25.11.2020

Sicherheitslösungen für das Homeoffice

Die Markt für Homeoffice-Lösungen ist stark angewachsen. Verschiedene Sicherheitskonzepte konkurrieren darum, Remote Work zu schützen. Datenschutzbeauftragte sollten bei der Auswahl unterstützen und beraten. Lesen Sie daher, worauf es ankommt.

Sicherheitslösungen Homeoffice

Datenschutz auch jenseits des Firmennetzwerks

Heimarbeitsplätze waren früher eine Besonderheit, in vielen Unternehmen gab es weder den Bedarf noch die Erlaubnis, dass Beschäftigte im Homeoffice arbeiten. Die Corona-Pandemie hat das stark verändert. Umfragen zeigen, dass nun die Mehrheit der Unternehmen die Sicherheit und den Datenschutz auch in Homeoffices sicherstellen muss.

Dabei ist zu erwarten, dass Remote Work dauerhaft einen neuen Stellenwert erlangt. Die dezentrale Arbeit, im Homeoffice oder unterwegs, gehört zur „neuen Normalität“. Grund genug, Homeoffices nicht mit temporären Maßnahmen abzusichern, sondern dauerhafte Lösungen zu suchen.

Vielfältige Lösungen für das Homeoffice

Nun ist es nicht so, dass es kaum Lösungen gibt, die die Sicherheit und den Datenschutz bei Remote Work erhöhen sollen, ganz im Gegenteil. Der Markt ist voller Lösungen. Die Schwierigkeit ist vielmehr, auf die richtigen Konzepte zu setzen.

Bei diesen Überlegungen und bei der Lösungssuche sollten Verantwortliche die oder den Datenschutzbeauftragte(n) einbeziehen. Manche Unternehmen werden sogar hoffen, dass die oder der DSB der Einkaufsabteilung die Arbeit abnimmt. Oder aber die IT-Abteilung und die IT-Sicherheit wollen die Auswahl alleine treffen, und der Datenschutz ist nahezu unbeteiligt.

Das Thema Remote Work ist aber so wichtig für die Zukunft der Verarbeitung personenbezogener Daten, dass Unternehmen und Behörden den Datenschutz unbedingt beratend einbeziehen sollten. Die Komplexität von Remote Work und die Fülle der möglichen Lösungen und Konzepte machen die Aufgabe für DSBs jedoch nicht einfach.

Tipp: Verzeichnis von Verarbeitungstätigkeiten hilft

Wie gehen Sie als DSB am besten vor? Machen Sie sich zuerst klar, dass Remote Work vieles verändert. In den meisten Fällen aber wird sich das Geschäftsmodell des Unternehmens nicht ändern.

Entsprechend sind weiterhin die Verfahren zur Verarbeitung personenbezogener Datenim Einsatz wie bisher, allerdings an anderen Standorten und oftmals mit anderen Endgeräten und Applikationen.

  • Starten Sie als DSB deshalb mit dem Verzeichnis von Verarbeitungstätigkeiten. Prüfen Sie, welche Verfahren von Remote Work betroffen sind.
  • Dann stellt sich die Frage, welche Endgeräte und welche Anwendungen die Mitarbeitenden nutzen.
  • Neu hinzu kommt, dass die personenbezogenen Daten bei Remote Work wesentlich häufiger übertragen werden. Eine lokale Datenverarbeitung im Firmennetzwerk verwandelt sich oftmals in eine Datenverarbeitung mit Datenübertragung, in eine Datenverarbeitung in der Cloud oder mit Fernzugriff. Dabei verbleiben die Daten zwar im Firmennetzwerk, die Datenzugriffe erfolgen aber von extern.
  • In Rücksprache mit IT-Abteilung und Fachbereichen gilt es jetzt zu prüfen, welche Verfahren wie betroffen sind.
  • Dann geht es um die Frage, welchen neuen Risiken die betroffenen Daten ausgesetzt sein können.
  • Für diese neuen Risiken müssen geeignete Schutzmaßnahmen gefunden werden.

Endgeräte, Anwendungen, Datenübertragung und Zugriffe betrachten

Für jedes Verfahren, das ganz oder teilweise über Remote Work läuft, sind somit sichere Endgeräte, sichere Applikationen oder Cloud-Dienste, sichere Datenspeicher, sichere Übertragungswege und sichere Datenzugriffe notwendig.

Je nach Unternehmen bedeutet das:

  • Die IT muss betriebliche Endgeräte bereitstellen oder private Endgeräte für die betriebliche Nutzung absichern. Hierfür gibt es (vom Unternehmen gestellte) Endgeräte mit geschütztem Gehäuse gegen unerlaubte Eingriffe. Oder auch Mini-PCs, die die Beschäftigten an private Rechner anstecken und die eine hardwarebasierte Isolation der Daten ermöglichen.
  • Es gibt Softwarelösungen, die gesicherte Bereiche (Container, Sandboxes) auf den privaten Geräten erzeugen, um die betrieblichen Daten abzukapseln.
  • IT-Sicherheitssoftware kann die Applikationen im Homeoffice oder die Cloud-Dienste absichern, indem sie die Nutzung (datenschutzkonform) überwacht und gegen unerlaubte Zugriffe schützt.
  • Datenübertragungen und Fernzugriffe lassen sich mit verschlüsselten Verbindungen absichern, VPNs (Virtual Private Networks) mit Zwei-Faktor-Authentifizierung (2FA) erweitern.
  • Die Datenspeicherung kann geschützt und datenschutzgerecht in einer passenden Cloud erfolgen oder im Firmennetzwerk (Fernzugriff). Eine andere Möglichkeit sind speziell geschützte Speicherlösungen, die unerlaubte Zugriffe Dritter nicht zulassen, indem sie etwa eine automatische Verschlüsselung aktivieren und der Zugriff über Passwort und Fingerabdruck freigegeben werden muss.

Was Sie genau raten und der Verantwortliche dann auswählt, kommt auf die IT-Landschaft und die Applikationen des Unternehmens an.

Heimliche Überwachung verhindern

Wichtig ist, dass der Datenschutz immer das gleiche hohe Niveau erreichen muss, an jedem Standort der Verarbeitung. Wichtig ist außerdem, dass die Monitoring-Lösungen, die der Sicherheit dienen, nicht zur heimlichen Überwachung im Homeoffice führen.

Es gibt also viel zu überlegen und zu tun. Doch das manchmal als lästig empfundene Verzeichnis von Verarbeitungstätigkeiten ist der Schlüssel zum Datenschutz bei Remote Work.

Die Datenschutz-Grundverordnung (DSGVO) ist durchaus für neue Arbeitswelten geeignet und macht sie letztlich erst rechtlich möglich.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)