News aus der Welt des Datenschutzes

Aktuelles

Datenschutz: Verschiedene Formen des Homeoffice (anlässlich CORONA)

viele Unternehmen schicken die Mitarbeiter derzeit „spontan“ ins Homeoffice. In „normalen“ Zeiten wären viele der hier vorgestellten Überlegungen undenkbar, aber außergewöhnliche Zeiten bedürfen mitunter außergewöhnlicher Maßnahmen. 

Dabei gibt es so einige Herausforderungen, auf die wir hier in aller Kürze eingehen wollen. Bitte betrachten Sie Überlegungen und Maßnahmen nur als eine grobe Orientierung. Jedes Unternehmen funktioniert anders und hat einen ganz individuellen Schutzbedarf.

Grundsätzlich:

-Es bedarf einer Aufklärung zum Thema „Homeoffice“.

-Es sollten Zuhause möglichst keine Ausdrucke auf dem privaten Drucker erstellt werden (und wenn trotzdem erforderlich, so sollten die Papiere sehr sorgsam gehandhabt und verschlossen werden)

-Falls USB-Sticks eingesetzt werden, so müssen die Daten darauf verschlüsselt werden. 

Szenario 1: Mitarbeiter verfügen über geschäftliche Notebooks

In diesem Fall sind Sie gut aufgestellt. Derzeit (Mitte März 2020) hat es den Anschein, dass „normale“ Arbeitsplatz-Notebooks nicht mehr zu bekommen sind. 

Szenario 2: Mitarbeiter verfügen über geschäftliche Desktop-PCs (vollverschlüsselt)

Angesichts der derzeitigen Situation scheint es vertretbar, dass die Mitarbeiter den geschäftlichen PC mitsamt Monitor etc. nach Hause nehmen. 

Szenario 3: Mitarbeiter verfügen über geschäftliche Desktop-PCs (unverschlüsselt)

Sollten diese nicht komplett verschlüsselt sein (also das gesamte Laufwerk C:\), so könnten möglicherweise personenbezogene Daten durch unbefugte Personen zugegriffen werden. Die Mitarbeiter werden schriftlich angewiesen (a) den PC sofort und ohne Unterbrechung nach Hause zu bringen und (b) ihn dort in irgendeiner Form verschlossen aufzubewahren, (c) außerdem müssen ggf. lokal auf dem PC gespeicherte Daten schnellstmöglich gelöscht oder auf den zentralen Sever verschoben werden. 

Szenario 4: Mitarbeiter nutzen private Computer-Hardware

Dieses Szenario ist besonders kritisch und nur aufgrund akuter Notlage zu rechtfertigen. Schließlich wird hier ein Familien-PC genutzt, der über einen völlig unklaren Sicherheits-Stand verfügt.

Die Mitarbeiter müssen schriftlich zusagen:

- Das ein aktueller Antivirus installiert ist und die Festplatten innerhalb der letzten Woche einmal komplett untersucht wurden.

- Das die MS-Windows-Firewall aktiviert ist.

- Das sie einen separaten Windows-Benutzer anzulegen (mit einem eigenen Passwort). Hierbei sollte es sich dann um KEINEN Administrator-Account handeln, sondern einen „allgemeinen Nutzer“. Eine kleine Anleitung sollte die IT-Abteilung dafür liefern.

- Das ein Bildschirmschoner mit Passwort eingerichtet wird (und ansonsten der Rechner sofort manuell per Windows+L-Taste). 

Die Mitarbeiter werden gebeten:

- Möglichst keinen Rechner mit Windows 7 (oder älter) zu nutzen und alle MS-Windows-Sicherheits-Updates einspielen.
- Die familiäre Nutzung möglichst auf das Notwendige zu begrenzen.

- Mit größter Wachsamkeit hinsichtlich EMOTET handeln und bei MS-Office-Dokumente nur dann die „Bearbeitung aktivieren“, wenn dies wirklich erforderlich ist.

Es gilt zu überlegen, ob die IT-Abteilung (z.B. per GotoMeeting) einen gewissen IT-Sicherheits-Support liefern kann. Dabei muss natürlich ausgeschlossen werden, dass private Daten eingesehen werden. Durch das Anlegen eines neuen Windows-Benutzers ist das wohl zu erreichen. 

VPN: Der Zugriff auf Unternehmens-Laufwerke
Der VPN-Zugriff sollte möglichst mit einer 2-Faktor-Authentifizierung laufen (z.B. auch Google Authenticator). Der VPN-Server sollte auf die üblichen Büro-Arbeitszeiten begrenzt sein. Falls möglich, so sollte der Datenverkehr im Blick behalten werden… falls zu viel Daten bei einem User hoch- oder herunter geladen werden, so könnte das ein Indiz für ein Problem (z.B. Verschlüsselungs-Trojaner) sein. Die Passwörter sollten gelöscht oder neu gesetzt werden, wenn die spontane HomeOffice-Maßnahme beendet ist. 

Auf den Fileservern könnte die Backup-Häufigkeit erhöht werden, weil man damit rechnen muss, dass Daten unbrauchbar sind oder durch Fehlbedienung vielleicht versehentlich gelöscht werden. Auch hier ist ein stets aktueller Antivirus dringend angeraten. 

Wir wünschen allen Gesundheit und die Kraft, diese schwierige Zeit unbeschadet zu durchstehen.

Zertifizierung

logo dekra Fachkraft Datenschutz

Mitgliedschaft

logo bvd ev
logo bsb mit system

Kontakt

Data-Protection-Service I Externer Datenschutzbeauftragter

Harksheider Strasse 93b, 22399 Hamburg

Tel: 040-97 07 19 15
Fax: 040-97 07 19 15

Datenschutz

für Unternehmen in Hamburg, Schleswig-Holstein, Mecklenburg-Vorpommern und Niedersachsen
© 2020, Data Protection Service