Blog > Empfehlungen für Arbeitgeber und Arbeitnehmer im Umgang mit „home-office“ >

Empfehlungen für Arbeitgeber und Arbeitnehmer im Umgang mit „home-office“

Anlässlich der Covid-19 Pandemie besteht eine Notwendigkeit, zur Eindämmung des Virus vermehrt auf Home-Office Arbeitsplätze umzustellen. Die EU-Agentur für Cybersicherheit (European Union Agency For Cybersecurity – ENISA) hat dies zum Anlass genommen konkrete Maßnahmen für die Sicherheit von sogenannten Remote-Arbeitsplätzen zu empfehlen.

Empfehlungen für Arbeitgeber

  • Stellen Sie sicher, dass die Unternehmens-VPN-Lösung ausreichend Bandbreite zur Verfügung steht und eine große Anzahl gleichzeitiger Verbindungen aufrechterhalten kann.
  • Bereitstellung sicherer Videokonferenzen für Unternehmenskunden und Mitarbeiter (sowohl Audio- als auch Videofunktionen).
  • Auf alle Unternehmensanwendungen des Unternehmens sollte ausschließlich über verschlüsselte Kommunikationskanäle (SSL VPN, IPSec VPN) zugegriffen werden.
  • Der Zugriff auf Anwendungsportale sollte mithilfe von Multifaktor-Authentifizierungsmechanismen geschützt werden (Beispielsweise ist neben der Eingabe von Benutzername und Passwort auch die Eingabe eines automatisch generierten PINs notwendig).
  • Die gegenseitige Authentifizierung beim Zugriff auf Unternehmenssysteme ist empfohlen (z. B. Client zu Server und Server zu Client).
  • Stellen Sie den Mitarbeitern während der Telearbeit nach Möglichkeit firmeneigene Computer bzw. Mobilgeräte zur Verfügung. Nur so können Sie sicherstellen, dass diese Geräte auch über aktuelle Sicherheitspatches und - Software verfügen und dass Benutzer regelmäßig daran erinnert werden, die Aktualität zu überprüfen. Wenn möglich sollte es Kapazitäten geben fehlerhafte Geräte austauschen zu können.
  • Auf BYOD (Bring-Your-Own-Device - Bringen Sie Ihr eigenes Gerät mit) wie persönliche Laptops oder mobile Geräte sollte, wenn möglich verzichtet werden. Ist der Einsatz notwendig sollten Sicherheitsüberprüfungen stattfinden und ggf. ein Network Access Control - NAC-Prozess aufgesetzt werden. Mit NAC-Prozessen werden Endgeräte während der Authentifizierung auf Richtlinienkonformität geprüft.
  • Stellen Sie sicher, dass angemessene Ressourcen in der IT-Abteilung vorhanden sind, um das Personal bei technischen Problemen während der Telearbeit zu unterstützen und damit relevante Informationen zur Verfügung gestellt werden können.
  • Stellen Sie sicher, dass den Mitarbeitern die Richtlinien zum Umgang mit Datenschutz- oder Informationssicherheitsvorfällen bekannt sind und diese wissen was im Notfall zu tun ist bzw. an wen sie sich wenden können.
  • Stellen Sie sicher, dass die Verarbeitung von Personaldaten durch den Arbeitgeber im Rahmen der Telearbeit (z. B. Zeitmessung) der Datenschutz-Grundverordnung entspricht und ggf. eine Betriebsvereinbarung benötigt.
  • Stellen Sie klare Regeln auf zum Umgang mit vermeintlichen Phishing-Mails. Geben Sie Ihren Mitarbeitern Ansprechpartner an an die Sie Verdachtsmomente melden sollen. Eine früh erkannter und gemeldeter Phishing-Versuch kann andere Mitarbeiter davor schützen.


