slider

Homeoffice Sicherheit - Prof. Dr. Norbert Pohlmann

Homeoffice Sicherheit

Homeoffice Sicherheit - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Was ist Homeoffice Sicherheit?


Homeoffice Sicherheit
Die Arbeit im Homeoffice und deren IT-Sicherheit ist ein aktuelles und zukünftig wichtiges Thema.

Derzeit wird hauptsächlich der Begriff Homeoffice verwendet, wenn Mitarbeiter:innen außerhalb ihres Unternehmens arbeiten. Es gibt weitere Bezeichnungen, die das Arbeiten von zu Hause beziehungsweise außerhalb der Liegenschaften des Arbeitgebers bezeichnen. Dabei ist zu beachten, dass rechtliche Rahmenbedingung bei der jeweiligen Form der Heimarbeit gelten. Es wird zwischen Telearbeit, Mobile Working und Homeoffice unterschieden.

Telearbeit
Laut der §2 Nr. 7 der Arbeitsstättenverordnung sind Telearbeitsplätze vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat. Ein Telearbeitsplatz ist vom Arbeitgeber erst dann eingerichtet, wenn Arbeitgeber und Beschäftigte die Bedingungen der Telearbeit arbeitsvertraglich oder im Rahmen einer Vereinbarung festgelegt haben und die benötigte Ausstattung des Telearbeitsplatzes mit Mobiliar, Arbeitsmitteln einschließlich der Kommunikationseinrichtungen durch den Arbeitgeber oder eine von ihm beauftragte Person im Privatbereich des Beschäftigten bereitgestellt und installiert ist. Demnach muss der Arbeitgeber den Heimarbeitsplatz komplett einrichten, sodass der Arbeitnehmer alle Möglichkeiten zur Erfüllung seiner Tätigkeit erhält. Die Telearbeit und der damit zusammenhängende Heimarbeitsplatz sind zusätzlich zu einem regulären Arbeitsplatz in den Liegenschaften des Arbeitgebers vorhanden. Derzeit existiert noch kein Rechtsanspruch auf Telearbeit in Deutschland.

Mobile Working
Mobile Working ist nicht gesetzlich geregelt und definiert, baut aber wie die Telearbeit auf einer Verbindung zum Betrieb per IT-Endgerät und in der Regel auf öffentliche Kommunikationsinfrastrukturen wie das Internet auf. Im Gegensatz zur Telearbeit ist Mobile Working nicht an einen definierten und festen Heimarbeitsplatz gebunden. Daher ist ein Arbeiten praktisch von überall möglich, sofern ein Notebook, Tablet oder Smartphone inklusive einer Kommunikationsanbindung (fest oder mobil) vorhanden ist. Ebenso ist Mobile Working nicht an feste Arbeitszeiten und Arbeitsplätze gebunden. Zunehmend wird „Mobile Working“ oft an Orten, wo es besonders schön ist, durchgeführt. Dabei handelt es sich nicht nur um das Ferienhaus auf dem Land, sondern auch um andere Länder. Beispielsweise werben Hotels in Bali mit Coworking Spaces für ausländische Arbeitnehmer. Es ist auch ein Trend zu erkennen, dass Mitarbeiter, die mobil arbeiten, dieses zunehmend parallel für mehrere Unternehmen tun. Auch dieser Aspekt erfordert neuartige, sichere und vertrauenswürdige IT-Arbeitsumgebungen, damit die Risiken für die unterschiedlichen Arbeitgeber reduziert werden können.

Homeoffice
Homeoffice bedeutet, dass Mitarbeiter einer Organisation oder Unternehmen ihre Arbeiten von privaten Räumlichkeiten und nicht in Liegenschaften ihrer Institution ausüben. Dabei handelt es sich nicht um einem vom Arbeitgeber vollständig eingerichteten Arbeitsplatz. Der externe Homeoffice-Arbeitsplätz erhält über das private Internet des Arbeitnehmers Zugriff auf die Ressourcen des Arbeitgebers, beispielsweise interne IT-Infrastrukturen oder Cloud-Dienste des jeweiligen Unternehmens. Die durch die Homeoffice-Arbeitsplätze entstandenen neuen Risiken müssen durch geeignete Cyber-Sicherheitsmaßnahmen eliminiert oder deutlich reduziert werden.

Besondere Risiken beim Homeoffice

Durch die Arbeit im Homeoffice verändern sich unterschiedlichste Aspekte des Arbeitens. Der Arbeitnehmer und Arbeitgeber genießen Vorteile wie die Zeitersparnis wegen der nicht notwendigen Anreise oder erhöhter Flexibilität beim Arbeiten.
Allerdings wird vom Arbeitnehmer aufgrund der variierenden Arbeitszeiten sowie Pausen und erhöhten Ablenkung enorm viel Disziplin gefordert. Dazu kommt, dass der Arbeitnehmer nicht allein im Homeoffice ist, beispielsweise sind Störungen und Ablenkungen während der Arbeit durch Familienmitglieder oder Mitbewohner möglich. Ebenfalls ist der Raum zum Arbeiten in der Regel stark begrenzt.
Weitere potenzielle Risikoquellen sind Software- und Hardware-Komponenten, insbesondere wenn der Arbeitnehmer über private IT-Endgeräte (PC, Notebook, PAD, Smartphone) oder Hardwarekomponenten (Router, Drucker, …) arbeitet. Außerdem sind Software-Update-Prozesse, Backup-Systeme usw. eine weitere Herausforderung.

