Am Mostpfuhl 11, 12529 Berlin

Datensicherheit und der Arbeitsplatz

Einleitung

Die Digitalisierung des Arbeitsplatzes ermöglicht es, viele Daten und Informationen effizient und schnell zu verarbeiten. Arbeitnehmer müssen mit den personenbezogenen Daten rechtssicher umgehen und unternehmensspezifische, sensible Informationen durch hohe Prozessstandards wahren. Neben dem Datenschutz hat also auch die Datensicherheit im Arbeitsbereich einen hohen Stellenwert. Der Arbeitgeber hat Verpflichtungen, die unter anderem technische und organisatorische Maßnahmen zur Datensicherheit beinhalten. Nebst dem Arbeitgeber ist auch der Arbeitnehmer Teil der Sicherheitsinfrastruktur. Egal, ob im Büro, Zuhause, im Homeoffice oder im öffentlichen Bereich, der Arbeitnehmer muss sich gegen eventuelle Angriffe schützen. Das Ziel solcher Angriffe reicht über die Einsicht von Informationen bis zum Datenverlust. Gerade die immer öfter anzutreffenden Möglichkeiten der Nutzung privater Endgeräte durch Arbeitnehmer oder die dienstliche und private Internetnutzung im Beruf bringen hier mitunter große Herausforderungen für den Datenschutz und die Datensicherheit mit sich. Diese gilt es zu meistern.

Im Folgenden wird deshalb auf die verschiedenen Arbeitsplätze und Angriffsmöglichkeiten eingegangen.

Büro

In der Datenschutzgrundverordnung gibt es keine Clean-Desk-Vorschrift. Die Clean-Desk-Policy (CDP) sollte aber dennoch in jedem Unternehmen praktiziert werden. Nicht nur, weil es die Sicherheit erhöht, sondern auch Kostenfaktoren minimiert. Untersuchungen zeigen, dass Mitarbeiter bis zu einer Stunde pro Woche Dokumente und Arbeitsunterlagen suchen und damit wertvolle Arbeitszeit verschenken. Ein weiterer Vorteil der Ordnung ist es, dass bei Mitarbeiterausfällen Kollegen einfacher übernehmen können.  Wenn alle Mitarbeiter in den gleichen Strukturen arbeiten und ein vorgegebenes Ablagesystem verfolgen, ist eine Vertretung auch ohne Übergabe möglich. Vor allem in Büros ohne feste Arbeitsplätze und mit dynamischen Teamstrukturen. Die CDP setzt die Strategie eines aufgeräumten Arbeitsplatzes ein, um Daten und Ihr Unternehmen zu schützen und sorgt gleichzeitig für produktiveres Arbeiten. Vor allem da, wo Reinigungs-, Hausmeisterdienste und Zeitarbeitsfirmen mit den Schlüsseln für alle Geschäftsräume der Objekte und Büros ausgestattet sind und unbeaufsichtigt Ihren Aufgaben nachgehen, ist es besser, wenn sensible Daten nicht offen am Arbeitsplatz herumliegen bzw. vor Einsicht und Wegnahme geschützt sind.

Die CDP umfasst nicht nur eine Arbeitsstrukturänderung, sondern beinhaltet auch Grundregeln:

  • – Für den PC sollte ein sicheres Passwort eingerichtet werden. Dieses sollte geheim gehalten und möglichst nicht aufgeschrieben werden. Hilfen bieten dabei Passwortmanager wie Dashlane, Bitwarden oder 1Password.
  •  
  • – Wenn Sie sich (auch nur kurz) vom Arbeitsplatz entfernen, sei es auch nur für einen Toilettengang oder eine Raucherpause, ist der PC zu sperren, sodass er nur mit dem eingerichteten Passwort entsperrt werden kann (z. B. mit der Tastenkombination „Windows“ + L).
  •  
  • – Unterlagen mit wichtigen (personenbezogenen) Daten so verwenden, dass sie nicht von Unbefugten einsehbar sind (z. B.: Besucher). Nach der Verwendung sind die Akten wegzuschließen, etwa in einem Schrank.
  •  
  • – Nicht mehr benötigte Unterlagen oder Fehldrucke/-kopien mit personenbezogenen Daten nicht einfach in den Papierkorb geben, sondern schreddern nach DIN-Norm DIN 66399 Sicherheitsstufe 3 oder höher. Dokumente können auch in einem Datenschutzbehälter/ einer Aktentonne entsorgen werden. Für die Aktenvernichtung können auch externe Dienstleister beauftragt werden, die diese in regelmäßigen Abständen entleeren.
  •  
  • – Wichtig für den Datenschutz im Büro: Den Raum beim Verlassen stets abschließen. Den Schlüssel zum Büro und zu abschließbaren Schränken nicht beschriften, damit sie bei Verlust nicht direkt von Unbefugten zugeordnet werden können.
  •  
  • – Sensible Dokumente nur im Bedarfsfall und nicht vorsorglich auf den Schreibtisch holen.
  •  
  • – Unnötige Ausdrucke vermeiden (darüber freut sich auch die Umwelt).
  •  
  • – Am Ende eines jeden Tages müssen alle Schreibtische leer sein – dies schließt natürlich auch die Schreibtische aller Vorgesetzten mit ein, für die ebenso die CDP gilt (eine Ausnahme bilden hier persönliche Gegenstände, die jedoch auch nicht Überhand nehmen sollten).
 
Aber CDP deckt längst nicht alle Angriffspunkte ab.  Jeder Arbeitsplatz und jedes Objekt hat spezifische Sicherheitsanforderungen im Aufbau eines datenschutz- und datensicherheitskonformen Arbeitsplatzes. Die seit Mai 2018 geltende DSGVO bestimmt zudem nur die Mindestanforderungen für Firmengeheimnisse. Unternehmenskritische Informationen haben einen höheren Standard im Umgang mit den Daten.
 

Homeoffice

Als Grundregel wurde oben: „Eine strikte Trennung von Arbeit und Privatleben“ genannt. Gemeint ist, dass keine private Software und Hardware genutzt werden sollte und auch auf die private Nutzung von E-Mails und dem Internet verzichtet werden sollte. Dies ist bei Homeoffice schwer umzusetzen, vor allem wenn der eigene Rechner oder das eigene Smartphone verwendet werden muss. Welche Problematiken können in Bezug auf Datenschutz und Datensicherheit vom Arbeitsplatz Zuhause entstehen?

Der Arbeitsplatz Zuhause divergiert mit dem im Büro. Das Arbeitsgerät ist in einigen Fällen privat und gehört nicht der Firma. Der Arbeitsplatz ist individueller eingerichtet. Das WLAN-Netzwerk ist weniger gut geschützt als das vom Unternehmen. Die Datenspeicherung in großen Mengen ist schwerer. Das Interneterlebnis ist freier und unsicherer. Meistens ist es etwas lauter Zuhause, vor allem wenn die ganze Familie da ist, entstehen Risiken für die Daten, durch neugierige Kinder, umfallende Getränke oder Speisereste.

Aus diesen Risiken können elementare Gefahren entstehen:

  • – Offenlegung schützenswerter Informationen
  • – Manipulation von Hard- oder Software
  • – Manipulation von Informationen
  • – Unbefugtes Eindringen in IT-Systeme
  • – Ausfall von Geräten oder Systemen
  • – Unberechtigte oder fehlerhafte Nutzung oder Administration von Geräten und Systemen
  • – Personalausfall
  • – Datenverlust
  • – Unbefugter Zugriff auf Personaldaten, Kundendaten
  • – Unbefugter Zugriff auf Geschäftsgeheimnisse
  • – Ausspähen von Informationen (Spionage)
  •  

Kurz gesagt, der Arbeitsplatz zu Hause birgt mit seinen lokalen Gegebenheiten einen höheren variablen Risikofaktor, welcher zu Problemen für das ganze Unternehmen führen kann.

Bei solch erheblichen Gefahren kommt einem direkt die Frage nach Schutzmaßnahmen in den Sinn. Um beantworten zu können, ob und in welcher Form Schutzmaßnahmen ergriffen werden müssen, um die Umsetzung des sicheren Homeoffice gewährleisten zu können, sollte zuerst herausgefunden werden, mit welchen Daten der jeweilige Mitarbeiter bei der Arbeit zu Hause in Berührung kommen werden. Vorsicht ist dann geboten, wenn es sich um personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO handelt.  Zu den besonders schützenswerten personenbezogenen Daten gehören insbesondere die Sozialdaten nach § 67 Abs. 1 SGB X und in Art. 9 Absatz 1 DSGVO genannten Daten zur rassischen und ethnischen Herkunft, zur Gewerkschaftszugehörigkeit, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten werden in der DSGVO als besondere Kategorien von personenbezogenen Daten bezeichnet. Hier ist im Einzelfall zu entscheiden, ob technische und organisatorische Maßnahmen das Risiko für die personenbezogenen Daten so weit minimieren, dass eine Verarbeitung im Homeoffice vertretbar ist. Je sensibler und folglich schützenswerter personenbezogene Daten sind, desto stärker sind sie auch zu schützen. Bei besonders schutzwürdigen Daten sollte sorgfältig abgewogen werden, ob und unter welchen Vorkehrungen sich bestimmte Aufgaben für Homeoffice – Arbeiten eignen.

Hier ein paar Beispiele für Schutzmaßnahmen:

  • – Zugriffskontrolle im Homeoffice mit Identifizierung und Authentifizierungsmechanismus
  • – Gerät(e) offline stellen
  • – Protokollierung und Auswertung im Homeoffice
  • – Verschlüsselung und anonymisierte Datenverarbeitung
  • – Fernwartung (Firewall, Updates, Integritätsprüfung, Boot-Schutz)
  • – Clean-Desk-Policy

Mobile Arbeit:

    • Homeoffice und mobile Arbeit sind in den vergangenen Monaten für viele Arbeitnehmer von der Ausnahme zur Normalität geworden. Anfang Oktober 2020 hat Bundesarbeitsminister Hubertus Heil einen ersten Gesetzentwurf vorgelegt, der das Recht auf Mobiles Arbeiten regeln soll.

      Mobile Arbeit ist aber keineswegs eine Neuerscheinung. Viele Projektmanager, Ingenieure und IT´ler erbringen ihre Arbeitsleistung an wechselnden Orten, typischerweise außerhalb des Betriebs (etwa auf Reisen im Zug, im Flugzeug oder im Hotel). Dadurch entstehen andere Risiken als im Büro oder Zuhause im Homeoffice. Verschlüsselungssysteme für den E-Mail-Versand, Virenschutzprogramme, Fernwartung durch die IT und Zugriffsberechtigungen reichen bei Weitem nicht aus, um Hacker, Social Engineers und Computerviren abzuwehren. Der Kernpunkt ist das Sicherheitsbewusstsein des Mitarbeiters.

      Der Mitarbeiter muss ein gesundes Sicherheitsbewusstsein haben oder dieses regelmäßig vermittelt bekommen. Wenn das Endgerät nicht gesichert wird, ein zu einfaches Passwort verwendet wird, keine Updates installiert werden, unbekannte Hardware oder Software installiert wird, die Sicht auf den Bildschirm zugelassen oder die vermeintlich harmlose Bilddatei im E-Mail-Anhang, ohne zu überlegen geöffnet wird, dann wird selbst die beste Sicherheitssoftware ausgehebelt und sensible Daten können abgegriffen werden. Hat der Angreifer auf das Endgerät Zugriff, kann er versuchen, sich auf das Firmennetzwerk auszubreiten.

      Es reicht daher nicht, dass der Arbeitgeber in Hardware investiert, die Datenschutz grundsätzlich ermöglicht, oder die IT´ler einen VPN-Client einrichten. Die Mitarbeiter müssen selbst eine große Sensibilität für das Thema Datenschutz entwickeln. Das gilt besonders, wenn mobiles Arbeiten bedeutet, dass häufig an öffentlichen Orten gearbeitet wird. Das Nutzen nicht passwortgeschützter oder öffentlicher WLAN-Verbindungen ist hinsichtlich des Datenschutzes zu unsicher.

      Eine klare Trennung zwischen Homeoffice, Büro und das Arbeiten unterwegs ist heutzutage nicht mehr möglich und auch nicht gewollt. Das mobile Arbeiten lässt die Grenzen verschwimmen. Sensibilisierung und Sicherheitsvorkehrungen vorwiegend im Social-, Engineering- und IT-Bereich sind essenziell für den Umgang mit Daten und Informationen durch Firmenmitarbeitern aller Hierarchieebenen.

      Falls Sie weitere Informationen oder Beratungen zum Thema Sicherheit im Homeoffice oder zu unseren anderen Sicherheitslösungen nutzen wollen, kontaktieren Sie uns über unser *Kontaktformular* oder rufen Sie uns einfach an. Unser Team aus Experten steht Ihnen gerne beratend zur Seite.