Homeoffice Sicherheit - Prof. Dr. Norbert
Pohlmann
Homeoffice Sicherheit
Inhaltsverzeichnis
Was ist Homeoffice Sicherheit?
Homeoffice Sicherheit Die Arbeit im Homeoffice und deren IT-Sicherheit ist ein aktuelles und zukünftig wichtiges Thema.
Derzeit wird hauptsächlich der Begriff Homeoffice verwendet, wenn Mitarbeiter:innen außerhalb ihres Unternehmens arbeiten. Es gibt weitere Bezeichnungen, die das Arbeiten von zu Hause beziehungsweise außerhalb der Liegenschaften des Arbeitgebers bezeichnen. Dabei ist zu beachten, dass rechtliche Rahmenbedingung bei der jeweiligen Form der Heimarbeit gelten. Es wird zwischen Telearbeit, Mobile Working und Homeoffice unterschieden.
Telearbeit Laut der §2 Nr. 7 der Arbeitsstättenverordnung sind Telearbeitsplätze vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat. Ein Telearbeitsplatz ist vom Arbeitgeber erst dann eingerichtet, wenn Arbeitgeber und Beschäftigte die Bedingungen der Telearbeit arbeitsvertraglich oder im Rahmen einer Vereinbarung festgelegt haben und die benötigte Ausstattung des Telearbeitsplatzes mit Mobiliar, Arbeitsmitteln einschließlich der Kommunikationseinrichtungen durch den Arbeitgeber oder eine von ihm beauftragte Person im Privatbereich des Beschäftigten bereitgestellt und installiert ist. Demnach muss der Arbeitgeber den Heimarbeitsplatz komplett einrichten, sodass der Arbeitnehmer alle Möglichkeiten zur Erfüllung seiner Tätigkeit erhält. Die Telearbeit und der damit zusammenhängende Heimarbeitsplatz sind zusätzlich zu einem regulären Arbeitsplatz in den Liegenschaften des Arbeitgebers vorhanden. Derzeit existiert noch kein Rechtsanspruch auf Telearbeit in Deutschland.
Mobile Working Mobile Working ist nicht gesetzlich geregelt und definiert, baut aber wie die Telearbeit auf einer Verbindung zum Betrieb per IT-Endgerät und in der Regel auf öffentliche Kommunikationsinfrastrukturen wie das Internet auf. Im Gegensatz zur Telearbeit ist Mobile Working nicht an einen definierten und festen Heimarbeitsplatz gebunden. Daher ist ein Arbeiten praktisch von überall möglich, sofern ein Notebook, Tablet oder Smartphone inklusive einer Kommunikationsanbindung (fest oder mobil) vorhanden ist. Ebenso ist Mobile Working nicht an feste Arbeitszeiten und Arbeitsplätze gebunden. Zunehmend wird „Mobile Working“ oft an Orten, wo es besonders schön ist, durchgeführt. Dabei handelt es sich nicht nur um das Ferienhaus auf dem Land, sondern auch um andere Länder. Beispielsweise werben Hotels in Bali mit Coworking Spaces für ausländische Arbeitnehmer. Es ist auch ein Trend zu erkennen, dass Mitarbeiter, die mobil arbeiten, dieses zunehmend parallel für mehrere Unternehmen tun. Auch dieser Aspekt erfordert neuartige, sichere und vertrauenswürdige IT-Arbeitsumgebungen, damit die Risiken für die unterschiedlichen Arbeitgeber reduziert werden können.
Homeoffice Homeoffice bedeutet, dass Mitarbeiter einer Organisation oder Unternehmen ihre Arbeiten von privaten Räumlichkeiten und nicht in Liegenschaften ihrer Institution ausüben. Dabei handelt es sich nicht um einem vom Arbeitgeber vollständig eingerichteten Arbeitsplatz. Der externe Homeoffice-Arbeitsplätz erhält über das private Internet des Arbeitnehmers Zugriff auf die Ressourcen des Arbeitgebers, beispielsweise interne IT-Infrastrukturen oder Cloud-Dienste des jeweiligen Unternehmens. Die durch die Homeoffice-Arbeitsplätze entstandenen neuen Risiken müssen durch geeignete Cyber-Sicherheitsmaßnahmen eliminiert oder deutlich reduziert werden.
Besondere Risiken beim Homeoffice
Durch die Arbeit im Homeoffice verändern sich unterschiedlichste Aspekte des Arbeitens. Der Arbeitnehmer und Arbeitgeber genießen Vorteile wie die Zeitersparnis wegen der nicht notwendigen Anreise oder erhöhter Flexibilität beim Arbeiten. Allerdings wird vom Arbeitnehmer aufgrund der variierenden Arbeitszeiten sowie Pausen und erhöhten Ablenkung enorm viel Disziplin gefordert. Dazu kommt, dass der Arbeitnehmer nicht allein im Homeoffice ist, beispielsweise sind Störungen und Ablenkungen während der Arbeit durch Familienmitglieder oder Mitbewohner möglich. Ebenfalls ist der Raum zum Arbeiten in der Regel stark begrenzt. Weitere potenzielle Risikoquellen sind Software- und Hardware-Komponenten, insbesondere wenn der Arbeitnehmer über private IT-Endgeräte (PC, Notebook, PAD, Smartphone) oder Hardwarekomponenten (Router, Drucker, …) arbeitet. Außerdem sind Software-Update-Prozesse, Backup-Systeme usw. eine weitere Herausforderung.
Heimischer, privater Internet-Zugang/Nutzung Der heimische Internet-Zugang und die dazugehörige Infrastruktur und Router stellen im Homeoffice ein zusätzliches Risiko für das Unternehmen dar. Abhängig vom heimischen Internet-Zugang ist die Verfügbarkeit der IT-Systeme- und Dienste des Arbeitnehmers und somit die Tätigkeit als Ressource für das Unternehmen zu betrachten. Es kann zum Beispiel eine nicht ausreichende Bandbreite und schlechte Verfügbarkeit seitens des Arbeitnehmers dazu führen, dass bestimmte Dienste nicht verwendet oder in eingeschränkter Geschwindigkeit zur Verfügung stehen.
Heimischer Router Der heimische Router ist meist vom Arbeitnehmer konfiguriert, da dieser auf die private Nutzung ausgelegt ist. Demnach folgen die Einstellungen nicht einer möglichen Unternehmensrichtlinie und können Fehler beinhalten, die ein zusätzliches Risiko darstellen. Der Arbeitnehmer muss eine sichere Konfiguration des Routers vornehmen, beispielsweise durch die Verwendung eines sicheren Passworts sowie WPA2-Verschlüsselung.
Heimische Infrastruktur Die heimische Infrastruktur stellt besonders in Häusern mit mehreren Parteien durch eine größere Angriffsfläche ein zusätzliches Risiko dar. Über den Zugang zum Hausanschlussraum oder dem Verlauf der Kabel durch andere Wohnungen ist das Mitlesen und Manipulieren der sensiblen Kommunikation einfacher möglich.
Smart Home Smart Home ist in unserer heutigen Gesellschaft kaum mehr wegzudenken. Dabei ist Smart Home der Oberbegriff für die Ausgestaltung von Wohnräumen, in denen Haushalts- und Multimedia-Geräte interagieren und intelligent gesteuert werden. Smart Home hat unterschiedliche Anwendungsbereiche wie Energiemanagement, Entertainment und Kommunikation, Gebäude- und Wohnungssicherheit, Hausautomation und Komfort, Gesundheit und ein eigenständiges Leben zu Hause auch im Alter. Jedoch bieten diese Smart Home-Technologien neue Angriffsvektoren und Sicherheitsrisiken. Besonders im Homeoffice, bei dem private Technologien mit Teilen der Unternehmensinfrastruktur zusammenkommen, entstehen neue Einfallsvektoren für Angreifer auf die beruflich genutzte IT.
Einsichtnahme / Mithören Die Möglichkeit von überall zu arbeiten birgt zusätzliche Risiken. So ermöglicht das Arbeiten an öffentlichen und teilweise einzusehenden Orten wie Balkon oder Terrassen es Unbefugten, Arbeitsgespräche mitzuhören. Ebenfalls kann bei Notebook-Arbeiten Einsicht auf vertrauliche Unternehmensinformationen durch Passanten oder Nachbarn genommen werden.
Videokonferenzsystem Durch die vielen Heimarbeitsplätze ist der Bedarf an einfach zu handhabenden Videokonferenzsystemen enorm gestiegen und hat sich als pragmatische und effektive Lösung etabliert. Die Schattenseiten des enormen und schnellen Wachstums gingen zu Lasten der Cyber-Sicherheit, wodurch diverse Videokonferenzsysteme medial hauptsächlich durch Schwachstellen auf sich aufmerksam machten.
Schatten-IT Schatten-IT sind IT-Systeme- und Dienste, die von Mitarbeitern neben der offiziellen IT-Infrastruktur der Unternehmen verwendet werden, um ihre Arbeit schneller und besser umsetzen zu können.
Die Verwendung von nicht vertrauenswürdigen Webseiten oder Cloud-Diensten wie die Umwandlung in PDFs bei kostenlosen Diensten, Austausch von Dateien mittels einer Dropbox-Lösung oder Nutzung von unsicheren Chat-Systemen stellen zusätzliche Sicherheitsrisiken im Homeoffice dar. Die Anbieter lassen sich oft durch die AGBs die Rechte auf die Daten bestätigen, was für die Unternehmen ein sehr großes Risiko darstellt. Falls ein Mitarbeiter im Homeoffice zum Beispiel einen kostenlosen Cloud PDF-Konverter nutzt, könnte dieser laut AGB die Firmendaten in seinem Sinne nutzen, was ein sehr großes Risiko darstellt. Siehe auch: Privatsphäre
Angriffsvektor Mensch Besonders Arbeitnehmer, die nicht IT-sicherheitsaffin sind, gelten als einfacher Angriffspunkt. Gerade wenn die Mitarbeiter aus dem Homeoffice arbeiten, sind sie anfälliger für Manipulationsangriffe wie Phishing oder Spam. Daher sollten Mitarbeiter geschult werden, welche Werte besonders geschützt werden müssen und wie ein Mitarbeiter sich gegen Angriffe wehren kann und was getan werden muss, wenn ein Angriff stattgefunden hat.
Um die Sicherheits-Maßnahmen optimal zu verstärken, müssen Unternehmen technische, organisatorische und personelle Maßnahmen vornehmen. Dabei kann es sich um die Anpassung von Geschäftsprozessen und Richtlinien, aber auch technische Veränderungen handeln. Besonders wichtig ist der Umgang mit dienstlichen Informationen seitens des Arbeitsnehmers im Home-Office. Im Folgenden werden einige Beispiele von Sicherheitsmaßnahmen dargestellt.
Technische Maßnahmen
Videokonferenzsysteme
Schatten-IT
Cloud-Dienste
Härtung von IT-Systemen
Personelle Maßnahmen
Sicherheitsbewusstsein schaffen
Umgang mit (dienstlichen) Informationen
Organisatorische Maßnahmen
Erreichbarkeit des Arbeitnehmers
Zugriffskontrolle
Richtlinien anpassen
Clean-Desk
Weitere Informationen zum Begriff “Homeoffice Sicherheit”:
Homeoffice Sicherheit zeigt die zusätzlichen Risiken auf, wenn Mitarbeiter von zu Hause oder außerhalb der Liegenschaften des Arbeitgebers arbeiten. Aber auch wie mithilfe von geeigneten Cyber-Sicherheitsmaßnahmen diese eliminiert oder deutlich reduziert werden können.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Homeoffice Sicherheit Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
