Die Corona-Pandemie hat der Arbeitswelt gezeigt, dass es auch anders gehen kann beziehungsweise anders gehen muss. Die Lernkurve in Bezug auf mobiles Arbeiten, Arbeiten aus dem Home Office und der dazugehörigen Nutzung digitaler Tools wie Videokonferenzen war für zahlreiche Organisationen beachtlich steil. Und als netten Nebeneffekt haben sich die Hersteller von Headsets und Webcam darüber auch sehr gefreut. Weniger erfreut sind die Vermieter von Büroflächen, was auch nachvollziehbar ist. In der Folge mussten sich auch Führungskräfte zwangsläufig umstellen. Denn die anvertrauten Mitarbeiter waren nun nicht mehr von “9 to 5” (Grüße an Dolly Parton) im Büro anwesend und damit quasi ihrer Aufsicht entzogen. Und da gingen für die eine oder andere Führungskraft die Probleme und Sorgen los. 🙂
“Kontrolle von Beschäftigten im Homeoffice” (Kapitel 11.2)
Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) — zuständig für nicht-öffentliche Stellen, also Unternehmen in Bayern hat dazu einen interessanten Artikel im 12. Tätigkeitsbericht 2022 (Seite 54) geschrieben. Und die behandelten Anfragen rund um das Thema Mitarbeiterüberwachung im Home Office halten wir für erschreckend. Eigentlich waren wir aber dann doch nicht wirklich überrascht, da uns selbst zu Beginn von Corona eine Anfrage einer kommunalen Führungskraft erreichte: “Dürfen wir unsere Mitarbeiter im Home Office dazu verpflichten, sich zu Dienstbeginn in einem Videokanal anzumelden, in dem alle Mitarbeiter im Home Office aufgeschaltet sind, und die Videokamera den ganzen Tag anzulassen? Nur so können wir feststellen, ob sich der Mitarbeiter während der vorgeschriebenen Arbeitszeit am Schreibtisch aufhält. Die fortlaufende Sichtkontrolle den Tag über würde ich als Führungskraft von meinem PC aus durchführen.” Und damit ist eigentlich auch schon viel zum Thema Führungskraft, aber auch der Akzeptanz von new work gesagt 🙂
Doch schauen wir mal in den Artikel des BayLDA. Kernthema der Anfragen war die datenschutzrechtliche Zulässigkeit einer Überwachung der Mitarbeiter im Home Office. Und hier wurden teilweise wirklich schwere Geschütze aufgefahren.
New work und GPS-Überwachung
Ein Arbeitgeber wollte die physikalische Anwesenheit des Mitarbeiter im Home Office mittels GPS-Ortung sicherstellen. Beim Lesen des Tätigkeitsberichts hatten wir bildlich einen Mitarbeiter mit angelegter elektronischer GPS-Fußfessel vor Augen. Aufgrund des erheblichen Mißbrauchpotentials dieser Technologie empfahl das BayLDA auf mildere Mittel wie z.B. einen Kontrollanruf per Telefon auszuweichen. Die Nutzung einer hierfür genutzten privaten Rufnummer des Mitarbeiters wäre über die Informationspflichten nach Art. 13 DSGVO zu beschreiben und — sofern schon in den Stammdaten vorhanden — eine nachträgliche Zweckänderung durchzuführen und zu dokumentieren. Das BayLDA schreibt im Zusammenhang mit diesen Anrufen zu Kontrollzwecken von Stichprobenanrufen. Eine Stichprobe definiert sich dadurch, dass nicht alle Mitarbeiter im Home Office angerufen werden und auch nicht alle 30 Minuten das Telefon klingelt 🙂 Oder wie es das BayLDA formuliert: “Die Häufigkeit der Stichprobenkontrollen muss sich dabei an der Erforderlichkeit und Verhältnismäßigkeit messen lassen.” Als Rechtsgrundlage kann sich das BayLDA Art. 6 Abs. 1 lit. b DSGVO vorstellen.
