Home-Office mit dem Datenschutz in Einklang bringen

Herausforderungen: Datenschutz und Cybersicherheit

Doch trotz dieser Vorteile erfordert Work from Anywhere besondere Maßnahmen, vor allem in Bezug auf den Schutz sensibler Daten. Dies schreibt die EU-Datenschutzgrundverordnung (DSGVO) vor. So verlangt Artikel 5 Absatz 1 Buchstabe f der DSGVO, dass personenbezogene Daten, die ein Mitarbeiter bearbeitet, vor dem Zugriff Unbefugter und vor Verlust zu schützen sind. Zu diesem Zweck müssen das Unternehmen und der Mitarbeiter „geeignete technische und organisatorische Maßnahmen“ ergreifen, auch im Home-Office und unterwegs.

Zu diesen Maßnahmen zählt, dass Mitarbeiter vorzugsweise firmeneigene Endgeräte für berufliche Aufgaben verwenden, die zentral von der IT-Abteilung verwaltet werden – keine privaten Notebooks und Smartphones. Außerdem sind Cyber-Security-Lösungen erforderlich, welche die IT-Systeme und Anwendungen der User vor Schadsoftware sowie Phishing- und Spam-E-Mails schützen. Wichtig ist zudem ein Schutz vor Webseiten, auf denen Cyberkriminelle Schadsoftware platziert haben. Neben solchen Vorkehrungen gegen Cyberrisiken müssen Beschäftigte die Sicherheit von Daten gewährleisten. Es reicht nicht aus, geschäftskritische Informationen auf einer externen Festplatte oder dem Notebook zu sichern. Vielmehr sollten solche Daten kontinuierlich in ein Firmen- oder Cloud-Rechenzentrum übermittelt und dort gesichert beziehungsweise archiviert werden.

Umsetzen lässt sich ein Sicherheitskonzept für Remote Work mithilfe von cloudbasierten Lösungen. Dazu zählen Mobile-Security-Services. Bereits 44 Prozent der Unternehmen in Deutschland greifen auf solche Angebote zurück, so die IT-Marktanalyse. Künftig werden es mehr als 53 Prozent sein. Auch bei Lösungen in den Bereichen Web-Security (49 Prozent) und E-Mail-Sicherheit (54 Prozent) werden Services aus der Cloud herkömmlichen Lösungen den Rang ablaufen, die Unternehmen im eigenen Rechenzentrum implementieren. Das gilt auch für die Bereiche Backup und Recovery sowie die Archivierung von Daten. Sie ermöglichen es Mitarbeitern, die im Firmenbüro, im Home-Office oder unterwegs tätig sind, Geschäftsdaten auf komfortable und dennoch rechtskonforme Weise zu sichern. Deshalb wollen 54 Prozent der Firmen dafür auf Cloud-Dienste zurückgreifen.

Mangelhafte Aufklärung über Risiken von Remote Work

Ebenso wichtig ist, dass Mitarbeiter wissen, welche Compliance- und IT-Sicherheitsvorgaben im Homeoffice und unterwegs gelten. Doch in diesem Punkt besteht Nachholbedarf, wie eine Untersuchung zum Thema IT-Sicherheit im Home-Office ergab. So haben laut der Studie 63 Prozent der deutschen Unternehmen ihren Mitarbeitern seit Beginn der Pandemie keine Schulungen zum Thema Remote Arbeiten aus dem Home-Office angeboten.

Hinzu kommt, dass etwa ein Drittel der Unternehmen keine Vorgaben machen, ob Mitarbeiter firmeneigene Notebooks und Smartphones auch für private Zwecke nutzen dürfen. Daher ist es nicht verwunderlich, dass 43 Prozent der Mitarbeiter private E-Mails über unternehmenseigene Endgeräte abrufen. Jeweils 30 Prozent nutzen solche Systeme außerdem für das private Online-Banking und Shopping. Dieses Verhalten erhöht das Risiko, dass Schadsoftware auf den Betriebsrechner gelangt und von dort einen Weg in das Unternehmensnetz findet. Das erfolgt beispielsweise über Spam-E-Mails, die Schadsoftware oder Links zu Webseiten mit Malware enthalten. Mehr als Hälfte der Mitarbeiter (55 Prozent) ist sich nicht immer im Klaren darüber, dass solche Links eine Gefahr darstellen.

