Datenschutz im Homeoffice

Datenschutz im Homeoffice

In Zeiten von Corona gewinnt das Homeoffice an Akzeptanz. Gut so! Wurde es vorher bei vielen Arbeitgebern immer als problematisch angesehen, weil ein Verlust von Kontrolle befürchtet wurde, so ist es nun Mittel zum Zweck, um die Geschäfte weiter führen zu können. Wie sieht es denn eigentlich mit dem Datenschutz im Homeoffice aus?

Arbeitgeber, die sich schon länger mit dezentralisierter Arbeit befassen und somit auch letztendlich um Work-Life-Balance, sind hier sicher schon weiter. Andere Arbeitgeber hat Corona kalt erwischt, natürlich gibt es hier keinen Notfallplan, momentan geht es deshalb im wesentlichen um Schadensbegrenzung. Corona führt zu Existenzangst, da wird Homoffice als gute Alternative angesehen, Hauptsache erstmal, es geht irgendwie weiter.

Datenschutz im Homeoffice wie geht das? Im Idealfall stellt der Arbeitgeber ein Endgerät zur Verfügung, dieses Endgerät ist ausschließlich dafür gedacht, auf die Systeme des Arbeitgebers zuzugreifen, eine private Nutzung ist ausgeschlossen.

Aber auch Möglichkeiten mit eigenen Geräten sind denkbar, hier wird idealerweise ein sog. VPN-Tunnel zum Netzwerk der Firma eingerichtet, eine adäquate Passwortsicherheit ist vorauszusetzen und los geht es.  Das sind also die vorbereiteten Unternehmen.

Nun haben wir diejenigen, die diese Pandemie kalt erwischt hat. Teilweise sind sie so klein, dass Homeoffice im Normalfall gar keinen Sinn macht. In Zeiten der Not ist man natürlich für jede noch so ungünstige Möglichkeit dankbar, den Betrieb aufrechterhalten zu können. Letztendlich stehen hier jetzt auch Existenzen auf dem Spiel, denn wird nicht gearbeitet, müssen die Mitarbeiter entlassen und im schlimmsten Szenario die Firma geschlossen werden. Das will keiner, also machen wir Datenschutz im Homeoffice nach bestem Wissen und Gewissen, wie es eben in der Kürze der Zeit und ohne Vorbereitung machbar ist.

Hier ist sicher jenseits aller einzuhaltenden Vorschriften die Kooperation der Mitarbeiter gefragt. Es geht ja nicht nur um IT-basierte Daten, es geht auch um Papierausdrucke, Ordner, die mitgenommen wurden, die Buchhaltung etc. Im Prinzip möchte ich es wie immer gerne IT-Sicherheit nennen.

Der Arbeitgeber muss sich zwangsläufig ein paar Gedanken machen:

  • wo werden die Unterlagen in der privaten Wohnung des Mitarbeiters aufbewahrt?
  • Was ist besonders vertraulich zu behandeln?
  • Wie sieht es aus, wenn jemand in Quarantäne ist, wie können dann Unterlagen transportiert werden?
  • Wie sind die gängigen Kommunikationswege?

Eine Chance in Zukunft einen Plan zu haben

Diese Krise ist aber auch eine Chance, es bei kommenden „Katastrophen“ besser zu machen. Nun haben wir eine Pandemie, nächstes Mal ist es evtl. eine Naturkatastrophe, ein Cyberangriff etc. Szenarios, die wir uns im Moment noch gar nicht vorstellen können, wurden nicht genannt 😉

Es geht nicht darum, Angst zu haben, es geht nur darum, besser vorbereitet zu sein. Dafür eignet sich ein Notfallplan, ein sog. Incident Response Process, schließlich hat auch jeder einen Notfallplan für einen Brand im Unternehmen, oder? Ich würde dazu raten, jetzt nicht in Schockstarre zu verharren, sondern aus den Fehlern, Unsicherheiten, fehlenden technischen Voraussetzungen etc. zu lernen und das nächste Mal besser vorbereitet zu sein. Natürlich hoffen wir, dass wir den Plan gar nicht erst brauchen, trotzdem ist es besser, überhaupt einen zu haben.

