(0345) 2258 1212 info@gfi-sicherheit.de
GfI Gesellschaft für Informationssicherheit mbH GfI Gesellschaft für Informationssicherheit mbH
  • Home
  • News
  • Leistungen
    • Externer Datenschutzbeauftrager
    • Externer IT-Sicherheitsbeauftragter
    • Beratung interner Datenschutzbeauftragter
    • Beratung interner IT-Sicherheitsbeauftragter
    • Start-Up-Beratung
    • Zertifizierung von Fachanwendungen
    • Schulungen und Fortbildungen
    • Sensibilisierung von Beschäftigten
    • Forderungsmanagement & Inkasso
    • Risikobewertung / Risikomanagement
    • Cloud-Speicher für Unternehmen
    • Sichere Passwort-Verwaltung
    • Mail-Filter
  • Schulungen
    • Datenschutzbeauftragter (DSB)
    • Fit für den Datenschutz
    • Datenschutz für Geschäftsführer und Manager
    • Datenschutz-Praxis (Auffrischung)
    • Datenschutz im Gesundheitswesen
  • Über uns
  • Kontakt
    • Impressum
    • Datenschutz

Aktuelles

  • Home > News > Allgemein > Homeoffice – Aber sicher!
  • Homeoffice – Aber sicher!

    By:   admin Allgemein Comments:   Keine Kommentare

    Die Entwicklung der Corona-Pandemie in den letzten Wochen hat in allen Unternehmen zur Überlegung geführt, wie Arbeitsprozesse ggf. auch im Homeoffice weitergeführt werden können. Fast alle unsere europäischen Nachbarn haben bereits restriktive Ausgangssperren verhängt und auch in Sachsen-Anhalt sind seit gestern die ersten beiden Gemeinden abgeriegelt. Vor diesem Hintergrund ist der Wunsch von Unternehmen nachvollziehbar, die Arbeitsfähigkeit auch unter diesen erschwerten Bedingungen aufrecht zu erhalten.

    Dabei wird nun zum Teil, auch auf Grund der bereits erfolgten Schließung von Elektronikmärkten und der eingeschränkten Verfügbarkeit von Online-Lieferungen, auf private Geräte zurückgegriffen.

    Für die Arbeit im Homeoffice müssen grundlegend dieselben datenschutzrechtlichen Bedingungen wie für einen Büro-Arbeitsplatz erfüllt werden. Diese lauten:

    1. Sichere Aufbewahrungsorte

    Das Prinzip der sicheren Aufbewahrungsorte gilt für Unterlagen und den im Homeoffice genutzten PC gleichermaßen. Ein abschließbarer Schrank und ein separates Arbeitszimmer gehören dazu, damit Ihnen niemand bei der Arbeit über die Schulter schauen oder sich unbefugt Zugang verschaffen kann.

    2. Verschlüsselung

    Mittlerweile Standard, aber immer noch einen Hinweis wert: Sowohl E-Mails, Festplatten als auch der Zugang zum Firmennetzwerk sollten verschlüsselt sein.

    3. Firmen-Hardware statt Privatrechner

    Im Homeoffice sorgen Sie stets für aktuelle Sicherheits- und Virensoftware, indem Mitarbeiter mit Firmen-Hardware ausgestattet werden. Das hat auch den Vorteil, dass Daten nicht auf privaten Datenträgern gespeichert werden.

    Hierfür bietet sich beispielsweise eine zentrale Patchmanagement-Software an. Wir beraten Sie hierzu.

    4. Trennung von privaten Daten

    Wenn Ihr Mitarbeiter die Firmen-Hardware nutzt, sollten Sie darauf hinweisen, dass keine privaten Daten darauf gespeichert werden. Persönliche Daten und Software stellen immer ein Sicherheitsrisiko dar. Wird ein Privatrechner genutzt, dann gehören Firmendaten nicht gespeichert. Es empfiehlt sich ein rein browserbasierter Zugang zu E-Mail & Co.

    5. Datenmüll vermeiden

    E-Mail-Ausdrucke oder Notizen mit personenbezogenen Daten müssen auch datenschutzgerecht entsorgt werden. Das ist im Büro einfacher als im Homeoffice. Deswegen diesen Datenmüll direkt vermeiden!

    6. Automatische Sperre des Computers

    Der Computer sollte auch bei kurzem Verlassen immer gesperrt werden. Unser Tipp: den Bildschirm so einstellen, dass nach kurzer Inaktivität eine automatische Bildschirmsperre erfolgt.

    7. Sichere Passwörter

    Passwörter sollten besonders sicher sein, im besten Fall werden diese von der IT-Abteilung eingerichtet.

    Zur Verwaltung von sicheren und komplexen Passwörtern bietet sich z. B. der GfI-Tresor an. Eine Demo-Version können Sie unter https://demo.gfi-tresor.de testen.

    Aufgrund der vorliegenden Ausnahmesituation sind nicht mehr alle Punkte kurzfristig umsetzbar. Die DSGVO hilft hier im Art. 32 übergangsweise weiter: 

    “Art. 32 Sicherheit der Verarbeitung

    (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: […]”

    Die Pandemie-Sondersituation kann hier also durchaus als Umstand angesehen werden, der berücksichtigt werden soll. Nichtsdestotrotz hebt dieser nicht die gebotene Sorgfaltspflicht des Verantwortlichen auf.

    Wir würden daher einen Mittelweg empfehlen, der zwar den Einsatz von privater Technik ermöglicht, aber dennoch ein Schutzniveau nach aktuellem Stand der Technik vorsieht. Unser Vorschlag sieht daher folgendermaßen aus:

    1. Firmen-Hardware

    Nutzen Sie nach Möglichkeit dienstliche und vom Unternehmen verwaltete Geräte auch im Homeoffice.

