Digitale Herausforderung durch Corona hält weiter anNach „Wie ins Homeoffice“ kommt „Wie sicher?“
29. Oktober 2020Seit März 2020 ist die Welt aufgrund von Corona in einem Ausnahmezustand. Persönliche Zusammentreffen sind seither auf ein Minimum zu beschränken. Vor allem in den ersten zwei, drei Monaten zeigte sich deutlich, wie wenig die digitale Transformation bereits praktische Umsetzung erfahren hat und als Standard angenommen wird. Gefragt ist ein „funktionales Homeoffice“.
„Ob Meetings, Dokumentenmanagement oder einfach der kommunikative Austausch unter Kollegen im Arbeitsalltag, anfänglich lagen ganze Unternehmen für Wochen fast lahm, weil es keine adäquaten Strukturen für funktionales Homeoffice gab“, weiß Robert Rios, Geschäftsführer der RioMar GmbH und erläutert: „Mittlerweile wurden alle Hebel in Bewegung gesetzt, um diese Zustände zu verbessern, doch drängt sich nun mehr und mehr die Frage auf, ob alles auch datenschutzrechtlich konform abläuft.“
IT-Sicherheit und Datenschutz – zwei Paar Schuhe
„Viele schmeißen IT-Sicherheit und Datenschutz noch immer in einen Topf, dabei sind es zwei unterschiedliche Themen, die jedoch Schnittstellen haben“, merkt Robert Rios an. IT-Sicherheit beinhaltet alle technologischen Maßnahmen, mit denen Daten, Funktionen und Programme in IT-Systemen gesichert werden. Hierzu gehören Zugriffskontrollen bei Dateien und Programmen, Backups und Patchmanagement, Firewalls sowie die redundante Speicherung der Daten.
Der Datenschutz ist dabei ein Teilbereich, der wiederum von den automatisierten Maßnahmen der IT-Sicherheit profitiert. Er bezieht sich aber nur auf den Umgang und die Speicherung personenbezogener Daten, wie Namen, Kontakt- oder Kontodaten oder IP-Adressen. So sollten beispielsweise Informationen zu dem Produkt eines Unternehmens durch IT-Sicherheit geschützt werden, allerdings ist hier keine DSGVO-Konformität gefordert. Den Kundenstamm dieses Unternehmens gilt es jedoch nicht nur technisch innerhalb der IT zu schützen, sondern diese sehr sensiblen Daten zudem nach datenschutzrechtlichen Vorgaben zu händeln.
Privates und Berufliches nicht vermischen
Egal ob es nun um IT-Sicherheit oder Datenschutz geht, nach Möglichkeit sollten Mitarbeiter im Homeoffice nicht über eigene Geräte oder IT-Systeme arbeiten. „Firmenlaptops und Diensthandys sind gegenüber persönlichen Devices immer vorzuziehen – allein schon, weil die meisten Menschen privat WhatsApp nutzen. Finden sich dann auch Unternehmens- oder Kundenkontakte oder Informationen in diesem Device, ist das datenschutzrechtlich nicht tragbar,“ erklärt Rios. Auch bei so einfachen Vorgängen wie dem Austausch von E-Mails bestehen Gefahren.
Für eine End-to-End-Verschlüsselung sind Absender und Empfänger verantwortlich. „Im Fall der Nutzung privater Devices müsste der Arbeitgeber für jedes verwendete Gerät seiner Mitarbeiter prüfen und sicherstellen, dass diese sogenannten Public Keys und andere Sicherheitsprogramme installiert und stets aktuell sind. Im täglichen Workflow ist das zusätzlich nicht zu bewältigen“, erklärt Rios. Neben dem Schutz von außen muss auch gewährleistet werden, dass Dritte wie Partner, Familienmitglieder oder Freunde des Mitarbeiters nicht auf Daten oder Informationen zugreifen können.
Kontrollen vermehrt zu erwarten
Zentral und deshalb vorteilhaft gestalten sich Zugriffe aus dem Homeoffice über Virtual Private Network (VPN) und Remote-Zugänge. Nicht nur, dass Daten und Programme so nicht auf den einzelnen Devices von Mitarbeitern abgelegt werden müssen, auch in Bezug auf System- und Programmupdates arbeiten bei diesen Ansätzen alle auf der gleichen Systemoberfläche.
„Stand am Anfang der Pandemie noch im Fokus, zu ermöglich, dass Unternehmen ihrer Arbeit überhaupt nachgehen können, ist in der nächsten Zeit zu erwarten, dass Arbeitsschutz und Berufsgenossenschaften die Homeoffice-Standards von Unternehmen bei den Mitarbeitern prüfen werden“, so Rios und fügt hinzu: „Vor allem dann, wenn Unternehmer die Investitionen in Endgeräte für Mitarbeiter beim Homeoffice scheuen, sollten sie sich sehr gut über ihre Aufgaben und Verantwortungen informieren. So liegt es in ihrer Verantwortung, genaue Anweisungen zu erteilen, welche Informationen auf den Geräten gespeichert und welche Arbeitsmaßnahmen auf diesen durchgeführt werden dürfen.“ Hier hilft es, einen Experten für die IT-Sicherheit zu beauftragen.
Haben große Konzerne oft sogar inhouse eine IT-Abteilung, stehen hier vor allem kleine und mittelständische Unternehmen für Unsicherheit. „Lohnt sich der Einsatz eines Dienstleisters? Sprengt das nicht die Kosten und kann ich mir in der Corona-Zeit eine solche zusätzliche Belastung überhaupt leisten?“ sind Fragen, die sich viele Kleinunternehmer stellen. Aber auch wenn die Zuhilfenahme eines externen Dienstleisters die Kostenleuchte aufblinken lässt, sollten Unternehmer die Risiken abwägen, wenn sie bei den Themen IT-Sicherheit und Datenschutz eher nach Bauch als nach konkretem Wissen vorgehen.
Managed Service, Datenmanagement und IT-Sicherheit sind mittlerweile schon relativ kostengünstig möglich. Dahingegen wiegen die Wirtschafts- und Imageschäden durch Hacking oder Datenschutzfehler finanziell wesentlich negativer und hängen einem Unternehmen lange nach. (rhh)