Sicher arbeiten im Homeoffice

Gerade in Ausnahmesituationen wie der Corona-Pandemie, in denen die Arbeit vor Ort im Büro nicht möglich ist, ist die Option Homeoffice für Arbeitgeber und Arbeitnehmer existenziell und ein Privileg. Doch gerade der Aspekt der IT-Sicherheit sollte im Homeoffice nicht auf der Strecke bleiben.

Gesetzgeber fördert Homeoffice

Laut dem Bundesministerium für Arbeit und Soziales kann ein Arbeitnehmer jederzeit mit dem Wunsch nach mobilem Arbeiten an den Arbeitgeber herantreten. Allerdings gibt es keine einheitliche gesetzliche Regelung für Homeoffice und so beruht die Einigung auf einer freiwilligen Entscheidung des Arbeitgebers. In der Praxis herrscht in Deutschland im Vergleich zu europäischen Nachbarn noch immer eine starke Anwesenheitskultur am Arbeitsplatz. Der Koalitionsvertrag für die 19. Legislaturperiode strebt aber an, einen rechtlichen Rahmen zu schaffen, um die Option Homeoffice zu fördern und zu erleichtern:

[…]Wir wollen mobile Arbeit fördern und erleichtern. Dazu werden wir einen rechtlichen Rahmen schaffen. Zu diesem gehört auch ein Auskunftsanspruch der Arbeitnehmer gegenüber ihrem Arbeitgeber über die Entscheidungsgründe der Ablehnung sowie Rechtssicherheit für Arbeitnehmer wie Arbeitgeber im Umgang mit privat genutzter Firmentechnik.

Vgl. Koalitionsvertrag für die 19. Legislaturperiode. S. 41, Zeile 1822 ff.

Neben der rechtlichen Grundlage impliziert die Vorlage eine weitere Annahme: Sicherheit im Umgang mit der Firmentechnik sowohl auf Seite des Arbeitgebers als auch des Arbeitnehmers muss gewährleistet sein.

Drei Tipps für IT-Sicherheit am Heimarbeitsplatz

Neben technisch sehr gut aufgestellten Kanzleien, die ihren Mitarbeitern professionelles Equipment zur Verfügung stellen können, ist an anderer Stelle Pragmatismus gefragt. Schutzziele wie die Vertraulichkeit, Integrität sowie Verfügbarkeit informationsverarbeitender Systeme sollten auch im Homeoffice angemessen sichergestellt sein.

Sichere Kommunikationswege, sichere Software

Damit Aufgaben vom Heimarbeitsplatz aus erledigt werden können, müssen Mitarbeiter auf interne Ressourcen der Kanzlei zurückgreifen können. Dazu sollten Sicherheitsmaßnahmen ergriffen werden, die einen Missbrauch wie Abhören oder Manipulation von Informationen verhindern. Im Idealfall wird für den Telearbeiter ein sicherer Remote-Zugriff eingerichtet – per kryptografisch abgesichertem Virtual Private Network (VPN). Dieser Zugang darf nur für vertrauenswürdige Systeme und Benutzer möglich sein. Nur so kann ein sicherer Kommunikationskanal hergestellt werden. Darüber hinaus sollten regelmäßige Updates des Betriebssystems und der installierten Programme aktiviert werden, sofern dies nicht ein Administrator übernimmt. Existiert keine skalierbare VPN-Infrastruktur, können andere Lösungen zum Zuge kommen, zum Beispiel DATEV Cloud-Sourcing-Lösungen. Bei DATEV werden leistungsstarke Serversysteme vorkonfiguriert und im sicheren DATEV-Rechenzentrum bereitgestellt. Die Verantwortung für den Betrieb, die Absicherung und die Aktualisierung des Systems wird von DATEV übernommen. Privat-PCs sollten möglichst nicht dienstlich genutzt werden, da Malware, die man sich eventuell beim privaten Surfen eingefangen hat, mitlauschen könnte.

Geräte und Daten verschlüsseln

Im Gegensatz zum meist sicheren Arbeitsplatz vor Ort in der Kanzlei sind mobile Arbeitsplätze oft nicht vergleichbar gut abgesichert. Der Zugriff von zum Beispiel Cyberkriminellen auf das Gerät und die Daten ist beim mobilen Arbeiten deutlich leichter. Neben Maßnahmen, die der Mitarbeiter selbst ergreifen kann, um ein vergleichbares Sicherheitsniveau sicherzustellen, wie das Verschließen von Türen oder das Sichern des Geräts, wenn der Arbeitsplatz verlassen wird, sollten tragbare IT-Systeme und Datenträger unbedingt verschlüsselt werden. Sämtliche Firmengeräte – auch Smartphones, Laptops und Tablets – sollten durch eine geeignete Software geschützt werden und durch aktuelle Software Patches und eine Firewall gesichert sein. Auch DATEV konnte in den letzten Wochen eine stärkere Nutzung der DATEV E-Mail-Verschlüsselung feststellen. Sie unterstützt die sichere Kommunikation zwischen Mandanten und Beratern. Der Mandant empfängt im Homeoffice seine Mails nicht mehr auf den gewohnten Systemen, sondern beispielsweise über Webmailer. In solchen Fällen sollten verschlüsselte E-Mails verwendet werden, wie üblicherweise sonst auch bei vertraulichen Daten. Die DATEV E-Mail-Verschlüsselung erleichtert diesen Prozess: E-Mails werden zentral und sicher im DATEV-Rechenzentrum ver- und entschlüsselt und so vor einem unbefugten Einblick Dritter geschützt. Als Basis-Schutz wird hierbei das DATEVnet-Netz benötigt. Eine weitere Möglichkeit, Daten sicher zu übertragen und auf mögliche Gefahren besser reagieren zu können, ist das Bereitstellen wichtiger Dokumenten per Cloud. Mit DATEV Arbeitnehmer online „Meine Abrechnungen“ können Mitarbeiter ihre Lohndokumente wie die Brutto/Netto-Abrechnung digital und sicher selbst abrufen. Der Arbeitnehmer hat direkten Zugriff auf das Portal. Die Dokumente werden sicher in der DATEV-Cloud gespeichert und ein Einsehen von Dritten wird verhindert.

Mitarbeiter sensibilisieren

Cybersicherheit ist ein Gefechtsfeld, dass sich schnell verändert und kontinuierliche Beobachtung und Koordination aller Beteiligten erfordert. Produktsicherheit, Systemsicherheit und Betriebssicherheit müssen immer gewährleistet sein. Der Zugang vom Heimarbeitsplatz auf die Server der Kanzlei und alle Zugriffsrechte auf die Informationen, die dort gespeichert sind, sollten auf ein notwendiges Minimum beschränkt sein. Mitarbeiter sollten zusätzlich zur sicheren IT-Infrastruktur hinsichtlich Gefahren und Sicherheitsrisiken sensibilisiert werden, damit Bedrohungen minimiert werden und einem sicheren Arbeiten auch im Homeoffice nichts im Wege steht.

Zur Autorin

Mirjam Wörl

Redaktion DATEV magazin

Weitere Artikel der Autorin