New work und Kontrolle (in) der Wohnung
Wie schreibt es das BayLDA: “…, kritisch zu sehen.” Stichwort: Unverletzlichkeit der Wohnung.
New work und Keylogger
Den Einsatz von Keyloggern (also das automatisierte und fortlaufende Aufzeichnen der gedrückten Tasten im Hintergrund) stuft das BayLDA als nicht zulässig ein. Ausnahme: Einen auf konkrete Tatsachen gegründeten Verdacht zumindest einer schwerwiegenden Pflichtverletzung oder Straftat. Gute Führungskräfte wissen, dass eine Überwachungsparanoia auf Verdacht damit nicht zu legitimieren ist.
Fazit
New work ist natürlich mehr als das Arbeiten im Home Office. Für viele Organisationen war durch Corona das Home Office jedoch ein erster Kontakt mit diesem wirklich spannenden und zukunftsträchtigen Thema. Das sich die Arbeitswelt und auch die Art, wie Arbeit geleistet wird, in einer umfassenden Phase der Veränderung sind, ist nicht zu bestreiten. Die Frage ist, wie geht man als Organisation und als Führungskraft damit um? Das der Datenschutz einem überbordenden Kontrollzwang einen Riegel vorschiebt, mag die eine oder andere Führungskraft negativ empfinden. Dazu sollte man sich aber, mit einem Augenzwinkern, vor Augen halten, dass die Leibeigenschaft dann doch schon vor einigen Jahren abgeschafft wurde. 🙂 Ob der Aufwand für diese zuvor skizzierten Beispiele innerlicher Kontrollzwänge im Verhältnis zu dem möglicherweise vermutlich festgestellten Arbeitszeitverlust besteht, darf man ruhig in Zweifel ziehen.
New work definiert unter dem Begriff new leadership: “Eine Vertrauenskultur und Empathie ersetzen streng hierarchische Führungsstile. Hauptaufgabe der neuen Führungskräfte ist es, die Mitarbeiterzur Eigenverantwortung zu befähigen und ihre Stärken zu fördern.” Und dem steht der Datenschutz mit Sicherheit nicht im Weg 😉
Datenschutz und Informationssicherheit gefordert
Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt ja vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Und dann war ja noch das Problem mit dem Klopapier zu lösen.
Und selbst wenn bereits bei der ersten Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt an dem Thema dran zu bleiben. So gilt es, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 DSGVO fordert in Absatz 1 Buchstabe d vorhandene Schutzmaßnahmen einer “regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung” zu unterziehen. Wer sich neben Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind Tagesgeschäft in der Informationssicherheit.
Das Rad nicht neu erfinden: Tools der Informationssicherheit nutzen
Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020) bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können wunderbar mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher mit ein Grund, warum Datenschutzgesetze und Kommentare immer häufiger diese Prinzipien und Hilfestellungen der Informationssicherheit einbinden und erwähnen.
Wir haben Ihnen in diesem Beitrag die unserer Meinung nach wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus haben wir noch einige weitere Empfehlungen für Sie herausgesucht. Themen wie Email-Sicherheit, Mitarbeitersensibilisierung, Umgang mit Sicherheitsvorfällen und Notfallmanagement werden gerne vernachlässigt. Gerade, wenn es wie im März 2020 schnell gehen muss.
Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz
Der IT-Grundschutz beschreibt in seinem Komepdium “standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen”. Diese Aufzählung zeigt deutlich, der IT-Grundschutz befasst sich entgegen seines Namens nicht nur mit IT-Sicherheit. Das wäre auch grob fahrlässig, denn schließlich passiert ein Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich. Der Faktor Mensch stellt uns gerne und oft ein Bein in der Informationssicherheit und damit am Ende auch im Datenschutz. Diese zuvor erwähnten Bausteine sind nach Schichten (Themenbereiche) unterteilt:
So gibt es in der Schicht ISMS beispielsweise einen Baustein mit der Bezeichnung “ISMS.1 Sicherheitsmanagement”. Dieser beschreibt sehr konkret, welche Anforderungen an Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden, wenn man den Standard BSI IT-Grundschutz als Grundlage heranzieht. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter detailliert und unterstützen mit wertvollen Details zu möglichen technischen und organisatorischen Schutzmaßnahmen. Damit man auch weiß, woher diese Empfehlungen rühren, enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der Gefahrenlage. Darin werden mögliche Risiken beschrieben, welche für das Thema des Bausteins relevant sind und denen man mit den Schutzmaßnahmen im weiteren Verlauf des Bausteins begegnen will.
