Mitarbeiter oder Selbstständige arbeiten oftmals von zu Hause aus, im so genannten Homeoffice. Am Arbeitsplatz im Wohnumfeld können zumeist nicht die gleichen Umgebungsbedingungen und IT-Sicherheit vorausgesetzt werden, wie in den Büroräumen eines Unternehmens. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroarbeitsplatz vergleichbar ist.
Grundsätze für das Arbeiten im Homeoffice
Im Homeoffice werden ausschließlich die vom Unternehmen bereitgestellten oder genehmigten IT-Systeme, Endgeräte und Anwendungen (Software) genutzt. Das Installieren von Anwendungen (Software, Apps) auf IT-Systemen und Endgeräten ist grundsätzlich ebenso untersagt wie am Büroarbeitsplatz.
Die elektronische Kommunikation erfolgt über entsprechend sichere Kanäle (zum Beispiel SSL/TLS) bzw. über die vom Unternehmen eingerichteten/zur Verfügung gestellten sicheren (VPN-)Verbindungen. Das Nutzen von Hotspots für kostenloses WLAN, zum Beispiel in Hotels, auf Bahnhöfen, auf Flughäfen, in Gaststätten und im Zentrum von Städten, für das Zugreifen auf zentrale IT-Systeme und Anwendungen des Unternehmens soll untersagt sein.
Datenschutzverletzungen und Sicherheitsvorfälle sind unverzüglich an einen Ansprechpartner im Unternehmen zu melden, der den Mitarbeitern mit Heimarbeitsplätzen bekannt gegeben wurde. Ein Sicherheitsvorfall ist insbesondere auch dann gegeben, wenn IT-Systeme (zum Beispiel Laptops, Smartphones) und Datenspeicher (zum Beispiel USB-Speichersticks, Dokumente) verloren gehen oder gestohlen werden.
Geeignetes Einrichten eines Heimarbeitsplatzes
Wünschenswert ist ein eigenes Arbeitszimmer, das vom Wohnbereich durch eine abschließbare Tür getrennt ist. In vielen Fällen ist das allerdings nicht möglich. Trotzdem muss auch am Heimarbeitsplatz sichergestellt werden, dass geschäftlich genutzte Endgeräte wie Laptops, Smartphones, usw., Datenträger wie Festplatten und USB-Speicherstick und Dokumente, die geschäftliche Informationen enthalten, vor dem Zugriff unbefugter Personen geschützt sind bzw. bei Abwesenheiten geschützt werden können. Zum Kreis jener Personen, die keinen Zugriff haben dürfen, zählen Mitbewohner wie Lebenspartner und Kinder ebenso wie Besucher und Reinigungskräfte. Denkbar sind versperrbare Schränke und Rollcontainer.
Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz
Am häuslichen Arbeitsplatz müssen Maßnahmen zum Einbruchs- und Zutrittsschutz umgesetzt sein. Fenster sind zu schließen und (Innen- sowie Außen-)Türen abzuschließen, wenn der häusliche Arbeitsplatz verlassen wird bzw. nicht besetzt ist. Es muss eigenverantwortlich sichergestellt werden, dass unbefugte Personen zu keiner Zeit den Heimarbeitsplatz betreten bzw. auch geschäftlich genutzte IT-Geräte, Datenträger und schutzbedürftige Informationen zugreifen können.
Verlässt ein Mitarbeiter während der Arbeitszeit kurz den häuslichen Arbeitsplatz, kann es ausreichen, den Arbeitsraum, sofern möglich, zu verschließen oder den Bildschirm zu sperren (Zugriffe dürfen nur nach erfolgreicher Anmeldung möglich sind). Ist kein getrennter, abschließbarer Raum vorhanden, müssen geschäftliche Dokumente grundsätzlich auch bei kurzen Abwesenheiten verschlossen werden.
Sicheres verwahren von geschäftlichen Unterlagen
Auch im Homeoffice gilt die Clean-Desk-Policy. Das heißt, auch der Heimarbeitsplatz ist bei Abwesenheiten sowie am Ende des Arbeitstages aufgeräumt zu hinterlassen. Es muss dafür Sorge getragen werden, dass unbefugte Personen nicht auf IT-Geräte und Dokumente zugreifen können. Denn auch im Homeoffice müssen Datenschutz und (berufsspezifische) Verschwiegenheitspflichten gewahrt werden.
Bei längeren Abwesenheiten, zum Beispiel externe Kundenbesuche, Dienstreisen, Besuch von Aus- und Weiterbildungen und Urlaub, ist der Heimarbeitsplatz so aufzuräumen, dass keine schutzbedürftigen IT-Geräte, Datenträger und Dokumente unverschlossen herumliegen. Passwörter dürfen auf keinen Fall leicht auffindbar (zum Beispiel auf einer Haftnotiz am Bildschirm oder unter der Schreibtischauflage) aufbewahrt werden.
Datenspeicherung im Homeoffice
Daten und Informationen sollen grundsätzlich nicht auf lokalen Festplatten oder Datenspeichern von Endgeräten (wie zum Beispiel Laptops) gespeichert werden. Auch vom Homeoffice aus sollen Daten und Informationen grundsätzlich auf den zentralen IT-Systemen (Servern) des Unternehmens gespeichert werden.
Ausnahmen hiervon sind nur denkbar, wenn die Internetverbindung zu den zentralen IT-Systemen unterbrochen ist und damit das Speichern auf diesen IT-Systemen nicht möglich ist. Temporär lokal gespeicherte Daten und Informationen müssen bei nächster Gelegenheit auf die zentralen IT-Systeme bzw. Speicherträger des Unternehmens übertragen werden. Auf den lokal genutzten Speicherträgern sind diese Daten und Informationen anschließend sicher zu löschen.
Sicherer Transport von IT-Geräten und Dokumenten
Die generellen Maßnahmen für den sicheren Transport von IT-Geräte, Datenträgern und Dokumenten gelten auch für den Transport zum Heimarbeitsplatz bzw. vom Heimarbeitsplatz in die Büroräume des Unternehmens. Dazu gehört es unter anderem, dass geeignete Transportverpackungen gewählt und Daten auf digitalen Datenträgern verschlüsselt werden.
Bei Schriftstücken und Dokumenten handelt sich oftmals um Unikate. Daher sollte auf ein geeignetes Austauschverfahren geachtet werden, denn im Falle eines Verlustes beachtet kann das Wiederbeschaffen mühsam und zeitaufwendig sein. Sofern möglich und zulässig, sollen vor dem Datenträgeraustausch – auch von digital gespeicherten Daten – Kopien angefertigt werden.
Sicheres Entsorgen von Daten und Informationen
Speichermedien, Festplatten, USB-Speicherstick, usw. werden irgendwann nicht mehr benötigt oder müssen ausgesondert werden. Wenn sie schutzbedürftige Daten und Informationen enthalten, müssen sie so entsorgt werden, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind. Bei funktionstüchtigen Datenträgern müssen die Daten sicher gelöscht werden, nicht funktionierende oder nur einmal beschreibbare Datenträger müssen mechanisch zerstört werden. Auch Informationen auf Papier müssen sicher vernichtet werden (zum Beispiel durch shreddern im Aktenvernichter).
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.
Weitere interessante Beiträge: