Sicher arbeiten im mobilen Office

Bundestagsabgeordneter von Bündnis 90/Die Grünen

Im Zuge der Corona-Prävention hat sich bereits jetzt vieles im Alltagsleben verändert. Um die Pandemie bestmöglich einzudämmen, halten sich die meisten Menschen zuhause auf. Auch viele Büros wurden dorthin verlegt und nun wird der Arbeit in Form von Telearbeit im sog. Homeoffice nachgegangen.

Die Einrichtung eines solchen Arbeitsplatzes beansprucht eigentlich viel Vorbereitungszeit, denn im Umgang mit personenbezogenen Daten gibt es aus Sicherheitsgründen einiges zu beachten. Aufgrund der rasanten Veränderungen sahen sich jedoch nun Viele zur kurzfristigen Verlegung in das mobile Office gezwungen. Es gilt somit schnelle und pragmatische Lösungen zu finden. Vielerorts wird improvisiert, denn längst nicht alle Institutionen verfügen bereits über die notwendige technische Ausstattung oder haben grundlegende Organisationsstrukturen aufgebaut.

Es stellt sich daher die Frage, wie das mobile Arbeiten zu strukturieren ist und was beachtet werden muss, um auch Zuhause einen effektiven Schutz hinsichtlich der Sicherheit von Technik zu gewährleisten? Wie können wir die Privatheit von Kommunikation und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellen?

Jede*r kann von daheim aus dazu beitragen.

Hier ein paar Tipps zur Orientierung für die Arbeit im mobilen Office:

Überblick:

  1. Umzug des Arbeitsplatzes
  2. Klare Regelungen treffen
  3. Geeigneter Arbeitsplatz
  4. Internetzugang
  5. Geeignete Aufbewahrungsorte für Dokumente
  6. Arbeit mit personenbezogenen sensiblen Daten
  7. Sicherheit und Technik
  8. Sichere Verbindung
  9. Im Fall des Datenverlusts
  10. Arbeiten im mobilen Office
  11. IT-Sicherheit
  12. Umgang mit Papierdokumenten
  13. Dienstliche Telefonate am häuslichen Arbeitsplatz
  14. Außerdem wichtig
  15. Weiterführende Infos
  1. Umzug des Arbeitsplatzes

Beim Wechsel vom Büro zum heimischen Arbeitsplatz werden meist Dokumente und IT-Geräte mitgenommen. Zu beachten ist hierbei vor allem, dass die Endgeräte, wie zum Beispiel Laptops, mit einem sicheren Passwort geschützt werden. Darüber hinaus sollten auch die Festplatte sowie externe Speichermedien extra verschlüsselt werden. Für den Transport von Papierdokumenten werden am besten verschließbare Behältnisse verwendet.

Während des gesamten Weges sollten Sie stets darauf achten, dass die Sachen zu keiner Zeit unbeaufsichtigt sind.

2. Klare Regelungen treffen

Wenn ihr mobiler Arbeitsplatz kurzfristig eingerichtet werden musste, kann es sein, dass es in ihrer Institution bislang keine besonderen Richtlinien oder Dienstvereinbarung gibt. Es sollten daher unmissverständliche und verbindliche Regelungen zur IT-Sicherheit und zur Sicherheit ihrer Daten schriftlich festgehalten und mit allen Beteiligten kommuniziert werden.

3. Einrichtung des Arbeitsplatzes

In diesen Ausnahmezeiten sind die Arbeitsbedingungen in den eigenen vier Wänden zweifelsfrei keine leichten. Die Kinder quengeln vor Langeweile, es fehlt der Ausgleich durch Freizeitaktivitäten, oder die Mitbewohner*innen führen laute Telefonkonferenzen im Nachbarzimmer. Versuchen Sie es sich daher so angenehm wie möglich einzurichten. Suchen sie einen ungestörten, dauerhaften Platz und machen Sie sich im Vornherein die Grundlagen für ein sicheres mobiles Office bewusst.

3. Geeigneter Arbeitsplatz:

Am besten, Sie richten sich einen Arbeitsplatz in einem eigenen Raum oder in einer eigenen Ecke ein. Dies kann nicht nur die Effektivität steigern und Nerven schonen, sondern auch den Bildschirm vor Blicken Unbefugter schützen. Achten Sie dabei auch darauf, dass Computer und wichtige Dokumente nicht durchs Fenster einsehbar sind. Ist dies nicht ohne Weiteres zu realisieren, kann auch eine Sichtschutzfolie für den Monitor helfen. Später kann diese auch beim Arbeiten in öffentlicher Umgebungen wie z. B. Bahn oder Café vor der Gefahr des „über die Schulter schauens“ schützen.

4. Internetzugang:

Für die Verwendung von privaten Internetanschlüssen gilt: Verwenden Sie grundsätzlich nur einen mit Passwort verschlüsselten WLAN-Zugang, oder verbinden Sie ihren Computer mit dem privaten Netzwerk durch ein Kabel.

