Home-Office im Sommer-Modus: Datenschutz macht keinen Urlaub

Sasa Petrovic benennt drei Datenschutz-Aspekte für Unternehmen, welche der Belegschaft Outdoor-Arbeit einräumen

[datensicherheit.de, 17.08.2021] Im Sommer sehnen sich wohl viele Angestellte in Büros danach, einmal am Strand oder in den Bergen zu arbeiten. Das sogenannte Home-Office hat es prinzipiell möglich gemacht und es ist in Zeiten der „Pandemie“ sogar ein fester Bestandteil im Alltag vieler Mitarbeiter geworden. Es steht zu vermuten, dass die dadurch gewonnene Flexibilität viele auch in Zukunft nicht mehr missen möchten. Jedoch birgt diese offensichtlich Risiken – so etwa für den Datenschutz. In einer aktuellen Stellungnahme erklärt Sasa Petrovic, „Solution Strategist“ bei Citrix, drei Aspekte, auf welche Unternehmen achten sollten, wenn sie ihren Mitarbeitern mehr Freiraum bei der Wahl ihres Arbeitsortes gewähren.

Manche Regeln gelten unabhängig davon, wo die Mitarbeiter arbeiten – dies gilt insbesondere für den Datenschutz

Petrovic führt aus: „Ein paar Tage mit hohen Temperaturen und strahlendem Sonnenschein gibt es in Deutschland auch in diesem Sommer. Wer aber richtig Sonne tanken will, sollte sich jedoch lieber in südlichere Gefilde begeben. Vielleicht mag der eine oder andere im Anschluss gar nicht mehr in die oft graue Heimat zurückkehren und muss das möglicherweise auch gar nicht, der neuen Flexibilität in der Arbeitswelt sei Dank.“ Aber Achtung, manche Regeln gälten unabhängig davon, wo die Mitarbeiter arbeiten. Dies gelte insbesondere für den Datenschutz.
„Wer träumt nicht davon, mal am Strand oder in der Berghütte zu arbeiten, statt im Büro oder dem eigenen Zuhause? Spätestens seit der ,COVID-19-Pandemie‘ brauchen Mitarbeiter dafür häufig nur noch einen Laptop und eine stabile Internetverbindung und schon kann der Aufenthalt am Urlaubsort um ein paar Arbeitstage verlängert werden.“ Für Unternehmen bedeute diese neue Flexibilität allerdings, dass sie Kriminellen neue Angriffsflächen böten, „wenn sie ihrer Cyber-Sicherheit nicht gleichzeitig höchste Priorität einräumen“. Ein umfassendes Sicherheitskonzept für „Work from Anywhere“ sollte laut Petrovic nachfolgend vorgestellte drei Faktoren berücksichtigen.

1. Datenschutz-Aspekt: Mitarbeiter außerhalb des Büros anfälliger für Betrugsversuche

Ähnlich wie Unternehmen hätten sich auch Kriminelle schnellstmöglich an die neuen Begebenheiten angepasst. „Da digitale Kommunikationswege in verteilten Belegschaften noch stärker an Bedeutung gewinnen, sind Phishing-Mails weiterhin ein beliebtes Mittel, um an Informationen zu gelangen oder Computer und Netzwerke mit Malware zu infizieren“, so Petrovic. Zuhause, aber insbesondere auch an fremden Orten seien Mitarbeiter weniger wachsam als im Büro und würden von ihrer Umgebung abgelenkt, so dass sie auf täuschend echt aussehenden E-Mails reinfielen und schnell auf gefälschte Links klickten.
Gleichzeitig fehle ihnen der persönliche Kontakt im Büro, in dem potenzielle Gefahren zur Sprache kommen könnten. Entsprechende Warn-E-Mails könnten leicht übersehen oder nur schnell überflogen werden. Deshalb müssten Unternehmen regelmäßig Schulungen durchführen, in denen sie ihre Mitarbeiter auf alte und neue Gefahren aufmerksam machten. „So lässt sich insgesamt die Wachsamkeit der Belegschaft für Cyber-Gefahren erhöhen, unabhängig von ihrem Standort.“

2. Datenschutz-Aspekt: Hohes Sicherheitsniveau nur durch einheitliche Standards erreichbar

„Unternehmen, die Cloud-Lösungen einsetzen, um ihren Mitarbeitern an jedem Ort das Arbeiten zu ermöglichen, müssen sich bewusstwerden, dass sie für alle dort gespeicherten Daten und den Umgang mit ihnen verantwortlich sind und nicht der Betreiber der Lösung“, betont Petrovic. Je mehr Anwendungen allerdings im Einsatz sind, desto schwieriger werde es für die IT-Abteilungen und Datenschutzbeauftragte die Übersicht zu behalten und eine regelkonforme Verarbeitung sicherzustellen.
Gleichzeitig nutzten viele Arbeitnehmer inzwischen mehrere Geräte, mit denen sie auf Unternehmensressourcen zugriffen; in manchen Fällen sogar private Geräte, wenn ihre Arbeitgeber keine Laptops oder Smartphones bereitstellten. Petrovic unterstreicht: „Unternehmen brauchen daher klare und einheitliche Standards, welche Anwendungen und Dienste erlaubt sind und vor allem wie Mitarbeiter diese und die Unternehmensdaten dort nutzen dürfen.“

3. Datenschutz-Aspekt: Zentrale Lösung hilft, Sicherheit und Compliance zu gewährleisten

Eine auf „Secure Access Service Edge“ (SASE) basierende „Workspace“-Lösung ermögliche einen nahtlosen und sicheren Zugriff auf alle Anwendungstypen („Windows“, Web und SaaS), Desktops und Daten. Hiermit könnten IT-Abteilungen leicht verschiedenste Sicherheitsmaßnahmen wie ein „Zero Trust“-Netzwerkzugriff, ein „Secure Web Gateway“ oder ein „Cloud Access Security Broker“ einrichten. Mithilfe von letzterem könnten Sicherheitsrichtlinien über die eigene Infrastruktur hinaus durchgesetzt werden und sei daher besonders für Unternehmen geeignet, in denen einzelne Abteilungen eigene „Cloud“-Anwendungen anschafften und verwalteten.
Durch eine solche „Workspace“-Lösung seien Arbeitgeber in der Lage, ein hohes Maß an Sicherheit für ihre internen Ressourcen erreichen, „das angepasst auf ihre jeweiligen Bedürfnisse ist und dabei berücksichtigt, dass möglicherweise der ein oder andere Mitarbeiter weder im Büro arbeitet noch über das einigermaßen gesicherte Heimnetzwerk auf das Unternehmensnetzwerk zugreift, sondern vielleicht über den WLAN-Hotspot im Urlaubshotel“, sagt Petrovic abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 12.08.2021
eco gibt 6 Tipps: Mit Sicherheit durch den Sommer / KMU sollten auch in der Urlaubszeit Cyber-Sicherheit nicht vernachlässigen

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO