01.03.2020: Damit ging es los

Am 01.03.2020 haben wir nach ein­ge­hen­der inter­ner Bera­tung im Team unse­re Kun­den dahin­ge­hend infor­miert, ab sofort bis auf Wei­te­res kei­ne Außen­dienst-Akti­vi­tä­ten bzw. Vor-Ort-Besu­che mehr durch­zu­füh­ren. Als Viel­rei­sen­de wäre das Risi­ko recht hoch gewe­sen, uns selbst zu infi­zie­ren und mög­li­cher­wei­se bis zur Fest­stel­lung der Infek­ti­on noch vie­le wei­te­re Men­schen mit anzu­ste­cken. Die­se Ent­schei­dung hat uns vor nun­mehr 2 Wochen eini­ge grenz­wer­ti­ge Kom­men­ta­re und teil­wei­se auch ein bemit­lei­den­des Lächeln ein­ge­bracht. Mitt­ler­wei­le steht fest, wir haben zum Schutz unse­rer Mit­ar­bei­ter und deren Fami­li­en, aber auch unse­rer Kun­den früh­zei­tig und rich­tig gehan­delt. Wir wol­len nicht ver­schwei­gen, es gab auch eini­ge weni­ge Stim­men der Zustim­mung und auch des Respekts, einen sol­chen Schritt durch­zu­zie­hen. Vie­len Dank an die­ser Stel­le noch mal aus­drück­lich dafür.

Alle Mit­ar­bei­ter der a.s.k. Daten­schutz dür­fen und kön­nen seit­her von zu Hau­se aus arbei­ten. Die Anfor­de­run­gen an die täg­lich zu erbrin­gen­de Arbeits­zeit sind auf unbe­stimm­te Zeit auf­ge­ho­ben. Und die Betreu­ung von Kin­dern und ande­ren hilfs­be­dürf­ti­gen Fami­li­en­an­ge­hö­ri­gen hat vor dem Tages­ge­schäft immer Vor­rang. Die dafür not­wen­di­gen Frei­räu­me kann sich jedes Team­mit­glied bei uns ohne Ab- bzw. Anmel­dung nehmen.

Jetzt sind wir auf­grund unse­rer Unter­neh­mens­struk­tur und Grö­ße, aber auch unse­rer stark von Digi­ta­li­sie­rung gepräg­ten Arbeits­wei­se und einem unter ande­rem für Pan­de­mien erstell­ten Not­fall­plan auf einen sol­chen Schritt gut vor­be­rei­tet gewe­sen. Wir sind mobi­les Arbei­ten gewöhnt, das tech­ni­sche Equi­pe­ment ist vor­han­den und für alle Mit­ar­bei­ter iden­tisch. Schon immer haben wir auf eine moder­ne Pro­jekt­platt­form zur gemein­sa­men Bear­bei­tung und Doku­men­ta­ti­on von Auf­ga­ben mit unse­ren Kun­den gesetzt. Und mit Zooms sowie Micro­soft Teams ste­hen zwei ger­ne und oft genutz­te Video­kon­fe­renz­platt­for­men zur Ver­fü­gung, über die auch ohne vor Ort zu sein, wich­ti­ge Ange­le­gen­hei­ten und The­men von Ange­sicht zu Ange­sicht, ein­zeln oder in Grup­pen bespro­chen wer­den kön­nen. Die ers­ten Tage waren etwas holp­rig. Gera­de für Kun­den, die bis­her mit dem The­ma Video­kon­fe­renz kei­ne Erfah­run­gen hat­ten oder gene­rell “frem­deln”. Doch mitt­ler­wei­le hat auch das sich neben Tele­fon und Email als all­täg­li­ches Kom­mu­ni­ka­ti­ons­me­di­um ein­ge­spielt. Ein klei­ner Ein­blick in unse­re Umset­zung und Erfahrungen:

Tech­nik und Orga­ni­sa­ti­on im Home Office

Damit auch die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in die­ser Son­der­si­tua­ti­on nicht zu kurz kom­men, haben wir uns unter ande­rem um fol­gen­de Punk­te geküm­mert bzw. deren Aktua­li­tät geprüft, wenn schon vorhanden:

• Ver­schlüs­se­lung aller Daten­trä­ger in mobi­len Gerä­ten und fes­ten Arbeits­plät­zen (wird bereits bei Beschaf­fung und Inbe­trieb­nah­me vorgenommen)
• Instal­la­ti­on und Ein­rich­ten von VPN auf allen Gerä­ten (eben­falls bereits bei Beschaf­fung und Inbe­trieb­nah­me erledigt)
• Absi­che­rung aller Accounts (intern und extern sowie auf den Gerä­ten) neben Benut­zer­na­me und Pass­wort mit Zwei-Fak­tor-Authen­ti­fi­zie­rung (Bestand­teil der Account-Einrichtung)
• Prü­fen der Funk­ti­ons­fä­hig­keit loka­ler Back­ups via Time­Ma­chi­ne auf ver­schlüs­sel­te exter­ne SSD sowie zusätz­li­cher Back­up-Rou­ti­nen auf NAS-Sys­te­me im Home Office (wird bei Erst­kon­fi­gu­ra­ti­on bereits ein­ge­rich­tet, mit­tels Fern­war­tung regel­mä­ßig über­prüft, ob alles sau­ber läuft)
• Sicher­stel­len der auto­ma­ti­schen Bild­schirm­sper­re nach 2 Minu­ten (das The­ma manu­el­les Sper­ren haben wir in einer Team­sit­zung noch mal angesprochen)
• Alle (mobi­len) Gerä­te sind mit Sicht­schutz­fo­li­en aus­ge­stat­tet. Hilf­reich für den häu­fi­gen Fall, das im Home Office kein sepa­ra­ter Raum für die Tätig­keit vor­han­den ist.
• Richt­li­nie bzw. Rege­lun­gen zur Nut­zung mobi­ler Arbeits­plät­ze bzw. Home Office (wird bei Ein­stel­lung erle­digt). Wer hier noch nichts hat, RA Schwen­ke hat dazu einen recht fle­xi­blen Gene­ra­tor erstellt 
• Rege­lun­gen zum Daten­schutz im Home Office, sofern nicht in der zuvor genann­ten Rege­lung bereits ent­hal­ten (wird bei Ein­stel­lung erle­digt). Der Ihnen sicher bekann­te “Daten­schutz-Guru” Ste­phan Han­sen-Oest hat hier gera­de ein Mus­ter online gestellt, für die­je­ni­gen, die noch Bedarf haben 
• Ver­pflich­tung Daten­schutz für Mit­ar­bei­ter (wird bei Ein­stel­lung erledigt)
• Schred­der mit aus­rei­chen­der Sicher­heits­stu­fe für die Home Offices (wird nor­ma­ler­wei­se bei Ein­stel­lung erle­digt, aber es hat uns doch glatt ein Gerät gefehlt)
• Set­zen von Prio­ri­tä­ten wie Bear­bei­tung von Daten­pan­nen bei Kun­den über sepa­ra­te Hotline-Nummer

Bei der Gele­gen­heit haben wir unse­re Richt­li­nie zum Umgang mit Sicher­heits­vor­fäl­len aktua­li­siert, da dort das The­ma Home Office bis­her nicht kon­kret benannt wurde.

Seit 2 Wochen machen wir damit bereits sehr gute Erfah­run­gen. Bei dem einen oder ande­ren Kun­den kommt es bei Video­kon­fe­renz noch zu Anlauf­schwie­rig­kei­ten, da die Ports ger­ne mal in der Fire­wall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anlei­tun­gen im Netz bereit­ste­hen, ist das jedoch schnell gelöst.

Wer sich noch etwas wei­ter mit dem The­ma befas­sen will, dem sei der BSI IT-Grund­schutz nahe­ge­legt. Unter ande­rem der Bau­stein OPS 1.2.4 Tele­ar­beit umfasst eine gute Über­sicht an Maß­nah­men, die für die Ein­rich­tung und den Betrieb von Home Office eine gute Grund­la­ge bil­den. Bin­den Sie auch Ihren Daten­schutz­be­auf­trag­ten und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten ein, selbst wenn es jetzt viel­leicht schnell gehen muss.

Sozia­le Aspek­te des Home Office

Um die sozia­len Aspek­te im Team nicht zu kurz kom­men zu las­sen und damit auch nie­mand im Home Office ver­einsamt, nut­zen wir selbst intern eben­falls sehr rege Chat und Video­kon­fe­renz. Wir haben spa­ßes­hal­ber auch eine klei­ne Home Office Eti­ket­te erstellt:

• Auf­ste­hen, Zäh­ne put­zen, Kaf­fee. Hilft das nicht, dann noch mehr Kaffee
• Am Heim­ar­beits­platz ist eine gebü­gel­te Jog­ging­ho­se Pflicht
• Pyja­ma ist nur mit Ein­horn-Glit­ter oder Super­man-Auf­druck zugelassen
• Im Fal­le des Pyja­ma soll­te Video­kon­fe­renz nur intern genutzt werden
• Sofern einen die Fami­lie zu Hau­se nicht auf Trab hält, gele­gent­lich mal auf­ste­hen, sich bewe­gen, Pau­se machen
• Ach­tung: Wenn Bewe­gung heißt Haus ver­las­sen, dann noch mal prü­fen, ob der Pyja­ma rich­tig sitzt
• Wer das Wort “Hams­tern” sagt, muss 10 Lie­ge­stüt­ze vor lau­fen­der Kame­ra machen. Alter­na­tiv Lapdance.

Fazit

Wir sind uns bewußt, das wir auf­grund unse­rer Tätig­keits­fel­der für eine sol­che Vor­ge­hens­wei­se Vor­tei­le gegen­über vie­len ande­ren Orga­ni­sa­tio­nen haben. Gera­de Ein­rich­tun­gen aus dem Bereich der öffent­li­chen Ver­sor­gung kön­nen ihre Mit­ar­bei­ter nicht ein­fach ins Home Office schicken.

Home Office ist jedoch mach­bar. Der aktu­el­le Stand der Tech­nik erlaubt ein siche­res Arbei­ten von zu Hau­se aus. Viel­leicht kön­nen wir mit dem kur­zen Ein­blick in unse­re Vor­ge­hens­wei­se die eine oder ande­re Anre­gung und Tipps lie­fern, wie und was — auch kurz­fris­tig — umsetz­bar ist und auf was man so alles ach­ten soll­te (ohne Anspruch auf Voll­stän­dig­keit und sicher nicht auf jede Orga­ni­sa­ti­on 1:1 anwend­bar). Denn auch wenn “Aus­nah­me­zu­stand” herrscht: Die The­men Sicher­heit, Daten­schutz aber auch das mensch­li­che Mit­ein­an­der soll­ten nicht zu kurz kommen.

Dan­ke an all die flei­ßi­gen und uner­müd­li­chen Hel­fer, die aktu­ell über­all für den Rest der Gesell­schaft die Stel­lung hal­ten, sei es im Gesund­heits­we­sen, im Han­del, der Ver­sor­gung, öffent­li­che Sicher­heit und und und … Ohne sie wären wir alle aufgeschmissen.