5. Geeignete Aufbewahrungsorte für Dokumente:

Dokumente mit personenbezogenen Daten müssen stets verschlossen aufbewahrt werden. Dies gilt online wie offline. Für Papierdokumente brauchen Sie daher einen abschließbaren Raum oder Behälter. Auch ihre Geräte und Speichermedien dürfen für Unbefugte nicht zugänglich sein. Achten Sie darauf, wenn Sie den Raum kurz- oder längerfristig verlassen.

6. Arbeit mit personenbezogenen sensiblen Daten

Im Hinblick auf Vorkehrungen können Sie sich zunächst an der Frage orientieren, ob Sie mit personenbezogenen Daten arbeiten müssen oder nicht:

  • Wenn Sie an Aufgaben ohne Personenbezug und ohne andere sensible Daten arbeiten, haben Sie Zeit, sich an die neue Situation zu gewöhnen und Erfahrungen sammeln zu können. Entwickeln Sie die notwendige Sensibilität und schaffen Sie Bewusstsein für etwaige Gefahrenquellen.
  • Führen Sie eine Tätigkeit aus, die den Umgang mit personenbezogenen Daten zwingend macht? Dann gilt höchste Vorsicht und Sie sollten die zwingenden Sicherheitsmaßnahmen unbedingt einhalten.
    • Wenn Sie im Auftrag eines Kunden mit diesen Daten arbeiten, müssen Sie sicher sein, dass die Vereinbarung über die Auftragsverarbeitung die Arbeit in einem mobilen Office nicht ausschließt.
    • Zudem kann es sein, dass nicht alle Tätigkeiten gleichermaßen im mobilen Office geleistet werden dürfen. Achten Sie darauf, ob dies beispielsweise aufgrund von Auftragsverarbeitungsverträgen von Vornherein ausgeschlossen ist.

7. Sicherheit und Technik:

Greifen Sie, sofern die Möglichkeit besteht, auf IT-Geräte ihrer Institution zurück. Nutzen Sie nur private Geräte, wenn Sie keine andere Wahl haben.

Als unumgängliche Sicherheitsmaßnahme gilt, das System stets auf aktuellem Stand zu halten. Achten Sie darauf, alle Updates durchzuführen und sorgen Sie dafür, dass Virenschutz und Firewall durchgehend aktiv sind. Tragbare IT-Systeme und Datenträger müssen verschlüsselt werden.

Für technische Probleme sollten Sie, falls möglich, die Hilfe von Ansprechpersonen oder Vorgesetzen in Anspruch nehmen.

8. Sichere Verbindung:

Falls möglich, wählen Sie sich in das Netzwerk ihrer Institution über einen sicheren Kommunikationskanal, wie z. B. kryptografisch abgesicherte Virtual Private Networks (VPN) ein. In einigen Fällen muss hierbei der Remote-Zugriff auf sensible Bereiche ausgeschlossen werden. Haben Sie bisher keine sichere und skalierbare VPN-Infrastruktur, informieren Sie sich über mögliche Lösungen. Erfolgt ein Zugriff über öffentlich zugängliche Netze, muss dieser stets über einen VPN laufen. Achten Sie auf vertrauenswürdige IT-Systeme und Benutzer sowie auf Beschränkungen benötigter Benutzungszeiten.

Sorgen Sie für eindeutige Kontaktstellen und Kommunikationswege, die von den Beschäftigten verifiziert werden können.

Dokumente werden am besten nur auf Datenträgern im Netz ihrer Institution abgelagert. Damit stellen Sie auch sicher, dass ein Backup als übliche Datensicherung gewährleistet ist.

Falls Sie im Team arbeiten, vereinbaren Sie gemeinsam, wie untereinander und nach außen für Erreichbarkeit gesorgt wird. Sprechen Sie darüber, wie Datenschutzrisiken vermieden werden können.

  • Sollen beispielsweise private Telefone verwendet werden, müssen Sie sicherstellen, dass automatisch gespeicherte Anrufkontakte regelmäßig gelöscht werden. Fragen Sie sich, ob Sie auf die Übertragung ihrer privaten Telefonnummer bei Anrufen verzichten können. Andernfalls könnte es sein, dass ihre Privatnummer auch bei späteren Kontaktaufnahmen verwendet wird.

Beachten Sie auch, dass einige Telefonkonferenzsysteme nur mit Rufnummernanzeige funktionieren.

  • Nutzen Sie für die Kommunikation untereinander einen Messenger? Dann sollten Sie bei ihrer Wahl des Anbieters auf Ende-zu-Ende-Verschlüsselung achten. Greifen Sie auf datenschutzfreundliche, transparente Messenger wie Signal oder Threema zurück und tauschen Sie über Messenger-Kommunikationen keine sensiblen Informationen aus.

