Datenschutz: Für die Zukunft der Telearbeit gilt es fünf Fragen zu berücksichtigen

Infrastrukturen und Prozesse müssen hinsichtlich Datensicherheit und Datenschutz angepasst werden

Vom unserem Gastautor Marc Lueck, CISO bei Zscaler

[datensicherheit.de, 30.06.2020] Nachdem in ganz Europa zunehmend mehr Lockerungen nach den COVID-19 Ausgangsbeschränkungen stattfinden, öffnen nun auch wieder Unternehmen die Bürotüren für ihre Mitarbeiter. Trotzdem hat die Pandemie und der damit verbundene Wandel der Arbeitskultur vom Büro ins Home Office deutliche Spuren hinterlassen. Telearbeit erhält aufgrund vielfältiger positiver Erfahrung hinsichtlich Produktivität und Mitarbeiterzufriedenheit ganz neue Akzeptanz und wird laut Vorhersagen zukünftig eine weitaus größere Rolle spielen als bisher.

Dauerhaftes Etablieren von Telearbeitsplätzen in der Überlegung

Damit einhergehend wird es für Firmen, die über ein dauerhaftes Etablieren von Telearbeitsplätzen nachdenken, wichtiger auch die Rahmenbedingungen hinsichtlich Datensicherheit und Datenschutz anzupassen. Denn was aus der Notwendigkeit des Krisenbetriebs aus dem Nichts an Voraussetzungen für die Heimarbeit geschaffen wurde, entspricht für den dauerhaften Einsatz nicht unbedingt den nötigen Anforderungen. Unternehmen, die ihre Mitarbeiter von überall aus arbeiten lassen, sollten Antworten auf die folgenden fünf Datenschutzfragen ausarbeiten.

Marc Lueck, CISO bei Zscaler, Bild: Zscaler

Wer nutzt welche Daten?

Zunächst einmal muss für den ständigen Telearbeitsplatz erneut ein Data Protection Impact Assessment (DPIA), wie es von der Ausarbeitung der Maßnahmen für die Datenschutz-Grundverordnung erforderlich war, durchgeführt werden. Organisationen müssen in diesem Zug analysieren, welche Mitarbeiter von Zuhause aus auf welche Art sensible Daten zugreifen. Auf der sich daraus anschließenden Kategorisierung müssen die benötigten Zugangsrechte aber auch Sicherheitsmaßnahmen abgeleitet werden.

Wie muss das Homeoffice aussehen?

Basierend auf den Ergebnissen der DPIA können die Anforderungen an die Telearbeitsplätze der Mitarbeiter unterschiedlich ausfallen. Je nach Sensibilität der behandelten Informationen könnten beispielsweise physische Absicherungen notwendig werden. Das kann von einem separaten, abschließbaren Raum bis hin zu Videoüberwachung und unbeweglichem Equipment reichen.

Wie muss die digitale Infrastruktur aussehen?

Nicht erst seit der EU-Datenschutz-Grundverordnung gilt: Persönliche Daten müssen zu jeder Zeit geschützt sein. Die große Herausforderung bei Telearbeit ist dabei, den Datenverkehr trotz der Mehrzahl an externen Zugriffen flüssig, nachvollziehbar und vor allem sicher zu gestalten. Egal ob die Daten im firmeneigenen Rechenzentrum oder in der Cloud vorgehalten werden: Der Zugriff der Mitarbeiter muss geregelt und gesichert sein. Das benötigt neben der IT-Security auch ein klares Konzept für die Verteilung von Rollen und Rechten, das den Zugang und die Verarbeitung von Daten regelt.

Werden die Vorgaben umgesetzt?

Ein Punkt, der vor allem durch den rasanten Wandel während der Pandemie oft vernachlässigt wurde, ist die konkrete Umsetzung der Firmenrichtlinien durch die Mitarbeiter. Müssen die Firmenrichtlinien im Zuge der Institutionalisierung der Heimarbeit angepasst werden, so müssen die Mitarbeiter auch entsprechend informiert werden. Das beste Konzept bringt nur dann etwas, wenn es auch konsequent und konsistent umgesetzt wird. So muss zum Beispiel ein Endgerät eines Mitarbeiters, der mit sensiblen Informationen arbeitet, auch nur für arbeitsbezogene Tätigkeiten genutzt werden und ist dementsprechend für private Zwecke tabu. Gerade unter den besonderen Bedingungen der sozialen Kontaktbeschränkungen für Familien ist es während der Krise sicherlich schwer gewesen, die Grenzen der geschäftlichen und privaten Nutzung von Laptops nicht verschwimmen zu lassen.

Wie aufmerksam sind die Mitarbeiter?

Durch die erhöhte Telearbeit steigt auch die Verantwortung für die Mitarbeiter als Teil der IT-Sicherheit des Unternehmens. Da sich das Gefahrenpotenzial im Home Office ändern kann, gilt es Mitarbeiter durch Schulungen kontinuierlich zu sensibilisieren und auf mögliche Cyber-Angriffsszenarien vorzubereiten.

Neue Arbeitswelt mit neuen Herausforderungen

Die Zukunft des Arbeitsalltags hat sich durch die Pandemie sehr viel schneller zur Realität entwickelt, als vorhersehbar war. Viele Angestellte sehen die flexible Arbeit aus den eigenen vier Wänden mittlerweile nicht mehr als Privileg, sondern als Grundanforderung an den Arbeitgeber. Gleichzeitig vermelden auch viele Unternehmen positive Erfahrungen mit der Telearbeit im Hinblick auf die Produktivität der Mitarbeiter. Es wäre also naiv zu glauben, der Trend zum Homeoffice würde sich wieder umkehren lassen. Umso wichtiger ist es nun für Unternehmen, sich auf die neue Arbeitswelt einzustellen, und dementsprechend Infrastrukturen und Prozesse hinsichtlich Datensicherheit und Datenschutz anzupassen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.06.2020]
IT-Sicherheit: Fragen zur Anpassung an die heutige Remote-Arbeitsumgebung