Prof. Dr. Norbert Pohlmann Home Logo Mobile
Logo-Glossar
slider

Homeoffice Sicherheit - Prof. Dr. Norbert Pohlmann

Homeoffice Sicherheit

Homeoffice Sicherheit mit Verbindung zum Unternehmen

Was ist Homeoffice Sicherheit?


Homeoffice Sicherheit
Die Arbeit im Homeoffice und deren IT-Sicherheit ist ein aktuelles und zukünftig wichtiges Thema.

Derzeit wird hauptsächlich der Begriff Homeoffice verwendet, wenn Mitarbeiter:innen außerhalb ihres Unternehmens arbeiten. Es gibt weitere Bezeichnungen, die das Arbeiten von zu Hause beziehungsweise außerhalb der Liegenschaften des Arbeitgebers bezeichnen. Dabei ist zu beachten, dass rechtliche Rahmenbedingung bei der jeweiligen Form der Heimarbeit gelten. Es wird zwischen Telearbeit, Mobile Working und Homeoffice unterschieden.

Homeoffice Sicherheit mit Verbindung zum Unternehmen
Abbildung: Homeoffice Sicherheit – © Copyright-Vermerk

Telearbeit
Laut der §2 Nr. 7 der Arbeitsstättenverordnung sind Telearbeitsplätze vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat. Ein Telearbeitsplatz ist vom Arbeitgeber erst dann eingerichtet, wenn Arbeitgeber und Beschäftigte die Bedingungen der Telearbeit arbeitsvertraglich oder im Rahmen einer Vereinbarung festgelegt haben und die benötigte Ausstattung des Telearbeitsplatzes mit Mobiliar, Arbeitsmitteln einschließlich der Kommunikationseinrichtungen durch den Arbeitgeber oder eine von ihm beauftragte Person im Privatbereich des Beschäftigten bereitgestellt und installiert ist. Demnach muss der Arbeitgeber den Heimarbeitsplatz komplett einrichten, sodass der Arbeitnehmer alle Möglichkeiten zur Erfüllung seiner Tätigkeit erhält. Die Telearbeit und der damit zusammenhängende Heimarbeitsplatz sind zusätzlich zu einem regulären Arbeitsplatz in den Liegenschaften des Arbeitgebers vorhanden. Derzeit existiert noch kein Rechtsanspruch auf Telearbeit in Deutschland.

Mobile Working
Mobile Working ist nicht gesetzlich geregelt und definiert, baut aber wie die Telearbeit auf einer Verbindung zum Betrieb per IT-Endgerät und in der Regel auf öffentliche Kommunikationsinfrastrukturen wie das Internet auf. Im Gegensatz zur Telearbeit ist Mobile Working nicht an einen definierten und festen Heimarbeitsplatz gebunden. Daher ist ein Arbeiten praktisch von überall möglich, sofern ein Notebook, Tablet oder Smartphone inklusive einer Kommunikationsanbindung (fest oder mobil) vorhanden ist. Ebenso ist Mobile Working nicht an feste Arbeitszeiten und Arbeitsplätze gebunden. Zunehmend wird „Mobile Working“ oft an Orten, wo es besonders schön ist, durchgeführt. Dabei handelt es sich nicht nur um das Ferienhaus auf dem Land, sondern auch um andere Länder. Beispielsweise werben Hotels in Bali mit Coworking Spaces für ausländische Arbeitnehmer. Es ist auch ein Trend zu erkennen, dass Mitarbeiter, die mobil arbeiten, dieses zunehmend parallel für mehrere Unternehmen tun. Auch dieser Aspekt erfordert neuartige, sichere und vertrauenswürdige IT-Arbeitsumgebungen, damit die Risiken für die unterschiedlichen Arbeitgeber reduziert werden können.

Homeoffice
Homeoffice bedeutet, dass Mitarbeiter einer Organisation oder Unternehmen ihre Arbeiten von privaten Räumlichkeiten und nicht in Liegenschaften ihrer Institution ausüben. Dabei handelt es sich nicht um einem vom Arbeitgeber vollständig eingerichteten Arbeitsplatz. Der externe Homeoffice-Arbeitsplätz erhält über das private Internet des Arbeitnehmers Zugriff auf die Ressourcen des Arbeitgebers, beispielsweise interne IT-Infrastrukturen oder Cloud-Dienste des jeweiligen Unternehmens. Die durch die Homeoffice-Arbeitsplätze entstandenen neuen Risiken müssen durch geeignete Cyber-Sicherheitsmaßnahmen eliminiert oder deutlich reduziert werden.

