Juristischer Leitfaden: Home Office und BYOD – Firmen haften bei Sicherheitsvorfällen

von Richard Werner, Business Consultant bei Trend Micro

 

 

 

 

 

Bring-Your-Own-Device (BYOD)-Konzepte und der Arbeitsplatz zu Hause sind aus der heutigen Arbeitswelt nicht mehr wegzudenken. Doch müssen sich Unternehmen, die ihren Mitarbeitern diese Flexibilität gewähren, immer der Tatsache bewusst sein, dass im Fall eines Security-Problems nicht der Mitarbeiter sondern das Unternehmen selbst haftet. Im aktuellen juristischen Leitfaden von Trend Micro wird unter anderem das Thema Bring-Your-Own-Device (BYOD) sowie der Heimarbeitsplatz aus Sicht der IT-Sicherheit behandelt. Im Vordergrund stehen Anleitungen dazu, was die Security zu beachten hat.

Eine neue App kann sämtliche Nachrichten (Mail, WhatsApp & Co) kopieren, Telefonanrufe mitschneiden, ein Bewegungsprofil erstellen sowie bei Bedarf Kamera und Mikrofon aktivieren und alle Informationen ständig an einen Dritten weiterleiten. Das klingt zwar reichlich unwirklich, doch kann man diese App tatsächlich auf einer frei zugänglichen Webseite (keineswegs im Dark Web) für etwa 300$ im Jahr erwerben. Laut Bekunden des Verkäufers ist sie für Menschen gedacht, die ihre Kinder oder untreuen Partner buchstäblich überwachen wollen. Willkommen in der Welt des Home Offices!

Natürlich wird das obige Beispiel die allermeisten Arbeitnehmer, denen Firmen immer großzügiger Heim- oder Telearbeitsplätze ermöglichen, nicht betreffen. Dennoch zeigt es, welch mächtige Werkzeuge in den Haushalten eingesetzt werden können. Der Gesetzgeber fordert deshalb Firmen auf, klare Regelungen bezüglich der Nutzung privater Geräte aufzustellen und deren Einhaltung zu überwachen. Dazu gehört etwa, wie die Mitarbeiter den Home-Arbeitsplatz einrichten und absichern müssen oder Regeln, die beim Verlust der Geräte greifen etc. Denn im Fall eines Sicherheitsproblems haftet das Unternehmen selbst. Dies gilt auch und vor allem in der Kommunikation mit Dritten. Da es für Außenstehende nicht ersichtlich ist, ob ein Mitarbeiter nun von einer „normalen“ Infrastruktur aus arbeitet oder nicht, gelten alle Informationen als gleichwertig und unterliegen damit natürlich auch der entsprechenden Gesetzgebung.

Des Weiteren muss einem Unternehmen bewusst sein, dass es vor allem bei der Nutzung von Verbrauchertechnologien wie Spracherkennung oder WhatsApp auch Herausforderungen hinsichtlich des Datenschutzes zu meistern gilt. So heißt es beispielsweise in den Informationen zu „Siri fragen, Diktieren & Datenschutz“, die jeder Nutzer auf seinem Smartphone nachlesen kann: „Beim Verwenden von „Siri fragen“ und der Diktierfunktion wird alles, was Du sagst bzw. diktierst, aufgezeichnet und an Apple gesendet…“. Dies entspricht dem aktuellen Stand der Technik für Spracherkennung und gilt genauso auch für Amazons Alexa. Die Gefahr dabei: Firmeninterna oder eine externe Kommunikation (inklusive personenbezogener Daten) wird außerhalb des üblichen Übertragungswegs gespeichert und ausgewertet. Dies muss die Firma in einer Risikobetrachtung abwägen und dokumentieren!

Die Gefährdungslage aus Sicht der IT

Heimarbeitsplätze gelten in manchen Branchen als Bonus, in anderen sind sie unverzichtbar. Gibt es Angriffe/Angreifer, die sich speziell auf den Home Office-Mitarbeiter spezialisiert haben? Ein klares Ja! Bislang waren diese Cyberkriminellen vor allem im Bereich der Spionage tätig. Doch mittlerweile nutzen auch andere Akteure private Geräte für ihre Zwecke. So entdeckten die Sicherheitsforscher beispielsweise verbraucherorientierte Android Apps, die nebenbei versuchten, firmenspezifische Netzwerkgeräte anzugehen.

Die größte Gefahr ist aber durch die Tatsache bedingt, dass der Heimarbeitsplatz aus Sicht der IT Sicherheit eben nicht als Herausforderung wahrgenommen wird und dass deshalb Unachtsamkeit zu Fehlern führt. So sind Netzwerkgeräte im Unternehmen häufig genauestens gewartet, im Home Office aber vertraut das IT-Team darauf, dass sich der Nutzer um seinen Router selbst gut kümmert. Auch private PCs, mit denen auf Office365 zugegriffen wird, oder Digitalkameras, die Online-Meetings übertragen, können potenzielle Sicherheitslücken haben/darstellen, über die sich Passwörter oder andere Daten ausspähen lassen.

Fazit

Es empfiehlt sich deshalb dringend, Heimarbeitsplätze in die strategischen Überlegungen zur IT-Sicherheit zu integrieren. Mitarbeiterschulungen sollten auch den Umgang mit IT-Sicherheit im eigenen Haushalt mit einschließen. Menschen fühlen sich zu Hause sicher. Trotzdem sollten Arbeitgeber sie darauf hinweisen, dass Unternehmenspasswort nicht auf den Schreibtisch zu legen oder dass das mit „0000“ geschützte Smartphone keinen Vollzugriff auf Unternehmensdaten erhalten kann. Auch technische Möglichkeiten sind zu beachten: Wenn ohne VPN die Verbindung zu Firmendaten (z.B. Office365) erlaubt sein soll, bietet sich zumindest eine Zweifaktor-Authentifizierung an.

Schließlich, so banal es auch klingen mag, ein Sicherheitskonzept sollte auch den Einsatz von Sicherheitstools im Home Office-Bereich beschreiben. Dabei könnten Unternehmen entweder den Mitarbeitern die nötige Lösung zur Verfügung stellen oder diese über eine Vereinbarung zum Einsatz einer solchen verpflichten. Das Problem dabei ist nicht die Weigerung eines Mitarbeiters sondern die Forderung, dass eine solche Lösung auch vernünftig bedient wird. Deshalb empfiehlt es sich aus IT-Sicht, eher Konzepte zu favorisieren, bei denen Betrieb und Wartung der eingesetzten Sicherheitslösung auch im Home Office durch die firmeneigene IT-Sicherheitsabteilung durchgeführt werden. Moderne Hersteller von Endpoint-Lösungen bieten deshalb meist auch eine Cloud-Option an, die es erlaubt, Remote-Umgebungen anzubinden und entsprechend zu verwalten.

Trend Micro hat seinen juristischen Leitfaden zum sechsten Mal neu aufgelegt, um Unternehmen dabei zu unterstützen, beim Thema Sicherheit juristische Fallstricke im Einsatz ihrer IT zu erkennen und zu umgehen. Den gesamten Leitfaden können Sie hier herunterladen.

Die oben besprochenen Punkte können Sie in Kapitel I/6 und VI/4 nachlesen. Der erste Teil dieser Blog-Serie stellt neue Entwicklungen wie etwa beim IT-Sicherheitsgesetz Version 2 oder im Bereich IoT und im Strafrecht und die Auswirkungen davon vor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.