MH - Fotolia
Home-Office mit dem Datenschutz in Einklang bringen
Fernarbeit ist sind in vielen Unternehmen zu einer festen Größe geworden. Dabei muss sichergestellt sein, dass sensible Daten nicht verloren gehen oder in falsche Hände geraten.
Modelle wie Working from Anywhere sind aus der Arbeitswelt nicht mehr wegzudenken. Sie ermöglichen es Mitarbeitern, unabhängig von ihrem Standort zu arbeiten: im Home-Office, unterwegs oder im Firmenbüro. COVID-19 hat diesen Trend zu „Remote Work" in den vergangenen Monaten beschleunigt. Auch nach der Pandemie werden mindestens 35 Prozent der Arbeitnehmer in Deutschland zumindest teilweise zu Hause ihrem Beruf nachgehen. Das ergab eine Umfrage, die das Marktforschungsunternehmen Bitkom Research Ende 2020 im Auftrag des Digitalverbandes Bitkom durchführte.
Der Grund für diese Entwicklung ist, dass sowohl Arbeitgeber als auch Beschäftigte mit der Remote Work gute Erfahrungen gemacht haben. Die Unternehmen profitieren von der höheren Flexibilität und Motivation ihrer Mitarbeiter. Diese wiederum arbeiten effizienter, etwa weil sie sich den Arbeitsweg ins Firmenbüro sparen oder auch während einer Dienstreise berufliche Aufgaben erledigen können. Außerdem geben solche Konzepte Beschäftigten die Möglichkeit, ihren Beruf und Aktivitäten wie die Betreuung ihrer Kinder besser miteinander zu vereinbaren.
Die Technik für diese flexible Form des Arbeitens ist vorhanden: Videokonferenzen ersetzten Abteilungsmeetings am Unternehmensstandort; statt des informellen Gesprächs in der Kaffeeküche kommen Instant Messaging und Collaboration-Tools zum Zug. Außerdem stehen Unternehmensanwendungen wie Office-Lösungen, ERP-Software (Enterprise Resource Planning) und Entwicklungsumgebungen über die Cloud zur Verfügung.
Gerade in diesem Zusammenhang zeigen sich die Vorteile von Cloud-Services. Dazu zählt für rund 50 Prozent der Unternehmen in Deutschland, dass sie schneller neue Lösungen und Funktionen bereitstellen können, und zwar sowohl an Firmenstandorten als auch im Home-Office und auf den mobilen Endgeräten der Mitarbeiter, etwa Notebooks und Tablets. Das ergab die IT-Marktanalyse „Cloud Adoption", die das Marktforschungsunternehmen techconsult mit Unterstützung von Mimecast erstellte. Ein weiterer Pluspunkt der Cloud ist laut der Analyse für rund 44 Prozent der Unternehmen die hohe Skalierbarkeit der IT-Infrastruktur, so die Studie. Unternehmen können sie variabel anpassen, etwa wenn sie mehr Server- und Storage-Ressourcen für virtuelle Desktops (Virtual Desktop Infrastructure) benötigen.
Auf virtualisierte Arbeitsplatzumgebungen sowie Anwendungen in Cloud- oder Firmenrechenzentren können Mitarbeiter von unterwegs aus oder im Home-Office über sichere VPN-Verbindungen (Virtual Private Network) zugreifen. An die 36 Prozent der Unternehmen stellen ihren Beschäftigten zu diesem Zweck cloudbasierte VPN-Services zur Verfügung. Laut der Studie wird dieser Wert mittelfristig auf 48 Prozent ansteigen.
Herausforderungen: Datenschutz und Cybersicherheit
Doch trotz dieser Vorteile erfordert Work from Anywhere besondere Maßnahmen, vor allem in Bezug auf den Schutz sensibler Daten. Dies schreibt die EU-Datenschutzgrundverordnung (DSGVO) vor. So verlangt Artikel 5 Absatz 1 Buchstabe f der DSGVO, dass personenbezogene Daten, die ein Mitarbeiter bearbeitet, vor dem Zugriff Unbefugter und vor Verlust zu schützen sind. Zu diesem Zweck müssen das Unternehmen und der Mitarbeiter „geeignete technische und organisatorische Maßnahmen“ ergreifen, auch im Home-Office und unterwegs.
Zu diesen Maßnahmen zählt, dass Mitarbeiter vorzugsweise firmeneigene Endgeräte für berufliche Aufgaben verwenden, die zentral von der IT-Abteilung verwaltet werden – keine privaten Notebooks und Smartphones. Außerdem sind Cyber-Security-Lösungen erforderlich, welche die IT-Systeme und Anwendungen der User vor Schadsoftware sowie Phishing- und Spam-E-Mails schützen. Wichtig ist zudem ein Schutz vor Webseiten, auf denen Cyberkriminelle Schadsoftware platziert haben. Neben solchen Vorkehrungen gegen Cyberrisiken müssen Beschäftigte die Sicherheit von Daten gewährleisten. Es reicht nicht aus, geschäftskritische Informationen auf einer externen Festplatte oder dem Notebook zu sichern. Vielmehr sollten solche Daten kontinuierlich in ein Firmen- oder Cloud-Rechenzentrum übermittelt und dort gesichert beziehungsweise archiviert werden.
Umsetzen lässt sich ein Sicherheitskonzept für Remote Work mithilfe von cloudbasierten Lösungen. Dazu zählen Mobile-Security-Services. Bereits 44 Prozent der Unternehmen in Deutschland greifen auf solche Angebote zurück, so die IT-Marktanalyse. Künftig werden es mehr als 53 Prozent sein. Auch bei Lösungen in den Bereichen Web-Security (49 Prozent) und E-Mail-Sicherheit (54 Prozent) werden Services aus der Cloud herkömmlichen Lösungen den Rang ablaufen, die Unternehmen im eigenen Rechenzentrum implementieren. Das gilt auch für die Bereiche Backup und Recovery sowie die Archivierung von Daten. Sie ermöglichen es Mitarbeitern, die im Firmenbüro, im Home-Office oder unterwegs tätig sind, Geschäftsdaten auf komfortable und dennoch rechtskonforme Weise zu sichern. Deshalb wollen 54 Prozent der Firmen dafür auf Cloud-Dienste zurückgreifen.
Mangelhafte Aufklärung über Risiken von Remote Work
Ebenso wichtig ist, dass Mitarbeiter wissen, welche Compliance- und IT-Sicherheitsvorgaben im Homeoffice und unterwegs gelten. Doch in diesem Punkt besteht Nachholbedarf, wie eine Untersuchung zum Thema IT-Sicherheit im Home-Office ergab. So haben laut der Studie 63 Prozent der deutschen Unternehmen ihren Mitarbeitern seit Beginn der Pandemie keine Schulungen zum Thema Remote Arbeiten aus dem Home-Office angeboten.
Hinzu kommt, dass etwa ein Drittel der Unternehmen keine Vorgaben machen, ob Mitarbeiter firmeneigene Notebooks und Smartphones auch für private Zwecke nutzen dürfen. Daher ist es nicht verwunderlich, dass 43 Prozent der Mitarbeiter private E-Mails über unternehmenseigene Endgeräte abrufen. Jeweils 30 Prozent nutzen solche Systeme außerdem für das private Online-Banking und Shopping. Dieses Verhalten erhöht das Risiko, dass Schadsoftware auf den Betriebsrechner gelangt und von dort einen Weg in das Unternehmensnetz findet. Das erfolgt beispielsweise über Spam-E-Mails, die Schadsoftware oder Links zu Webseiten mit Malware enthalten. Mehr als Hälfte der Mitarbeiter (55 Prozent) ist sich nicht immer im Klaren darüber, dass solche Links eine Gefahr darstellen.
Tipps für DSGVO-konformes Arbeiten im Home-Office
Damit bei der Arbeit im Home-Office Compliance-Vorgaben und die Regelungen der DSGVO eingehalten werden, empfiehlt sich daher eine Schulung der Mitarbeiter. Anbieter von IT-Sicherheitslösungen bieten praxisorientierte Awareness Trainings an. In ihnen lernen die Teilnehmer beispielsweise, wie sie Phishing-E-Mails von „echten" Nachrichten unterscheiden und welche Gefahren mit Web-Links in E-Mails und Messages verbunden sein können.
„Nicht nur im Firmenbüro, sondern auch im Home-Office, im Tagungshotel oder auf dem Flughafen muss ein umfassender Schutz von Geschäftsdaten sichergestellt sein.“
Klaus Seidl, Mimecast
Ein weiterer Sicherheitsfaktor ist der Einsatz von Cloud-Services. Den Zugang zu Cloud-Ressourcen und dem Unternehmensnetz können Unternehmen mithilfe einer Mehrfaktor-Authentifizierung schützen, etwa einem Passwort und zusätzlich einer ID, die auf das Smartphone des Mitarbeiters übermittelt wird.
Ergänzend dazu sollten Unternehmen auf Cloud-gestützte IT-Sicherheitslösungen zurückgreifen. Dazu zählen E-Mail-, Netzwerk- und Web-Security-Dienste, außerdem ein Identity-and-Access-Management sowie SIEM-Services (Security Information and Event Management). Auch Mitarbeiter im Home-Office lassen sich mit überschaubarem Aufwand in ein cloudbasiertes IT-Security-Konzept einbinden – ohne VPNs und ohne dass der gesamte Netzwerkverkehr über ein Firmenrechenzentrum geführt werden muss.
Wichtig ist zudem, Home-Offices in die unternehmensweite Backup- und Archivierungsstrategie zu integrieren. Daten, die Remote Mitarbeiter generieren und bearbeiten, müssen regelmäßig in einem Rechenzentrum gesichert und archiviert werden. Auch dies lässt sich auf einfache und gesetzeskonforme Weise mithilfe von Cloud-Services bewerkstelligen. Außerdem sollten neben den geschäftlichen Daten auf einem Notebook oder Tablet auch Backup- und Archivdaten verschlüsselt werden.
Fazit
Nicht nur im Firmenbüro, sondern auch im Home-Office, im Tagungshotel oder auf dem Flughafen muss ein umfassender Schutz von Geschäftsdaten sichergestellt sein. Unternehmen stehen somit vor der Aufgabe, ihre Konzepte für IT-Security, den Datenschutz und die Datensicherheit entsprechend anzupassen. Der Aufwand, der damit verbunden ist, lässt sich jedoch minimieren. Die Voraussetzung ist, dass ein Unternehmen auf Cloud-basierte Lösungen zurückgreift. Sie lassen sich einfacher als On-Premises-Ansätze implementieren und verwalten, sind technologisch stets auf dem aktuellen Stand und können jederzeit an die aktuellen Anforderungen angepasst werden. Dies sehen auch immer mehr Anwender so, wie die eingangs erwähnte IT-Marktanalyse untermauert: An die 34 Prozent der Firmen gaben an, dass sich ohne Cloud-Dienste Remote-Work-Konzepte nur bedingt umsetzen lassen. Das gilt vor allem für größere Firmen mit 1.000 bis 5.000 Mitarbeiter (47 Prozent).
Wichtig ist allerdings bei solchen Cloud-basierten Angeboten, dass sie Schnittstellen zu Lösungen anderer Anbieter zur Verfügung stellen. Renommierte Anbieter haben eine umfassende „Partner-Ökosphäre" aufgebaut. Dies ist die Voraussetzung dafür, dass Unternehmen einen maßgeschneiderten Schutzschirm für ihre Mitarbeiter und Projektpartner einrichten können, egal, wo diese tätig sind: im Firmenbüro, im Home-Office, vor Ort bei Kunden oder an entfernten Standorten.
Über den Autor:
Klaus Seidl ist Vice President DACH bei Mimecast.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.