Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
23. August 2021

Hybrid Work: So wird die Rückkehr ins Büro nicht zum Datenschutz-Risiko

Gratis
Beim mobilen Arbeiten, im Homeoffice und im Büro gelten jeweils andere Sicherheitsanforderungen
Bild: iStock.com / svetikd
5,00 (3)
Inhalte in diesem Beitrag
Datenschutz-Unterweisung Hybrid Work
Kehren die Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice (zeitweise) in das frühere Büro zurück, bedeutet das auch geänderte Datenschutzkonzepte. Die neue Form des Arbeitens wird eine Mischform, „Hybrid Work“ sein, mit Folgen für den Datenschutz. Machen Sie deshalb Hybrid Work zum Gegenstand einer Datenschutzunterweisung

Nach Remote Work kommt Hybrid Work

Hybrid Work bedeutet, dass die Beschäftigten flexibel und bedarfsabhängig zwischen Büro, Homeoffice und mobiler Arbeit wechseln. Nun ließe sich vermuten, dass Hybrid Work auf den Datenschutzkonzepten der bisherigen Büroarbeit aufsetzen kann. Dass sich also die Datenschutzmaßnahmen für das Homeoffice mit den bekannten Maßnahmen für die klassische Büroarbeit kombinieren lassen. Ganz so einfach ist es jedoch nicht.

Bürorückkehrer im Fokus der Phishing-Attacken

Cyberkriminelle und andere Datendiebe nutzen jede aktuelle Veränderung, um daraus kriminelles Kapital zu schlagen.

So berichtet der Digitalverband Bitkom von Phishing-Angriffen, die auf die Bürorückkehrer maßgeschneidert sind: „Mitarbeitende bekommen E-Mails vom IT-Chef ihrer Firma, der sie zurück im Büro begrüßt – versehen mit Logo und Unterschrift. Ein Link in der Nachricht verweist auf neue Vorsichtsmaßnahmen, die das Unternehmen mit Blick auf die Pandemie trifft. Um auf diese Dokumente zugreifen zu können, müssen Mitarbeitende dann ihr Passwort eingeben. In Wahrheit sollen so die Zugangsdaten abgegriffen werden“, erläutert Sebastian Artz, Referent für Informationssicherheit und Sicherheitspolitik beim Bitkom.

Mitarbeiterschulung Grundlagen des Datenschutzes

Mitarbeiterschulung Grundlagen des Datenschutzes

Von Fragen wie „Was sind personenbezogenen Daten?“, „Was bedeutet Datenverarbeitung“ und „Wann ist eine Datenverarbeitung zulässig?“ über die Prinzipien des richtigen Verhaltens bei Auskunftsersuchen, in sozialen Netzwerken und im Umgang mit mobilen Datenträgern und Smartphones lernen Ihre Kolleginnen und Kollegen alle wesentlichen Grundlagen kennen.

Der Kurs zeigt den Datenschutz im Unternehmensalltag und die Fallstricke, die dort lauern. Übungen, viel Interaktion und ein Abschlusstest runden die Schulung ab.

 

Neben vorsichtig agierenden Mitarbeitenden bedarf es einer vorausschauenden Planung in Unternehmen, so Bitkom: So sollten Endgeräte, die die Beschäftigten im Homeoffice nutzen, nicht unbedacht wieder im Unternehmen zum Einsatz kommen.

„Unternehmen müssen damit rechnen, dass Cyberkriminelle dies bereits antizipiert haben und bewusst Endgeräte infiltriert wurden, um den Moment abzupassen, an dem sich die Geräte wieder im Unternehmensnetzwerk befinden – ganz im Sinne eines trojanischen Pferds, das mit dem Wegfall der Homeoffice-Pflicht einfach wieder durch die Eingangstür des Unternehmens hineingetragen wird“, warnt Bitkom-Experte Artz.

Praxis-Tipp
Daher sollte die IT die Rückführung der Geräte genau erfassen und inventarisieren. Empfehlen Sie als Datenschutzbeauftragter / Datenschutzbeauftrage, im Unternehmen oder in der Behörde sicherzustellen, dass die Geräte über alle aktuellen Updates verfügen und auf Schadcode-Befall überprüft wurden, bevor sie wieder im Firmen- bzw. Behördennetz zum Einsatz kommen.

Datenschutz für Hybrid Work

Bei der neuen Art des Arbeitens Hybrid Work geht es nicht nur um die einmalige Rückkehr ins Büro, sondern um den ständigen Wechsel zwischen Büro, mobiler Arbeit und Homeoffice.

Das Ziel dabei ist klar: Ganz gleich, wo die Arbeit mit personenbezogenen Daten stattfindet, darf das Datenschutzniveau nicht sinken. Stattdessen müssen die Datenschutzmaßnahmen immer dem jeweiligen Risiko entsprechen, im Büro, gleich wo sich die Beschäftigten befinden.

Beispiel
Ein Beispiel ist die Anmeldung an IT-Systemen:

  • So kann es im Büro ausreichen, ein Passwort abzufragen, je nach Situation vor Ort vielleicht auch im Homeoffice, wenn dort Dritte keinen Zugang zu den IT-Systemen wie dem betrieblichen Notebook haben.
  • Unterwegs jedoch lassen sich Notebooks leichter stehlen oder sie gehen verloren. Dann ist eine Mehr-Faktor-Authentifizierung (MFA) empfehlenswert.

Wichtig ist es dabei zu verstehen, dass „Unterwegs sein“ nicht Dienstreise bedeuten muss. Allein schon der regelmäßige Wechsel zwischen Büro und Homeoffice führt dazu, dass die Beschäftigten unterwegs sind. Das bedeutet also, dass sich die Schutzmaßnahmen für die Anmeldung innerhalb einer kurzen Zeit – also innerhalb der Dauer des Wegs zwischen Büro und Homeoffice – mehrfach ändern müssten.

Flexible Arbeit erfordert flexible oder strikte Datensicherheit

Machen Sie den Beschäftigten in einer Unterweisung zur (teilweisen) Rückkehr ins Büro und zu Hybrid Work klar, dass der flexible Wechsel bei der Arbeit auch zu dynamischen Risiken führt.

Entweder heißt es dann, die Security-Maßnahmen dynamisch zu gestalten. Dann sollten sich die Nutzerinnen und Nutzer nicht wundern, dass sich selbst innerhalb einer Stunde – also zum Beispiel während sie vom Homeoffice ins Büro fahren – die Anforderungen an die Sicherheit verändern können. So kann die Anmeldung beispielsweise wechseln von der einfachen Passworteingabe hin zur Mehr-Faktor-Authentifizierung.

Die Alternative ist, von den jeweils höchsten Risiken auszugehen und immer und an jedem Ort die hohe und strikte Sicherheit zu verlangen. Das würde etwa immer Mehr-Faktor-Authentifizierung bedeuten, auch im Büro, wo früher vielleicht ein Passwort reichte.

Wichtig ist also, in der Datenschutz-Schulung das Verständnis bei den Nutzerinnen und Nutzern zu wecken, dass ein Mehr an Flexibilität bei der Arbeit auch ein – zeitweises – Mehr an Sicherheit und Datenschutz nach sich zieht.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher. Kontakt:
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.