Tipps aus der Informationssicherheit: Technische und organisatorische Maßnahmen für Heimarbeit und mobiles Arbeiten
Datenschutz und Informationssicherheit gefordert
Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt ja vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Und dann war ja noch das Problem mit dem Klopapier zu lösen.
Und selbst wenn bereits bei der ersten Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt an dem Thema dran zu bleiben. So gilt es, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 DSGVO fordert in Absatz 1 Buchstabe d vorhandene Schutzmaßnahmen einer “regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung” zu unterziehen. Wer sich neben Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind Tagesgeschäft in der Informationssicherheit.
Das Rad nicht neu erfinden: Tools der Informationssicherheit nutzen
Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020) bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können wunderbar mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher mit ein Grund, warum Datenschutzgesetze und Kommentare immer häufiger diese Prinzipien und Hilfestellungen der Informationssicherheit einbinden und erwähnen.
Wir haben Ihnen in diesem Beitrag die unserer Meinung nach wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus haben wir noch einige weitere Empfehlungen für Sie herausgesucht. Themen wie Email-Sicherheit, Mitarbeitersensibilisierung, Umgang mit Sicherheitsvorfällen und Notfallmanagement werden gerne vernachlässigt. Gerade, wenn es wie im März 2020 schnell gehen muss.
Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz
Der IT-Grundschutz beschreibt in seinem Komepdium “standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen”. Diese Aufzählung zeigt deutlich, der IT-Grundschutz befasst sich entgegen seines Namens nicht nur mit IT-Sicherheit. Das wäre auch grob fahrlässig, denn schließlich passiert ein Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich. Der Faktor Mensch stellt uns gerne und oft ein Bein in der Informationssicherheit und damit am Ende auch im Datenschutz. Diese zuvor erwähnten Bausteine sind nach Schichten (Themenbereiche) unterteilt:
- ISMS: Sicherheitsmanagement
- ORP: Organisation und Personal
- CON: Konzeption und Vorgehensweisen
- OPS: Betrieb
- DER: Detektion und Reaktion
- APP: Anwendungen
- SYS: IT-Systeme
- IND: Industrielle IT
- NET: Netze und Kommunikation
- INF: Infrastruktur
So gibt es in der Schicht ISMS beispielsweise einen Baustein mit der Bezeichnung “ISMS.1 Sicherheitsmanagement”. Dieser beschreibt sehr konkret, welche Anforderungen an Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden, wenn man den Standard BSI IT-Grundschutz als Grundlage heranzieht. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter detailliert und unterstützen mit wertvollen Details zu möglichen technischen und organisatorischen Schutzmaßnahmen. Damit man auch weiß, woher diese Empfehlungen rühren, enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der Gefahrenlage. Darin werden mögliche Risiken beschrieben, welche für das Thema des Bausteins relevant sind und denen man mit den Schutzmaßnahmen im weiteren Verlauf des Bausteins begegnen will.
In der Schicht INF finden sich als weiteres Beispiel Bausteine zur Absicherung von Gebäuden und diversen Räumen innerhalb von Gebäuden, je nach deren Nutzungsart. Wer sich für den Umgang mit Smartphones und Tablets interessiert oder gar mit einer MDM-Lösung (Mobile Device Management) liebäugelt, der wird in der Schicht SYS fündig.
Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten im Alltag eines Heimwerkers. Will unser Bob einen Nagel in die Wand schlagen, findet er den passenden Hammer in seinem Kasten. Benötigt er dagegen einen Schlagbohrer samt Dübel und Schraube zur Befestigung, so kann er diese einzelnen Tools aus seinem Werkzeugkasten zum Erreichen seines Ziels ebenfalls auswählen und miteinander kombinieren.
Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen — MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT
Um die Anforderungen des BSI IT-Grundschutz zu erfüllen, sollte man wissen, was es mit diesen in der Überschrift genannten Modalverben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Generell sind die Umsetzungsempfehlungen erstmal nur reine Empfehlungen an eine Organisation, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen erreicht oder verbessert werden kann. Geht es jedoch um eine nachweisliche Umsetzung oder Zertifizierung, gilt es bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret geprüft zu haben, ob und wie man diese zukünftig umgesetzt haben könnte. Es gibt also dann klassische Muss- und Kann-Anforderungen. Ebenso gibt es auch Sachverhalte, die definitiv ausgeschlossen werden müssen. Für die weiter unten angeführten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal ausreichen, MUSS und SOLLTE näher zu betrachten. Weitere Details zu den Modalverben finden Sie hier.