Über den Datenschutz im Homeoffice muss man sich auch Gedanken machen, trotzdem behaupte ich mal, dass wir momentan alle damit beschäftigt sind, Existenzen und Arbeitsplätze zu retten, wenn wir dann mal nicht soooo perfekt sind wie sonst, shit happens. Wenn wir wieder durchatmen können, machen wir es besser. VERSPROCHEN!

In Kürze hier: Ein paar Infos zur Aufstellung eines Notfallplans.

Vielleicht auch interessant:

https://cheyenne-blog.de/tag/incident-response-prozess/
https://cheyenne-blog.de/cyber-angriff-auf-franzoesischen-fernsehsender-scheucht-alle-auf/

Hackerangriff auf den Bundestag, nun geht’s los

Im Moment hört man ständig in den Medien, dass wegen des Hackerangriffs auf den Bundestag vor ca. 3 Monaten die IT-Infrastruktur abgeschaltet wurde.

Wenn ich so etwas lese, ergeben sich für mich sehr viele Fragen.

  • Der Hackerangriff war doch schon vor 3 Monaten, wurde in der Zwischenzeit einfach weitergearbeitet?
  • Was ist mit der Schadsoftware passiert? Ist sie noch im Netz und wurde in der Zwischenzeit fleissig weiter verteilt?
  • Warum müssen denn die Serversysteme auch getauscht werden
  • eigentlich hätte ich noch so ca. 10 Fragen, aber ich belasse es mal dabei.

Zusammenfassend kann man wohl sagen, sämtlicher Informationsfluss wirft immer wieder neue Fragen auf. Aus meiner Sicht sieht es gar so aus, als würde man total im Dunkeln tappen. Nach 3 Monaten erst mit Abschaltung der Systeme zu reagieren, ist entweder arrogant oder dumm.

Nun wird die Sommerpause genutzt, vor einigen Wochen sollte zwar schon einmal abgeschaltet werden, aber wegen der Debatten zur Griechenlandhilfe ging das nicht. Die (verseuchten?) Systeme wurden wohl noch gebraucht.

Zur Eliminierung des Trojaners werden viele verschiedene Informationen bekannt gegeben. Säuberung der Systeme, ich frage nochmal wirklich? nach 3 Monaten. Austausch von Hardware, hier frage ich mal, wer will denn da jetzt so richtig verdienen?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt regelmäßig Tipps zum Umgang mit IT-Sicherheit heraus. Es hat sogar die sogenannten BSI-Grundschutzkataloge auf den Markt geworfen. Die gaukeln zwar nur Sicherheit vor, leiten aber dazu an, sich über IT-Sicherheit mal kurz Gedanken zu machen und zu überprüfen, wo man steht und ob vielleicht etwas mehr getan werden sollte.

Jede ordentliche Firma hat einen Notfallplan, sei es für Feuer o.ä. Für IT-Notfälle heißt er IRP, Incident Response Process. Was sagt der für den Bundestag passende denn für den Fall eines Angriffes?

Und meine letzte Frage, wo steht denn der Bundestag (und ich werfe auch gerne schnell noch alle anderen Behörden in den Topf) in Bezug auf den BSI-Grundschutz? Sollte es nicht gerade dort Pflicht sein, das anzuwenden, was eine andere Behörde ausgearbeitet hat? Schließlich sind sie alle wie sie da sitzen nur unsere Vertretung (StaatsDIENER), ich erwarte etwas mehr Einsatz und Integrität für mein (Steuer) geld.

siehe auch: Hackerangriff auf franz. Fernsehsender; IT-Sicherheit ein Einführung

Cyber Angriff auf französischen Fernsehsender scheucht alle auf

Gestern wurde bekannt, daß ein Cyber Angriff auf einen französischen Fernsehsender verübt wurde.

http://www.nzz.ch/international/europa/is-hackerattacke-gegen-franzoesische-sendergruppe-tv5monde-1.18518613

Nun sind alle empört, auch die deutsche Regierung schließt nicht aus, daß so etwas auch uns treffen könnte.

Ich frage mich nur, ist das eigentlich ein deutsches oder ein menschliches Problem? Dieses Reagieren auf Ereignisse gepaart mit einer hochstilisierten Empörung bei gleichzeitiger Lähmung. Jeder denkt bei jedem wie auch immer gearteten Problem, mir passiert das nicht, in meinem Land kann so etwas nicht passieren…

Cyber Angriff auf französischen Fernsehsender scheucht alle auf weiterlesen