AKTUELLES:
RST-Beratung informiert zu Themen aus Ihren Fachgebieten

Informationssicherheit im Homeoffice

Typische Risiken und Gegenmaßnahmen für das Arbeiten von zu Hause

Mit den Einschränkungen des öffentlichen Lebens aufgrund der Covid-19-Pandemie hat das Arbeiten von zu Hause (Homeoffice bzw. Home-Office) schlagartig einen neuen Stellenwert bekommen. Besonders Unternehmen und Arbeitnehmer, die bislang ihre Arbeit vorwiegend im Büro erledigt haben, müssen derzeit zwei grundlegende Fragen beantworten.

  1. Sind die technischen Voraussetzungen vorhanden, Homeoffice für die Mitarbeiter/Innen zu ermöglichen?
  2. Haben die Mitarbeiter/Innen das erforderliche Grundbewusstsein (Mindset), um mögliche Gefahren für die Informationssicherheit, die im Homeoffice auftreten, zu erkennen?

Die folgenden Hinweise geben einen ersten Überblick über typische Risiken und geben Tipps zur Verringerung der Gefahren durch entsprechende Gegenmaßnahmen:

 Informationssicherheitsrisiken

 Gegenmaßnahmen

Schadsoftware über E-Mails

E-Mails können Schadsoftware enthalten, die sich beim Anklicken von Anhängen und/oder Links automatisch im Hintergrund installiert. Durch diese Trojaner kann bspw. Ihre Festplatte verschlüsselt werden oder Informationen mitgelesen werden.

- E-Mails von unbekannten Absendern sollten nicht geöffnet und als Spam markiert werden.

- Anhänge von unbekannten Absendern dürfen nicht geöffnet werden und Links entsprechend nicht angeklickt werden.

- E-Mails sind sorgfältig anzusehen, da es viele Fälschungen mit hoher Qualität gibt.

Phishing über E-Mails

Phishing ist eine weitere Form, um gezielt Daten über E-Mails zu erlangen. Meistens werden Sie bei Phishing E-Mails zur Eingabe von persönlichen Informationen (Bankdaten, Adressen, etc.) aufgefordert.

- E-Mails sind sorgfältig ansehen, da es viele Fälschungen mit hoher Qualität gibt.

- Im Zweifelsfall sollte die Original Webseite (Homepage) aufgerufen werden und die Dateneingabe auf diesem Weg durchführt werden.

Ungesicherte Datenübertragung

Es besteht ein erhöhtes Risiko, dass sensible Daten mitgelesen werden oder verloren gehen, wenn Firmendaten über nicht verschlüsselte Verbindungen übertragen werden, oder die Übertragung durch Wechseldatenträger erfolgt. 

- Datenübertragungen sollten ausschließlich über eine verschlüsselte Datenübertragung (VPN-Tunnel) erfolgen.

- Es sollten ausschließlich vom Arbeitgeber freigegebene und verschlüsselte Wechseldatenträger (USB-Sticks, Festplatten) verwendet werden.

Benutzen von firmenfremder IT

Das Verwenden von privater IT bei der Bearbeitung von Firmendaten erhöht das Risiko, dass Schadsoftware übertragen wird.

- Es sollte ausschließlich die vom Arbeitgeber bereitgestellte IT-Hard- und Software zu verwenden.

Social Engineering/ CEO-Fraud

Besonders Krisensituationen werden häufig von Kriminellen für Betrugsdelikte ausgenutzt. Dies kann in der Form geschehen, dass Betrüger sich als Geschäftsführer oder andere Führungskräfte ausgeben und versuchen, die Mitarbeiter*innen zu Zahlungen aufzufordern.

- Im Falle von Unsicherheit ist stets eine telefonische Rückversicherung/ Bestätigung einzuholen.

- Es sollte ein Vier-Augenprinzip mit einem zweiten Genehmiger für

- zahlungswirksame Vorgänge eingeführt werden.

Einsehen von Informationen

Auch am häuslichen Arbeitsplatz besteht das Risiko, dass Unbefugte (z.B. Besucher, Handwerker, Reinigungskräfte) Zugang zu sensiblen Informationen bekommen. Dies ist insbesondere der Fall, wenn personenbezogene Daten oder Geschäftsgeheimnisse bearbeitet werden.

- Die Bildschirmsperre (Windows-L) sollte immer aktiviert werden, wenn der Arbeitsplatz verlassen wird.

- Informationen auf Papier sind nach der Arbeit sicher zu verstauen.

- Besonders sensible Informationen sollten nur dann im Homeoffice bearbeitet werden, wenn dies absolut erforderlich ist.

 

Aus dieser Übersicht lassen sich folgende Handlungsempfehlungen für Unternehmer ableiten:

a. Führen Sie regelmäßig Schulungen und Sensibilisierungsmaßnahmen für Ihre Mitarbeiter/Innen durch, um den sicheren Umgang mit der Informationstechnik zu gewährleisten und so Ihre Informationswerte zu schützen.

b. Geben Sie Ihren Mitarbeiter/Innen einige verbindliche Grundregeln zum Umgang mit firmeneigener Hard- und Software an die Hand. Diese sollten mindestens ein Verbot der Verwendung von privaten Speichermedien (z.B. USB-Sticks) und ein Verbot zum Installieren von nicht freigegebener Software auf dem Firmenlaptop umfassen.

c. Schaffen Sie Voraussetzungen zum Umgang mit Informationssicherheitsvorfällen durch einen Informationssicherheitsbeauftragten oder den IT-Support.

d. Leben Sie eine Fehlerkultur, die Ihre Mitarbeiter/Innen ermutigt, mögliche Sicherheitsvorfälle zu melden.

Ungeachtet der besonderen Krisensituation durch die Covid-19-Pandemie, sollten diese Grundregeln der Informationssicherheit sowohl bei der Arbeit im Büro, auf Dienstreisen oder im Homeoffice beachtet werden.


Haben Sie dazu Fragen, dann sprechen Sie uns gerne an:

Karsten Zabel
Diplom-Betriebswirt
Wirtschaftsprüfer
Steuerberater

Dr. Torsten Pütz
Diplom-Ökonom
Wirtschaftsprüfer

 

Themengebiet:
Steuerberatung

Wirtschaftsprüfung

Rechtsberatung

Unternehmensberatung