In der Schicht INF finden sich als weiteres Beispiel Bausteine zur Absicherung von Gebäuden und diversen Räumen innerhalb von Gebäuden, je nach deren Nutzungsart. Wer sich für den Umgang mit Smartphones und Tablets interessiert oder gar mit einer MDM-Lösung (Mobile Device Management) liebäugelt, der wird in der Schicht SYS fündig.
Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten im Alltag eines Heimwerkers. Will unser Bob einen Nagel in die Wand schlagen, findet er den passenden Hammer in seinem Kasten. Benötigt er dagegen einen Schlagbohrer samt Dübel und Schraube zur Befestigung, so kann er diese einzelnen Tools aus seinem Werkzeugkasten zum Erreichen seines Ziels ebenfalls auswählen und miteinander kombinieren.
Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen — MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT
Um die Anforderungen des BSI IT-Grundschutz zu erfüllen, sollte man wissen, was es mit diesen in der Überschrift genannten Modalverben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Generell sind die Umsetzungsempfehlungen erstmal nur reine Empfehlungen an eine Organisation, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen erreicht oder verbessert werden kann. Geht es jedoch um eine nachweisliche Umsetzung oder Zertifizierung, gilt es bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret geprüft zu haben, ob und wie man diese zukünftig umgesetzt haben könnte. Es gibt also dann klassische Muss- und Kann-Anforderungen. Ebenso gibt es auch Sachverhalte, die definitiv ausgeschlossen werden müssen. Für die weiter unten angeführten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal ausreichen, MUSS und SOLLTE näher zu betrachten. Weitere Details zu den Modalverben finden Sie hier.
MUSS
“Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).”
SOLLTE
“Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.”
Die Unterscheidungen innerhalb des IT-Grundschutzes in Basis‑, Standard- und Kern-Absicherung lassen wir an dieser Stelle zur Vereinfachung außer Acht. Es geht ja hier nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise macht es Sinn und reicht aus, sich mit den sog. Basis- und Standard-Anforderungen in den unten angeführten Bausteinen zu befassen. Sollte Ihre Organisation jedoch einer kritischen Geschäftstätigkeit nachgehen oder Informationen mit sehr hohem Schutzbedarf verarbeiten, lohnt durchaus auch ein Blick in den Abschnitt “Anforderungen bei erhöhtem Schutzbedarf” des jeweiligen Bausteins.
Konkrete IT-Grundschutz Bausteine für Ihre technischen und organisatorischen Maßnahmen
OPS.1.2.4 Telearbeit — Themen sind hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipement und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen (IT-Betrieb und organisatorisch).
INF.8 Häuslicher Arbeitsplatz — Schwerpunkt: Einrichtung und Betrieb eines häuslichen Arbeitsplatzes. Themen u.a.: Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, IT-Nutzung und deren Absicherung, Transport sowie Vernichtung / Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz, sowie Gefährdungen durch Familienmitglieder / Besucher. Gerne wird hier in dem Kontext auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Wohl dem, der diesen Luxus hat und über ausreichend Platz und Zimmer verfügt. Aber auch für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.
INF.9 Mobiler Arbeitsplatz — Nicht immer wird ein fester häuslicher Arbeitsplatz eingerichtet. Dank Laptop und anderer mobiler Geräte dann aber dennoch aus dem Home-Office gearbeitet. Um diese Aspekte kümmert sich dieser Baustein: Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, technische Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), Akten- und Datenträgertransport, Entsorgung von analogen und digitalen Datenträgern, Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen), Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.)
NET.3.3 VPN — Anforderungen zu Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) zur Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Macht ja auch Sinn, ansonsten ist die Standleitung in das interne Netz fest eingerichtet 🙂 Ist uns eh ein Rätsel, wieso Anbieter von VPN Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt als Funktion programmieren.
NET.2.2 WLAN-Nutzung — Unabhängig, ob Nutzung des privaten WLAN oder von WLAN Hot Spots unterwegs, sind technische und organisatorische Maßnahmen zu ergreifen wie Sicherstellen eines ausreichenden Verschlüsselungsstandards WPA2 und höher) oder auch Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points. Letzteres kennen Sie nicht? Nehmen Sie einfach mal einen beliebigen LTE WLAN Router mit Akku, benennen das WLAN nach “Telekom” oder “WifionICE”, gehen in ein Café Ihrer Wahl und staunen Sie: Innerhalb weniger Sekunden haben sich zahlreiche WLAN Geräte in Ihren Router eingeloggt. Besser und einfacher kann man keine Man-in-the-Middle-Attacken starten.
OPS.1.2.5 Fernwartung — Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird schnell eine Fernwartung durch die eigene IT-Abteilung oder den externen Dienstleister z.B. für Anwendungssupport notwendig. Regelungen zur Vorgehensweise, aber auch zur technischen Absicherung sind unabdingbar. Die entsprechenden Empfehlungen zu Softwareauswahl, Protokollierung der Wartungstätigkeiten etc. finden Sie in diesem Baustein.
OPS.2.2 Cloud-Nutzung — Gerade jetzt werden häufiger Cloud-Services eingesetzt als noch in 2019. Sei es zum reinen Datenaustausch oder Verlagerung ganzer Verarbeitungstätigkeiten im Zuge von SaaS (Software as a Service). Denken Sie einfach nur an die Zunahme bei der Nutzung von Webkonferenz-Diensten oder auch anderer Kommunikationsplattformen, um die Zusammenarbeit zwischen Intern und Extern oder auch gegenüber Kunden zu erleichtern. Neben der technischen Sicherheit wie verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen auch organisatorische Aspekte im Fokus. Welche Daten dürfen überhaupt in die Cloud? Wie sind die Cloud-Services zu nutzen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedanken gemacht, was bei einem möglichen Ende der Service-Nutzung geschehen muss? Gibt es vertragliche Regelungen hierzu? Wie kommen Daten wieder zurück? Möglichst kompatibel für eine andere Anwendung.
OPS.1.1.4 Schutz vor Schadprogrammen — Veränderter oder neuer Technologie-Einsatz bringt neue Einfallstüren für Schadprogramme mit sich. Sind die Anforderungen an einen konsequenten Schutz vor Schadprogrammen technisch und organisatorisch berücksichtigt? Klassiker: Laptops, die sich Signatur-Updates für den Virenscanner ausschließlich über einen Update-Server im internen Netz besorgen. Nun sind diese Geräte aber im längeren Außeneinsatz und vielleicht auch ohne VPN Verbindung ins interne Netz im unterwegs. Woher kommen jetzt die Aktualisierungen, wenn zuvor ausschließlich der interne Update-Server als Bezugsquelle zugelassen wurde? Ganz schnell ist der Virenscanner out of date und eine weitere Sicherheitslücke geschaffen. Das ist aber natürlich nicht der einzige Aspekt dieses Bausteins.
ORP.4 Identitäts- und Berechtigungsmanagement — Wie werden Benutzerrechte vergeben für die notwendigen Zugriffe von außen? Auf welche Dateien / Anwendungen muss von außen zugegriffen werden können? Die selbe Fragestellung jedoch auch zu den Cloud-Services: Wer darf / muss auf was zugreifen können? Wie sieht der Rechtevergabe-Prozess dazu aus? Werden überall wo möglich weitere Sicherheitsmaßnahmen ergriffen wie Zwei-Faktor-Authentifizierung (2FA)? Sind die dazu notwendigen Applikationen (Apps) installiert und die Nutzer in deren Handhabung eingewiesen? Auch an die Backup-Codes für die 2FA gedacht und diese gesichert, sollte das Gerät mit der 2FA-App nicht mehr einsatzfähig sein? Nein? Dann viel Spaß. Denn ohne den eigentlichen 2FA-Token oder einen Backup-Code kommen Sie so schnell nicht mehr an Ihren Account — wenn überhaupt.
ORP.3 Sensibilisierung und Schulung — Mitarbeiter sind ein großer (Un-) Sicherheitsfaktor in einer Organisation. Das sind sie jedoch selten mit Absicht. Hauptursachen sind fehlende Kenntnis von Regelungen und Vorgehensweisen sowie fehlende Sensibilisierung. Ist ja auch kein Wunder, denn Schulungen und Sensibilisierungen bringen keinen Umsatz und halten noch dazu die Mitarbeiter von deren Kerntätigkeiten ab. Paart sich das noch mit gesteigertem Selbstbewußtsein — “Ich weiß eh alles (besser)”, dann ist der Boden für den nächsten Sicherheitsvorfall bestens bereitet. Von daher ist auch dieses Thema im Kontext Heimarbeit und mobiles Arbeiten von großer Bedeutung.
Wenn dann doch mal was schiefgeht: “Hallo, ich bin’s. Der Sicherheitsvorfall”
Unsere Empfehlungen:
Sorgen Sie für klare Prozesse, was im Fall von Sicherheitsvorfällen und Datenpannen durch Mitarbeiter und alle weiteren notwendigen Beteiligten (DSB, ISB, IT, Organisationsleitung) zu tun.
Machen Sie diese Prozesse bekannt und leicht zugänglich, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
Nehmen Sie Ihren Mitarbeitern die Angst, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Es geht nicht darum, einen möglichen Schuldigen zu bestrafen, sondern das eingetretene Risiko in den Begriff zu bekommen.
Fokussieren Sie sich auf das “Wie konnte das passieren?” statt “Wer hat das verursacht?”. Ausnahme: Wenn ein und der selbe Mitarbeiter trotz guter Sensibilisierung zum Thema Kryptotrojaner in einer Woche bereits zum fünften Mal “Makros aktivieren” anklickt und das Drama seinen Lauf nimmt. 🙂
Ein guter Einstieg könnte die sog. IT-Notfallkarte “Verhalten bei IT-Notfällen” der Allianz für Cybersicherheit sein. Bitte daran denken, die Hinweise und Abläufe mit dem internen Meldeprozess von Datenpannen him Hinblick auf Art. 33 und 34 DSGVO zu verzahnen.
Aber auch ein Blick zurück in den IT-Grundschutz kann nicht schaden, speziell in die Schicht DER: Detektion und Reaktion und deren Bausteine.
Wenn sensibilisieren nicht ausreicht: weiter sensibilisieren
Ebenfalls von der Allianz für Cybersicherheit gibt es in deren Informationspool, aber auch vom Bürger-CERT praktische und anschauliche Tipps, Muster und Vorlagen zur Sensibilisierung von Mitarbeitern. Auch gut anzuwenden im Kontext Heimarbeitsplatz und mobiles Arbeiten. Reinschnuppern lohnt auf jeden Fall -> Link zu Awareness.
Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt “Telearbeit und Mobiles Arbeiten” und deren datenschutzgerechte Ausgestaltung veröffentlicht.
Ja, es kann nerven. Aber sowohl der Datenschutz als auch die Informationssicherheit lieben geschulte und sensibilisierte Mitarbeiter. Deren Arbeitgeber sollten das auch so halten. Wer sich mal mit den Nachwirkungen und Aufwänden von größeren Datenpannen und Sicherheitsvorfällen beschäftigt hat bzw. diese selbst ausbaden musste, der weiß: “Vorbeugen ist besser als Nachsorgen.” — Haben Sie jetzt etwa mit einem anderen Spruch gerechnet?
Und es muss ja nicht immer die klassische Face-2-Face-Veranstaltung sein. Bestenfalls noch 100 Mitarbeiter oder mehr in einem Raum. Abgesehen davon, dass dies aktuell aufgrund der Abstandsregeln eh kaum geht. Außer Sie mieten eine Messehalle. In der Praxis laufen solche Groß-Schulungsveranstaltungen nach einem bekannten Schema ab. Einer steht vorne und spricht. Das Auditorium schläft zu 50%, die andere Hälfte spielt (natürlich vollkommen unbemerkt unter dem Tisch) mit dem Smartphone.
Nutzen Sie andere Möglichkeiten und bilden Sie einen Mix, einen bunten Blumenstrauß aus verschiedenen Wegen, Ihre Zielgruppe Mitarbeiter zu erreichen. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate. Witzig? Wie sind die bei a.s.k. Datenschutz denn drauf? Das Thema ist viel zu ernst. Genau. Und deswegen witzige Kommunikation. Eine positive Emotion wie ein freundliches Lachen, die Sie mit Ihrer Aktion ausgelöst haben, sorgt dafür, dass die übermittelte Botschaft viel tiefer in die Zielgruppe einsickert als Vorträge bei Kerzenschein mit erhobenem Zeigefinger. Wobei auch das, einen abgedunkelten Raum vorausgesetzt, der Referent in Kutte und mit Begleitung von Choral-Musik seinen Platz vorne einnehmend, durchaus ein bewußtes Stilmittel zum Erzeugen der notwendigen Aufmerksamkeit sein kann. Nur nicht jede Veranstaltung so durchführen, nutzt sich ab 🙂
Hand in Hand: Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit sind nicht identisch, was jetzt keine neue Erkenntnis darstellt (hoffentlich!). Es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Themen zur Anwendung kommen können. Eines dieser Instrumente sind die technischen und organisatorischen Maßnahmen. Und hierzu bietet gerade der BSI IT-Grundschutz (aber auch der früher daraus abgeleitete Standard ISIS12) in großem Umfang praktische Unterstützung. So hilft dieser nicht nur bei der Identifikation möglicher Risiken (Gefährdungen), sondern bringt zugleich recht umfangreich Handlungsempfehlungen / Maßnahmen ein, mittels derer man Eintrittswahrscheinlichkeit und / oder Schadensausmaß begrenzen kann. Von daher bietet es sich aus Sicht des Datenschutzes an, einen weiten Blick über den Tellerrand in das Feld der Informationssicherheit zu werfen. Die Mühe lohnt sich ganz schnell.
Wir hoffen, Sie haben einen guten ersten Eindruck gewinnen können, wie man am Beispiel Telearbeitsplatz / Mobiles Arbeiten den Werkzeugkoffer der Informationssicherheit auch im Datenschutz bestens einsetzen kann. Die Details zu Risiken und Handlungsempfehlungen aus dem IT-Grundschutz haben wir hier im Beitrag nicht angeführt. Wenn Sie die oben genannten und verlinkten Bausteine des BSI IT-Grundschutz anklicken, kommen Sie direkt zu den weiterführenden Informationen auf der Webseite des BSI. Und hoffen wir mal, dass die Links für eine Weile von Bestand sein. Das war in der Vergangenheit leider nicht immer der Fall. Gell, liebes BSI Team? Aber danke für eure Mühe und diesen tollen Standard. Der IT-Grundschutz hat leider oft einen schlechten Ruf. Nach unserem Dafürhalten zu Unrecht. Gerade im deutschsprachigen Raum, aber nicht nur da, der “heiße Scheiß” der Informationssicherheit 😉
Am 01.03.2020 haben wir nach eingehender interner Beratung im Team unsere Kunden dahingehend informiert, ab sofort bis auf Weiteres keine Außendienst-Aktivitäten bzw. Vor-Ort-Besuche mehr durchzuführen. Als Vielreisende wäre das Risiko recht hoch gewesen, uns selbst zu infizieren und möglicherweise bis zur Feststellung der Infektion noch viele weitere Menschen mit anzustecken. Diese Entscheidung hat uns vor nunmehr 2 Wochen einige grenzwertige Kommentare und teilweise auch ein bemitleidendes Lächeln eingebracht. Mittlerweile steht fest, wir haben zum Schutz unserer Mitarbeiter und deren Familien, aber auch unserer Kunden frühzeitig und richtig gehandelt. Wir wollen nicht verschweigen, es gab auch einige wenige Stimmen der Zustimmung und auch des Respekts, einen solchen Schritt durchzuziehen. Vielen Dank an dieser Stelle noch mal ausdrücklich dafür.
