25.08.2021

Hybrid Work: So wird die Rückkehr ins Büro nicht zum Datenschutz-Risiko

Kehren die Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice (zeitweise) in das frühere Büro zurück, bedeutet das auch geänderte Datenschutzkonzepte. Die neue Form des Arbeitens wird eine Mischform, „Hybrid Work“ sein, mit Folgen für den Datenschutz. Machen Sie deshalb Hybrid Work zum Gegenstand einer Datenschutzunterweisung.

Hybrid Work

Nach Remote Work kommt Hybrid Work

Hybrid Work bedeutet, dass die Beschäftigten flexibel und bedarfsabhängig zwischen Büro, Homeoffice und mobiler Arbeit wechseln. Nun ließe sich vermuten, dass Hybrid Work auf den Datenschutzkonzepten der bisherigen Büroarbeit aufsetzen kann. Dass sich also die Datenschutzmaßnahmen für das Homeoffice mit den bekannten Maßnahmen für die klassische Büroarbeit kombinieren lassen. Ganz so einfach ist es jedoch nicht.

Bürorückkehrer im Fokus der Phishing-Attacken

Cyberkriminelle und andere Datendiebe nutzen jede aktuelle Veränderung, um daraus kriminelles Kapital zu schlagen.

So berichtet der Digitalverband Bitkom von Phishing-Angriffen, die auf die Bürorückkehrer maßgeschneidert sind: „Mitarbeitende bekommen E-Mails vom IT-Chef ihrer Firma, der sie zurück im Büro begrüßt – versehen mit Logo und Unterschrift. Ein Link in der Nachricht verweist auf neue Vorsichtsmaßnahmen, die das Unternehmen mit Blick auf die Pandemie trifft. Um auf diese Dokumente zugreifen zu können, müssen Mitarbeitende dann ihr Passwort eingeben. In Wahrheit sollen so die Zugangsdaten abgegriffen werden“, erläutert Sebastian Artz, Referent für Informationssicherheit und Sicherheitspolitik beim Bitkom.

Hybrid Work

Neben vorsichtig agierenden Mitarbeitenden bedarf es einer vorausschauenden Planung in Unternehmen, so Bitkom: So sollten Endgeräte, die die Beschäftigten im Homeoffice nutzen, nicht unbedacht wieder im Unternehmen zum Einsatz kommen.

„Unternehmen müssen damit rechnen, dass Cyberkriminelle dies bereits antizipiert haben und bewusst Endgeräte infiltriert wurden, um den Moment abzupassen, an dem sich die Geräte wieder im Unternehmensnetzwerk befinden – ganz im Sinne eines trojanischen Pferds, das mit dem Wegfall der Homeoffice-Pflicht einfach wieder durch die Eingangstür des Unternehmens hineingetragen wird“, warnt Bitkom-Experte Artz.

Praxis-Tipp

Daher sollte die IT die Rückführung der Geräte genau erfassen und inventarisieren. Empfehlen Sie als Datenschutzbeauftragter / Datenschutzbeauftrage, im Unternehmen oder in der Behörde sicherzustellen, dass die Geräte über alle aktuellen Updates verfügen und auf Schadcode-Befall überprüft wurden, bevor sie wieder im Firmen- bzw. Behördennetz zum Einsatz kommen.

Datenschutz für Hybrid Work

Bei der neuen Art des Arbeitens Hybrid Work geht es nicht nur um die einmalige Rückkehr ins Büro, sondern um den ständigen Wechsel zwischen Büro, mobiler Arbeit und Homeoffice.

Das Ziel dabei ist klar: Ganz gleich, wo die Arbeit mit personenbezogenen Daten stattfindet, darf das Datenschutzniveau nicht sinken. Stattdessen müssen die Datenschutzmaßnahmen immer dem jeweiligen Risiko entsprechen, im Büro, gleich wo sich die Beschäftigten befinden.

Ein Beispiel ist die Anmeldung an IT-Systemen

So kann es im Büro ausreichen, ein Passwort abzufragen, je nach Situation vor Ort vielleicht auch im Homeoffice, wenn dort Dritte keinen Zugang zu den IT-Systemen wie dem betrieblichen Notebook haben.
Unterwegs jedoch lassen sich Notebooks leichter stehlen oder sie gehen verloren. Dann ist eine Mehr-Faktor-Authentifizierung (MFA) empfehlenswert.

Wichtig ist es dabei zu verstehen, dass „Unterwegs sein“ nicht Dienstreise bedeuten muss. Allein schon der regelmäßige Wechsel zwischen Büro und Homeoffice führt dazu, dass die Beschäftigten unterwegs sind. Das bedeutet also, dass sich die Schutzmaßnahmen für die Anmeldung innerhalb einer kurzen Zeit – also innerhalb der Dauer des Wegs zwischen Büro und Homeoffice – mehrfach ändern müssten.

Flexible Arbeit erfordert flexible oder strikte Datensicherheit

Machen Sie den Beschäftigten in einer Unterweisung zur (teilweisen) Rückkehr ins Büro und zu Hybrid Work klar, dass der flexible Wechsel bei der Arbeit auch zu dynamischen Risiken führt.

Entweder heißt es dann, die Security-Maßnahmen dynamisch zu gestalten. Dann sollten sich die Nutzerinnen und Nutzer nicht wundern, dass sich selbst innerhalb einer Stunde – also zum Beispiel während sie vom Homeoffice ins Büro fahren – die Anforderungen an die Sicherheit verändern können. So kann die Anmeldung beispielsweise wechseln von der einfachen Passworteingabe hin zur Mehr-Faktor-Authentifizierung.

Die Alternative ist, von den jeweils höchsten Risiken auszugehen und immer und an jedem Ort die hohe und strikte Sicherheit zu verlangen. Das würde etwa immer Mehr-Faktor-Authentifizierung bedeuten, auch im Büro, wo früher vielleicht ein Passwort reichte.

Wichtig ist also, in der Datenschutz-Schulung das Verständnis bei den Nutzerinnen und Nutzern zu wecken, dass ein Mehr an Flexibilität bei der Arbeit auch ein – zeitweises – Mehr an Sicherheit und Datenschutz nach sich zieht.

Newsletter abonnieren

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)