Besondere Risiken beim Homeoffice

Durch die Arbeit im Homeoffice verändern sich unterschiedlichste Aspekte des Arbeitens. Der Arbeitnehmer und Arbeitgeber genießen Vorteile wie die Zeitersparnis wegen der nicht notwendigen Anreise oder erhöhter Flexibilität beim Arbeiten.
Allerdings wird vom Arbeitnehmer aufgrund der variierenden Arbeitszeiten sowie Pausen und erhöhten Ablenkung enorm viel Disziplin gefordert. Dazu kommt, dass der Arbeitnehmer nicht allein im Homeoffice ist, beispielsweise sind Störungen und Ablenkungen während der Arbeit durch Familienmitglieder oder Mitbewohner möglich. Ebenfalls ist der Raum zum Arbeiten in der Regel stark begrenzt.
Weitere potenzielle Risikoquellen sind Software- und Hardware-Komponenten, insbesondere wenn der Arbeitnehmer über private IT-Endgeräte (PC, Notebook, PAD, Smartphone) oder Hardwarekomponenten (Router, Drucker, …) arbeitet. Außerdem sind Software-Update-Prozesse, Backup -Systeme usw. eine weitere Herausforderung.

Heimischer, privater Internet-Zugang/Nutzung
Der heimische Internet-Zugang und die dazugehörige Infrastruktur und Router stellen im Homeoffice ein zusätzliches Risiko für das Unternehmen dar. Abhängig vom heimischen Internet-Zugang ist die Verfügbarkeit der IT-Systeme- und Dienste des Arbeitnehmers und somit die Tätigkeit als Ressource für das Unternehmen zu betrachten. Es kann zum Beispiel eine nicht ausreichende Bandbreite und schlechte Verfügbarkeit seitens des Arbeitnehmers dazu führen, dass bestimmte Dienste nicht verwendet oder in eingeschränkter Geschwindigkeit zur Verfügung stehen.

Heimischer Router
Der heimische Router ist meist vom Arbeitnehmer konfiguriert, da dieser auf die private Nutzung ausgelegt ist. Demnach folgen die Einstellungen nicht einer möglichen Unternehmensrichtlinie und können Fehler beinhalten, die ein zusätzliches Risiko darstellen. Der Arbeitnehmer muss eine sichere Konfiguration des Routers vornehmen, beispielsweise durch die Verwendung eines sicheren Passwort s sowie WPA2-Verschlüsselung.

Heimische Infrastruktur
Die heimische Infrastruktur stellt besonders in Häusern mit mehreren Parteien durch eine größere Angriffsfläche ein zusätzliches Risiko dar. Über den Zugang zum Hausanschlussraum oder dem Verlauf der Kabel durch andere Wohnungen ist das Mitlesen und Manipulieren der sensiblen Kommunikation einfacher möglich.

Homeoffice Sicherheit mit der Darstellung von Angriffsvektoren
Abbildung: Angriffsvektoren im Homeoffice – © Copyright-Vermerk

Smart Home
Smart Home ist in unserer heutigen Gesellschaft kaum mehr wegzudenken. Dabei ist Smart Home der Oberbegriff für die Ausgestaltung von Wohnräumen, in denen Haushalts- und Multimedia-Geräte interagieren und intelligent gesteuert werden. Smart Home hat unterschiedliche Anwendungsbereiche wie Energiemanagement, Entertainment und Kommunikation, Gebäude- und Wohnungssicherheit, Hausautomation und Komfort, Gesundheit und ein eigenständiges Leben zu Hause auch im Alter. Jedoch bieten diese Smart Home-Technologien neue Angriffsvektor en und Sicherheitsrisiken. Besonders im Homeoffice, bei dem private Technologien mit Teilen der Unternehmensinfrastruktur zusammenkommen, entstehen neue Einfallsvektoren für Angreifer auf die beruflich genutzte IT.

Smart Home Sicherheit und Lösungsvarianten von Smart Home-Systemen
Abbildung: Smart Home Sicherheit – © Copyright-Vermerk


Einsichtnahme / Mithören
Die Möglichkeit von überall zu arbeiten birgt zusätzliche Risiken. So ermöglicht das Arbeiten an öffentlichen und teilweise einzusehenden Orten wie Balkon oder Terrassen es Unbefugten, Arbeitsgespräche mitzuhören. Ebenfalls kann bei Notebook-Arbeiten Einsicht auf vertrauliche Unternehmensinformationen durch Passanten oder Nachbarn genommen werden.