MUSS
“Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).”
SOLLTE
“Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.”
Die Unterscheidungen innerhalb des IT-Grundschutzes in Basis‑, Standard- und Kern-Absicherung lassen wir an dieser Stelle zur Vereinfachung außer Acht. Es geht ja hier nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise macht es Sinn und reicht aus, sich mit den sog. Basis- und Standard-Anforderungen in den unten angeführten Bausteinen zu befassen. Sollte Ihre Organisation jedoch einer kritischen Geschäftstätigkeit nachgehen oder Informationen mit sehr hohem Schutzbedarf verarbeiten, lohnt durchaus auch ein Blick in den Abschnitt “Anforderungen bei erhöhtem Schutzbedarf” des jeweiligen Bausteins.
Konkrete IT-Grundschutz Bausteine für Ihre technischen und organisatorischen Maßnahmen
OPS.1.2.4 Telearbeit — Themen sind hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipement und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen (IT-Betrieb und organisatorisch).
INF.8 Häuslicher Arbeitsplatz — Schwerpunkt: Einrichtung und Betrieb eines häuslichen Arbeitsplatzes. Themen u.a.: Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, IT-Nutzung und deren Absicherung, Transport sowie Vernichtung / Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz, sowie Gefährdungen durch Familienmitglieder / Besucher. Gerne wird hier in dem Kontext auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Wohl dem, der diesen Luxus hat und über ausreichend Platz und Zimmer verfügt. Aber auch für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.
INF.9 Mobiler Arbeitsplatz — Nicht immer wird ein fester häuslicher Arbeitsplatz eingerichtet. Dank Laptop und anderer mobiler Geräte dann aber dennoch aus dem Home-Office gearbeitet. Um diese Aspekte kümmert sich dieser Baustein: Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, technische Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), Akten- und Datenträgertransport, Entsorgung von analogen und digitalen Datenträgern, Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen), Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.)
NET.3.3 VPN — Anforderungen zu Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) zur Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Macht ja auch Sinn, ansonsten ist die Standleitung in das interne Netz fest eingerichtet 🙂 Ist uns eh ein Rätsel, wieso Anbieter von VPN Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt als Funktion programmieren.
NET.2.2 WLAN-Nutzung — Unabhängig, ob Nutzung des privaten WLAN oder von WLAN Hot Spots unterwegs, sind technische und organisatorische Maßnahmen zu ergreifen wie Sicherstellen eines ausreichenden Verschlüsselungsstandards WPA2 und höher) oder auch Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points. Letzteres kennen Sie nicht? Nehmen Sie einfach mal einen beliebigen LTE WLAN Router mit Akku, benennen das WLAN nach “Telekom” oder “WifionICE”, gehen in ein Café Ihrer Wahl und staunen Sie: Innerhalb weniger Sekunden haben sich zahlreiche WLAN Geräte in Ihren Router eingeloggt. Besser und einfacher kann man keine Man-in-the-Middle-Attacken starten.
OPS.1.2.5 Fernwartung — Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird schnell eine Fernwartung durch die eigene IT-Abteilung oder den externen Dienstleister z.B. für Anwendungssupport notwendig. Regelungen zur Vorgehensweise, aber auch zur technischen Absicherung sind unabdingbar. Die entsprechenden Empfehlungen zu Softwareauswahl, Protokollierung der Wartungstätigkeiten etc. finden Sie in diesem Baustein.
OPS.2.2 Cloud-Nutzung — Gerade jetzt werden häufiger Cloud-Services eingesetzt als noch in 2019. Sei es zum reinen Datenaustausch oder Verlagerung ganzer Verarbeitungstätigkeiten im Zuge von SaaS (Software as a Service). Denken Sie einfach nur an die Zunahme bei der Nutzung von Webkonferenz-Diensten oder auch anderer Kommunikationsplattformen, um die Zusammenarbeit zwischen Intern und Extern oder auch gegenüber Kunden zu erleichtern. Neben der technischen Sicherheit wie verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen auch organisatorische Aspekte im Fokus. Welche Daten dürfen überhaupt in die Cloud? Wie sind die Cloud-Services zu nutzen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedanken gemacht, was bei einem möglichen Ende der Service-Nutzung geschehen muss? Gibt es vertragliche Regelungen hierzu? Wie kommen Daten wieder zurück? Möglichst kompatibel für eine andere Anwendung.
OPS.1.1.4 Schutz vor Schadprogrammen — Veränderter oder neuer Technologie-Einsatz bringt neue Einfallstüren für Schadprogramme mit sich. Sind die Anforderungen an einen konsequenten Schutz vor Schadprogrammen technisch und organisatorisch berücksichtigt? Klassiker: Laptops, die sich Signatur-Updates für den Virenscanner ausschließlich über einen Update-Server im internen Netz besorgen. Nun sind diese Geräte aber im längeren Außeneinsatz und vielleicht auch ohne VPN Verbindung ins interne Netz im unterwegs. Woher kommen jetzt die Aktualisierungen, wenn zuvor ausschließlich der interne Update-Server als Bezugsquelle zugelassen wurde? Ganz schnell ist der Virenscanner out of date und eine weitere Sicherheitslücke geschaffen. Das ist aber natürlich nicht der einzige Aspekt dieses Bausteins.
ORP.4 Identitäts- und Berechtigungsmanagement — Wie werden Benutzerrechte vergeben für die notwendigen Zugriffe von außen? Auf welche Dateien / Anwendungen muss von außen zugegriffen werden können? Die selbe Fragestellung jedoch auch zu den Cloud-Services: Wer darf / muss auf was zugreifen können? Wie sieht der Rechtevergabe-Prozess dazu aus? Werden überall wo möglich weitere Sicherheitsmaßnahmen ergriffen wie Zwei-Faktor-Authentifizierung (2FA)? Sind die dazu notwendigen Applikationen (Apps) installiert und die Nutzer in deren Handhabung eingewiesen? Auch an die Backup-Codes für die 2FA gedacht und diese gesichert, sollte das Gerät mit der 2FA-App nicht mehr einsatzfähig sein? Nein? Dann viel Spaß. Denn ohne den eigentlichen 2FA-Token oder einen Backup-Code kommen Sie so schnell nicht mehr an Ihren Account — wenn überhaupt.
ORP.3 Sensibilisierung und Schulung — Mitarbeiter sind ein großer (Un-) Sicherheitsfaktor in einer Organisation. Das sind sie jedoch selten mit Absicht. Hauptursachen sind fehlende Kenntnis von Regelungen und Vorgehensweisen sowie fehlende Sensibilisierung. Ist ja auch kein Wunder, denn Schulungen und Sensibilisierungen bringen keinen Umsatz und halten noch dazu die Mitarbeiter von deren Kerntätigkeiten ab. Paart sich das noch mit gesteigertem Selbstbewußtsein — “Ich weiß eh alles (besser)”, dann ist der Boden für den nächsten Sicherheitsvorfall bestens bereitet. Von daher ist auch dieses Thema im Kontext Heimarbeit und mobiles Arbeiten von großer Bedeutung.
Wenn dann doch mal was schiefgeht: “Hallo, ich bin’s. Der Sicherheitsvorfall”
Unsere Empfehlungen:
- Sorgen Sie für klare Prozesse, was im Fall von Sicherheitsvorfällen und Datenpannen durch Mitarbeiter und alle weiteren notwendigen Beteiligten (DSB, ISB, IT, Organisationsleitung) zu tun.
- Machen Sie diese Prozesse bekannt und leicht zugänglich, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
- Nehmen Sie Ihren Mitarbeitern die Angst, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Es geht nicht darum, einen möglichen Schuldigen zu bestrafen, sondern das eingetretene Risiko in den Begriff zu bekommen.
- Fokussieren Sie sich auf das “Wie konnte das passieren?” statt “Wer hat das verursacht?”. Ausnahme: Wenn ein und der selbe Mitarbeiter trotz guter Sensibilisierung zum Thema Kryptotrojaner in einer Woche bereits zum fünften Mal “Makros aktivieren” anklickt und das Drama seinen Lauf nimmt. 🙂
Ein guter Einstieg könnte die sog. IT-Notfallkarte “Verhalten bei IT-Notfällen” der Allianz für Cybersicherheit sein. Bitte daran denken, die Hinweise und Abläufe mit dem internen Meldeprozess von Datenpannen him Hinblick auf Art. 33 und 34 DSGVO zu verzahnen.
Aber auch ein Blick zurück in den IT-Grundschutz kann nicht schaden, speziell in die Schicht DER: Detektion und Reaktion und deren Bausteine.
Wenn sensibilisieren nicht ausreicht: weiter sensibilisieren
Ebenfalls von der Allianz für Cybersicherheit gibt es in deren Informationspool, aber auch vom Bürger-CERT praktische und anschauliche Tipps, Muster und Vorlagen zur Sensibilisierung von Mitarbeitern. Auch gut anzuwenden im Kontext Heimarbeitsplatz und mobiles Arbeiten. Reinschnuppern lohnt auf jeden Fall -> Link zu Awareness.
Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt “Telearbeit und Mobiles Arbeiten” und deren datenschutzgerechte Ausgestaltung veröffentlicht.
Ja, es kann nerven. Aber sowohl der Datenschutz als auch die Informationssicherheit lieben geschulte und sensibilisierte Mitarbeiter. Deren Arbeitgeber sollten das auch so halten. Wer sich mal mit den Nachwirkungen und Aufwänden von größeren Datenpannen und Sicherheitsvorfällen beschäftigt hat bzw. diese selbst ausbaden musste, der weiß: “Vorbeugen ist besser als Nachsorgen.” — Haben Sie jetzt etwa mit einem anderen Spruch gerechnet?
Und es muss ja nicht immer die klassische Face-2-Face-Veranstaltung sein. Bestenfalls noch 100 Mitarbeiter oder mehr in einem Raum. Abgesehen davon, dass dies aktuell aufgrund der Abstandsregeln eh kaum geht. Außer Sie mieten eine Messehalle. In der Praxis laufen solche Groß-Schulungsveranstaltungen nach einem bekannten Schema ab. Einer steht vorne und spricht. Das Auditorium schläft zu 50%, die andere Hälfte spielt (natürlich vollkommen unbemerkt unter dem Tisch) mit dem Smartphone.
Nutzen Sie andere Möglichkeiten und bilden Sie einen Mix, einen bunten Blumenstrauß aus verschiedenen Wegen, Ihre Zielgruppe Mitarbeiter zu erreichen. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate. Witzig? Wie sind die bei a.s.k. Datenschutz denn drauf? Das Thema ist viel zu ernst. Genau. Und deswegen witzige Kommunikation. Eine positive Emotion wie ein freundliches Lachen, die Sie mit Ihrer Aktion ausgelöst haben, sorgt dafür, dass die übermittelte Botschaft viel tiefer in die Zielgruppe einsickert als Vorträge bei Kerzenschein mit erhobenem Zeigefinger. Wobei auch das, einen abgedunkelten Raum vorausgesetzt, der Referent in Kutte und mit Begleitung von Choral-Musik seinen Platz vorne einnehmend, durchaus ein bewußtes Stilmittel zum Erzeugen der notwendigen Aufmerksamkeit sein kann. Nur nicht jede Veranstaltung so durchführen, nutzt sich ab 🙂
Hand in Hand: Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit sind nicht identisch, was jetzt keine neue Erkenntnis darstellt (hoffentlich!). Es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Themen zur Anwendung kommen können. Eines dieser Instrumente sind die technischen und organisatorischen Maßnahmen. Und hierzu bietet gerade der BSI IT-Grundschutz (aber auch der früher daraus abgeleitete Standard ISIS12) in großem Umfang praktische Unterstützung. So hilft dieser nicht nur bei der Identifikation möglicher Risiken (Gefährdungen), sondern bringt zugleich recht umfangreich Handlungsempfehlungen / Maßnahmen ein, mittels derer man Eintrittswahrscheinlichkeit und / oder Schadensausmaß begrenzen kann. Von daher bietet es sich aus Sicht des Datenschutzes an, einen weiten Blick über den Tellerrand in das Feld der Informationssicherheit zu werfen. Die Mühe lohnt sich ganz schnell.
Wir hoffen, Sie haben einen guten ersten Eindruck gewinnen können, wie man am Beispiel Telearbeitsplatz / Mobiles Arbeiten den Werkzeugkoffer der Informationssicherheit auch im Datenschutz bestens einsetzen kann. Die Details zu Risiken und Handlungsempfehlungen aus dem IT-Grundschutz haben wir hier im Beitrag nicht angeführt. Wenn Sie die oben genannten und verlinkten Bausteine des BSI IT-Grundschutz anklicken, kommen Sie direkt zu den weiterführenden Informationen auf der Webseite des BSI. Und hoffen wir mal, dass die Links für eine Weile von Bestand sein. Das war in der Vergangenheit leider nicht immer der Fall. Gell, liebes BSI Team? Aber danke für eure Mühe und diesen tollen Standard. Der IT-Grundschutz hat leider oft einen schlechten Ruf. Nach unserem Dafürhalten zu Unrecht. Gerade im deutschsprachigen Raum, aber nicht nur da, der “heiße Scheiß” der Informationssicherheit 😉