Heimischer, privater Internet-Zugang/Nutzung
Der heimische Internet-Zugang und die dazugehörige Infrastruktur und Router stellen im Homeoffice ein zusätzliches Risiko für das Unternehmen dar. Abhängig vom heimischen Internet-Zugang ist die Verfügbarkeit der IT-Systeme- und Dienste des Arbeitnehmers und somit die Tätigkeit als Ressource für das Unternehmen zu betrachten. Es kann zum Beispiel eine nicht ausreichende Bandbreite und schlechte Verfügbarkeit seitens des Arbeitnehmers dazu führen, dass bestimmte Dienste nicht verwendet oder in eingeschränkter Geschwindigkeit zur Verfügung stehen.

Heimischer Router
Der heimische Router ist meist vom Arbeitnehmer konfiguriert, da dieser auf die private Nutzung ausgelegt ist. Demnach folgen die Einstellungen nicht einer möglichen Unternehmensrichtlinie und können Fehler beinhalten, die ein zusätzliches Risiko darstellen. Der Arbeitnehmer muss eine sichere Konfiguration des Routers vornehmen, beispielsweise durch die Verwendung eines sicheren Passworts sowie WPA2-Verschlüsselung.

Heimische Infrastruktur
Die heimische Infrastruktur stellt besonders in Häusern mit mehreren Parteien durch eine größere Angriffsfläche ein zusätzliches Risiko dar. Über den Zugang zum Hausanschlussraum oder dem Verlauf der Kabel durch andere Wohnungen ist das Mitlesen und Manipulieren der sensiblen Kommunikation einfacher möglich.

heimische Infrastruktur - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Smart Home
Smart Home ist in unserer heutigen Gesellschaft kaum mehr wegzudenken. Dabei ist Smart Home der Oberbegriff für die Ausgestaltung von Wohnräumen, in denen Haushalts- und Multimedia-Geräte interagieren und intelligent gesteuert werden. Smart Home hat unterschiedliche Anwendungsbereiche wie Energiemanagement, Entertainment und Kommunikation, Gebäude- und Wohnungssicherheit, Hausautomation und Komfort, Gesundheit und ein eigenständiges Leben zu Hause auch im Alter. Jedoch bieten diese Smart Home-Technologien neue Angriffsvektoren und Sicherheitsrisiken. Besonders im Homeoffice, bei dem private Technologien mit Teilen der Unternehmensinfrastruktur zusammenkommen, entstehen neue Einfallsvektoren für Angreifer auf die beruflich genutzte IT.

Einsichtnahme / Mithören
Die Möglichkeit von überall zu arbeiten birgt zusätzliche Risiken. So ermöglicht das Arbeiten an öffentlichen und teilweise einzusehenden Orten wie Balkon oder Terrassen es Unbefugten, Arbeitsgespräche mitzuhören. Ebenfalls kann bei Notebook-Arbeiten Einsicht auf vertrauliche Unternehmensinformationen durch Passanten oder Nachbarn genommen werden.

Videokonferenzsystem
Durch die vielen Heimarbeitsplätze ist der Bedarf an einfach zu handhabenden Videokonferenzsystemen enorm gestiegen und hat sich als pragmatische und effektive Lösung etabliert.
Die Schattenseiten des enormen und schnellen Wachstums gingen zu Lasten der Sicherheit, wodurch diverse Videokonferenzsysteme medial hauptsächlich durch Schwachstellen auf sich aufmerksam machten.

Schatten-IT
Schatten-IT sind IT-Systeme- und Dienste, die von Mitarbeitern neben der offiziellen IT-Infrastruktur der Unternehmen verwendet werden, um ihre Arbeit schneller und besser umsetzen zu können.

Schatten-IT - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Die Verwendung von nicht vertrauenswürdigen Webseiten oder Cloud-Diensten wie die Umwandlung in PDFs bei kostenlosen Diensten, Austausch von Dateien mittels einer Dropbox-Lösung oder Nutzung von unsicheren Chat-Systemen stellen zusätzliche Sicherheitsrisiken im Homeoffice dar. Die Anbieter lassen sich oft durch die AGBs die Rechte auf die Daten bestätigen, was für die Unternehmen ein sehr großes Risiko darstellt. Falls ein Mitarbeiter im Homeoffice zum Beispiel einen kostenlosen Cloud PDF-Konverter nutzt, könnte dieser laut AGB die Firmendaten in seinem Sinne nutzen, was ein sehr großes Risiko darstellt.

Angriffsvektor Mensch
Besonders Arbeitnehmer, die nicht IT-sicherheitsaffin sind, gelten als einfacher Angriffspunkt. Gerade wenn die Mitarbeiter aus dem Homeoffice arbeiten, sind sie anfälliger für Manipulationsangriffe wie Phishing oder Spam. Daher sollten Mitarbeiter geschult werden, welche Werte besonders geschützt werden müssen und wie ein Mitarbeiter sich gegen Angriffe wehren kann und was getan werden muss, wenn ein Angriff stattgefunden hat.


Weitere Informationen zum Begriff “Homeoffice Sicherheit”:


Vorlesungen: „Lehrbuches Cyber-Sicherheit“

Artikel:
Sicheres und vertrauenswürdiges Arbeiten im Homeoffice der Cybersicherheitslage


Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Vortrag: “Sicheres und vertrauenswürdiges Arbeiten im Homeoffice

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)




Zurück zur Übersicht
Homeoffice Sicherheit - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Homeoffice Sicherheit Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten