TOMs für Telearbeit mit privaten Geräten
Immer mehr Unternehmen verlagern – aufgrund der aktuellen COVID-19 Situation – mittels Telearbeit betriebliche Verarbeitungstätigkeiten in den privaten Bereich von Mitarbeiterinnen und Mitarbeiter.
Risiken der Telearbeit auf privaten Geräten
- Firmenfremde Hardware und Software im Einsatz bei privaten Geräten;
- Keine überprüften Sicherheitsstandards auf den privaten Geräten gewährleistet;
- Möglicherweise vorhandene Schadprogramme auf den privaten Geräten bilden zusätzliche Gefahr;
- Phishing-Angriffe auf Mitarbeiterinnen und Mitarbeiter in Telearbeit; [1]
- Remote-Logins über Internet werden innerhalb von kurzer Zeit durch Bots attackiert;
- Überlastung der privaten, öffentlichen und firmeninternen Infrastruktur;
Empfehlungen für Telearbeit mit privaten Geräten
Anzumerken ist, dass die Verarbeitung und Übermittlung von personenbezogenen Daten auf privaten IT-Geräten des Arbeitnehmers, wei PCs, Notebooks oder Tabletts, aus Gründen der IT-Sicherheit grundsätzlich nicht zu empfehlen ist. In der COVID-19-bedingten Situation wird aber in vielen Fällen, vor allem in der Anfangsphase der Telearbeit, keine andere Lösung ähnlich schnell verfügbar sein.
Nachfolgend finden Sie deshalb praktische Empfehlungen zu technischen und organisatorischen Sicherheitsmaßnahmen für den Fall, dass personenbezogene Daten auf privaten Geräten des Arbeitnehmers verarbeitet oder übermittelt werden sollen. Die Empfehlungen unterscheiden zwischen Risikoklasse A (normale personenbezogene Daten) und Riskoklasse B (besonders schützenswerte Daten).
Zutrittskontrolle
Um unbefugten Dritten, dh Mitbewohner, Familienmitglieder, Partner oder Besucher den Zutritt zu Räumen für die Telearbeit zu verwehren, sind nachfolgende Maßnahmen empfehlenswert:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Unbefugte Dritte für Zutrittsbeschränkungen zum Telearbeitsplatz bzw -raum sensibilisieren; | ✔ | ✔ |
| Für die Telearbeit erforderliche Geräte, Speichermedien und Unterlagen in einem versperrten Schrank oder Behälter aufbewahren; | ✔ | |
| Falls möglich, Raum für Telearbeit bei Verlassen absperren; | ✔ |
Zugangskontrolle
Um zu verhindern, dass über Telearbeitssysteme betriebliche Systeme von Unbefugten genutzt werden können, werden nachfolgende Maßnahmen empfohlen;
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| TelearbeiterInnen für mögliche Gefahren wie Phishing Attacken, Social Engineering uä sensibiliseren; | ✔ | ✔ |
| Eigenes Benutzerkonto für die Telearbeit (ohne Admin-Rechte) mit starken Passwörtern einrichten; | ✔ | |
| Sicheres Authentifizierungsverfahren mit 2-Faktoren-Authentifizierung für den Zugang zum Firmennetzwerk verwenden; | ✔ |
Zugriffskontrolle
Um zu gewährleisten, dass berechtigte Benutzer nur auf bestimmte Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, werden nachfolgende Maßnahmen empfohlen:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Eigenes Benutzerkonto für die Telearbeit (ohne Admin-Rechte) mit starken Passwörtern und verarbeitungsspezifischen Berechtigungen einrichten; | ✔ | ✔ |
| Externe Schnittstellen wie USB, CD etc. auf den Telelarbeitsspezifischen-Konten sperren; | ✔ | ✔ |
| Datenschutzkonforme Vernichtung / Löschung von Daten, die eine Kenntnisnahme durch Unbefugte ausschließt. | ✔ |
Datenträgerkontrolle
Um zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können, sind nachfolgende Vorkehrungen empfehlenswert;
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Aktivierung des BIOS-Passwort-Schutzes bei internen Datenträgern von Telelarbeitssystemen; | ✔ | |
| Verschlüsselung der internen Datenträger auf Telearbeitssystemen und mobilen Datenträgern; | ✔ | ✔ |
| Speichern oder Ausdrucken von personenbezogenen Daten auf privaten Geräten möglichst vermeiden sowie gespeicherte und gedruckte Daten datenschutzkonform vernichten oder löschen; | ✔ | ✔ |
Weitergabekontrolle
Um zu verhindern werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transportes oder der Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können, werden nachfolgende Maßnahmen empfohlen:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Starker Passwortschutz oder Verschlüsselung bei der Übermittlung einzelner Dokumente oder Zip-Dateien verwenden; | ✔ | |
| Einzelne Dokument oder Zip-Dateien mit sicheren File-Sharing Diensten, wie WeTransfer, versenden; | ✔ | |
| Datenträger in versperrten Behältnissen oder als Wertsendung persönlich oder mit vertrauenswürdigen Diensten transportieren; | ✔ | ✔ |
| Protokollierung der weisungsbefugten Verantwortlichen und Empfänger von Datenübertragungen, | ✔ | |
| Sichere, dh SSL-basierte Browserverbindungen für Remote-Zugriffe verwenden; | ✔ | ✔ |
| VPN-Verbindungen für den Remote-Zugriffe verwenden; | ✔ |
Eingabekontrolle
Um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind, werden nachfolgende Maßnahmen empfohlen:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Eigenes Benutzerkonto für die Telearbeit mit starkem Passwort und verarbeitungsspezifischen Berechtigungen einrichten; | ✔ | ✔ |
| Logdateien auf den Telearbeitssystemen aktivieren und, bei Bedarf, nach risikobasierten Kriterien auswerten; | ✔ | |
| Protokollierung von Verarbeitungsvorgängen sowie von (fehlgeschlagenen) Anmeldeversuchen und die laufende Auswertung der Logs auf den Remote-Systemen; | ✔ |
Verfügbarkeitskontrolle
Um zu gewährleisten, dass eingesetzte Systeme und verarbeitete Daten im Störungsfall wiederhergestellt werden können, ist die Umsetzung nachfolgender Maßnahmen empfehlenswert:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Images für Anwendungskonten und Telearbeits-spezifische Anwendungen erstellen; | ✔ | ✔ |
| Steckdosen-(leisten) mit Überspannungsschutz verwenden; | ✔ | |
| Unterbrechungsfreie Stromversorgung einsetzen; | ✔ |
Auftragskontrolle
Um zu gewährleisten, dass personenbezogene Daten ausschließlich auf Anweisung des Verantwortlichen und nur im Rahmen und für die Zwecke der Auftragserfüllung verarbeitet werden, werden nachfolgende Maßnahmen empfohlen:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| TelearbeiterInnen bzgl Weisungsgebundenheit, Geheimhaltungspflichten ud Sicherheitsvorkehrungen sensibiliseren; | ✔ | ✔ |
| Eigene Betriebs-/Einzelvereinbarungen mit den Telearbeitern abschliessen; | ✔ | ✔ |
Zuverlässigkeit & Datenintegrität
Um zu gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können, werden nachfolgende Maßnahmen empfohlen:
| Empfohlene Maßnahmen | A | B |
|---|---|---|
| Dritte für mögliche Infrastrukturprobleme zB Streaming-Dienste wie Netflix, bei der Telearbeit sensibilisieren; | ✔ | ✔ |
| Automatische Updates für Software wie Betriebssystem, Browser, VPN-Software auf den Telearbeitssystemen aktivieren; | ✔ | ✔ |
| Aktuelle Antiviren- und Firewall-Software auf den Telearbeitsgeräten einsetzen; | ✔ | |
| Virtuelle Maschinen mit vorinstallierter und -konfigurierter Software für die Telearbeit einsetzen; | ✔ |
Anmerkungen
Die oben angeführten Empfehlungen sind technische und organisatorische Sicherheitsmaßnahmen, um die sichere Verarbeitung von personenbezogenen Daten bei der Telearbeit zu gewährleisten.
Die Empfehlungen erheben keinen Anspruch auf Vollständigkeit und Wirksamkeit für konkrete Verarbeitungstätigkeiten. Es wird empfohlen, vor allem bei der Verarbeitung von vertraulichen oder sensiblen personenbezogenen Daten eine vorangehende Datenschutz-Folgenabschätzung durchzuführen und verarbeitungsspezifische, risikobasierte Maßnahmen zu planen und umzusetzen.
Anregungen und Verbesserungsvorschläge zu den empfohlenen Sicherheitsmaßnahmen für Telearbeit sind willkommen.
[1] Kriminelle nutzen Coronavirus zu Betrug, https://noe.orf.at/stories/3039539/, (18.03.2020)