Aufgrund der COVID-19-Krise hat das Arbeiten im Homeoffice auch für Angestellte spürbar an Bedeutung gewonnen. Dieser Trend hat sich auch nach dem Abklingen der Pandemie verfestigt. Laut Statista erklärten im August 2022 lediglich rund 29 Prozent der empirisch Befragten, einer Anwesenheitspflicht an ihrer betrieblichen Arbeitsstätte zu unterliegen. Erstaunlich ist in diesem Zusammenhang, dass es häufig an der Verwendung der korrekten Begrifflichkeiten mangelt. Was allgemein als Homeoffice bezeichnet wird, meint in der Regel zwei Ausprägungen, deren Unterschiede von großer Relevanz sind.
Telearbeit und mobiles Arbeiten
Das klassische Arbeiten im Homeoffice wird auch als Telearbeit bezeichnet. Das heißt, dass der Arbeitgeber den betroffenen Angestellten eine komplette Büroausstattung zur Verfügung stellt, damit diese von zu Hause aus ihren beruflichen Verpflichtungen nachkommen können. Hier kommt die Arbeitsstättenverordnung (ArbStättV) zum Zug, und am Rande sei erwähnt, dass es sich um eine Personalmaßnahme im Sinne des Betriebsverfassungsgesetzes (Versetzung § 99 Abs. 1) handelt. Eine solche bedarf übrigens einer Zustimmung des Betriebsrats. Zur Telearbeit gehören Mobiliar, Arbeitsmittel sowie die erforderlichen Kommunikationseinrichtungen. Zudem regelt die ArbStättV wichtige Aspekte wie die Gefährdungsbeurteilung des Arbeitsplatzes (§ 3) sowie Maßnahmen zur Gestaltung von Bildschirmarbeitsplätzen (Anhang 6). Bei der Telearbeit ist es für Unternehmen vergleichsweise einfach, für eine adäquate IT-Sicherheit zu sorgen.
Gänzlich anders sieht es hingegen bei der zweiten Ausprägung, dem mobilen Arbeiten, aus. Diese ist weit verbreitet und steht für das ortsunabhängige Arbeiten mit einem mobilen Endgerät. Mobiles Arbeiten ist quasi überall – zum Beispiel im Zug, am heimischen Küchentisch, am Badesee oder auf einer idyllisch gelegenen Parkbank – möglich. Nicht selten verfolgen Arbeitgeber dabei eine Praxis, die auch als BYOD (Bring Your Own Device) bezeichnet wird. Folglich wird Arbeit auf einem privaten Endgerät des Mitarbeiters erledigt.
Gefahren für die IT-Sicherheit
Dabei wird oft unterschätzt, welche Gefahren hinsichtlich der IT-Sicherheit drohen, wenn das private Notebook, Tablet bzw. Smartphone für dienstlichen E-Mail-Verkehr oder Online-Sitzungen mit Anwendungen wie Microsoft Teams, Cisco Webex oder Zoom genutzt wird. In solchen Fällen lauern Risiken, die Unternehmer unbedingt kennen sollten. Aus CRONIQ-Sicht gilt es vor allem, die folgenden Fragen zu klären:
- Ist das WLAN-Netzwerk, auf das zurückgegriffen wird, sicher, oder haben auch andere, firmenfremde Personen Zugriff?
- Wie erfolgt der Datenaustausch zwischen dem Arbeitnehmer und dem Firmenserver? Ist dieser verschlüsselt, beispielsweise durch VPN-Technologie?
- Wie sicher sind die verwendeten privaten Endgeräte? Hier sind IT-Sicherheitsexperten stets höchst skeptisch, weil sie unter anderem nicht wissen, ob regelmäßig Updates installiert werden und ihnen insgesamt der Zugriff auf die entsprechenden Geräte fehlt.
Ein weiterer Aspekt, der häufig vernachlässigt wird, betrifft Datenträger. Beim mobilen Arbeiten ist die Versuchung besonders groß, dienstliche Daten mal eben auf einem privaten USB-Stick zu speichern; ein Horrorszenario für Unternehmer und ihre IT-Sicherheitsbeauftragten.
Empfehlenswerte Maßnahmen
Zunächst ist festzuhalten, dass die „Goldrandlösung“ lautet, den Mitarbeitern dienstliche Endgeräte zur Verfügung zu stellen. Dieser Schritt gestattet nicht nur eine vollumfängliche Einrichtung und Kontrolle der Maßnahmen zur IT-Sicherheit. Er stellt darüber hinaus eine Erleichterung für das betroffene Personal dar, weil das Trennen von beruflichen und privaten digitalen Aktivitäten spürbar erleichtert wird.
Da eine solche Lösung jedoch kostspielig ist, wird sie sich nicht in jedem Unternehmen realisieren lassen. In diesem Fall ist es unvermeidlich, einige zielgerichtete Rahmenbedingungen zu schaffen. Dazu gehört auch und vor allem, die Mitarbeiter umfassend für die IT-Sicherheit zu sensibilisieren. Dies beginnt beim Netzwerk, das sie für das mobile Arbeiten nutzen. Das offene Netzwerk eines Hotels ist sicherlich keine gute Idee, aber selbst das familiäre WLAN, dessen Passwort Angehörige und möglicherweise auch Freunde und Bekannte kennen, kann ein Risiko darstellen.
Des Weiteren sollte die Verbindung zwischen dem mobilen Endgerät und dem Firmenserver (End-to-End) verschlüsselt sein, so dass externe Akteure keine Daten abschöpfen können. Dazu gehört insbesondere, dass der Zugriff auf firmeninterne digitale Bereiche durch eine Zwei-Faktor-Authentisierung gesichert ist. Dabei wird zum Beispiel ein Zahlencode per SMS auf ein Smartphone gesendet, den der Nutzer eingeben muss, um Zugang zu erhalten. Es ist in der heutigen Zeit schlichtweg zu risikoreich, sich lediglich auf das altbekannte Passwort zu verlassen.
Unverzichtbar sind außerdem ein effektiver, stets aktueller Virenschutz, umfangreiche Maßnahmen zur E-Mail-Sicherheit (Phishing – privat und im Beruf eine Gefahr) sowie eine zentrale Speicherlösung einschließlich einer soliden Firewall. Schließlich gibt es weitere Aspekte, die allzu oft in der betrieblichen Hektik zu kurz kommen. Auch hier empfiehlt CRONIQ einige Prüffragen, die sich Firmeninhaber stellen sollten:
- Entspricht das Online-Banking, das die Firma verwendet, höchsten Sicherheitsansprüchen? Sind die zugriffsberechtigten Mitarbeiter umfassend eingewiesen und für Sicherheitsaspekte sensibilisiert?
- Bestehen Sicherheitsrisiken mit Blick auf Videokonferenzen? Sind die genutzten Plattformen tatsächlich sicher? Kann ausgeschlossen werden, dass Unbefugte Zugriff haben? Sind ungenutzte Webcams abgedeckt bzw. vom Gerät getrennt, um diesbezügliche Angriffe zu vermeiden?
- Sind sämtliche Mitarbeiter adäquat für die Aspekte der IT-Sicherheit geschult? Schließt das firmeneigene IT-Sicherheitskonzept das mobile Arbeiten ein?
Ein abschließender Tip
Unternehmen, die regelmäßig IT-Sicherheitshinweise bzw. entsprechende Warnungen veröffentlichen, unterstreichen die Bedeutung dieses Themas und sorgen für eine verstärkte Sensibilisierung ihres Personal. Dabei sollten IT-Sicherheitsaspekte, die das mobile Arbeiten betreffen, keinesfalls zu kurz kommen.
Viele Grüße,
Tilo Schneider