Compliance & Covid-19: Anforderungen an die Informationssicherheit im Homeoffice

Nikolett Nemeth 14.05.2020

Ein Leitfaden der frobese Compliance Marke g2c.consulting

Das entgrenzte Arbeiten gehört immer hĂ€ufiger zum Berufsalltag und wird auch immer wieder als Modern Workplace bezeichnet.(1) Die langersehnte Möglichkeit vieler Arbeitnehmer, von Zuhause aus oder sogar unterwegs arbeiten zu dĂŒrfen, wurde in den letzten Wochen durch die weltweite Corona-Krise zur RealitĂ€t. Doch sind viele Unternehmen, bei denen das Arbeiten mit Computern die GeschĂ€ftstĂ€tigkeit zum grĂ¶ĂŸten Teil ausmacht, darauf oft nicht ausreichend vorbereitet. Sie werden dadurch mit komplexen Problemen der Informationssicherheit konfrontiert. Die Anforderungen an die Informationssicherheit bilden einen elementaren Bestandteil der Compliance Anforderungen einer Organisation. Somit sind diese Compliance Anforderungen auch im Homeoffice einzuhalten.

Titelbild
Was kann ein Unternehmen tun, um die regelkonforme Informationssicherheit zu wahren und die damit verbundenen Gefahren, wie etwa den Zugang zu GeschÀfts- und Betriebsgeheimnissen vor unbefugten Dritten, abzuwehren?

Die Antworten auf diese Frage werden im vorliegenden Blog-Beitrag kategorisiert aufgelistet, um eine nachhaltige Soforthilfe fĂŒr Unternehmen zu bieten. Bereits die Einhaltung einiger weniger Grundsatzprinzipien der Informationssicherheit kann Gefahren erfolgreich abwehren. Die Grundwerte der Informationssicherheit gemĂ€ĂŸ BSI-Standard 200-1 „VerfĂŒgbarkeit“, „IntegritĂ€t“ und „Vertraulichkeit“ stehen dabei immer im Vordergrund.


1. Qualifizierung
Es ist anzunehmen, dass die meisten Unternehmen bis zum Anfang der Corona-Krise keine Vorbereitungen fĂŒr den Notfall getroffen haben, dass ihr GeschĂ€ftsbetrieb vorwiegend so aufrechterhalten bleiben muss, dass seine BeschĂ€ftigten im Homeoffice arbeiten mĂŒssen. Die Ausrichtung technischer und organisatorischer Maßnahmen mĂŒssen den sonst auch geltenden IT-Compliance Anforderungen entsprechen. Damit die BeschĂ€ftigten einer Organisation wissen, welche Maßnahmen fĂŒr die IT-Compliance im Homeoffice getroffen werden mĂŒssen, ist eine rasche Qualifizierung nötig. Zielgruppenorientierte Schulungen, VerpflichtungserklĂ€rungen samt How-to Anleitungen fĂŒhren zum gewĂŒnschten Ergebnis. Da schnelles Handeln erforderlich ist, können die Schulungen von geeigneten Schulungsanbietern erarbeitet und durchgefĂŒhrt werden.

Eine Schulung eignet sich am besten fĂŒr die Qualifizierung aller Personen im Unternehmen, da ein Arbeitgeber sicherstellen muss, dass die BeschĂ€ftigten die vorgeschriebenen Regelungen bezĂŒglich der Informationssicherheit sowie des Datenschutzes erhalten und einhalten.(2) Das gilt im vollen Umfang auch, wenn die Arbeit nicht in den RĂ€umlichkeiten des Unternehmens ausgefĂŒhrt wird. FĂŒr die Sicherstellung der Informationssicherheit sowie des Datenschutzes reicht die bloße Bekanntgabe der Homeoffice Sicherheitsrichtlinien(3) nicht aus.


2. Die Verantwortung
Homeoffice ist auch deshalb eine Herausforderung, weil BeschĂ€ftigte und Organisationsleitung in ihrem privaten Bereich einen Arbeitsplatz einzurichten haben. GemĂ€ĂŸ Maßnahme M 1.61 IT-Grundschutz des BSI ist die Benutzerin oder der Benutzer, in diesem Falle also die im Homeoffice tĂ€tige Arbeitskraft, dafĂŒr zustĂ€ndig und verantwortlich, dass der Arbeitsplatz samt Umgebung als mobiler Arbeitsplatz geeignet ist. Zwar ist diese Verantwortung besonders in Notfallsituationen eher gering, es ist jedoch auf die Einhaltung grundlegender Anforderungen an die IT-Sicherheit zu achten. Die Verantwortung fĂŒr eine sichere Arbeitsumgebung trĂ€gt dahingegen das Unternehmen. Somit werden HaftungsansprĂŒche ebenfalls an das Unternehmen gestellt. Ein durchdachtes Zusammenspiel von Maßnahmen ist daher unerlĂ€sslich.

Eine vertragliche Nebenpflicht des Arbeitsnehmers nach § 241 Abs. 2 BGB ist die Pflicht zur Wahrung von Betriebs- und GeschĂ€ftsgeheimnissen.(4) Die im Unternehmen gespeicherten und verarbeiteten Datenmengen sind nur fĂŒr einen begrenzten Adressatenkreis bestimmt und sollen fĂŒr unberechtigte Dritte nicht zugĂ€nglich sein.(5) Diese Daten, in der Regel GeschĂ€fts-, Kunden- sowie Mitarbeiterdaten, sind besonders schĂŒtzenswerte Informationen.(6) So werden sie als sensible personenbezogene oder als sensible unternehmensbezogene Daten eingeordnet, weil das Unternehmen oder die betroffene Person ein besonders schĂŒtzenswertes Interesse an einer Geheimhaltung dieser Informationen haben.(7)


3. Die Umgebung
In der hĂ€uslichen ArbeitsstĂ€tte bedeutet eine Internetverbindung die Grundlage der Arbeit. Die meisten Haushalte verfĂŒgen ĂŒber einen Internetanschluss mit WLAN. Dieser unterliegt jedoch nicht der strengen Kontrolle einer unternehmenseigenen IT-Infrastruktur. Die dienstliche Nutzung von solchen Internet-Diensten, die die Arbeitskraft privat abonniert, muss bei einem Heimarbeitsplatz geregelt sein.(8) Dabei sind zwei wichtige Faktoren zu beachten, um die grundlegende Sicherheit herzustellen: Zum einen sollte zur Absicherung des WLANs der Sicherheitsstandard WPA2 Authentifizierung/VerschlĂŒsselung eingesetzt werden.(9) Zum anderen sollten der Routername und das Passwort regelmĂ€ĂŸig geĂ€ndert werden, damit die Möglichkeit fĂŒr die Nachverfolgung erschwert ist und somit das WLAN sicherer wird. Dennoch kann eine hĂ€usliche WLAN-Internetnutzung nie die ausreichende Sicherheit bieten, weshalb davon abgeraten wird. Vielmehr ist es empfehlenswert, wenn nicht gleich notwendig, dass die Internetverbindung zum Rechner oder Laptop mit dem LAN Kabel hergestellt wird.

BezĂŒglich der Umgebung ist ein aufgerĂ€umter Arbeitsplatz ein Grundsatz der Informationssicherheit und so auch der Compliance. Es ist sicherzustellen, dass nur berechtigte Personen auf Anwendungen und IT-Systeme zugreifen können,(10) so dass bei der Nichtbenutzung des Computers diese Inhalte fĂŒr andere nicht zugĂ€ngig sind. Alle Mitarbeitenden, besonders die im Homeoffice, mĂŒssen darauf hingewiesen werden, dass auf unbeaufsichtigten ArbeitsplĂ€tzen keine sensiblen Informationen frei zugreifbar oder frei zugĂ€ngig sein dĂŒrfen.(11) Die Bildschirmsperre bietet hierbei die Lösung, welche automatisch aktiviert werden kann(12) oder beim Verlassen des Arbeitsplatzes die Sperrung durch die Arbeitskraft vorgenommen werden muss. Ebenso kann die Arbeitskraft dazu verpflichtet werden, bei kurzen Unterbrechungen der Arbeit, den unerwĂŒnschten Benutzerwechsel unter ein und derselben Benutzererkennung am PC zu verhindern.(13) Eine weitere Lösung kann sein, dass der Raum des Heimarbeitsplatzes an sich fĂŒr andere nicht betretbar ist. Dies lĂ€sst sich allerdings in familiĂ€rer Umgebung schwer umsetzen. Ein weiterer Risikofaktor bleibt die nicht vorhandene Möglichkeit zur DurchfĂŒhrung von stichprobenartigen Kontrollen seitens des Arbeitgebers.(14)


4. IT-Ausstattung

4.1 Unternehmenseigene Laptops

Die Arbeitsmittel, die die Mitarbeitenden zur Erledigung der vertraglich geschuldeten TĂ€tigkeiten benötigen, also auch die IT-Ausstattung, muss grundsĂ€tzlich vom Unternehmen bereitgestellt werden.(15) Die geeignete Auswahl von Laptops wird im optimalen Fall anhand einer Anforderungsanalyse und deren Bewertung von der Institution vorgenommen.(16) Hierbei werden Faktoren sowohl fĂŒr Hardware als auch fĂŒr Software berĂŒcksichtigt.

Wenn bereits konfigurierte Laptops im Homeoffice eingesetzt werden können, muss von der Arbeitskraft auf wesentlich weniger geachtet werden. Die Arbeit im Homeoffice ist vergleichbar mit der Arbeit auf GeschĂ€ftsreisen. Die sichere Kommunikation muss auch von unterwegs gewĂ€hrleistet sein.(17) Die dazugehörigen Regelungen – fĂŒr den Informationsschutz fĂŒr unterwegs – sind in den Sicherheitsrichtlinien des Unternehmens festzuhalten.(18) Gleich wie in der BĂŒroumgebung muss auch bei HeimarbeitsplĂ€tzen eine sichere, an die Aufgaben der jeweiligen benutzenden Person angepasste Benutzerumgebung eingerichtet werden. Dies gilt auch fĂŒr den Zugriffsschutz.(19)

Das Unternehmen kann derart konfigurierte Hardware zur VerfĂŒgung stellen, die nur den Zugang zum eigentlichen Unternehmensnetzwerk herstellt, ohne dass sich die Informationen dabei auf dem Laptop befinden. Wiederum können auch solche Laptops herausgegeben werden, die den Arbeitsplatzrechner als Telearbeitsrechner ersetzen. Die Gestaltung der Informationssicherheit dieser EndgerĂ€te ist weit anspruchsvoller und richtet sich nach dem Schutzbedarf der verarbeiteten Informationen.

Überlegenswert ist – unabhĂ€ngig von der Zugangsart zum Unternehmenssystem – die zeitliche BeschrĂ€nkung fĂŒr Benutzerkonten auf diesen GerĂ€ten.(20) FĂŒr den Fall, dass das GerĂ€t in den Besitz von unbefugten Personen gerĂ€t, reduziert sich so das Risiko. Je nach Schutzbedarf können mobile GerĂ€te auch mit einem GPS-Sender ausgestattet werden und bei fehlgeschlagenen Anmeldeversuchen wird auch die genaue Vorgehensweise definiert. Eine weitere technische Lösung fĂŒr die GewĂ€hrleistung von Informationssicherheit, fĂŒr den Fall eines Verlustes, ist der Remote-Zugriff durch den Arbeitgeber, wenn die Sicherheit der Daten akut gefĂ€hrdet ist. Die Sperrung sowie Löschung des zur Arbeitskraft und mobilem EndgerĂ€t zugehörigen Accounts/Terminals muss unternehmensintern vorgenommen werden.(21)

In Verbindung mit der dienstlichen Nutzung von privaten mobilen DatentrĂ€gern, wie beispielsweise USB-Sticks, wurde vom BSI das Fallbeispiel “Servicetechniker” veröffentlicht, das auf geeigneter Weise auf die Gefahren aufmerksam macht.(22) Auf den dienstlichen USB-Stick, der fĂŒr Softwareaktualisierungen eingesetzt war, hat der Servicetechniker von seinem privaten PC Musik ĂŒbertragen. Dabei ist auch Schadsoftware auf die Hardware gelangt, die den Entwicklungsrechner infizierte und auf diese Weise dem Betrieb erhebliche Schaden hĂ€tte verursachen können.

USB-Sticks bedeuten ein Sicherheitsrisiko, weshalb der Umgang mit solchen GerĂ€ten geregelt werden muss.(23) Der Einsatz von privaten und bereits benutzten USB-Sticks ist zu vermeiden, wenn der dienstliche Laptop nicht ĂŒber ausreichenden Schutz verfĂŒgt. Eine weitere denkbare Lösung ist die Sperrung aller USB-AnschlĂŒsse der Laptops mit eventuellen Freigabemöglichkeiten.

4.2 Eigene Hardware – BYOD

In einigen Branchen kann der Einsatz von eigenen PCs oder Laptops der Arbeitskraft (24) möglich sein, wenn die SicherheitsgrundsĂ€tze eingehalten werden. In diesem Fall ist wesentlich mehr zu beachten, als bei dienstlichen mobilen EndgerĂ€ten. Die Verantwortung der Mitarbeitenden ist ebenfalls höher. Die Abgrenzung von privater und beruflicher Nutzung erscheint sowohl aus rechtlicher als auch technischer Sicht besonders im Hinblick auf die Informationssicherheit und den Datenschutz Ă€ußerst schwer zu verwirklichen.(25) Eine berufliche Nutzung von einem Laptop liegt dann vor, „wenn ein spezifischer Bezug zu den arbeitsvertraglichen Leistungspflichten besteht. Dies ist immer dann der Fall, wenn der Arbeitnehmer die IT-Betriebsmittel nutzt, um seine ihm ĂŒbertragenen Aufgaben zu erledigen.“(26) Der Arbeitgeber muss aber sicherstellen, dass die von ihm vorgegebenen Maßnahmen zur Datensicherheit durch die jeweilige Person eingehalten werden.(27) Es ist wichtig, besonders im DienstleistungsgeschĂ€ft, dass auch Kundendaten ausreichend geschĂŒtzt werden. Besondere Vorsicht ist u.a. in der Finanzdienstleistungsbranche geboten. Hierbei stellt die Nutzung eigener privaten EndgerĂ€te eine erhebliche Gefahr dar und soll möglichst vermieden werden. Dennoch können einige UmstĂ€nde dazu fĂŒhren, dass ein privates EndgerĂ€t doch eingestezt wird. In diesem Fall gilt auch, dass Mitarbeitende ausreichend geschult und informiert werden sowie die Vorgaben des Arbeitgebers Ă€ußerst genau einhalten. Verpflichtende BYOD-Konzepte ergĂ€nzt mit Checklisten fĂŒr die Mitarbeiter können sich dabei als geeignet erweisen, welche von externen Dienstleistern zur VerfĂŒgung gestellt werden können.(28)

4.2.1 Eignung

Die Eignung der eigenen GerĂ€te ermöglicht, dass eine Arbeitnehmerin oder ein Arbeitnehmer ohne dienstliches EndgerĂ€t seine aus dem Arbeitsvertrag herzuleitenden Aufgaben erledigt. Dabei ist neben der KompatibilitĂ€t von diversen Anwendungen auch sicherzustellen, dass die im Homeoffice benutzten GerĂ€te nicht veraltet sind. Fehlende Updates beispielsweise können die Arbeit im Homeoffice unnötig beschrĂ€nken und die Informationssicherheit gefĂ€hrden, da SicherheitslĂŒcken in den Ă€lteren Versionen mit großer Wahrscheinlichkeit vorhanden sein können. Noch vor der dienstlichen Nutzung mĂŒssen diese Updates eingespielt werden.

