Mobiles Arbeiten: Sicher digital unterwegs

Home Office, Remote Work, mobiles Arbeiten und vieles mehr sind Begriffe, die die sogenannte Arbeitswelt 4.0 widerspiegeln. All diesen Modellen liegt der Wunsch vieler, gerade junger Mitarbeitenden zu Grunde, mehr Flexibilität bei der Gestaltung ihrer täglichen Arbeitszeiten zu haben. In unserem Artikel zeigen wir, welche datenschutzrechtlichen und technischen Hürden dabei zu beachten sind und wie Sie diese meistern können.

 

Eine Frage der Definition: Was versteht man unter mobiler Arbeit, Home Office und Co.?

Obwohl diese Frage zunächst trivial erscheint, ist es wichtig, sich im Unternehmen ganz genau damit auseinanderzusetzen, was die neuartigen Arbeitsmodelle für das Unternehmen und die Mitarbeitenden bedeuten, schließlich orientiert sich der rechtliche Rahmen daran. Ist mit “Home Office” beispielsweise wirklich nur die reine Arbeit vom heimatlichen Schreibtisch gemeint? Oder darf der Mitarbeitende auch ein Café aufsuchen, um dort zu arbeiten? Wie flexibel wird das Home Office gestaltet: Gilt hier eine Erreichbarkeit innerhalb der regulären Bürozeiten? Gibt es nur Kernzeiten? Oder sind Arbeitszeiten vollständig flexibel? 

Bei der mobilen Arbeit wird es zum Teil noch komplexer: Denn auch hier bestimmen manche Arbeitgeber, dass damit im Grunde nur die Möglichkeit zum Home Office gemeint ist. Andere erlauben die Arbeit von überall, aber nur innerhalb Deutschlands oder der EU, manche Unternehmen erlauben nur den Wechsel zwischen Firmensitzen und wieder andere erlauben auch die Arbeit im nicht-europäischen Ausland. Je nachdem, welches Modell also gewählt wird, müssen unterschiedliche rechtliche Rahmenbedingungen und Datenschutzbestimmungen eingehalten werden.

 

Mobiles Arbeiten: Herausforderungen für die Cybersecurity

Unternehmen, die es Ihren Mitarbeitenden ermöglichen, von überall zu Arbeiten, müssen besonders strenge Datenschutzmaßnahmen ergreifen, um Angreifern kein Einfallstor für Attacken auf die Cybersecurity zu liefern. Daher sollten folgende Punkte gut bedacht werden:

1. Die Verbindung zum Unternehmensnetzwerk absichern 

Grundsätzlich ist erstmal jede Internetverbindung, die nicht selbst vom Unternehmen konfiguriert wurde, als unsicher zu betrachten. Dazu zählt sowohl das Netzwerk beim Mitarbeitenden zu Hause, als auch Netzwerke in Coworking Spaces, Cafés, Hotels usw. Um jedoch Zugriff auf die Unternehmensressourcen zu haben, müssen Mitarbeitende allerdings das WLAN oder mobile Daten nutzen. 

Um die Verbindung zum Unternehmensnetzwerk abzusichern, sollte in jedem Fall ein VPN genutzt werden, welches die Datenübertragung verschlüsselt. Zudem sollten dienstliche Geräte mit einer Firewall und einem sicheren Browser, der keine Daten tracked, ausgestattet sein. Arbeiten die Mitarbeitenden viel mit dem Tablet, bietet sich ein per-App-VPN an. Dadurch wird sichergestellt, dass alle Endgeräte im Sinne des EMM sicher das Internet nutzen. 

2. Authentifizierung und Verschlüsselung 

Wenn Mitarbeitende mobil arbeiten möchten, müssen zunächst die genutzten dienstlichen Endgeräte dokumentiert werden. Die Nutzung privater Endgeräte zum Zugriff auf Unternehmensdaten ist grundsätzlich zu untersagen, da hier keine Sicherheit garantiert werden kann und wichtige Schutzmaßnahmen, wie die Installation eines MDM (Mobile Device Management), nicht ohne Zustimmung des Mitarbeitenden durchgeführt werden dürfen. Am sichersten ist die Vergabe von Zertifikaten für die genutzten Laptops, ohne die diese nicht in das Netzwerk gelangen können. 

Das Unternehmen muss zudem eine Passwort-Richtlinie etablieren, die komplexe Passwörter für den Zugriff auf Unternehmensressourcen verlangt und die Nutzer*innen regelmäßig zur Änderung dieses Passwortes auffordert. Im Falle, dass eines der Passwörter ausgespäht wird, wird durch die regelmäßigen Änderungen in nicht zu kurzen Abständen ein unberechtigter Zugriff verhindert. Auch sollten Zahlungsvorgänge, Abrechnungen, Logins und mehr immer mit einer Zwei-Faktor-Authentifizierung versehen sein. 

3. Vorbeugen von Angriffen

Jeder Dienstlaptop sollte mit einem aktuellen Antivirenprogramm ausgestattet sein, welches zuverlässig Bedrohungen erkennt. Oftmals sind diese sogar schon dabei und werden regelmäßig durch die Anbieter des Betriebssystems erneuert. Mobile Dienstgeräte müssen zudem mit einem MDM ausgestattet werden, welche die Funktionalität bis zu einem gewissen Grad beschränkt und zum Beispiel bestimmte Webseiten und Apps blockiert, welche die Sicherheit der Daten kompromittieren können. Ein Spamfilter im E-Mail Programm verhindert zudem, dass Phishing-Mails es in das Postfach des Mitarbeitenden schaffen. 

Besonders wichtig ist es, gerade bei Mitarbeitenden, die viel mobil arbeiten und den Laptop auch an öffentlichen Orten verwenden, diese noch einmal besonders in Bezug auf die Cyber Security-Awareness zu schulen. Dazu gehören z.B. der richtige Umgang mit Passwörtern, Hinweise zu Gefahren wie Social Engineering und wie sie diese Bedrohung erkennen. 

Dies ist nicht nur bei älteren Mitarbeitenden wichtig, denn ein Trugschluss ist es zu glauben, dass die sogenannten “Digital Natives” sich automatisch aller Gefahren für die Cyber Security bewusst sind. Teilweise ist hier sogar ein gegenteiliges Verhalten zu beobachten, nämlich, dass freiwillig viele Daten herausgegeben werden, z.B. für Newsletter, Anmeldungen zu Online Seminaren, Produkttests usw. Wobei nicht alles aus seriöser Quelle stammt. Es müssen also, bevor die junge Generation in die mobile Arbeitswelt entlassen wird, auch hier spezifische Schulungen erfolgen.

Der Schutz personenbezogener Daten beim mobilen Arbeiten

Die technische Absicherung der Dienstgeräte liefert die wichtige Grundlage für den umfassenden Schutz der personenbezogenen Daten von Kund*innen und Mitarbeitenden, sowie von unternehmensinternen Daten. Grundsätzlich sollten diese Daten niemals auf dem Gerät selbst gespeichert werden – ein automatisches Hochladen in eine sichere Cloud ist zu bevorzugen. Je nach Anforderungen ist es sogar erforderlich, dass Unternehmen ihre Anwendungen selbst hosten müssen, z.B. im Gesundheitsbereich. 

Ist dies nicht der Fall, ist ein Server innerhalb der EU immer zu präferieren, da man hierbei davon ausgehen kann, dass dieser DSGVO konform sein muss. In jedem Fall sollten von jeder Person nur die Daten erhoben werden, die absolut notwendig sind. Auch der Zugriff auf diese Daten muss geregelt sein, indem Zugriffsrechte vergeben werden. Nicht jeder Mitarbeitende braucht schließlich Zugang zu den Kundendaten und nicht jede*r benötigt Zugriff auf das Abrechnungssystem des Unternehmens.

 

Mobiles Arbeiten kann sicher sein – mit der richtigen Vorbereitung!

Wie Sie sehen, bedarf es einiger Vorbereitung, wenn Unternehmen es ihren Mitarbeitenden ermöglichen, mobil zu arbeiten. Letztlich lohnt sich dieser Mehraufwand dennoch, denn nicht nur positioniert sich das Unternehmen als attraktiver Arbeitgeber, sondern die Absicherung über den Standard hinaus verhindert auch Angriffe, die auftreten können, wenn die Mitarbeitenden im Büro sitzen. 

Wir empfehlen grundsätzlich die Einführung eines MDM oder EMM in Ihrem Unternehmen als grundlegende Basis für die Sicherheit am Arbeitsplatz. Mit diesem können Sie alle Geräte des Unternehmens im Blick behalten und sogar Remote Support leisten, im Falle eines Problems –egal, wo sich Ihre Mitarbeitenden gerade aufhalten!

Unser MobiVisor MDM sichert Ihre Geräte umfassend ab und hilft bei der Verwaltung von Apps und der Einrichtung von Geräten. Kontaktieren Sie uns für ein kostenfreies Erstgespräch.

Mehr erfahren
Linkedin Youtube Instagram

Copyright: © 2020 IOTIQ

Kontakt