Sicheres Arbeiten im Home-Office

Prinzipiell sollten beim Arbeiten im Home-Office die identischen Sicherheitsregeln und -regelungen gelten wie im Unternehmen. Informationssicherheit wird immer durch das schwächste Glied in der Sicherheitskette gefährdet. Speziell in der aktuellen Corona-Krise wird versucht die Situation für Cybercrime-Angriffe auf allen Ebenen auszunutzen. Unternehmen, Home-Office Mitarbeiter und Administratoren müssen ihren Beitrag leisten, um das Sicherheitsniveau aufrecht zu erhalten. Informationssicherheitsbeauftragte und Datenschutzbeauftragte sind im Falle einer Krise besonders gefordert die Verfügbarkeit und Vertraulichkeit von IT-Systemen und Daten durch entsprechende Maßnahmen zu gewährleisten.

Regeln und Tipps für Unternehmen:

  • Es ist festzulegen ob bestimmte Daten bzw. Datenkategorien nicht im Home-Office verarbeiten werden dürfen.
  • Die Verwendung von privaten IT-Systemen (BYOD) ist zu regeln. Wird dies vom Unternehmen genehmigt?
  • Mitarbeiter, die im Home-Office arbeiten sind ausreichend zu sensibilisieren.
  • Sind Betriebsvereinbarungen bzw. Einzelvereinbarungen geschlossen worden?

Regeln und Tipps für Mitarbeiter:

  • Beachten Sie alle im Unternehmen getroffenen Regelungen für den sicheren Umgang mit Daten auch im Home-Office
  • Beachten Sie eventuell erlassene Einschränkungen bei der Verarbeitung von Daten im Home-Office.
  • Sorgen Sie dafür, dass Unberechtigte (Mitbewohner, Familienmitglieder, Besucher …) keinen Zugang zu Unternehmensdaten bekommen
  • Sperren Sie beim Verlassen Ihres Arbeitsplatzes den Rechner mit <WIN>+<L>
  • Papierunteralgen sind angemessen aufzubewahren – der Schutz gegen unbefugte Einsichtnahme ist zu gewährleisten.
  • Wenn Sie im Home-Office ausdrucken so achten Sie darauf, dass Fehldrucke nicht im Hausmüll entsorgt werden. Sammeln Sie diese Fehldrucke zur späteren Vernichtung im Unternehmen (Reißwolf oder Datenschutzbox).
  • Wenn Sie vertrauliche Telefongespräche führen achten Sie auf die Vertraulichkeit. Ein Mithören durch Unbefugte gilt es zu verhindern.
  • Nutzen Sie, soweit möglich nur dienstliche IT-Systeme. Soweit dies nicht möglich ist und dies vom Unternehmen genehmigt wird, so sorgen Sie dafür, dass diese Systeme mit aktuellen Virenscanner-Software versesehen sind und die Systeme generell mit aktuellen Updates und Sicherheits-Patches betrieben werden. Im Zweifel sprechen Sie mit Ihrer IT-Abteilung.
  • Speziell bei Sicherheitslagen, wie etwa der Corona Pandemie, sind vermehrt Phishing-E-Mails im Umlauf. Seien Sie bei E-Mails besonders vorsichtig, da in Krisen-Situationen versucht wird Passwörter über gefälschte E-Mails zu erfragen. Eine andere Variante besteht daran Sie auf infizierte Web-Seiten zu locken Dazu werden Ihnen Links in E-Mails zugesendet – mit dem Hinweis auf das Zurücksetzen von E-Mails, auf amtliche Verlautbarungen und uvm. Seien Sie auf der Hut.
    Siehe dazu die folgenden Videos des BSI:

 

  • Informieren Sie umgehend die IT-Abteilung bei verdächtigen Phänomenen.

Regeln und Tipps für Administratoren:

  • Sind genügend Ressourcen für VPN-Zugänge bzw. Telefonverbindungen vorhanden (Bandbreite der Leitungen, Lizenzen …)?
  • Sind die relevanten IT-Systeme aktuell? Sind Updates und Sicherheitspatches eingespielt?
  • Sind Backups aktuell und gegen Verschlüsselung durch Ransomware geschützt?
  • Sind Admin-Berechtigungen auf das notwendige Maß eingeschränkt vergeben?

Weitere Informationen finden Sie auch im aktuellen ISIS12 Katalog.