9. Im Fall des Datenverlusts:

Haben Sie beispielsweise Papierunterlagen oder Datenträger verloren besteht eine unverzügliche Meldepflicht. Dies gilt auch bei Verstößen gegen den Datenschutz, z.B. durch Zugriff von Unbefugten an den Computer. Zögern Sie keinesfalls den Kontakt mit Ansprechpersonen oder Arbeitgebern aufzunehmen. Nur so kann die Institution zeitnah mit Maßnahmen wie das Ändern von Passwörtern oder das Sperren von Zugängen reagieren.

Achtung Phishing! Es besteht die Wahrscheinlichkeit von vermehrten Auftreten von Phishing-E-Mails. Diese könnten die aktuelle Krisensituation ausnutzen und versuchen, ihre sensiblen Daten zum Beispiel mit Hinweis auf Remote Zugänge, das Zurücksetzen von Passwörtern abzugreifen.

10. Arbeiten im mobilen Office:

Technische und organisatorische Sicherheitsmaßnahmen sind wichtig für das Arbeiten am Computer, mit Papierdokumenten oder auch beim Telefonieren. Mindeststandart daheim sollten grundsätzlich die Sicherheitsanforderungen wie im Büro sein. Gibt es bei Ihnen keine Betriebs- bzw. Dienstanweisungen, können Sie sich an folgenden Maßnahmen orientieren:

Trennen Sie private und dienstliche Daten und beachten Sie dies von Anfang an im Rahmen ihrer Organisation des Arbeitsplatzes.

Achten Sie auch beim kurzfristigen Verlassen des Arbeitsplatzes darauf, dass Sie den Bildschirmschoner mit Passwort aktivieren und Fenster und Türen verschlossen sind. Wenn Sie einen Zugriff aufgrund der häuslichen Umgebung nicht ausschließen können, verschließen Sie zumindest ihre Papierdokumente im Schreibtisch, Schrank oder einem passenden Behältnis.

11. IT-Sicherheit:

Wenn Sie an einem dienstlichen Computer arbeiten, schließen Sie an diesem Gerät keine private Hardware, wie beispielsweise externe Festplatten oder USB-Sticks, an. Dies birgt das Risiko, dass Schadsoftware ihren Computer befallen kann und ihre Daten kompromittiert werden.

Für den Fall, dass der Computer doch infiziert wurde, müssen Sie dies schnellstens ihrer Institution melden. Halten Sie für hierfür stets die nötigen Kontaktinformationen griffbereit.

Bei der Datenverarbeitung an privaten Computern müssen die dienstlichen Daten in einem verschlüsselten Bereich gespeichert werden. Sobald die Daten später in das dienstliche Netz übertragen worden sind, müssen Sie diese auf dem privaten Gerät unwiederbringlich löschen. Achtung: Ein reines Verschieben in den Papierkorb, sprich das „Leeren“ des Papierkorbs ist hierfür nicht ausreichend. Möglicherweise benötigen Sie zum sicheren Löschen besondere Tools. Sofern es eine IT-Abteilung in ihrer Institution gibt, suchen Sie diese auf.

12. Umgang mit Papierdokumenten:

Vermeiden Sie es möglichst Dokumente auszudrucken. Ist dies doch einmal unumgänglich, achten Sie darauf, dass Sie diese unverzüglich aus dem Drucker entnehmen, sodass andere Personen im Haushalt keine Kenntnis dieser Daten nehmen können. Wenn über einen VPN im dienstlichen Netz gearbeitet wird, sollte darauf geachtet werden, keine Aufträge auf Drucker im Dienstgebäude zuschicken.

Entsorgen Sie dienstliche Dokumente keinesfalls unsachgemäß in Ihrem privaten Hausmüll. Bevor Datenträger und Dokumente weggeworfen werden, muss stets überprüft werden, ob diese sensible Informationen enthalten. Ist dies der Fall, müssen sie (evtl. vorher gesammelt und verschlossen gelagert) wieder mit zurücktransportiert und auf institutionseigenem Wege entsorgt oder vernichtet werden. Beachten Sie auch hier etwaige besondere Entsorgungs-Richtlinien ihrer Institution.

13. Dienstliche Telefonate am häuslichen Arbeitsplatz:

Suchen Sie sich einen ungestörten Platz auf, damit andere Personen vom Inhalt des Telefonats keine Kenntnis erlangen können.

14. Außerdem wichtig:

Achten Sie auf sich und Ihre Gesundheit. Homeoffice bedarf einer speziellen Disziplin, ist nicht für alle gleichermaßen angenehm bzw. einfach und dies schon gar nicht in diesen Krisenzeiten. Versuchen Sie Struktur in den Arbeitsalltag zu bekommen und achten Sie, wie im Büro, auf ausreichend Pausen, Dehnungsübungen und den wohlverdienten Feierabend.

15. Weiterführende Infos: