HOMEOFFICE UND MOBILES ARBEITEN

Auch bei der Arbeit im Homeoffice oder im Rahmen des sogenannten mobilen Arbeitens muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Im Folgenden erhalten Sie einige Anregungen, was konkret zu berücksichtigen ist und welche Maßnahmen zu ergreifen sind. Bitte beachten Sie darüber hinaus – sofern vorhanden – etwaige interne Richtlinien zu diesen Themen. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren.


SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken oder abschließbaren Transportbehältern. Bei einer längeren Abwesenheitszeit sind zudem – sofern möglich – die jeweiligen Räumlichkeiten zu verschließen oder mobile Endgeräte mitzuführen.


SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher, Mitreisende oder andere unbefugte Dritte – hierzu gehören grundsätzlich auch Familienangehörige und Mitbewohner – keine Einsicht auf Ihren Bildschirm oder etwaige Dokumente nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln.


HANDELN SIE IN RAHMEN VON TELEFONATEN UMSICHTIG

Wenn Sie Telefonate durchführen, sollten Sie je nach Sensibilität des Gesprächsinhaltes stets darauf achten, dass sich in unmittelbarer Nähe zu Ihnen keine unbefugten Personen aufhalten. Unter Umständen ist es sinnvoll, das Telefongespräch zunächst zu unterbrechen und einen Rückruf zu einem späteren Zeitpunkt zu vereinbaren. Erteilen Sie darüber hinaus nach Möglichkeit nur im beschränkten Umfang Auskünfte am Telefon. Insbesondere im Rahmen des Social Engineerings verlangen oftmals angebliche Kunden, Kollegen oder Dienstleister umfangreiche Informationen zu geschäftlichen Interna. Vereinbaren Sie im Zweifelsfall auch hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise Ihnen bereits bekannten Nummern.


NUTZEN SIE AUSSCHLIEßLICH SICHERE NETZWERKVERBINDUNGEN

Auch wenn die jeweils eingesetzten EDV-Geräte sich auf dem aktuellen technischen Stand befinden und über eine aktuelle Sicherheitssoftware verfügen, stellen ungesicherte Netzwerkverbindungen ein erhebliches Sicherheitsrisiko dar. Achten Sie deshalb insbesondere im Rahmen des mobilen Arbeitens auf die ausschließliche Nutzung gesicherter Netzwerkverbindungen. Sollten derartige Netzwerke nicht zur Verfügung stehen, kann unter Umständen auch das dienstliche Smartphone als persönlicher Hotspot verwendet werden.


TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten (z.B. externe Festplatten oder Drucker) und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


VERNICHTEN SIE DOKUMENTE UND HARDWARWE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


MELDUNG VON DATENSCHUTZVERLETZUNGEN

Die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 und Art. 34 DS-GVO sind ebenfalls im Rahmen des Homeoffices oder des mobilen Arbeitens einschlägig. Sollte Ihnen trotz Beachtung der zuvor aufgeführten Maßnahmen eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Berufsalltag
  • Datenschutzverletzung
  • Homeoffice
  • mobiles Arbeiten
  • Passwort
Lesen

PASSWORTSICHERHEIT

Passwörter dienen nicht nur dem Schutz vertraulicher Daten, sondern auch als Authentifizierungsmerkmal bei der Verwendung von Nutzerkonten. Umso wichtiger ist es daher, dass die eigens gewählten Passwörter einen hohen Schutzstandard aufweisen. Betrachtet man jedoch die Rangliste der beliebtesten Passwörter in Deutschland, so handelt es sich bei der Zeichenfolge „123456“ nach wie vor um das am meisten genutzte Passwort deutscher Internetnutzer – dicht gefolgt von „123456789“ und „passwort“.


WAS ZEICHNET EIN SICHERE PASSWORT AUS?

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Auch wenn unter diesen Umständen die Verlockung groß ist: Vermeiden Sie es unbedingt, sich Ihre Passwörter zu notieren. Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Das BSI empfiehlt darüber hinaus auch die Verwendung sogenannter Passwort-Manager.

Die Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist hingegen nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei sicheren Passwörtern nicht mehr erforderlich (siehe IT Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23).


ÄNDERN SICH VOREINGESTELLTE PASSWÖRTER UMGEHEND

Diverse Hardware- und Softwarelösungen verfügen über allgemein bekannte voreingestellte oder „leere“ Passwörter. Diese stellen ein besonderes Sicherheitsrisiko dar und sind aus diesem Grund umgehend abzuändern. In diesem Zusammenhang sei noch erwähnt, dass Router stets über ein mindestens 20-stelliges Passwort verfügen sollten.


SICHERN SIE IHRE ENDGERÄTE PER SPERRBILDSCHIRM

Sämtliche gängigen Betriebssysteme bieten automatische Bildschirm-Timeouts in Verbindung mit der Eingabe eines Passwortes bei Reaktivierung an. Diese Funktion sollte abhängig vom jeweiligen Endgerät, spätestens jedoch fünf Minuten nach der letzten Benutzeraktivität den Zugang sperren. Bei kürzerer Abwesenheit ist auch eine Sperrung per Tastenkombination, beispielsweise durch Windows-Taste + L möglich. Dies verhindert, dass unbefugte Dritte während Ihrer Abwesenheit Zugang zu personenbezogenen Daten sowie anderen vertraulichen Informationen erhalten.


GEBEN SIE PASSWÖRTER MÖGLICHST NUR AUF EIGENEN GERÄTEN EIN

Oftmals ist nicht bekannt, ob fremde Endgeräte über einen ausreichenden Schutz vor Schadprogrammen verfügen. Demnach kann auch nicht ausgeschlossen werden, dass mittels sogenannter „Keylogger“ sämtliche Tastatur- und Bildschirmeingaben aufgezeichnet werden. Vermeiden Sie aus diesem Grund auf die Eingabe Ihrer Zugangsdaten bei der Nutzung fremder Endgeräte. Sofern Sie beispielsweise während einer Dienstreise gezwungenermaßen ausschließlich über fremde Geräte Ihre Zugangsdaten eingeben können, empfiehlt sich für diese Zeit die Nutzung eines temporären Ersatzpasswortes.


GEBEN SIE PASSWÖRTER NIEMALS WEITER

Wie eingangs erwähnt, handelt es sich bei Passwörtern auch um ein Authentifizierungsmerkmal Ihrer Person. Geben Sie aus diesem Grund Passwörter niemals weiter, weder an Familienangehörige noch an Vorgesetzte oder Kolleginnen und Kollegen. Ändern Sie Ihr Passwort umgehend, wenn Sie mitbekommen haben, dass ein anderer Ihre Zugangsdaten in Erfahrung bringen konnte.


TRENNEN SIE BERUFLICHE UND PRIVATE PASSWÖRTER

Verwenden Sie für berufliche und private Zwecke stets unterschiedliche Passwörter. So vermeiden Sie, dass berufliche Passwörter durch das Ausspähen von Zugangsdaten bei privaten Dienstanbietern bekannt werden.


NUTZEN SIE DIE ZWEI-FAKTOR-AUTHENTISIERUNG

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und 2FA-Apps angeboten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • IT-Sicherheit
  • Keylogger
  • Passwort
  • Sperrbildschirm
  • Zwei-Faktor-Authentisierung
Lesen