Empfehlungen für Mitarbeiter im Home-Office

  • Verwenden Sie nach Möglichkeit Unternehmenscomputer (und keine Privatgeräte) - es sei denn, BYOD wurde gemäß dem im oberen Abschnitt genannten Punkten überprüft.
  • Trennen Sie Arbeits- und Freizeitaktivität nach Möglichkeit und verwenden Sie dazu nicht dasselbe Gerät.
  • Stellen Sie eine Verbindung zum Internet ausschließlich über eine sichere Verbindung her.
  • Vermeiden Sie, wenn möglich öffentliche WLAN-Hotsports. Die meisten WLAN-Systeme zu Hause verfügen über die notwendige Verschlüsselung. Bei einer unsicheren Verbindung können Personen in der näheren Umgebung Ihren Datenverkehr überwachen und abfangen. Die Lösung besteht darin, die Verschlüsselung zu aktivieren bzw. eine verschlüsselte Verbindung zu nutzen.
  • Vermeiden Sie den Austausch personenbezogener Daten und sensibler Unternehmensinformationen (z. B. per E-Mail) über möglicherweise unsichere Verbindungen.
  • Verwenden Sie nach Möglichkeit Unternehmens-Intranet-Ressourcen, um Arbeitsdateien gemeinsam zu nutzen. Dies stellt einerseits sicher, dass die Arbeitsdateien auf dem neuesten Stand sind und gleichzeitig der Austausch vertraulicher Informationen zwischen lokalen Geräten vermieden wird.
  • Seien Sie besonders vorsichtig bei E-Mails, die auf den Corona-Virus verweisen, da dies Phishing- oder Betrugsversuche sein können. Sollten Sie Zweifel bei einer E-Mail haben melden Sie diese unverzüglich an die zuständige Stelle.
  • Mobile Geräte und externe Datenträger sollten verschlüsselt sein.
  • Antivirus / Antimalware muss installiert und am aktuellen Stand sein.
  • Das System (Betriebssystem und verwendete Anwendungen) muss auf dem neuesten Stand sein.
  • Sperren Sie Ihren Bildschirm, wenn Sie Ihren Arbeitsplatz verlassen.
  • Teilen Sie die Links für virtuelle Besprechungen nicht in sozialen Medien oder anderen öffentlichen Kanälen. Sollen diese nicht noch extra abgesichert sein ist es möglich, dass sich nicht-berechtigte Personen auf private Besprechungen zugreifen.
     

Besondere Vorsicht bei Phishing Mails in Zusammenhang mit der Corona Epidemie

In Ausnahmesituationen sind wir besonders anfällig für Phishing Attacken. Deshalb werden Kriminelle die Corona-Epidemie zu Nutzen versuchen um Zugriff auf sensible Informationen zu erhalten. Seien Sie deshalb in der aktuellen Situation besonders misstrauisch, wenn Sie aufgefordert werden Ihre Anmeldeinformationen zu überprüfen bzw. zu erneuern. Überprüfen Sie die Echtheit der E-Mails, klicken Sie auf keine Links im E-Mail und öffnen sie keine Anhänge, wenn Sie sich nicht sicher sind.

  • Seien Sie sehr misstrauisch gegenüber E-Mails von Personen, die Sie nicht kennen – insbesondere, wenn diese Sie auffordern einen Link in der E-Mail zu klicken oder Anhänge zu öffnen. Im Zweifel kontaktieren Sie den IT-Zuständigen.
  • Mails, die ein Bild von Dringlichkeit erzeugen, Sie unter Druck setzen oder Ihnen schwerwiegende Folgen in Aussicht stellen sind mit besonderer Vorsicht zu genießen. Überprüfen Sie die Echtheit immer über einen zweiten Kanal, bevor Sie den Anweisungen Folge leisten.
  • E-Mails von Personen, die Sie kennen, aber ungewöhnliche Inhalte haben sind ebenfalls verdächtig. Fragen Sie im Zweifel telefonisch nach, ob der vermeintliche Absender richtig ist. 
     
Datenschutz Online-Schulung

Newsletter

Für den Datenschutzbrief
anmelden >