Sicheres und datenschutzkonformes Arbeiten aus dem Home Office – für viele Unternehmen, Mitarbeiterinnen und Mitarbeiter kann das recht kompliziert werden. Wir haben dazu Dr. Judith Nink interviewt. Sie arbeitet als Datenschutzbeauftragte bei der eyeo GmbH, die die freie Software AdBlocker entwickelt.
Frau Dr. Nink, welches technische Set-up sollten Unternehmen ihren Mitarbeiterinnen und Mitarbeiter mitgeben, damit sie sicher zuhause arbeiten können?
Dr. Judith Nink: In jedem Fall sollte das Unternehmen Endgeräte zur Verfügung stellen, die automatische Sicherheitsupdates einspielen. Ein Firmen-VPN ist wichtig, um öffentliche WLAN-Hotspots und gegebenenfalls auch das eigene WLAN zu sichern. In öffentlichen Räumen ist zudem ein Kensington Schloss sinnvoll. Damit wird der Rechner bei kürzeren Pausen zumindest gegen Gelegenheitsdiebstahl geschützt.
Eine Verschlüsselung für Festplatten- und USB-Sticks sollte außerdem Standard sein. Das automatische Sperren des Laptops, nach einer gewissen Zeit der Inaktivität, sollte ebenfalls eingestellt sein. Essentiell sind regelmäßige Schulungen und Richtlinien, die selbstverständlich auch in regelmäßigen Abständen kommuniziert werden müssen. Awareness Trainings können hier ein gutes und spielerisches Mittel sein, um Mitarbeiterinnen und Mitarbeiter zu sensibilisieren.
Auf welche Aspekte des Datenschutzes müssen Unternehmen bei der Wahl ihrer Kollaborationstools für das Home Office besonders achten?
Nink: Privacy by Design, also Datenschutz durch Technik, spielt hier eine sehr große Rolle. Anbieter, die ihre Kollaborationstools bereits mit starken technischen Maßnahmen zum Schutz vertraulicher Daten ausstatten, nehmen dem Unternehmen viel Arbeit und Risiken ab. Unternehmen sollten darauf achten, dass folgende Maßnahmen implementiert sind:
- Dezidierte Zugangs- sowie Zugriffsberechtigungsverwaltungen, um einen Zugriff auf Need-to-know Basis zu ermöglichen
- Einstellungsmöglichkeit von individuellen Löschfristen
- Ausreichende Verschlüsselung der Kommunikation. Transportverschlüsselung oder eine Ende-zu-Ende Verschlüsselung
- Standardmäßig aktivierte Nachverfolgung von Änderungen der Daten sowie Zugriffsprotokollierung
- Verschlüsselung der Datenbank
Zusätzlich müssen Unternehmen die Dokumentation der Anbieter gründlich prüfen. Hier sollten sie insbesondere auf ausreichende Datenschutzverträge und ein angemessenes Datenschutzniveau bei Anbietern außerhalb der EU achten.
In welchen Bereichen können Unternehmen ihre Mitarbeiterinnen und Mitarbeiter besser schulen? Wo sehen Sie Verbesserungsbedarf und Potenziale, um die Sicherheit zu erhöhen?
Nink: Meine Erfahrung ist, dass gründliche Sensibilisierung und regelmäßige Schulungen sehr wichtig sind. Mitarbeiterinnen und Mitarbeiter wollen verstehen, warum sie beispielsweise ihren Rechner sperren sollen. Verbesserungspotenzial sehe ich vor allem bei der Umsetzung vieler Sicherheitsmaßnahmen. Häufig setzen Unternehmen die Sicherheitseinstellungen auf das Maximum, um das Sicherheitsrisiko Mensch zu minimieren. Externe USB-Sticks oder andere Schnittstellen werden teilweise nicht erlaubt. Meist erreichen Unternehmen dadurch jedoch das Gegenteil, weil Mitarbeiterinnen und Mitarbeiter diese Maßnahmen mangels Praktikabilität kreativ umgehen.
Anstatt sämtliche Schnittstellen zu sperren, könnten Unternehmen die Ausgabe von verschlüsselten Team-USB-Sticks bei jeder Rückgabe durch einen Virenscan laufen lassen. Gepaart mit entsprechenden Sensibilisierungsmaßnahmen und Schulungen bleibt das Risiko von Datenschutzverletzungen dann gering.
Dr. Judith Nink hält auf den ISD digital 2020 einen Vortrag zum Thema: „Remote Working – How to …“ Datenschutzkonformes und -sicheres Arbeiten vom Sofa, im Lieblingscafe oder Co-Working-Space“. Mehr zu den ISDdigital.