beachten. Familienangehörige gelten als Betriebsfremde und dürfen als Unbefugte weder Zugang zu dienstlichen Endgeräten besitzen noch Unterlagen und Daten einsehen.
- Es ist eine regelmäßige Datensicherung der lokal gespeicherten Daten durchzuführen. Idealerweise werden wichtige Daten überhaupt nicht lokal, sondern auf den zentralen Speichersystemen Ihrer Einrichtung gespeichert.
- Es können vermehrt Phishing E-Mails auftreten, die aktuelle Krisen-Situationen ausnutzen und versuchen werden, Ihre sensiblen Daten mit Hinweis auf Remote-Zugänge, das Zurücksetzen von Passwörtern etc. abzugreifen. Gerade jetzt heißt es wachsam zu sein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die wichtigsten, praktikablen und zeitnah umsetzbaren Empfehlungen aus dem IT-Grundschutz in einer Übersicht zusammengefasst und in der Reihe der Cyber-Sicherheits-Empfehlungen unter diesem Link veröffentlicht.
Fazit
In außergewöhnlichen Zeiten wie diesen ist es umso wichtiger, weiterhin die Daten der Bürger, Beschäftigten, Kunden, Geschäftspartner angemessen zu schützen und die Arbeitsfähigkeit von Behörden, Kommunen und Betrieben sicherzustellen.
Dabei gilt es leider auch, den vermehrt auftretenden Cyberangriffe aufmerksam zu begegnen. Die Angreifer gehen davon aus, dass vor dem Hintergrund der Krise die Aufmerksamkeit nachlässt und Sicherheitsmaßnahmen im Interesse der Arbeitsfähigkeit weniger streng gehandhabt werden. Deshalb müssen umfangreiche Maßnahmen zum effektiven Schutz der IT aufrechterhalten und unter Umständen sogar noch verstärkt werden. COVID-19 verändert die Art, wie wir arbeiten und lässt eine Vielzahl neuer Herausforderungen entstehen, die uns auch nach der Krise noch beschäftigen.
Informationssicherheit ist dabei wichtiger denn je. Vielleicht sollte genau diese Situation auch zum Anlass genommen werden, die Mitarbeiter im Hinblick auf die Sicherheitsanforderungen (noch einmal) zu sensibilisieren. Da E-Learning unabhängig von Ort und Zeit gut funktioniert und keine Ansteckungsrisiken birgt), eignet sich diese Methode aktuell besonders gut.
Wir beraten Sie auch hier gerne.
Auf den Internetseiten des Bayerischen Landesbeauftragten für den Datenschutz erhalten Sie Sonderinformationen zum mobilen Arbeiten mit Privatgeräten zur Bewältigung der Corona-Pandemie zum Download