Tipps für DSGVO-konformes Arbeiten im Home-Office

Damit bei der Arbeit im Home-Office Compliance-Vorgaben und die Regelungen der DSGVO eingehalten werden, empfiehlt sich daher eine Schulung der Mitarbeiter. Anbieter von IT-Sicherheitslösungen bieten praxisorientierte Awareness Trainings an. In ihnen lernen die Teilnehmer beispielsweise, wie sie Phishing-E-Mails von „echten" Nachrichten unterscheiden und welche Gefahren mit Web-Links in E-Mails und Messages verbunden sein können.

„Nicht nur im Firmenbüro, sondern auch im Home-Office, im Tagungshotel oder auf dem Flughafen muss ein umfassender Schutz von Geschäftsdaten sichergestellt sein.“

Klaus Seidl, Mimecast

Ein weiterer Sicherheitsfaktor ist der Einsatz von Cloud-Services. Den Zugang zu Cloud-Ressourcen und dem Unternehmensnetz können Unternehmen mithilfe einer Mehrfaktor-Authentifizierung schützen, etwa einem Passwort und zusätzlich einer ID, die auf das Smartphone des Mitarbeiters übermittelt wird.

Ergänzend dazu sollten Unternehmen auf Cloud-gestützte IT-Sicherheitslösungen zurückgreifen. Dazu zählen E-Mail-, Netzwerk- und Web-Security-Dienste, außerdem ein Identity-and-Access-Management sowie SIEM-Services (Security Information and Event Management). Auch Mitarbeiter im Home-Office lassen sich mit überschaubarem Aufwand in ein cloudbasiertes IT-Security-Konzept einbinden – ohne VPNs und ohne dass der gesamte Netzwerkverkehr über ein Firmenrechenzentrum geführt werden muss.

Wichtig ist zudem, Home-Offices in die unternehmensweite Backup- und Archivierungsstrategie zu integrieren. Daten, die Remote Mitarbeiter generieren und bearbeiten, müssen regelmäßig in einem Rechenzentrum gesichert und archiviert werden. Auch dies lässt sich auf einfache und gesetzeskonforme Weise mithilfe von Cloud-Services bewerkstelligen. Außerdem sollten neben den geschäftlichen Daten auf einem Notebook oder Tablet auch Backup- und Archivdaten verschlüsselt werden.

Fazit

Nicht nur im Firmenbüro, sondern auch im Home-Office, im Tagungshotel oder auf dem Flughafen muss ein umfassender Schutz von Geschäftsdaten sichergestellt sein. Unternehmen stehen somit vor der Aufgabe, ihre Konzepte für IT-Security, den Datenschutz und die Datensicherheit entsprechend anzupassen. Der Aufwand, der damit verbunden ist, lässt sich jedoch minimieren. Die Voraussetzung ist, dass ein Unternehmen auf Cloud-basierte Lösungen zurückgreift. Sie lassen sich einfacher als On-Premises-Ansätze implementieren und verwalten, sind technologisch stets auf dem aktuellen Stand und können jederzeit an die aktuellen Anforderungen angepasst werden. Dies sehen auch immer mehr Anwender so, wie die eingangs erwähnte IT-Marktanalyse untermauert: An die 34 Prozent der Firmen gaben an, dass sich ohne Cloud-Dienste Remote-Work-Konzepte nur bedingt umsetzen lassen. Das gilt vor allem für größere Firmen mit 1.000 bis 5.000 Mitarbeiter (47 Prozent).

Wichtig ist allerdings bei solchen Cloud-basierten Angeboten, dass sie Schnittstellen zu Lösungen anderer Anbieter zur Verfügung stellen. Renommierte Anbieter haben eine umfassende „Partner-Ökosphäre" aufgebaut. Dies ist die Voraussetzung dafür, dass Unternehmen einen maßgeschneiderten Schutzschirm für ihre Mitarbeiter und Projektpartner einrichten können, egal, wo diese tätig sind: im Firmenbüro, im Home-Office, vor Ort bei Kunden oder an entfernten Standorten.

Über den Autor:

Klaus Seidl ist Vice President DACH bei Mimecast.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.