Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Schließlich war noch das Problem mit dem Toilettenpapier zu lösen.

Und selbst wenn bei der Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt daran anzuknüpfen. So gilt es insbesondere, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 Abs. 1 lit. d DSGVO fordert, um ein angemessenes Schutzniveau zu gewährleisten, gegebenenfalls vorhandene Schutzmaßnahmen einer „regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung“ zu unterziehen. Wer sich neben dem Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind das Tagesgeschäft im Bereich der Informationssicherheit.

___STEADY_PAYWALL___

Das Rad nicht neu erfinden: Informationssicherheitswissen nutzen

Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020)^[1] bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können einfach mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher auch ein Grund, warum Art. 32 DSGVO die „Sicherheit in der Verarbeitung“ als die Grundwerte der Informationssicherheit direkt zitiert (i.e. Vertraulichkeit, Integrität und Verfügbarkeit).

In diesem Beitrag werden die wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus enthält der Beitrag hilfreiche Empfehlungen. Themen wie E-Mail-Sicherheit, Mitarbeitersensibilisierung oder auch der Umgang mit Sicherheitsvorfällen werden leider oft vernachlässigt oder in der Eile schlicht übersehen. Gerade dann, wenn es wie im März 2020 schnell gehen muss.

Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz

Der sog. IT-Grundschutz umfasst „standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen“. Diese Aufzählung zeigt deutlich, der IT-Grundschutz betrifft entgegen seines Namens nicht nur die IT-Sicherheit. Anderes wäre auch schwerwiegend, schließlich passiert der Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich^[2]. Der Faktor Mensch, denn Fehler sind menschlich, bildet die Schwachstelle der Informationssicherheit und damit auch des praktischen Datenschutzes. Die Bausteine des auch den Menschen einbeziehenden IT-Grundschutzes sind nach Schichten (Themenbereiche) unterteilt:

• ISMS: Sicherheitsmanagement
• ORP: Organisation und Personal
• CON: Konzeption und Vorgehensweisen
• OPS: Betrieb
• DER: Detektion und Reaktion
• APP: Anwendungen
• SYS: IT-Systeme
• IND: Industrielle IT
• NET: Netze und Kommunikation
• INF: Infrastruktur

So beinhaltet die Schicht ISMS hilfreiche, in Bausteine unterteilte Informationen zum Informationsmanagementsystem. Der Baustein „ISMS.1 Sicherheitsmanagement“ beschreibt dabei sehr konkret, welche Anforderungen im Rahmen des IT-Grundschutzes an die Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter konkretisiert hin zu möglichen technischen und organisatorischen Schutzmaßnahmen. Für ein besseres Verständnis dieser Empfehlungen sowie die Feinjustierung im konkreten Einzelfall enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der jeweiligen Gefahrenlage.

In der Schicht INF finden sich Bausteine zur Absicherung der physischen, v.a. räumlichen Gegebenheiten, i.e Infrastruktur: Dabei enthalten sie, beispielsweise und unterteilt nach Nutzungsarten, mögliche Sicherheitsvorkehrungen für Gebäude und diverse Räume innerhalb von Gebäuden. Wer den raumunabhängigen Einsatz von Smartphones und Tablets plant oder gar über eine sog. MDM-Lösung (Mobile Device Management) nachdenkt, der wird in der Schicht SYS^[3] fündig.

Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten: Wer ein Bild aufhängen möchte, findet hier z.B. Hammer, Nägel, Dübel und Schrauben. Welche Mittel zum Einsatz kommen, entscheidet sich aber vor allem nach der Dicke oder Beschaffenheit der Wand sowie dem Verlauf von Leitungen, die man bestenfalls nicht treffen sollte. Weil nicht jeder zugleich Schreiner oder Elektriker sein kann, enthält der Werkzeugkasten hilfreiche Hinweise.

Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen – MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT

Grundsätzlich sind die Umsetzungsempfehlungen des IT-Grundschutzes nur reine Empfehlungen, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen (freiwillig) erreicht oder verbessert werden kann. Geht es darüber hinaus jedoch um eine nachweisbare Umsetzung oder Zertifizierung, sind bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret dahingehend zu prüfen, ob und wie man diese zukünftig umsetzt. Es gibt in diesem Fall klassische Muss- und Kann-Anforderungen. Ebenso gibt es Sachverhalte, die nachweisbar ausgeschlossen werden müssen. Für die relevanten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal genügen, MUSS und SOLLTE näher zu betrachten (Details Modalverben des IT-Grundschutzes^[4]):

MUSS

„Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).“

SOLLTE

„Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.“

Die weitere Unterscheidungen innerhalb des IT-Grundschutzes in Basis-, Standard- und Kern-Absicherung soll an dieser Stelle zur Vereinfachung außer Acht bleiben. Vorliegend geht es schließlich nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise genügt es, sich mit den sog. Basis- und Standard-Anforderungen in den jeweiligen Bausteinen zu befassen. Bei Vorliegen einer kritischen Geschäftstätigkeit oder der geschäftsmäßigen Verarbeitung von Informationen mit sehr hohem Schutzbedarf, lohnt durchaus auch ein Blick in den Abschnitt „Anforderungen bei erhöhtem Schutzbedarf“ des jeweiligen Bausteins.

Konkrete Bausteine für technischen und organisatorischen Maßnahmen

Mit dem Fokus auf Heimarbeit und mobiles Arbeiten sind vor allem folgende Bausteine des IT-Grundschutzes von Relevanz:

OPS.1.2.4 Telearbeit

Thematisiert werden hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipment und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, die Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen, sowohl im Hinblick auf den IT-Betrieb selbst und seine Organisation.

INF.8 Häuslicher Arbeitsplatz

Hier wird der Schwerpunkt gelegt auf die Einrichtung und den Betrieb eines häuslichen Arbeitsplatzes. Behandelt werden u.a. Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, die IT-Nutzung und deren Absicherung, Transport sowie Vernichtung bzw. die sachgerechte Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz sowie auch Gefährdungen durch Familienmitglieder und Besucher. Oft wird in der Praxis auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Über vom privaten Aufenthaltsraum abgetrennte Arbeitszimmer verfügen jedoch nur die wenigsten. Für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.

INF.9 Mobiler Arbeitsplatz

Nicht immer kann und wird ein fester häuslicher Arbeitsplatz eingerichtet werden. Dank Laptop und anderen mobilen Geräte kann dennoch von zu Hause oder auch überall sonst gearbeitet werden. Jene Aspekte behandelt dieser Baustein mit Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, zur technischen Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), zum Akten- und Datenträgertransport, zur Entsorgung von analogen und digitalen Datenträgern, zum Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen) und natürlich der allgemeinen Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.).

NET.3.3 VPN

Dieser Baustein enthält Anforderungen zur Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) mit dem Ziel der Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Anderenfalls wäre schließlich eine „Standleitung“ in das interne Firmennetz eingerichtet. Warum Anbieter von VPN-Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt vorsehen, soll hier nicht diskutiert werden.

NET.2.2 WLAN-Nutzung

Unabhängig  von der Frage, ob der Zugriff auf das Firmennetz über einen privaten WLAN-Zugang oder von sog. WLAN Hot Spots unterwegs erfolgen darf, sind durch technische und organisatorische Maßnahmen ausreichende Verschlüsselungsstandards (Passwörter mit WPA2-Standard und höher) sicherzustellen. Eine zusätzliche Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points ist ebenfalls zielführend. Einfach erklären lässt sich ein Rogue Access Point wie folgt: Ein beliebiges, als frei zugänglich eingerichtetes Netzwerk wie der Hot Spot des eigenen Smartphones wird umbenannt in „Telekom“ oder „WifionICE“ und, z.B. durch Setzen in einen Zug, jedermann in Reichweite zur Kenntnis gebracht. Innerhalb weniger Sekunden haben sich zahlreiche Geräte eingeloggt, welche nun mehr oder weniger schutzlos Angriffen ausgesetzt sind.

OPS.1.2.5 Fernwartung

Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird eine Unterstützung von außen, etwa mittels Fernwartung durch die eigene IT-Abteilung oder einen externen Dienstleister notwendig. Regelungen zur Vorgehensweise aber auch zur technischen Absicherung sind hier unabdingbar. Der Baustein enthält daher entsprechende Empfehlungen zur Software- und Dienstleisterauswahl und Protokollierung der Wartungstätigkeiten.

OPS.2.2 Cloud-Nutzung

Gerade in den Zeiten der Corona-Pandemie werden häufiger Cloud-Services eingesetzt, sei es zum reinen Datenaustausch oder zur Auslagerung ganzer Verarbeitungstätigkeiten. Besonders herauszuheben sind hier die Nutzung von Webkonferenz-Diensten oder auch sonstigen Kommunikationsplattformen, welche eine reibungslose Zusammenarbeit trotz körperlicher Abwesenheit ermöglichen. Neben der technischen Sicherheit durch verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen dabei auch rechtlich-organisatorische Aspekte, v.a. des Auslagern-Dürfens im Fokus, die an dieser Stelle jedoch nicht vertieft werden sollen.

OPS.1.1.4 Schutz vor Schadprogrammen

Ein veränderter oder neuer Einsatz von Informationstechnologie bringt neue Einfallstüren für Schadprogramme mit sich. Die Anforderungen an einen konsequenten Schutz vor Schadprogrammen sind daher technischer und organisatorischer Natur. Softwareaktualisierungen, v.a. von Anti-Virus-Programmen, werden regelmäßig als notwendig bekannt sein, nicht jedoch die ebenfalls notwendige Prüfung der Bezugsquelle des jeweiligen Updates. Neben Softwareaktualisierungen enthält der Baustein natürlich noch weitere Hinweise und Tipps.

ORP.4 Identitäts- und Berechtigungsmanagement

Sicherzustellen ist ebenfalls, dass nur berechtigte Benutzer auf die Firmennetzwerke und -systeme zugreifen können. Wie dies im Einzelfall erfolgen kann, damit befasst sich der Baustein ORP.4.

ORP.3 Sensibilisierung und Schulung

Wie bereits oben angesprochen wurde, sind Mitarbeiter Menschen und Menschen machen Fehler. Daraus leitet sich ein großer (Un-) Sicherheitsfaktor für eine Organisation ab. Schulungen und Sensibilisierungen mögen auf den ersten Blick wirtschaftlich unattraktiv sein. Dennoch können vermeidbare Fehler durch Schulungen und Sensibilisierung vermieden werden. Die Kosten eines vermeidbaren Fehlers werden regelmäßig die Kosten einer Schulung übersteigen; sie lohnen sich und sind deshalb Thema des Bausteins ORP.3.

Empfehlungen (nicht nur) für den Fall des Sicherheitsvorfalls

Wie verhält man sich, wenn der Sicherheitsvorfall eintritt? Im besten Fall wurde auch dafür vorgesorgt durch

• regelmäßige Sensibilisierung und Schulungen. Denn „Vorbeugen ist besser als Nachsorgen.“ 
• die Einrichtung von Prozessen und Formulierung von Handlungsanweisungen, was im Fall von Sicherheitsvorfällen und Datenpannen zu tun ist, v.a. wer (z.B. der Datenschutz- und Informationssicherheitseauftragte, die Geschäftsleitung) wann wie zu informieren ist. Hilfreich ist hier unter Umständen die sog. IT-Notfallkarte „Verhalten bei IT-Notfällen“.
• Bekanntmachung und Etablierung vorstehender Prozesse und Handlungsanweisungen, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
• die Beseitigung von Angst bei den Mitarbeiterin, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Der Kern der Meldung ist die Chance der Schadensvermeidung oder -minimierung, nicht die „Selbstanzeige“.
• Prozesse der Fehleranalyse und Prozessverbesserung. Selbstkritik und der Wille zur Selbstverbesserung schaffen mehr Sicherheit als das Ignorieren und Nichtlernen aus Fehlern. Der Baustein DER: Detektion und Reaktion kann hier eine gute Hilfestellung bieten.
• regelmäßige Sensibilisierung und Schulungen. Denn „Vorbeugen vor dem nächsten Sicherheitsvorfall ist besser als erneutes Nachsorgen.“ 

Mittel und Empfehlungen zur Sensibilisierung

Nachstehende Quellen ermöglichen die eigene aber auch die Information von Mitarbeitern:

Die Allianz für Cybersicherheit hält einen Informationspool^[5] bereit mit praktischen und anschaulichen Tipps, Mustern und Vorlagen zur Sensibilisierung von Mitarbeitern, insbesondere im Kontext der Heimarbeit und mobilen Arbeitens.

Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer^[6] veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt „Telearbeit und Mobiles Arbeiten“^[7] und deren datenschutzgerechte Ausgestaltung veröffentlicht.

Einen abwechslungsreichen Mix zu finden, einen bunten Blumenstrauß aus verschiedenen Strategien zu binden, um Mitarbeiter nicht zur zu informieren, sondern auch zu erreichen, ist der Schlüssel zu Informationssicherheit und Datenschutz^[8]. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate; eine positive Emotion sorgt dafür, dass die übermittelte Botschaft ankommt und umgesetzt wird. Mitarbeiter, die sich als Chance und nicht Risikofaktor empfinden, tragen gerne zur Sicherheit ihres Arbeitgebers bei.

Datenschutz und Informationssicherheit ist mehr Nutzen als Last

Datenschutz und Informationssicherheit sind nicht identisch, es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Bereichen zur Anwendung kommen können. Aufmerksam angewandt können sie große Chancen und Vorteile mit sich bringen – nicht nur im Wettbewerb mit weniger umsichtigen Akteuren. Die Corona-Pandemie hat v.a. im Bereich der Digitalisierung der Arbeit im Unternehmen zu sprunghaften Entwicklungen geführt, mit deren Risiken der eine besser als der andere umgehen wird.

V

V

* Sascha Kuhrau ist BSI-zertifizierter IT-Grundschutz Praktiker, ISIS12 Berater (mit Zusatz Kommunalverwaltung) und bildet (behördliche) Informationssicherheitsbeauftragte an der Bayerischen Verwaltungsschule aus.

^[1]  Bundesamt für Sicherheit in der Informationstechnik (künftig: BSI), IT Grundschutz Kompendium, 2020, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html (zuletzt abgerufen am 13.12.2020).

^[2]  LfDI BW, Datenschutzverletzungen bereiten zunehmend Sorge, 30.07.2019, https://www.baden-wuerttemberg.datenschutz.de/datenschutzverletzungen-bereiten-zunehmend-sorge/ (zuletzt abgerufen am 13.12.2020).

^[3]  BSI, SYS.3.2.2 Mobile Device Management (MDM), https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/SYS/SYS_3_2_2_Mobile_Device_Management_(MDM).html (zuletzt abgerufen am 13.12.2020).

^[4]  BSI, 1.4 Aufbau der Bausteine, Abschnitt Modalverben, 2020, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/vorkapitel/1_IT-Grundschutz_–_Basis_für_Informationssicherheit.html (zuletzt abgerufen am 10.12.2020).

^[5]  https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Awareness/awareness_node.html (zuletzt abgerufen am 13.12.2020).

^[6]  https://www.vbg.de/SharedDocs/Medien-Center/DE/Broschuere/Themen/Bildschirm_und_Bueroarbeit/Mobil_arbeiten_mit_Notebook_Faltblatt.pdf?__blob=publicationFile&v=12 (zuletzt abgerufen am 13.12.2020).

^[7]  https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.html (zuletzt abgerufen am 13.12.2020).

^[8]  IT-Administrator, Gefahren-Sensibilisierung von Mitarbeitern, https://www.it-administrator.de/themen/sicherheit/grundlagen/166738.html  (zuletzt abgerufen am 13.12.2020).