Datensicherheit im beruflichen Kontext ist kein Zufall. Johannes Rauchfuss erklärt den datenschutzkonformen Arbeitsplatz und die Nutzung privater Geräte im Home Office. Außerdem stellt er klar, warum Unternehmen ihre Domain-Sicherheit im Auge behalten sollten und wie ein vorteilhafter Umgang mit Passwörtern aussieht.
Wer nicht im Büro arbeitet sondern mit Laptop aus der Ferne, sollte ein paar Tipps beachten. Vergangene Woche erklärte Johannes Rauchfuss die Vorteile verschlüsselter Kommunikation und was man tun sollte, wenn der Dienst-Laptop verloren geht.
In diesem Artikel gibt es weitere Tipps, die die Arbeit zuhause, von unterwegs und auf Workation sicher machen.
Im Home Office: Zugang zu sensiblen Daten durch Dritte verhindern
Je sensibler die Daten, desto mehr Schutzvorkehrungen sollte man treffen. Üblicherweise unterzeichnen Arbeitnehmende Verschwiegenheitserklärungen vor der Arbeitsaufnahme. Diese gelten natürlich auch zuhause, im Café oder auf der Zugfahrt.
Die Auswahl des Arbeitsplatzes spielt dabei eine entscheidende Rolle. Wie ist der Bildschirm ausgerichtet? Wer läuft hinter oder an mir vorbei? Können Dritte über Reflexionen im Fenster mitlesen?
Dieses Datenschutzrisiko lässt sich mit sogenannten Datenschutzfolien auf dem Bildschirm reduzieren. Solche Folien sorgen dafür, dass der Bildschirminhalt nur aus einem bestimmten Blickwinkel erkennbar ist: nämlich gerade vor dem Bildschirm sitzend. Vielfach werden diese Folien auch schon bei Displays von Geldautomaten eingesetzt.
Gegen unerwünschtes Zuhören helfen Kopfhörer, sowohl im Café als auch bei dünnen Wänden im Wohnzimmer. Auch bei der eigenen Wortwahl lässt sich steuern: So kann man beispielsweise die Worte so wählen, dass das Gegenüber inhaltlich zwar alles versteht, andere Zuhörende aber daraus nicht schlau werden. Dies erfordert etwas Übung.
Vorsicht bei privaten Geräten für dienstliche Zwecke
Der private Laptop ist vertraut. Warum also nicht auch mal dienstliche Angelegenheiten darauf erledigen? Und danach die Arbeitsergebnisse auf den Server des Unternehmens hochladen?
Doch Vorsicht! Private Geräte sind in der Regel schlechter gewartet und abgesichert als dienstlich gestellte Geräte. So ist es möglich, dass eine Schadsoftware vom Privatrechner in das Unternehmensnetz eingeschleust wird.
Ein anderes Risiko-Szenario steckt im Download-Ordner. Etwa wenn betriebliche Unterlagen heruntergeladen, aber nach der Tätigkeit nicht gelöscht werden. Kommt das private Gerät in falsche Hände, könnten so auch betriebliche Interna versehentlich abhandenkommen.
Eine klare Trennung zwischen privaten und dienstlichen Geräten ist empfehlenswert. Auch sollte man überlegen, ein separates Konto anzulegen, um etwaige Vermischung zu unterbinden.
Eine andere Möglichkeit ist, lediglich mit dem Gast-Konto des Geräts zu arbeiten und bei den Einstellungen darauf zu achten, dass nach der Abmeldung alle angefallenen Daten wieder gelöscht werden. Die Nutzer*innen müssen allerdings daran denken, Arbeitsergebnisse vorher zu sichern.
Betriebliche Geräte, die auch die Privatnutzung erlauben, sollten ein Sandboxing-System haben. Hier kann ein Mobile-Device-Management helfen.
Phishing-Attacke im Home-Office?
Die E-Mail des Chefs leuchtet auf: „Dringende Angelegenheit! Eine Überweisung von 250.000 € muss sofort getätigt werden.“ Hinter dieser vermeintlich dringenden Anweisung könnte eine ausgeklügelte Falle stecken.
Deepfakes werden durch die rasante technische Entwicklung von Künstlicher Intelligenz (KI) zunehmen. Aktuell lassen sich bereits Stimmen aus bestehenden Aufnahmen nachahmen und live am Telefon oder per Sprachnachricht bei WhatsApp mit Betrugsabsicht einsetzen. An eine Stimmaufnahme des CEOs zu kommen, ist bei öffentlich auftretenden Personen nicht schwer. Diese finden sich unter Umständen in Podcasts, auf Social Media oder in sonstigen Aufnahmen von öffentlichen Auftritten.
Unternehmen sollten daher ihre Domain-Sicherheit in den Blick nehmen, um betrügerische Mails von ihrem Domain-Namen zu verhindern. Intern sollten das Personal geschult und etablierte Kommunikationswege eingehalten werden, um Anomalien zu entdecken.
Auch ein Sicherheitswort (safe word), vereinbart mit Verantwortlichen aus der Organisation, kann hilfreich sein. Es kann im Zweifel bei der Identifizierung nützlich sein. Die Methode mit einem Sicherheitswort ist bereits im Einsatz, um „Enkeltrick-Betrüger“ zu verhindern.
Passwörter sicher wählen und verwalten
Eine Verschlüsselung ist nur so gut wie der Schutz für den Schlüssel, der zum Entschlüsseln benutzt wird. Daher empfehlen sich starke, eindeutige Passwörter und gegebenenfalls ein (offline) Passwort-Safe, um die verschiedenen Passwörter zu verwalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält hierzu nützliche Informationen bereit: Passwörter Schritt-für-Schritt merken.
Arbeitgebende können die Anforderungen an ein Passwort durch eine Passwortrichtlinie vorgeben und wo möglich die Mehr-Faktor-Authentifizierung einschalten. Passwörter per Post-It neben den Bildschirm zu kleben oder sie unter der Tastatur zu verstecken ist nicht ratsam.
Ob das eigene Passwort sicher oder der eigene Account von einem Sicherheitsvorfall betroffen ist, kann man hier überprüfen: HPI Identity Leak Checker. Ob das eigene Passwort bereits kompromittiert, also geknackt ist, lässt sich beispielsweise hier überprüfen.
Fazit
Mit ein paar Handgriffen und aktuellem Wissen um die Gefahren ist mobiles Arbeiten datenschutzsicher möglich. Arbeitgebende profitieren hier von einer Regelung in der Datenschutz-Grundverordnung (DSGVO). Demnach ist eine Datenpanne nicht mehr meldepflichtig, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das dürfte beim gründlichen Einsatz von Verschlüsselung der Fall sein. Unternehmen, die sich vorab damit beschäftigen, haben demnach einen Wettbewerbsvorteil. Denn eine meldepflichtige Datenpanne ist auch fürs Image unvorteilhaft.
„Datenschutz darf Spaß machen. Bei mir gibt es Datenschutz mit Humor. Bodenständig. Praxisnah.“
– Johannes Rauchfuss, Rechtsanwalt für Datenschutzrecht