Angemessene Sicherheitsprodukte wie geeignete Anti-Viren bzw. Anti-Malware(29) Programme sowie geeignete Firewall(30) Einstellungen mĂŒssen im Homeoffice ebenfalls den unternehmensinternen Sicherheitsanforderungen und den gesetzlichen Vorschriften entsprechen,(31) damit die IT-Compliance gewĂ€hrleistet ist. Ebenfalls ist es festzulegen sowie bekanntzugeben, welche Verhaltensregeln beim Auftreten von Schadprogrammen zu befolgen sind.(32)

4.2.2 Mehrere Benutzer

Oft werden private GerĂ€te von anderen im Haushalt lebenden Personen, meist von Familienangehörigen, benutzt. Daraus ergeben sich besondere Gefahren fĂŒr die Informationssicherheit ĂŒberwiegend im Hinblick auf Datenschutz.(33)

Die dienstliche und die private Nutzung kann mithilfe von Benutzeranmeldungen in geeigneter Weise getrennt werden, damit der Zugang zu arbeitsrelevanten Inhalten sowie Anwendungen unbefugten Dritten (meist Familienangehörigen) nicht gelingt. So garantiert der Zugriffschutz auch die Verhinderung einer versehentlichen EinstellungsverÀnderung, Löschung von Dokumenten oder Versendung von E-Mails.

Eine weitere mögliche Lösung fĂŒr die technische Trennung von privaten und dienstlichen Daten auf einem privaten EndgerĂ€t ermöglichen sog. Container-Apps.(34) Dabei ist die KompatibilitĂ€t unter allen dienstlich genutzten Computern von Relevanz. Eine weitere denkbare Lösung bietet eine Virtualisierungssoftware.

4.2.3 Gespeicherte Daten

Auf dem eigenen EndgerĂ€t gespeicherte Daten, unter UmstĂ€nden auch Kundendaten, sind trotz einhaltung der oben aufgezeigten Schutzmaßnahmen nicht ausreichend geschĂŒtzt. Ein Grund hierfĂŒr ist, dass private Laptops nicht die den Unternehemsanforderungen entsprechenden Konfiguration haben. So kann beispielsweise die Sperrung des GerĂ€ts mithilfe von Remote-Zugriff nicht vorgenommen werden und die gespeicherten Daten werden im Falle eines Diebstahls oder Verlustets leicht zugĂ€ngig. Aufgrund eines technischen Fehlers oder ungeeigneter Sicherheitsvorkehrungen (s.o. Anti-Malware und Firewall Einstellungen) kann der private PC derartig geschĂ€digt sein, dass die auf diesem GerĂ€t gespeicherten Daten nicht mehr abrufbar sind. In diesem Fall ist nicht nur die Vertraulichkeit sondern auch die VerfĂŒgbarkeit der Informationen nicht gewĂ€hrleistet.

Die Unsicherheit in einem DienstverhĂ€ltnis von beiden Seiten kann mit BYOD-Konzepten abgeschafft werden.(35) Diese Konzepte wĂ€ren dann als Nutzungsbedingungen fĂŒr das Homeoffice ausgearbeitet und erfordern eine sorgfĂ€ltige vertragliche Gestaltung,(36) da der Arbeitgeber sicherstellen muss, dass die Sicherheitsmaßnahmen seitens der Mitarbeitenden vorgenommen werden. Eine umfassende vertragliche Regelung ist deshalb empfehlenswert.(37) Die Nutzung von privaten EndgerĂ€ten fĂŒr dienstliche Zwecke bedeutet also einen höheren regulativen Aufwand auch fĂŒr den Arbeitgeber(38) und mehr Verantwortung fĂŒr die mitarbeitenden Personen.


5 Die drei Musketiere

5.1 VerschlĂŒsselung

Die Unternehmenskommunikation erfolgt im Homeoffice vorwiegend ĂŒber das Internet und enthĂ€lt in der Regel fĂŒr das Unternehmen sensible unternehmens- und personenbezogene Daten bzw. GeschĂ€fts- und Betriebsgeheimnisse.(39) Nicht nur der Datenschutz, sondern auch die WettbewerbsfĂ€higkeit kann dabei gefĂ€hrdet werden, wenn diese Daten in den Machtbereich von unbefugten Dritten gelangen. Deshalb mĂŒssen die Telekommunikationsmöglichkeiten bei der Telearbeit einer Organisation geregelt werden.(40) Der abgesicherte Informationsaustausch(41) ĂŒber das Internet ist eine Voraussetzung der Informationssicherheit, welcher mithilfe von einer aktuellen Konzeption(42) oder Richtlinie(43) fĂŒr die sichere Internet-Nutzung fĂŒr den geregelten Ablauf nur nach geeigneten, klar definierten Regeln vorgenommen wird.(44)

Ein fĂŒr das Unternehmen geeignetes Virtual Private Network (VPN) bietet den erwĂŒnschten Grundschutz und garantiert die Ende-zu-Ende VerschlĂŒsselung der Verbindung zwischen Arbeitskraft und Unternehmen. Der Einsatz des VPNs sollte von einer VPN-Anforderungsanalyse anhand der gegebenen GeschĂ€ftsprozesse und Anwendungszwecke vorbereitet werden.(45) Es ist festzulegen, welche Arten von Benutzerinnen und Benutzern (hier Homeoffice Mitarbeiteende(46)) mit welchen Berechtigungen das jeweilige VPN nutzen dĂŒrfen. Die Verfahren zur Identifikation und Authentifikation fĂŒr die Nutzung des VPNs mĂŒsste dementsprechend geeignet sein.(45)

Nicht nur die ÜberprĂŒfung sowie das Monitoring sind erforderlich,(47) sondern eine Sicherheitsrichtlinie zur VPN-Nutzung muss ebenfalls erstellt werden, welche den Mitarbeitern etwa durch Schulungen bekanntgegeben werden.(48)

5.2 Phishing

Ein weiterer wichtiger Faktor der Informationssicherheit ist die E-Mail-Kommunikation. Die VPN-Verbindung oder eine Ende-zu-Ende VerschlĂŒsselung des Mailing Programms bieten zwar den erwĂŒnschten Grundschutz, dennoch können Mitarbeiter oft Opfer von Phishing-Mails werden. In diese Kategorie sind weitere betrĂŒgerische Handlungen wie z.B. CEO-Fraud Mails und Update-Anforderungen einzuordnen. Eine im Namen der GeschĂ€ftsleitung versendete Mail mit einem “Link zum Draufklicken” erweckt in Mitarbeitern viel zu oft nicht den Eindruck einer betrĂŒgerischen Mail. Deshalb ist es umso wichtiger, alle Personen im Unternehmen regelmĂ€ĂŸig auf solche Gefahren aufmerksam zu machen, gar zu testen.(49)

5.3 Passwortmanagement

Die fehlende Passwortsicherheit bietet Cyberkriminellen ein Paradies fĂŒr ihr zerstörerisches und betrĂŒgerisches Vorhaben. Die Regelungen zu Passwörtern (Verwendung und Umgang) sind meistens bereits in der unternehmenseigenen IT-Sicherheitsrichtlinie festgelegt. Hierbei sind zwei Aspekte hervorzuheben: Die StĂ€rke des Passworts und RegelmĂ€ĂŸigkeit der PasswortĂ€nderung.

Von einfachen und nachvollziehbaren Passwörtern wie Geburtsdatum, Name oder User ID ist generell abzuraten. Es gilt: Je komplexer, desto sicherer. Mögliche Vorgaben können sein: Mindestens oder exakt 8 Zeichen, Verwendung von Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen.(50) Der Einsatz von Sonderzeichen gibt zwar mehr Sicherheit, erhöht aber gleichzeitig die Gefahr, Passwörter international aufgrund von unterschiedlichen Tastaturen nicht verwenden zu können und somit keinen Zugang zu haben. Es muss seitens der Arbeitskraft gesichert sein, dass die, fĂŒr unterschiedliche dienstliche Anmeldungen benutzten Passwörter, verschieden sind.

Eine verbindliche Regelung fĂŒr den Passwortgebrauch fĂŒhrt im Unternehmen zur einer erhöhten Informationssicherheit.(51) Doch einzelne Handlungen wie das Anweisen zur regelmĂ€ĂŸigen PasswortĂ€nderung und Geheimhaltung sind mitarbeiterfreundlicher und vermitteln den Eindruck der Aufmerksamkeit des Unternehmens ohnehin.(52)


6. Zusatzhinweise
Gleich ob eine neue Situation Unternehmen zum Umdenken sowie zum Umorganisieren veranlasst, bleibt das Problem alt: Anhand einer unerwarteten Situation sollte eine Institution in der Lage sein, den Betrieb aufrecht zu erhalten, da die BetriebsfÀhigkeit (HandlungsfÀhigkeit, Gewinnorientierung sowie VerlÀsslichkeit) elementare Bestandteile einer Organisation sind.

Deshalb sind NotfallplĂ€ne und die entsprechende Vorbereitung der Mitarbeitenden auf bestimmte Szenarien, wie beispielsweise die jetzige Situation, dass vorwiegend im Homeoffice gearbeitet werden muss, nötig. So können Arbeitnehmer ihren dienstlichen Verpflichtungen bestmöglich nachkommen. Ganz egal, fĂŒr welchen Fall: Brand, UnwetterschĂ€den, Wasserschaden, Erdbeben, Pandemie oder vergleichbare Naturkatastrophen. Diese NotfallplĂ€ne sollten erprobt werden und ergebnisabhĂ€ngig revidiert sowie verbessert werden, damit sie immer aktuell und umsetzbar sind.(53)


7. Take away
Die Arbeit im Homeoffice in Hinblick auf IT-Compliance Anforderungen erfordert besondere Aufmerksamkeit sowohl seitens der Unternehmensleitung, als auch von den einzelnen Mitarbeitenden. Gleichzeitig erweisen sich „tone from the top“ in Form von Anweisungen sowie Anordnungen etwa durch interne Schulungen als besonders wichtig und stehen in enger Verbindung mit den unternehmenseigenen NotfallplĂ€nen. Es bedarf einer strikten Trennung zwischen Informationen fĂŒr „what if“ und „always“, abhĂ€ngig vom Unternehmensprofil und Branche. Die in diesem Beitrag angesprochenen Themen lassen sich mithilfe einer Checkliste sowie speziellen, den UnternehmensbedĂŒrfnissen angepassten Schulungen fĂŒr Mitarbeitenden implementieren und können somit den ersten und gleichzeitig den wichtigsten Schritt zu einer complianten Informationssicherheit fĂŒr den heimischen Arbeitsplatz bieten. Bei der Erstellung von solchen Checklisten sowie DurchfĂŒhrung von Mitarbeiterschulungen als Web Based Trainings (WBT) helfen externe Beratungsleistungen von kompetenten und qualifizierten Dienstleistern.(54) Es ist stets zu beachten, dass alle Maßnahmen und Vorkehrungen im Einklang mit den Schutzzielen IntegritĂ€t, VerfĂŒgbarkeit sowie Vertraulichkeit der Informationssicherheit sein mĂŒssen.


Quellen
  • Bundesamt fĂŒr Sicherheit in der Informationstechnik, Checklisten Handbuch IT-Grundschutz, 14. Aktualisierung 2015;
  • Stefan Kramer, IT-Arbeitsrecht, Digitalisierte Unternehmen: Herausforderungen und Lösungen, 2. Auflage 2019.
Verweise
  • 1 Kramer, Rn. 9.
  • 2 Kramer, Rn. 690.
  • 3 BSI, Maßnahme M 2.309.
  • 4 Kramer, Rn. 189.
  • 5 Kramer, Rn. 180.
  • 6 Kramer, Rn. 181 f.
  • 7 Kramer, Rn. 182.
  • 8 BSI, Maßnahme M 2.116.
  • 9 BSI, Maßnahmen M 3.58, M 3.59, M 6.102.
  • 10 BSI, Maßnahme M 4.1.
  • 11 BSI, Maßnahme M 2.37.
  • 12 BSI, Maßnahmen M 3.18, M 4.2.
  • 13 BSI, Maßnahme M 3.18.
  • 14 BSI, Maßnahme M 2.37.
  • 15 Kramer, Rn. 628.
  • 16 BSI, Maßnahmen M 2.310, M 4.63.
  • 17 BSI, Maßnahme M 5.121.
  • 18 BSI, Maßnahme M 2.430.
  • 19 BSI, Maßnahme M 4.27.
  • 20 BSI, Maßnahme M 4. 16.
  • 21 BSI, Maßnahme M 4.17.
  • 22 https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_095c.pdf
  • 23 BSI, Maßnahmen M 2.401, M 4.4.
  • 24 Bring Your Own Device - BYOD.
  • 25 Kramer, Rn. 18, Rn. 138.
  • 26 Kramer, Rn. 139.
  • 27 Kramer, Rn. 690.
  • 28 z. B. von g2c Consulting
  • 29 BSI, Maßnahme M 3.69.
  • 30 BSI, Maßnahmen M 3.28, M 5.91.
  • 31 BSI, Maßnahme M 4.41.
  • 32 BSI, Maßnahme M 6.23.
  • 33 Kramer, Rn. 690.
  • 34 Kramer, Rn. 691.
  • 35 Kramer, Rn. 18.
  • 36 Kramer, Rn. 710.
  • 37 Kramer, Rn. 712.
  • 38 / 39 Kramer, Rn. 677.
  • 40 BSI, Maßnahme M 2.116.
  • 41 BSI, Maßnahme M 2.116.
  • 42 BSI, Maßnahme M 2.475.
  • 43 BSI, Maßnahme M 2.476.
  • 44 BSI, Maßnahmen M 3.77, M 3. 78, M 5.45 i.V.m M 5.93 , M 5.155.
  • 45 BSI, Maßnahmen M 2.415, evtl. M 4.113.
  • 46 BSI, Maßnahme M 2.419
  • 47 BSI, Maßnahme M 2.417.
  • 48 BSI, Maßnahmen M 2.418, M 3.65. Zur sicheren Konfiguration und zum sicheren Betrieb eines VPN-s siehe M 4.320 f. und M 6.109 Notfallplan fĂŒr den Ausfall eines VPNs.
  • 49 BSI, Maßnahme M 3.33.
  • 50 Kramer, Rn. 169.
  • 51 BSI, Maßnahme M 2. 11.
  • 52 BSI, Maßnahme M 4.306.
  • 53 NotfallplĂ€ne sind elementare Bestandteile des Risikomanagements einer Organisation. Eine Risikoanalyse dient der Vorbereitung des Notfallplans.
  • 54 www.g2c.consulting
Nikolett Nemeth

Compliance Consultant