Alle Mitarbeiter der a.s.k. Datenschutz dürfen und können seither von zu Hause aus arbeiten. Die Anforderungen an die täglich zu erbringende Arbeitszeit sind auf unbestimmte Zeit aufgehoben. Und die Betreuung von Kindern und anderen hilfsbedürftigen Familienangehörigen hat vor dem Tagesgeschäft immer Vorrang. Die dafür notwendigen Freiräume kann sich jedes Teammitglied bei uns ohne Ab- bzw. Anmeldung nehmen.
Jetzt sind wir aufgrund unserer Unternehmensstruktur und Größe, aber auch unserer stark von Digitalisierung geprägten Arbeitsweise und einem unter anderem für Pandemien erstellten Notfallplan auf einen solchen Schritt gut vorbereitet gewesen. Wir sind mobiles Arbeiten gewöhnt, das technische Equipement ist vorhanden und für alle Mitarbeiter identisch. Schon immer haben wir auf eine moderne Projektplattform zur gemeinsamen Bearbeitung und Dokumentation von Aufgaben mit unseren Kunden gesetzt. Und mit Zooms sowie Microsoft Teams stehen zwei gerne und oft genutzte Videokonferenzplattformen zur Verfügung, über die auch ohne vor Ort zu sein, wichtige Angelegenheiten und Themen von Angesicht zu Angesicht, einzeln oder in Gruppen besprochen werden können. Die ersten Tage waren etwas holprig. Gerade für Kunden, die bisher mit dem Thema Videokonferenz keine Erfahrungen hatten oder generell “fremdeln”. Doch mittlerweile hat auch das sich neben Telefon und Email als alltägliches Kommunikationsmedium eingespielt. Ein kleiner Einblick in unsere Umsetzung und Erfahrungen:
Technik und Organisation im Home Office
Damit auch die Themen Datenschutz und Informationssicherheit in dieser Sondersituation nicht zu kurz kommen, haben wir uns unter anderem um folgende Punkte gekümmert bzw. deren Aktualität geprüft, wenn schon vorhanden:
Verschlüsselung aller Datenträger in mobilen Geräten und festen Arbeitsplätzen (wird bereits bei Beschaffung und Inbetriebnahme vorgenommen)
Installation und Einrichten von VPN auf allen Geräten (ebenfalls bereits bei Beschaffung und Inbetriebnahme erledigt)
Absicherung aller Accounts (intern und extern sowie auf den Geräten) neben Benutzername und Passwort mit Zwei-Faktor-Authentifizierung (Bestandteil der Account-Einrichtung)
Prüfen der Funktionsfähigkeit lokaler Backups via TimeMachine auf verschlüsselte externe SSD sowie zusätzlicher Backup-Routinen auf NAS-Systeme im Home Office (wird bei Erstkonfiguration bereits eingerichtet, mittels Fernwartung regelmäßig überprüft, ob alles sauber läuft)
Sicherstellen der automatischen Bildschirmsperre nach 2 Minuten (das Thema manuelles Sperren haben wir in einer Teamsitzung noch mal angesprochen)
Alle (mobilen) Geräte sind mit Sichtschutzfolien ausgestattet. Hilfreich für den häufigen Fall, das im Home Office kein separater Raum für die Tätigkeit vorhanden ist.
Verpflichtung Datenschutz für Mitarbeiter (wird bei Einstellung erledigt)
Schredder mit ausreichender Sicherheitsstufe für die Home Offices (wird normalerweise bei Einstellung erledigt, aber es hat uns doch glatt ein Gerät gefehlt)
Setzen von Prioritäten wie Bearbeitung von Datenpannen bei Kunden über separate Hotline-Nummer
Bei der Gelegenheit haben wir unsere Richtlinie zum Umgang mit Sicherheitsvorfällen aktualisiert, da dort das Thema Home Office bisher nicht konkret benannt wurde.
Seit 2 Wochen machen wir damit bereits sehr gute Erfahrungen. Bei dem einen oder anderen Kunden kommt es bei Videokonferenz noch zu Anlaufschwierigkeiten, da die Ports gerne mal in der Firewall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anleitungen im Netz bereitstehen, ist das jedoch schnell gelöst.
Wer sich noch etwas weiter mit dem Thema befassen will, dem sei der BSI IT-Grundschutz nahegelegt. Unter anderem der Baustein OPS 1.2.4 Telearbeit umfasst eine gute Übersicht an Maßnahmen, die für die Einrichtung und den Betrieb von Home Office eine gute Grundlage bilden. Binden Sie auch Ihren Datenschutzbeauftragten und Informationssicherheitsbeauftragten ein, selbst wenn es jetzt vielleicht schnell gehen muss.
Soziale Aspekte des Home Office
Um die sozialen Aspekte im Team nicht zu kurz kommen zu lassen und damit auch niemand im Home Office vereinsamt, nutzen wir selbst intern ebenfalls sehr rege Chat und Videokonferenz. Wir haben spaßeshalber auch eine kleine Home Office Etikette erstellt:
Aufstehen, Zähne putzen, Kaffee. Hilft das nicht, dann noch mehr Kaffee
Am Heimarbeitsplatz ist eine gebügelte Jogginghose Pflicht
Pyjama ist nur mit Einhorn-Glitter oder Superman-Aufdruck zugelassen
Im Falle des Pyjama sollte Videokonferenz nur intern genutzt werden
Sofern einen die Familie zu Hause nicht auf Trab hält, gelegentlich mal aufstehen, sich bewegen, Pause machen
Achtung: Wenn Bewegung heißt Haus verlassen, dann noch mal prüfen, ob der Pyjama richtig sitzt
Wer das Wort “Hamstern” sagt, muss 10 Liegestütze vor laufender Kamera machen. Alternativ Lapdance.
Fazit
Wir sind uns bewußt, das wir aufgrund unserer Tätigkeitsfelder für eine solche Vorgehensweise Vorteile gegenüber vielen anderen Organisationen haben. Gerade Einrichtungen aus dem Bereich der öffentlichen Versorgung können ihre Mitarbeiter nicht einfach ins Home Office schicken.
Home Office ist jedoch machbar. Der aktuelle Stand der Technik erlaubt ein sicheres Arbeiten von zu Hause aus. Vielleicht können wir mit dem kurzen Einblick in unsere Vorgehensweise die eine oder andere Anregung und Tipps liefern, wie und was — auch kurzfristig — umsetzbar ist und auf was man so alles achten sollte (ohne Anspruch auf Vollständigkeit und sicher nicht auf jede Organisation 1:1 anwendbar). Denn auch wenn “Ausnahmezustand” herrscht: Die Themen Sicherheit, Datenschutz aber auch das menschliche Miteinander sollten nicht zu kurz kommen.
Danke an all die fleißigen und unermüdlichen Helfer, die aktuell überall für den Rest der Gesellschaft die Stellung halten, sei es im Gesundheitswesen, im Handel, der Versorgung, öffentliche Sicherheit und und und … Ohne sie wären wir alle aufgeschmissen.