MH - Fotolia
Home-Office: Daten müssen rechtskonform archiviert werden
Wenn es um Compliance im Home-Office geht, werden Fragen zur Archivierung kaum diskutiert. Das kann zu gefährlichen Lücken und damit zu Compliance-Problemen führen.
Remote Work und die vermehrte Tätigkeit im Home-Office bleiben nicht ohne Folgen für die IT-Sicherheit. Eine aktuelle Wirtschaftsumfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) unterstreicht, dass ein Home-Office die Angriffsfläche für Cyberkriminelle vergrößert (siehe auch BSI: Wie das Home-Office die IT-Sicherheit beeinflusst). Dazu trägt insbesondere die Angriffsfläche der privaten IT bei: Nur 42 Prozent der Unternehmen nutzen ausschließlich eigene IT, sprich: In der Mehrzahl der Home-Offices wird private IT zu betrieblichen Zwecken eingesetzt.
„Für mobiles Arbeiten bedarf es einer richtigen Balance zwischen dem benutzerfreundlichen Zugriff auf Unternehmensdaten und dem Schutz der IT. Gefordert sind ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte. Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess“, so Achim Berg, Präsident des Bitkom e.V.
Doch Remote Work und Home-Offices müssen nicht nur bei der IT-Sicherheit, sondern auch im Datenschutz und bei anderen Compliance-Anforderungen berücksichtigt werden.
Im Home-Office an Sicherheit, Datenschutz und Compliance denken
Die IT-Sicherheitsbehörden wie das BSI und die EU-Agentur für Cybersicherheit ENISA haben ebenso wie die Aufsichtsbehörden für den Datenschutz viele wertvolle Hinweise für eine sichere, datenschutzgerechte Arbeit in Home-Offices veröffentlicht.
Daten in Papierform, Zugangs- und Zugriffsschutz gegenüber Dritten, Mehr-Faktor-Authentifizierung (MFA), die Prüfung digitaler Identitäten bei der elektronischen Kommunikation, Patch-Management, Schutz vor Phishing-Attacken, die Nutzung von VPNs (Virtual Private Networks) und vergleichbarer Technologien und Mobile Device Management (MDM).
Doch auch Fragen nach einer rechtskonformen Archivierung sind zu klären, betreffen sie doch ebenfalls IT-Sicherheit, Datenschutz und Compliance. So müssen auch sämtliche Anforderungen an eine rechtssichere Archivierung erfüllt sein, wenn Beschäftigte in Home-Offices tätig sind oder von unterwegs arbeiten (Remote Work).
Da die Beschäftigten in aller Regel die gleichen archivierungspflichten Vorgänge bearbeiten werden, jedoch von einem anderen Standort aus, müssen insbesondere die Verbindungen zum Archivsystem betrachtet werden.
Wie die rechtssichere Archivierung betroffen ist
In der Home-Office-Checkliste rät das BSI: „Sollten Sie keinen Firmen-PC haben, werden die auf privaten Endgeräten verarbeiteten Daten nicht durch die Sicherheitsmechanismen Ihres Unternehmens geschützt. Ein regelmäßiger Transfer der Daten ist daher unbedingt zu empfehlen. Reden Sie mit Ihrem Administrator, wie diese Übertragung sicher realisiert werden kann.“
Bezieht man die Forderungen nach einer rechtskonformen Archivierung ein, gilt auch hier: Alle für die Archivierung relevanten Daten müssen auch bei der Tätigkeit im Home-Office in das Archivsystem des Unternehmens gelangen. Auch hierfür ist also ein regelmäßiger, sicherer Datentransfer erforderlich.
Unter den konkreten Vorgaben für eine sichere, rechtskonforme Archivierung und für ein sicheres Archivsystem sind mehrere, die sich in Home-Offices im Vergleich zu einer herkömmlichen Arbeit im Büro unterscheiden. Änderungen sind zu erwarten bei:
- Übertragung von Papierdaten (aus dem Home-Office) in elektronische Archive (Verfahren der Digitalisierung, Umgang mit den Papierdokumenten)
- Art der Zugriffe auf das Archivsystem (Fernzugriffe)
- sichere (verschlüsselte) Netzanbindung und Schnittstelle zum Archivsystem
- Qualität von eingesetzten elektronischen Signatur- oder Siegel- oder Zeitstempel-Algorithmen beziehungsweise Verfahren für technische Beweisdaten
- Widerstandsfähigkeit des Archivierungsprozesses gegen Manipulation (möglicher krimineller Fernzugriff)
- Widerstandsfähigkeit des verwendeten Archivsystems gegen interne und externe Angriffe auf die gespeicherten Daten sowie das IT-System selbst (Risiko durch Öffnung für Fernzugriffe)
- Integration des Archivsystems in die bestehende und die neue IT-Infrastruktur (Remote-Work-Lösungen, neue Anwendungen und Geräte in den Home-Offices)
- Protokollierung der Archivzugriffe, auch die aus der Ferne
- Anpassung der Richtlinie für die Nutzung von Archivsystemen
- Regelmäßige Revision der Archivierungsprozesse (Funktioniert die Anbindung der Systeme in den Home-Offices?)
- Meldung (der Beschäftigten in den Home-Offices) zu Störungen und Problem bei der Archivierung
Was bei der Archivierung durch Remote Work nicht passieren darf
Die vermehrten Fernzugriffe im Rahmen der Archivierung und der Recherchen in den Archiven von den Home-Offices aus erhöhen die möglichen Risiken, dass unbefugte Dritte Zugang zum Archiv erhalten könnten. Doch Remote Work kann zu weiteren Problemen bei der Archivierung führen, die es zu vermeiden gilt, indem das Archivkonzept entsprechend angepasst und umgesetzt wird:
- Es darf zu keinen Lücken in der Archivierung kommen, kein Dokument, das archivierungspflichtig ist, darf fehlen, ganz gleich, wo es bearbeitet wird.
- Bei der Übertragung darf es ebenfalls zu keinen Störungen kommen, so dass Lücken im Archiv verhindert werden.
- Es darf zu keinen Verzögerungen bei der Archivierung kommen, die Zeitangaben zu den archivierten Dokumenten müssen zudem stimmen.
- Recherchen im Archiv müssen ohne Verzögerung möglich sein.
Offensichtlich gibt es einiges zu beachten, wenn Remote Work geplant ist, damit die Archivierung weiterhin Bestand hat und rechtskonform erfolgt.
