Compliance & Covid-19: Anforderungen an die Informationssicherheit im Homeoffice

Nikolett Nemeth 14.05.2020

Ein Leitfaden der frobese Compliance Marke g2c.consulting

Das entgrenzte Arbeiten geh√∂rt immer h√§ufiger zum Berufsalltag und wird auch immer wieder als Modern Workplace bezeichnet.(1) Die langersehnte M√∂glichkeit vieler Arbeitnehmer, von Zuhause aus oder sogar unterwegs arbeiten zu d√ľrfen, wurde in den letzten Wochen durch die weltweite Corona-Krise zur Realit√§t. Doch sind viele Unternehmen, bei denen das Arbeiten mit Computern die Gesch√§ftst√§tigkeit zum gr√∂√üten Teil ausmacht, darauf oft nicht ausreichend vorbereitet. Sie werden dadurch mit komplexen Problemen der Informationssicherheit konfrontiert. Die Anforderungen an die Informationssicherheit bilden einen elementaren Bestandteil der Compliance Anforderungen einer Organisation. Somit sind diese Compliance Anforderungen auch im Homeoffice einzuhalten.

Titelbild
Was kann ein Unternehmen tun, um die regelkonforme Informationssicherheit zu wahren und die damit verbundenen Gefahren, wie etwa den Zugang zu Geschäfts- und Betriebsgeheimnissen vor unbefugten Dritten, abzuwehren?

Die Antworten auf diese Frage werden im vorliegenden Blog-Beitrag kategorisiert aufgelistet, um eine nachhaltige Soforthilfe f√ľr Unternehmen zu bieten. Bereits die Einhaltung einiger weniger Grundsatzprinzipien der Informationssicherheit kann Gefahren erfolgreich abwehren. Die Grundwerte der Informationssicherheit gem√§√ü BSI-Standard 200-1 ‚ÄěVerf√ľgbarkeit‚Äú, ‚ÄěIntegrit√§t‚Äú und ‚ÄěVertraulichkeit‚Äú stehen dabei immer im Vordergrund.


1. Qualifizierung
Es ist anzunehmen, dass die meisten Unternehmen bis zum Anfang der Corona-Krise keine Vorbereitungen f√ľr den Notfall getroffen haben, dass ihr Gesch√§ftsbetrieb vorwiegend so aufrechterhalten bleiben muss, dass seine Besch√§ftigten im Homeoffice arbeiten m√ľssen. Die Ausrichtung technischer und organisatorischer Ma√ünahmen m√ľssen den sonst auch geltenden IT-Compliance Anforderungen entsprechen. Damit die Besch√§ftigten einer Organisation wissen, welche Ma√ünahmen f√ľr die IT-Compliance im Homeoffice getroffen werden m√ľssen, ist eine rasche Qualifizierung n√∂tig. Zielgruppenorientierte Schulungen, Verpflichtungserkl√§rungen samt How-to Anleitungen f√ľhren zum gew√ľnschten Ergebnis. Da schnelles Handeln erforderlich ist, k√∂nnen die Schulungen von geeigneten Schulungsanbietern erarbeitet und durchgef√ľhrt werden.

Eine Schulung eignet sich am besten f√ľr die Qualifizierung aller Personen im Unternehmen, da ein Arbeitgeber sicherstellen muss, dass die Besch√§ftigten die vorgeschriebenen Regelungen bez√ľglich der Informationssicherheit sowie des Datenschutzes erhalten und einhalten.(2) Das gilt im vollen Umfang auch, wenn die Arbeit nicht in den R√§umlichkeiten des Unternehmens ausgef√ľhrt wird. F√ľr die Sicherstellung der Informationssicherheit sowie des Datenschutzes reicht die blo√üe Bekanntgabe der Homeoffice Sicherheitsrichtlinien(3) nicht aus.


2. Die Verantwortung
Homeoffice ist auch deshalb eine Herausforderung, weil Besch√§ftigte und Organisationsleitung in ihrem privaten Bereich einen Arbeitsplatz einzurichten haben. Gem√§√ü Ma√ünahme M 1.61 IT-Grundschutz des BSI ist die Benutzerin oder der Benutzer, in diesem Falle also die im Homeoffice t√§tige Arbeitskraft, daf√ľr zust√§ndig und verantwortlich, dass der Arbeitsplatz samt Umgebung als mobiler Arbeitsplatz geeignet ist. Zwar ist diese Verantwortung besonders in Notfallsituationen eher gering, es ist jedoch auf die Einhaltung grundlegender Anforderungen an die IT-Sicherheit zu achten. Die Verantwortung f√ľr eine sichere Arbeitsumgebung tr√§gt dahingegen das Unternehmen. Somit werden Haftungsanspr√ľche ebenfalls an das Unternehmen gestellt. Ein durchdachtes Zusammenspiel von Ma√ünahmen ist daher unerl√§sslich.

Eine vertragliche Nebenpflicht des Arbeitsnehmers nach ¬ß 241 Abs. 2 BGB ist die Pflicht zur Wahrung von Betriebs- und Gesch√§ftsgeheimnissen.(4) Die im Unternehmen gespeicherten und verarbeiteten Datenmengen sind nur f√ľr einen begrenzten Adressatenkreis bestimmt und sollen f√ľr unberechtigte Dritte nicht zug√§nglich sein.(5) Diese Daten, in der Regel Gesch√§fts-, Kunden- sowie Mitarbeiterdaten, sind besonders sch√ľtzenswerte Informationen.(6) So werden sie als sensible personenbezogene oder als sensible unternehmensbezogene Daten eingeordnet, weil das Unternehmen oder die betroffene Person ein besonders sch√ľtzenswertes Interesse an einer Geheimhaltung dieser Informationen haben.(7)


3. Die Umgebung
In der h√§uslichen Arbeitsst√§tte bedeutet eine Internetverbindung die Grundlage der Arbeit. Die meisten Haushalte verf√ľgen √ľber einen Internetanschluss mit WLAN. Dieser unterliegt jedoch nicht der strengen Kontrolle einer unternehmenseigenen IT-Infrastruktur. Die dienstliche Nutzung von solchen Internet-Diensten, die die Arbeitskraft privat abonniert, muss bei einem Heimarbeitsplatz geregelt sein.(8) Dabei sind zwei wichtige Faktoren zu beachten, um die grundlegende Sicherheit herzustellen: Zum einen sollte zur Absicherung des WLANs der Sicherheitsstandard WPA2 Authentifizierung/Verschl√ľsselung eingesetzt werden.(9) Zum anderen sollten der Routername und das Passwort regelm√§√üig ge√§ndert werden, damit die M√∂glichkeit f√ľr die Nachverfolgung erschwert ist und somit das WLAN sicherer wird. Dennoch kann eine h√§usliche WLAN-Internetnutzung nie die ausreichende Sicherheit bieten, weshalb davon abgeraten wird. Vielmehr ist es empfehlenswert, wenn nicht gleich notwendig, dass die Internetverbindung zum Rechner oder Laptop mit dem LAN Kabel hergestellt wird.

Bez√ľglich der Umgebung ist ein aufger√§umter Arbeitsplatz ein Grundsatz der Informationssicherheit und so auch der Compliance. Es ist sicherzustellen, dass nur berechtigte Personen auf Anwendungen und IT-Systeme zugreifen k√∂nnen,(10) so dass bei der Nichtbenutzung des Computers diese Inhalte f√ľr andere nicht zug√§ngig sind. Alle Mitarbeitenden, besonders die im Homeoffice, m√ľssen darauf hingewiesen werden, dass auf unbeaufsichtigten Arbeitspl√§tzen keine sensiblen Informationen frei zugreifbar oder frei zug√§ngig sein d√ľrfen.(11) Die Bildschirmsperre bietet hierbei die L√∂sung, welche automatisch aktiviert werden kann(12) oder beim Verlassen des Arbeitsplatzes die Sperrung durch die Arbeitskraft vorgenommen werden muss. Ebenso kann die Arbeitskraft dazu verpflichtet werden, bei kurzen Unterbrechungen der Arbeit, den unerw√ľnschten Benutzerwechsel unter ein und derselben Benutzererkennung am PC zu verhindern.(13) Eine weitere L√∂sung kann sein, dass der Raum des Heimarbeitsplatzes an sich f√ľr andere nicht betretbar ist. Dies l√§sst sich allerdings in famili√§rer Umgebung schwer umsetzen. Ein weiterer Risikofaktor bleibt die nicht vorhandene M√∂glichkeit zur Durchf√ľhrung von stichprobenartigen Kontrollen seitens des Arbeitgebers.(14)


4. IT-Ausstattung

4.1 Unternehmenseigene Laptops

Die Arbeitsmittel, die die Mitarbeitenden zur Erledigung der vertraglich geschuldeten T√§tigkeiten ben√∂tigen, also auch die IT-Ausstattung, muss grunds√§tzlich vom Unternehmen bereitgestellt werden.(15) Die geeignete Auswahl von Laptops wird im optimalen Fall anhand einer Anforderungsanalyse und deren Bewertung von der Institution vorgenommen.(16) Hierbei werden Faktoren sowohl f√ľr Hardware als auch f√ľr Software ber√ľcksichtigt.

Wenn bereits konfigurierte Laptops im Homeoffice eingesetzt werden k√∂nnen, muss von der Arbeitskraft auf wesentlich weniger geachtet werden. Die Arbeit im Homeoffice ist vergleichbar mit der Arbeit auf Gesch√§ftsreisen. Die sichere Kommunikation muss auch von unterwegs gew√§hrleistet sein.(17) Die dazugeh√∂rigen Regelungen ‚Äď f√ľr den Informationsschutz f√ľr unterwegs ‚Äď sind in den Sicherheitsrichtlinien des Unternehmens festzuhalten.(18) Gleich wie in der B√ľroumgebung muss auch bei Heimarbeitspl√§tzen eine sichere, an die Aufgaben der jeweiligen benutzenden Person angepasste Benutzerumgebung eingerichtet werden. Dies gilt auch f√ľr den Zugriffsschutz.(19)

Das Unternehmen kann derart konfigurierte Hardware zur Verf√ľgung stellen, die nur den Zugang zum eigentlichen Unternehmensnetzwerk herstellt, ohne dass sich die Informationen dabei auf dem Laptop befinden. Wiederum k√∂nnen auch solche Laptops herausgegeben werden, die den Arbeitsplatzrechner als Telearbeitsrechner ersetzen. Die Gestaltung der Informationssicherheit dieser Endger√§te ist weit anspruchsvoller und richtet sich nach dem Schutzbedarf der verarbeiteten Informationen.

√úberlegenswert ist ‚Äď unabh√§ngig von der Zugangsart zum Unternehmenssystem ‚Äď die zeitliche Beschr√§nkung f√ľr Benutzerkonten auf diesen Ger√§ten.(20) F√ľr den Fall, dass das Ger√§t in den Besitz von unbefugten Personen ger√§t, reduziert sich so das Risiko. Je nach Schutzbedarf k√∂nnen mobile Ger√§te auch mit einem GPS-Sender ausgestattet werden und bei fehlgeschlagenen Anmeldeversuchen wird auch die genaue Vorgehensweise definiert. Eine weitere technische L√∂sung f√ľr die Gew√§hrleistung von Informationssicherheit, f√ľr den Fall eines Verlustes, ist der Remote-Zugriff durch den Arbeitgeber, wenn die Sicherheit der Daten akut gef√§hrdet ist. Die Sperrung sowie L√∂schung des zur Arbeitskraft und mobilem Endger√§t zugeh√∂rigen Accounts/Terminals muss unternehmensintern vorgenommen werden.(21)

In Verbindung mit der dienstlichen Nutzung von privaten mobilen Datentr√§gern, wie beispielsweise USB-Sticks, wurde vom BSI das Fallbeispiel “Servicetechniker” ver√∂ffentlicht, das auf geeigneter Weise auf die Gefahren aufmerksam macht.(22) Auf den dienstlichen USB-Stick, der f√ľr Softwareaktualisierungen eingesetzt war, hat der Servicetechniker von seinem privaten PC Musik √ľbertragen. Dabei ist auch Schadsoftware auf die Hardware gelangt, die den Entwicklungsrechner infizierte und auf diese Weise dem Betrieb erhebliche Schaden h√§tte verursachen k√∂nnen.

USB-Sticks bedeuten ein Sicherheitsrisiko, weshalb der Umgang mit solchen Ger√§ten geregelt werden muss.(23) Der Einsatz von privaten und bereits benutzten USB-Sticks ist zu vermeiden, wenn der dienstliche Laptop nicht √ľber ausreichenden Schutz verf√ľgt. Eine weitere denkbare L√∂sung ist die Sperrung aller USB-Anschl√ľsse der Laptops mit eventuellen Freigabem√∂glichkeiten.

4.2 Eigene Hardware ‚Äď BYOD

In einigen Branchen kann der Einsatz von eigenen PCs oder Laptops der Arbeitskraft (24) m√∂glich sein, wenn die Sicherheitsgrunds√§tze eingehalten werden. In diesem Fall ist wesentlich mehr zu beachten, als bei dienstlichen mobilen Endger√§ten. Die Verantwortung der Mitarbeitenden ist ebenfalls h√∂her. Die Abgrenzung von privater und beruflicher Nutzung erscheint sowohl aus rechtlicher als auch technischer Sicht besonders im Hinblick auf die Informationssicherheit und den Datenschutz √§u√üerst schwer zu verwirklichen.(25) Eine berufliche Nutzung von einem Laptop liegt dann vor, ‚Äěwenn ein spezifischer Bezug zu den arbeitsvertraglichen Leistungspflichten besteht. Dies ist immer dann der Fall, wenn der Arbeitnehmer die IT-Betriebsmittel nutzt, um seine ihm √ľbertragenen Aufgaben zu erledigen.‚Äú(26) Der Arbeitgeber muss aber sicherstellen, dass die von ihm vorgegebenen Ma√ünahmen zur Datensicherheit durch die jeweilige Person eingehalten werden.(27) Es ist wichtig, besonders im Dienstleistungsgesch√§ft, dass auch Kundendaten ausreichend gesch√ľtzt werden. Besondere Vorsicht ist u.a. in der Finanzdienstleistungsbranche geboten. Hierbei stellt die Nutzung eigener privaten Endger√§te eine erhebliche Gefahr dar und soll m√∂glichst vermieden werden. Dennoch k√∂nnen einige Umst√§nde dazu f√ľhren, dass ein privates Endger√§t doch eingestezt wird. In diesem Fall gilt auch, dass Mitarbeitende ausreichend geschult und informiert werden sowie die Vorgaben des Arbeitgebers √§u√üerst genau einhalten. Verpflichtende BYOD-Konzepte erg√§nzt mit Checklisten f√ľr die Mitarbeiter k√∂nnen sich dabei als geeignet erweisen, welche von externen Dienstleistern zur Verf√ľgung gestellt werden k√∂nnen.(28)

4.2.1 Eignung

Die Eignung der eigenen Ger√§te erm√∂glicht, dass eine Arbeitnehmerin oder ein Arbeitnehmer ohne dienstliches Endger√§t seine aus dem Arbeitsvertrag herzuleitenden Aufgaben erledigt. Dabei ist neben der Kompatibilit√§t von diversen Anwendungen auch sicherzustellen, dass die im Homeoffice benutzten Ger√§te nicht veraltet sind. Fehlende Updates beispielsweise k√∂nnen die Arbeit im Homeoffice unn√∂tig beschr√§nken und die Informationssicherheit gef√§hrden, da Sicherheitsl√ľcken in den √§lteren Versionen mit gro√üer Wahrscheinlichkeit vorhanden sein k√∂nnen. Noch vor der dienstlichen Nutzung m√ľssen diese Updates eingespielt werden.

Angemessene Sicherheitsprodukte wie geeignete Anti-Viren bzw. Anti-Malware(29) Programme sowie geeignete Firewall(30) Einstellungen m√ľssen im Homeoffice ebenfalls den unternehmensinternen Sicherheitsanforderungen und den gesetzlichen Vorschriften entsprechen,(31) damit die IT-Compliance gew√§hrleistet ist. Ebenfalls ist es festzulegen sowie bekanntzugeben, welche Verhaltensregeln beim Auftreten von Schadprogrammen zu befolgen sind.(32)

4.2.2 Mehrere Benutzer

Oft werden private Ger√§te von anderen im Haushalt lebenden Personen, meist von Familienangeh√∂rigen, benutzt. Daraus ergeben sich besondere Gefahren f√ľr die Informationssicherheit √ľberwiegend im Hinblick auf Datenschutz.(33)

Die dienstliche und die private Nutzung kann mithilfe von Benutzeranmeldungen in geeigneter Weise getrennt werden, damit der Zugang zu arbeitsrelevanten Inhalten sowie Anwendungen unbefugten Dritten (meist Familienangehörigen) nicht gelingt. So garantiert der Zugriffschutz auch die Verhinderung einer versehentlichen Einstellungsveränderung, Löschung von Dokumenten oder Versendung von E-Mails.

Eine weitere m√∂gliche L√∂sung f√ľr die technische Trennung von privaten und dienstlichen Daten auf einem privaten Endger√§t erm√∂glichen sog. Container-Apps.(34) Dabei ist die Kompatibilit√§t unter allen dienstlich genutzten Computern von Relevanz. Eine weitere denkbare L√∂sung bietet eine Virtualisierungssoftware.

4.2.3 Gespeicherte Daten

Auf dem eigenen Endger√§t gespeicherte Daten, unter Umst√§nden auch Kundendaten, sind trotz einhaltung der oben aufgezeigten Schutzma√ünahmen nicht ausreichend gesch√ľtzt. Ein Grund hierf√ľr ist, dass private Laptops nicht die den Unternehemsanforderungen entsprechenden Konfiguration haben. So kann beispielsweise die Sperrung des Ger√§ts mithilfe von Remote-Zugriff nicht vorgenommen werden und die gespeicherten Daten werden im Falle eines Diebstahls oder Verlustets leicht zug√§ngig. Aufgrund eines technischen Fehlers oder ungeeigneter Sicherheitsvorkehrungen (s.o. Anti-Malware und Firewall Einstellungen) kann der private PC derartig gesch√§digt sein, dass die auf diesem Ger√§t gespeicherten Daten nicht mehr abrufbar sind. In diesem Fall ist nicht nur die Vertraulichkeit sondern auch die Verf√ľgbarkeit der Informationen nicht gew√§hrleistet.

Die Unsicherheit in einem Dienstverh√§ltnis von beiden Seiten kann mit BYOD-Konzepten abgeschafft werden.(35) Diese Konzepte w√§ren dann als Nutzungsbedingungen f√ľr das Homeoffice ausgearbeitet und erfordern eine sorgf√§ltige vertragliche Gestaltung,(36) da der Arbeitgeber sicherstellen muss, dass die Sicherheitsma√ünahmen seitens der Mitarbeitenden vorgenommen werden. Eine umfassende vertragliche Regelung ist deshalb empfehlenswert.(37) Die Nutzung von privaten Endger√§ten f√ľr dienstliche Zwecke bedeutet also einen h√∂heren regulativen Aufwand auch f√ľr den Arbeitgeber(38) und mehr Verantwortung f√ľr die mitarbeitenden Personen.


5 Die drei Musketiere

5.1 Verschl√ľsselung

Die Unternehmenskommunikation erfolgt im Homeoffice vorwiegend √ľber das Internet und enth√§lt in der Regel f√ľr das Unternehmen sensible unternehmens- und personenbezogene Daten bzw. Gesch√§fts- und Betriebsgeheimnisse.(39) Nicht nur der Datenschutz, sondern auch die Wettbewerbsf√§higkeit kann dabei gef√§hrdet werden, wenn diese Daten in den Machtbereich von unbefugten Dritten gelangen. Deshalb m√ľssen die Telekommunikationsm√∂glichkeiten bei der Telearbeit einer Organisation geregelt werden.(40) Der abgesicherte Informationsaustausch(41) √ľber das Internet ist eine Voraussetzung der Informationssicherheit, welcher mithilfe von einer aktuellen Konzeption(42) oder Richtlinie(43) f√ľr die sichere Internet-Nutzung f√ľr den geregelten Ablauf nur nach geeigneten, klar definierten Regeln vorgenommen wird.(44)

Ein f√ľr das Unternehmen geeignetes Virtual Private Network (VPN) bietet den erw√ľnschten Grundschutz und garantiert die Ende-zu-Ende Verschl√ľsselung der Verbindung zwischen Arbeitskraft und Unternehmen. Der Einsatz des VPNs sollte von einer VPN-Anforderungsanalyse anhand der gegebenen Gesch√§ftsprozesse und Anwendungszwecke vorbereitet werden.(45) Es ist festzulegen, welche Arten von Benutzerinnen und Benutzern (hier Homeoffice Mitarbeiteende(46)) mit welchen Berechtigungen das jeweilige VPN nutzen d√ľrfen. Die Verfahren zur Identifikation und Authentifikation f√ľr die Nutzung des VPNs m√ľsste dementsprechend geeignet sein.(45)

Nicht nur die √úberpr√ľfung sowie das Monitoring sind erforderlich,(47) sondern eine Sicherheitsrichtlinie zur VPN-Nutzung muss ebenfalls erstellt werden, welche den Mitarbeitern etwa durch Schulungen bekanntgegeben werden.(48)

5.2 Phishing

Ein weiterer wichtiger Faktor der Informationssicherheit ist die E-Mail-Kommunikation. Die VPN-Verbindung oder eine Ende-zu-Ende Verschl√ľsselung des Mailing Programms bieten zwar den erw√ľnschten Grundschutz, dennoch k√∂nnen Mitarbeiter oft Opfer von Phishing-Mails werden. In diese Kategorie sind weitere betr√ľgerische Handlungen wie z.B. CEO-Fraud Mails und Update-Anforderungen einzuordnen. Eine im Namen der Gesch√§ftsleitung versendete Mail mit einem ‚ÄúLink zum Draufklicken‚ÄĚ erweckt in Mitarbeitern viel zu oft nicht den Eindruck einer betr√ľgerischen Mail. Deshalb ist es umso wichtiger, alle Personen im Unternehmen regelm√§√üig auf solche Gefahren aufmerksam zu machen, gar zu testen.(49)

5.3 Passwortmanagement

Die fehlende Passwortsicherheit bietet Cyberkriminellen ein Paradies f√ľr ihr zerst√∂rerisches und betr√ľgerisches Vorhaben. Die Regelungen zu Passw√∂rtern (Verwendung und Umgang) sind meistens bereits in der unternehmenseigenen IT-Sicherheitsrichtlinie festgelegt. Hierbei sind zwei Aspekte hervorzuheben: Die St√§rke des Passworts und Regelm√§√üigkeit der Passwort√§nderung.

Von einfachen und nachvollziehbaren Passw√∂rtern wie Geburtsdatum, Name oder User ID ist generell abzuraten. Es gilt: Je komplexer, desto sicherer. M√∂gliche Vorgaben k√∂nnen sein: Mindestens oder exakt 8 Zeichen, Verwendung von Gro√ü- und Kleinbuchstaben, Zahlen, Sonderzeichen.(50) Der Einsatz von Sonderzeichen gibt zwar mehr Sicherheit, erh√∂ht aber gleichzeitig die Gefahr, Passw√∂rter international aufgrund von unterschiedlichen Tastaturen nicht verwenden zu k√∂nnen und somit keinen Zugang zu haben. Es muss seitens der Arbeitskraft gesichert sein, dass die, f√ľr unterschiedliche dienstliche Anmeldungen benutzten Passw√∂rter, verschieden sind.

Eine verbindliche Regelung f√ľr den Passwortgebrauch f√ľhrt im Unternehmen zur einer erh√∂hten Informationssicherheit.(51) Doch einzelne Handlungen wie das Anweisen zur regelm√§√üigen Passwort√§nderung und Geheimhaltung sind mitarbeiterfreundlicher und vermitteln den Eindruck der Aufmerksamkeit des Unternehmens ohnehin.(52)


6. Zusatzhinweise
Gleich ob eine neue Situation Unternehmen zum Umdenken sowie zum Umorganisieren veranlasst, bleibt das Problem alt: Anhand einer unerwarteten Situation sollte eine Institution in der Lage sein, den Betrieb aufrecht zu erhalten, da die Betriebsfähigkeit (Handlungsfähigkeit, Gewinnorientierung sowie Verlässlichkeit) elementare Bestandteile einer Organisation sind.

Deshalb sind Notfallpl√§ne und die entsprechende Vorbereitung der Mitarbeitenden auf bestimmte Szenarien, wie beispielsweise die jetzige Situation, dass vorwiegend im Homeoffice gearbeitet werden muss, n√∂tig. So k√∂nnen Arbeitnehmer ihren dienstlichen Verpflichtungen bestm√∂glich nachkommen. Ganz egal, f√ľr welchen Fall: Brand, Unwettersch√§den, Wasserschaden, Erdbeben, Pandemie oder vergleichbare Naturkatastrophen. Diese Notfallpl√§ne sollten erprobt werden und ergebnisabh√§ngig revidiert sowie verbessert werden, damit sie immer aktuell und umsetzbar sind.(53)


7. Take away
Die Arbeit im Homeoffice in Hinblick auf IT-Compliance Anforderungen erfordert besondere Aufmerksamkeit sowohl seitens der Unternehmensleitung, als auch von den einzelnen Mitarbeitenden. Gleichzeitig erweisen sich ‚Äětone from the top‚Äú in Form von Anweisungen sowie Anordnungen etwa durch interne Schulungen als besonders wichtig und stehen in enger Verbindung mit den unternehmenseigenen Notfallpl√§nen. Es bedarf einer strikten Trennung zwischen Informationen f√ľr ‚Äěwhat if‚Äú und ‚Äěalways‚Äú, abh√§ngig vom Unternehmensprofil und Branche. Die in diesem Beitrag angesprochenen Themen lassen sich mithilfe einer Checkliste sowie speziellen, den Unternehmensbed√ľrfnissen angepassten Schulungen f√ľr Mitarbeitenden implementieren und k√∂nnen somit den ersten und gleichzeitig den wichtigsten Schritt zu einer complianten Informationssicherheit f√ľr den heimischen Arbeitsplatz bieten. Bei der Erstellung von solchen Checklisten sowie Durchf√ľhrung von Mitarbeiterschulungen als Web Based Trainings (WBT) helfen externe Beratungsleistungen von kompetenten und qualifizierten Dienstleistern.(54) Es ist stets zu beachten, dass alle Ma√ünahmen und Vorkehrungen im Einklang mit den Schutzzielen Integrit√§t, Verf√ľgbarkeit sowie Vertraulichkeit der Informationssicherheit sein m√ľssen.


Quellen
  • Bundesamt f√ľr Sicherheit in der Informationstechnik, Checklisten Handbuch IT-Grundschutz, 14. Aktualisierung 2015;
  • Stefan Kramer, IT-Arbeitsrecht, Digitalisierte Unternehmen: Herausforderungen und L√∂sungen, 2. Auflage 2019.
Verweise
  • 1 Kramer, Rn. 9.
  • 2 Kramer, Rn. 690.
  • 3 BSI, Ma√ünahme M 2.309.
  • 4 Kramer, Rn. 189.
  • 5 Kramer, Rn. 180.
  • 6 Kramer, Rn. 181 f.
  • 7 Kramer, Rn. 182.
  • 8 BSI, Ma√ünahme M 2.116.
  • 9 BSI, Ma√ünahmen M 3.58, M 3.59, M 6.102.
  • 10 BSI, Ma√ünahme M 4.1.
  • 11 BSI, Ma√ünahme M 2.37.
  • 12 BSI, Ma√ünahmen M 3.18, M 4.2.
  • 13 BSI, Ma√ünahme M 3.18.
  • 14 BSI, Ma√ünahme M 2.37.
  • 15 Kramer, Rn. 628.
  • 16 BSI, Ma√ünahmen M 2.310, M 4.63.
  • 17 BSI, Ma√ünahme M 5.121.
  • 18 BSI, Ma√ünahme M 2.430.
  • 19 BSI, Ma√ünahme M 4.27.
  • 20 BSI, Ma√ünahme M 4. 16.
  • 21 BSI, Ma√ünahme M 4.17.
  • 22 https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_095c.pdf
  • 23 BSI, Ma√ünahmen M 2.401, M 4.4.
  • 24 Bring Your Own Device - BYOD.
  • 25 Kramer, Rn. 18, Rn. 138.
  • 26 Kramer, Rn. 139.
  • 27 Kramer, Rn. 690.
  • 28 z.¬†B. von g2c Consulting
  • 29 BSI, Ma√ünahme M 3.69.
  • 30 BSI, Ma√ünahmen M 3.28, M 5.91.
  • 31 BSI, Ma√ünahme M 4.41.
  • 32 BSI, Ma√ünahme M 6.23.
  • 33 Kramer, Rn. 690.
  • 34 Kramer, Rn. 691.
  • 35 Kramer, Rn. 18.
  • 36 Kramer, Rn. 710.
  • 37 Kramer, Rn. 712.
  • 38 / 39 Kramer, Rn. 677.
  • 40 BSI, Ma√ünahme M 2.116.
  • 41 BSI, Ma√ünahme M 2.116.
  • 42 BSI, Ma√ünahme M 2.475.
  • 43 BSI, Ma√ünahme M 2.476.
  • 44 BSI, Ma√ünahmen M 3.77, M 3. 78, M 5.45 i.V.m M 5.93 , M 5.155.
  • 45 BSI, Ma√ünahmen M 2.415, evtl. M 4.113.
  • 46 BSI, Ma√ünahme M 2.419
  • 47 BSI, Ma√ünahme M 2.417.
  • 48 BSI, Ma√ünahmen M 2.418, M 3.65. Zur sicheren Konfiguration und zum sicheren Betrieb eines VPN-s siehe M 4.320 f. und M 6.109 Notfallplan f√ľr den Ausfall eines VPNs.
  • 49 BSI, Ma√ünahme M 3.33.
  • 50 Kramer, Rn. 169.
  • 51 BSI, Ma√ünahme M 2. 11.
  • 52 BSI, Ma√ünahme M 4.306.
  • 53 Notfallpl√§ne sind elementare Bestandteile des Risikomanagements einer Organisation. Eine Risikoanalyse dient der Vorbereitung des Notfallplans.
  • 54 www.g2c.consulting