    2. Private Geräte nur im Ausnahmefall


    Sollten auf Grund der derzeit schwierigen Beschaffungssituation dies nicht sichergestellt werden, nutzen Sie private Geräte, bevorzugt Laptops, nur im Ausnahmefall.

    3. Getrennte Nutzerkonten – Privates und berufliches trennen


    Stellen Sie sicher, dass ihre Verwaltungsprogramme in einer separaten, ausschließlich dienstliche genutzten Benutzersitzung ohne Adminstratorenrechte ablaufen.

    4. E-Mail-Weiterleitung

    Leiten Sie keine dienstlichen E-Mail-Adressen auf private E-Mail-Konten um.

    5. WLAN schützen

    In der Regel werden die Zugangsdaten für das heimische WLAN nie geändert. Über Jahre wurden die Kennwörter an Gäste, Besucher und Freunde weitergegeben oder sind noch in alten, längst ausrangierten Geräten gespeichert. Spätestens jetzt ist es an der Zeit, das WLAN-Passwort zu aktualisieren. Prüfen Sie dabei auch, ob das WLAN den derzeit aktuellen Verschlüsselungsstandard WPA2 nutzt.

    6. Sicherheitsupdate installieren / Virenschutz aktivieren

    Installieren Sie die aktuellsten Sicherheitsupdates für das Betriebssystem und die Anwendungsprogramme. Kriminelle nutzen oft Schwachstellen aus, die gerade erst entdeckt wurden. Sie rechnen damit, dass viele Nutzer ihre Software noch nicht aktualisiert haben. Wer zum Update aufgefordert wird, sollte die Installation deshalb nicht hinauszögern. Vor allem Betriebssystem, Browser, Office-Software wie Microsoft Word oder der Acrobat Reader von Adobe sollten immer auf dem aktuellsten Stand sein. Das gilt auch für den Wlan-Router und andere IoT-Geräte, die mit dem Netzwerk verbunden sind. Dort finden sich die Firmware-Updates meist auf den Seiten der Hersteller. Oft lassen sich Updates auch automatisieren.

    Hierfür bietet sich beispielsweise eine zentrale Virenschutz-Software an. Wir beraten Sie hierzu.

    7. Arbeiten Sie weiterhin, auch aus der Ferne, im Büro

    Am besten ist jedoch ein Fernzugriff auf den Unternehmensrechner über eine verschlüsselte Verbindung ins Unternehmensnetzwerk. Hierzu eignet sich besonders unter dem Kosten- und Leistungsaspekt OpenVPN für die Bereitstellung der verschlüsselten Verbindung und innerhalb der Unternehmens für den Fernzugriff die von Microsoft mitgelieferte Remotedesktop-Verbindung.

    Für die VPN-Verbindung sollten Sie nach Stand der Technik 

    • eine Schlüssellänge von mindestens 4096 bit, 
    • als Verschlüsselungsalgorithmus AES 256 bit, 
    • Authentifizierungsalgorithmus SHA 512

    verwenden.

    Aktuelle Computer-Prozessoren bieten standardmäßig eine Hardwarebeschleunigung für die AES-Verschlüsselung an, so dass hier keine Leistungsverluste bei der Ver- und Entschlüsselung der Daten zu erwarten sind.

    Über diesen Fernzugriff arbeiten ihre Mitarbeiter*innen auch weiterhin auf dem Arbeitsplatz-PC im Büro, dieser muss natürlich eingeschaltet bleiben. Sensible Daten, egal ob Unternehmens- oder personenbezogene Daten werden nicht auf dem privaten Gerät im Homeoffice gespeichert.

    In jedem Fall sollten Sie Ihre Mitarbeiter*innen nochmals schriftlich auf die Geheimhaltung von Unternehmens- und personenbezogenen Daten hinweisen, als Erinnerung auf Grund der besonderen Situation. Diese Regeln gelten natürlich auch im Homeoffice, bei denen der Zugang zu den genutzten Geräten nicht durch Sie als Verantwortlichen vollständig kontrolliert werden können.

    Leave a Comment Antworten abbrechen

    zehn + 20 =

    Kategorien

    • Allgemein

    Recent News

    Handlungsempfehlung für Gastronomen und Veranstalter zur Einhaltung der 5. SARS-CoV-2-EindV Sachsen-Anhalt

    12 Mai 2020

    Avast – Kostenloser Virenschutz? Mit Daten bezahlt!

    27 März 2020

    Phishing-Mails und Fake-Shops

    27 März 2020

    Online-Meetings mit Zoom

    27 März 2020

    Kontakt
    Impressum
    Datenschutzerklärung

    Wir sind Mitglied im Bundesverband der Datenschutzbeauftragten Deutschlands.

    Wir sind Mitglied der Gesellschaft für Datenschutz und Datensicherheit.

    Hauptsitz

    Universitätsring 14

    06108 Halle (Saale)

    (0345) 2258-12 12
    info@gfi-sicherheit.de

    Niedersachsen

    Peiner Straße 68

    30519 Hannover

    (0511) 87 45-83 12
    info@gfi-sicherheit.de

    Mecklenburg-Vorpommern

    Katenweg 8

    18311 Ribnitz-Damgarten

    Cookies ermöglichen eine bestmögliche Bereitstellung unserer Dienste. Mit der Nutzung unserer Seiten und Services, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Ok Mehr
    Privacy & Cookies Policy

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
    Notwendige
    immer aktiv

    Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

    Nicht notwendige

    Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.