Homeoffice Sicherheit - Einsichtnahme
Abbildung: Einsichtnahme Homeoffice © Copyright-Vermerk



Videokonferenzsystem
Durch die vielen Heimarbeitsplätze ist der Bedarf an einfach zu handhabenden Videokonferenzsystemen enorm gestiegen und hat sich als pragmatische und effektive Lösung etabliert.
Die Schattenseiten des enormen und schnellen Wachstums gingen zu Lasten der Cyber-Sicherheit , wodurch diverse Videokonferenzsysteme medial hauptsächlich durch Schwachstellen auf sich aufmerksam machten.

Schatten-IT
Schatten-IT sind IT-Systeme- und Dienste, die von Mitarbeitern neben der offiziellen IT-Infrastruktur der Unternehmen verwendet werden, um ihre Arbeit schneller und besser umsetzen zu können.

Schatten-IT Nutzung vom Heimarbeitsplatz
Abbildung: Nutzung von Schatten-IT vom Heimarbeitsplatz – © Copyright-Vermerk

Die Verwendung von nicht vertrauenswürdigen Webseiten oder Cloud-Diensten wie die Umwandlung in PDFs bei kostenlosen Diensten, Austausch von Dateien mittels einer Dropbox-Lösung oder Nutzung von unsicheren Chat-Systemen stellen zusätzliche Sicherheitsrisiken im Homeoffice dar. Die Anbieter lassen sich oft durch die AGBs die Rechte auf die Daten bestätigen, was für die Unternehmen ein sehr großes Risiko darstellt. Falls ein Mitarbeiter im Homeoffice zum Beispiel einen kostenlosen Cloud PDF-Konverter nutzt, könnte dieser laut AGB die Firmendaten in seinem Sinne nutzen, was ein sehr großes Risiko darstellt. Siehe auch: Privatsphäre

Angriffsvektor Mensch
Besonders Arbeitnehmer, die nicht IT-sicherheitsaffin sind, gelten als einfacher Angriffspunkt. Gerade wenn die Mitarbeiter aus dem Homeoffice arbeiten, sind sie anfälliger für Manipulationsangriffe wie Phishing oder Spam . Daher sollten Mitarbeiter geschult werden, welche Werte besonders geschützt werden müssen und wie ein Mitarbeiter sich gegen Angriffe wehren kann und was getan werden muss, wenn ein Angriff stattgefunden hat.

Social Engineering dargestellt als mit Maske getarnter Angreifer
Abbildung: Social Engineering – © Copyright-Vermerk




Homeoffice Sicherheitsmaßnahmen

Um die Sicherheits-Maßnahmen optimal zu verstärken, müssen Unternehmen technische, organisatorische und personelle Maßnahmen vornehmen. Dabei kann es sich um die Anpassung von Geschäftsprozessen und Richtlinien, aber auch technische Veränderungen handeln. Besonders wichtig ist der Umgang mit dienstlichen Informationen seitens des Arbeitsnehmers im Home-Office.
Im Folgenden werden einige Beispiele von Sicherheitsmaßnahmen dargestellt.

Technische Maßnahmen

  • Videokonferenzsysteme
  • Schatten-IT
  • Cloud-Dienste
  • Härtung von IT-Systemen

Personelle Maßnahmen

  • Sicherheitsbewusstsein schaffen
  • Umgang mit (dienstlichen) Informationen

Organisatorische Maßnahmen

  • Erreichbarkeit des Arbeitnehmers
  • Zugriffskontrolle
  • Richtlinien anpassen
  • Clean-Desk




Weitere Informationen zum Begriff “Homeoffice Sicherheit”:


Artikel


Sicheres und vertrauenswürdiges Arbeiten im Homeoffice

Chancen und Risiken von Smart Home

IT-Sicherheit konsequent und effizient umsetzen

Ohne Cybersicherheit gelingt keine Digitale Heimat

Logdaten und Datenschutz? Kein Widerspruch!

Sicherheit zwischen Klick und Webseite – TLS/SSL: Eine Frage der Implementierung


Bücher


Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download


Vorlesungen


Vorlesungen zum Lehrbuch Cyber-Sicherheit


Vorträge


Risk-Management – Human Factor

Cyber-Sicherheit in der Zukunft

The European Cybersecurity Act and its impact on US companies

Artificial Intelligence (AI) for Cyber Security


Webseiten


Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
Homeoffice Sicherheit
Article Name
Homeoffice Sicherheit
Description
Homeoffice Sicherheit zeigt die zusätzlichen Risiken auf, wenn Mitarbeiter von zu Hause oder außerhalb der Liegenschaften des Arbeitgebers arbeiten. Aber auch wie mithilfe von geeigneten Cyber-Sicherheitsmaßnahmen diese eliminiert oder deutlich reduziert werden können.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Homeoffice Sicherheit mit Verbindung zum Unternehmen
Homeoffice Sicherheit Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten