Kontakt

Zurück zur Übersicht

5 Empfehlungen für KMU mit Homeoffice

, Tags:
Oliver Hirschi

Oliver Hirschi ist seit 2008 wissenschaftlicher Mitarbeiter und seit 2013 Dozent für Informationssicherheit an der Hochschule Luzern. Einerseits ist er in diversen Forschungs-, Entwicklungs- und Dienstleistungsprojekten und andererseits in Lehraufträgen tätig. Insbesondere ist er mit der Leitung der Dienstleistung «eBanking – aber sicher!» (www.ebas.ch) beauftragt. Ausserdem ist er nebenberuflich Inhaber und Geschäftsführer der SecAware GmbH (www.secaware.ch) und für die SQS als Freier Lead-Auditor ISO/IEC 27001 tätig.

hslu.ch

presented by: «eBanking – aber sicher!» der Hochschule Luzern

Im Homeoffice wird die sichere, organisierte und kontrollierte Firmenumgebung verlassen. Dieser Umstand erfordert spezielle technische, organisatorische und personenbezogene Massnahmen, um die Sicherheit der Firmendaten zu gewährleisten.

In einem Homeoffice kann nicht die gleiche Infrastruktursicherheit gewährleistet werden wie in den Firmenräumlichkeiten. Der Arbeitsplatz ist möglicherweise auch für Familienmitglieder oder Besucher zugänglich, Familienmitglieder arbeiten eventuell am gleichen Gerät, welches auch für die Arbeit bestimmt ist und im Zuge einer möglichen BYOD (Bring your own Device) Strategie gelangen Firmendaten auf die privaten Geräte der Mitarbeitenden.

Was muss ich nun als Unternehmen vorkehren, um mit dieser speziellen Situation umzugehen und die Sicherheit zu gewährleisten? Die folgenden fünf Empfehlungen richten sich an Unternehmen, mit Mitarbeitenden im Homeoffice.

Empfehlungen für die Mitarbeitenden selbst finden Sie in dem HSLU Artikel «5 Empfehlungen für Mitarbeitende im Homeoffice».

00_secnovum-Empfehlung-Homeoffice

1. Homeoffice Richtlinie

Eine Regelung, wie Mitarbeitende sich im Homeoffice um die Vertraulichkeit, Integrität und Verfügbarkeit der Firmeninformationen zu kümmern haben, bildet die Grundlage und ist unerlässlich. Empfehlenswert ist es, dies in einer Homeoffice-Richtlinie festzuhalten und den Mitarbeitenden zu kommunizieren. In einer solchen Richtlinie sollten mindestens folgende Punkte geregelt werden:

  • Generelle Themen, wie Arbeitszeitregelung, Reaktionszeiten, Arbeitsmittel, Sicherheitsmassnahmen, Datensicherung, Datenschutz, Datenkommunikation, Meldewege, Zutrittsrecht zum Homeoffice, Transport von Informationen und Geräte, Autorisierungen.

Verhalten und Vorgehen im Krisenfall: Sind viele Mitarbeitende im Homeoffice und die üblichen Kommunikationswege versagen oder sind eingeschränkt, kann es zu massivem Arbeitsausfall und somit zu einer sehr eingeschränkten Krisenbewältigung führen.


Für eine erfolgreiche Umsetzung dieser Richtlinie ist es unerlässlich, entsprechende Sensibilisierungen, Schulungen und Kontrollen durchzuführen.

2. Handhabung der Homeoffice-Infrastruktur und der Verbindung ins Firmennetzwerk

Für die Infrastruktur im Homeoffice sind angemessene Sicherheitsmassnahmen vorzuschreiben. Dies beinhaltet insbesondere den Umgang mit Updates, Virenschutz, Firewall, Betriebssysteme mit Benutzertrennung, Verschlüsselung etc. Die Firma soll durch IT-Support und den Sicherheitsbeauftragten die Homeoffice-Mitarbeitende bei der Absicherung von solchen Geräten unterstützen und beraten. Hierzu ist unbedingt zu beachten, dass die Verbindung zwischen den Geräten im Homeoffice und dem Unternehmensnetzwerk speziell geschützt ist, z.B. über ein VPN mittels 2-Faktor-Authentifizierung oder verschlüsselter Remote-Desktop-Verbindung.

3. Akten- und Datenträgertransport

Zwangsläufig werden Dokumente, Datenträger und IT-Geräte von der Firma zum Homeoffice transportiert. Dabei können diese Daten und Geräte verloren gehen, von unbefugten Dritten entwendet, gelesen und/oder manipuliert werden. So kann es zum Verlust der Vertraulichkeit, Integrität und Verfügbarkeit kommen. Hierzu sind folgende Punkte zu beachten:

  • Firmengeräte, Datenträger und Dokumente sind möglichst auf direktem Wege von der Firma ins Homeoffice zu bringen.

  • Werden sehr sensible (z.B. vertrauliche oder gar streng vertrauliche Dokumente, Datenträger oder Firmengeräte) ins Homeoffice transportiert, muss die vorgesetzte Person darüber in Kenntnis gesetzt, die Person dafür autorisiert und der Vorgang dokumentiert werden. Diese sensiblen Dokumente sollten idealerweise in einem verschliessbaren Behälter (z.B. Aktenkoffer) transportiert und aufbewahrt werden.



4. Zugang zu Firmeninformationen durch Dritte

Werden im Homeoffice schützenswerte Informationen bearbeitet oder aufbewahrt, sind diese auch in den privaten Räumen entsprechend zu schützen. Betreten Dritte diese Räume unbeaufsichtigt, kann der Schutz der Informationen gefährdet sein. Hierzu sind mindestens folgende Punkte zu beachten:

  • Der Arbeitsplatz im Homeoffice sollte sich in einem eigenen Raum befinden, welcher ausschliesslich der beruflichen Tätigkeit dient und insbesondere abschliessbar ist.

  • Vertrauliche Dokumente, Datenträger und Firmengeräte müssen im Homeoffice in einem verschliessbaren Bereich (z.B. Schrank, Schreibtisch) verstaut werden, sobald nicht mehr daran gearbeitet wird.



5. Entsorgung von Datenträgern und Dokumenten

Fehlt im Homeoffice eine geeignete Entsorgungsmöglichkeit für Dokumente und Datenträger, können Firmeninformationen via Hausmüll oder normaler Altpapiersammlung schnell in falsche Hände geraten. Hierzu sind folgende Punkte zu beachten:

  • Datenträger und Firmengeräte werden generell nur von der IT der Firma entsorgt, damit diese sicher gelöscht und nicht mehr wiederhergestellt werden können.

  • Papier-Dokumente müssen auch im Homeoffice entsprechend ihrer Vertraulichkeit korrekt entsorgt werden. Je nach Aufgabengebiet und Bedarf ist es sinnvoll den entsprechenden Mitarbeitenden einen Schredder zur Verfügung zu stellen.