IT-Sicherheit als wichtiger Baustein der sicheren Arbeit im Homeoffice zum Schutz des Unternehmens
Die COVID-19 Krise verändert die Art wie wir leben und arbeiten. Sofern möglich sind alle Bürger aufgerufen, von zu Hause aus zu arbeiten. Dies stellt Sie als Arbeitgeber nicht nur vor die Herausforderung, eine belastbare IT-Infrastruktur zu schaffen und die Einhaltung wichtiger Vorgaben sicherzustellen – Weitere Informationen über die besonderen Anforderungen an den Datenschutz beim Homeoffice finden Sie in unserem Beitrag hier – Auch die Sicherheit Ihres Unternehmens ist bei dem sogenannten „Remote Working“ stärker gefährdet. Die Europäische Agentur für Cybersicherheit (ENISA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigen eine besondere Gefahrenlage. Auch der Geschäftsführer des TÜV-Verbands (Dr. Joachim Bühler) lässt verlauten, dass Unternehmen wegen der Corona-Pandemie die Risiken für ihre Organisation neu bewerten und ihre IT-Sicherheitsmaßnahmen anpassen müssen. Unklar ist, wie lange diese außergewöhnliche Situation noch anhält. Klar ist dagegen, dass viele Unternehmen gerade plötzlich mit der Arbeit der Zukunft konfrontiert werden. Daher macht es Sinn, Strukturen die jetzt für die Krise aufgebaut werden nach Möglichkeit so zu gestalten, dass diese auch für die Zeit danach eine solide Grundlage für ein (zukunfts-) sicheres Remote Working bieten.
Der Umstand, dass nahezu die gesamte Unternehmenskommunikation plötzlich digitalisiert erfolgt und dies dazu bisweilen ohne die Verwendung gesicherter Netzwerke, versetzt Hacker in diesen Tagen in eine Goldgräberstimmung. So würden nach Auskunft der ENISA und des BSI seit einiger Zeit etwa vermehrt Phishing-Attacken stattfinden. Das sich die Bedrohungslage in einer Zeit verschärft, in der der Großteil aller europäischer Unternehmen von heute auf morgen dazu gezwungen wird, die Arbeitnehmer in das Homeoffice zu entsenden ist dabei kein Zufall: Nicht vorhandene technische Sicherheitsstandards, unvorbereitete und ungeschulte Arbeitnehmer, kein Kommunikationskonzept und unklare Zuständigkeiten. Diese Sicherheitslücken eröffnen Möglichkeiten für Cyberangriffe, die u.a. in folgender Gestalt auftreten können:
Social Engineering:
Dabei versucht der Angreifer durch Täuschungen eine Person zu bestimmten Handlungen zu veranlassen. Als bekannte Beispiele gelten hier das Phishing oder der sogenannte CEO Fraud. Beim Phishing wird einer Zielperson eine E-Mail aus einer vermeintlich vertrauenswürdigen Quelle übersendet (z.B. der Hausbank des Unternehmens), in der die Person darum gebeten wird, bestimmte Daten einzugeben und zu bestätigen. Auf diese Weise könne z.B. Kontozugangsdaten abfließen. Auch Kundenlisten könnten dabei abgefragt werden und auf diese Weise an unberechtigte Dritte gelangen. Beim CEO Fraud hingegen empfängt ein Beschäftigter eine E-Mail, die einen seiner Vorgesetzten als Absender ausgibt. In dieser E-Mail oder aber im Laufe einer (meist kurzen) E-Mail Konversation wird dem Beschäftigten dann eine bestimmte Handlung aufgetragen, die dieser - natürlich streng vertraulich - ausführen müsse, wie etwa die Überweisung eines größeren Geldbetrages. Über solche Methoden werden aber etwa auch Kundenlisten oder Zugangsdaten zu Datenbanken abgefragt werden.
Malware und Ransomware:
Gängig ist auch der Einsatz von Schad- oder Erpressungs-Software. Während mit einer Schad-Software häufig nur wahllos Dateien und Systeme zerstört werden sollen, wird eine Ransomware dazu eingesetzt, das Zielunternehmen zu erpressen. Etwa dadurch, dass die Festplatte des Unternehmens verschlüsselt und erst gegen Zahlung eines Lösegeldes wieder freigegeben wird.
Advanced Persistent Threats (APT):
Hierbei versuchen die Angreifer bei einem zielgerichteten Angriff, in das Unternehmensnetzwerk einzudringen und über einen längeren Zeitraum vertrauliche Informationen Behörden, Groß- und Mittelstandsunternehmen aller Branchen zu erlangen. Letztlich zielt diese Methode darauf ab, das betroffene Unternehmen auszuspionieren.
Bei der Anpassung des Betriebes an die neue Realität haben Unternehmen sowohl ein geschäftliches Interesse wie auch eine gesetzliche Verpflichtung, ihre Systeme und Daten durch Sicherheitsmaßnahmen zu schützen. Dies erfordert sowohl den Einsatz einer geeigneten Informationstechnik (IT), als auch die Implementierung verbindlicher Leitlinien bzgl. der Verwendung dieser IT. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Erstellung eines Sicherheitskonzeptes für das Remote Working. Zu den Bausteinen eines solchen Sicherheitskonzeptes zählen sowohl technische als auch organisatorische Maßnahmen.
Welche technischen Maßnahmen Sie treffen können, hängt von den konkreten Voraussetzungen der im Homeoffice eingesetzten Technik ab. Nutzen Ihre Beschäftigten die unternehmenseigene IT (z.B. Laptops, Tablets und Handys), können die verwendeten Geräte bereits voran mit entsprechenden Sicherheitsmaßnahmen vorkonfigurierten werden. Die von Ihnen bereitgestellte IT-Ausrüstung sollte durch verschiedenen Sicherheitsmaßnahmen geschützt werden.
Sicherung der Kommunikationswege und Netzwerksicherheit
Die Verbindung zum Server des Unternehmens sollte über gesicherte Netzwerke (VPN - Virtual Private Network) erfolgen. Dadurch wird u.a. sichergestellt, dass sensible Informationen Ihres Unternehmens nicht bei der Übertragung von dem Server zu dem Laptop des Arbeitnehmers von Dritten abgefangen werden können. Zudem kann dem Arbeitnehmer auf diesem Weg der Zugriff auf unternehmensinterne Datenbanken ermöglicht werden, die nur aus dem Netzwerk des Unternehmens heraus, nicht aber über das freie Internet abrufbar sind. Sofern Sie den Einsatz eines VPN planen, sollten Sie zudem auf eine Skalierbarkeit dieser Ressourcen achten, sodass diese Lösungen auch an künftige Erfordernisse angepasst werden können. In Zeiten der Krise dürfte es teilweise nicht einfach sein, eine noch nicht vorhandene Hardware-Infrastruktur zeitnah aufzubauen. In diesem Fall können auch die privaten Geräte der Arbeitnehmer für das Remote Working eingesetzt werden - natürlich nur mit dem Einverständnis der Arbeitnehmer. In diesem Fall sollten Sie ebenfalls den Einsatz eines VPN-Clients in Betracht ziehen. Bei der Verwendung von privaten Geräten sind zudem Virtualisierungslösungen empfehlenswert. So erlaubt es eine Virtual Desktop-Lösung, dass ein Arbeitnehmer seinen privaten Laptop/Computer gewissermaßen lediglich als „Fernbedienung“ für einen virtuellen PC verwendet. Dieser virtuelle PC bzw. das Betriebssystem dieses virtuellen PCs läuft dagegen in einer sicheren Serverumgebung und erlaubt den Zugriff auf darauf laufende Software und darauf gespeicherte Daten nur in dem Umfang, wie von Ihnen zuvor freigegeben. Für Bring Your Own Device-Lösungen (BYOD) gelten weitestgehend dieselben Empfehlungen wie für private Geräte.
Sicherung der Geräte selbst
Selbstverständlich müssen eingesetzte Geräte über einen Passwortschutz verfügen. Auch ein aktuelles Anti-Virus-Programm ist Pflicht. Sicherheitsupdates sowie regelmäßige Datensicherungen (der On-Premise-verarbeiteten Daten) müssen zudem gewährleistet sein.
Welche weiteren Maßnahmen zu treffen sind, ist insbesondere davon abhängig, welche konkreten Gefahren Sie für Ihr Unternehmen identifiziert haben. Hier empfiehlt es sich, eine Risikoanalyse durchzuführen.
Das Remote Working erfordert ergänzende organisatorische Maßnahmen. Sie sollten Ihre Arbeitnehmer darüber informieren, dass sie ggfs. regelmäßige Datensicherungen durchführen müssen. Organisatorische Maßnahmen sind also teilweise erforderlich, um technischen Maßnahmen zu ihrer Wirkung zu verhelfen. Auch muss ein Arbeitnehmer über drohende Gefahren aufgrund von Cyberattacken informiert und sensibilisiert werden. Der Arbeitnehmer muss wissen, wie man einen Angriff identifiziert und wie bei einem solchen sicherheitsrelevanten Vorfall zu reagieren ist. Dies bedarf der Festlegung durch den Arbeitgeber.
Sensibilisierung der Arbeitnehmer als wichtige Sicherheitsmaßnahme
Die Arbeitnehmer sollten es als ihre Pflicht verstehen, bei der Nutzung des Internets, egal in welcher Form, ein gewisses Aufmerksamkeitslevel an den Tag zu legen. Ein wichtiger Bestandteil der Abwehr von Cyberangriffen ist ihre Erkennung. Sofern es diese Angriffe nicht auf die Überwindung technischer Schutzmaßnahmen anlegen, sondern etwa Social Engineering nutzen, um ihr Ziel zu erreichen, liegt die Möglichkeit der Erkennung häufig ausschließlich bei den Arbeitnehmern. Sie müssen daher besonders aufmerksam bei verdächtigen Umständen reagieren. Dies setzt voraus, dass die Arbeitnehmer die lauernden Gefahren kennen, für diese gewissermaßen sensibilisiert werden. Um eine Sensibilisierung für das Erkennen von Cyberangriffen zu erreichen, sollten sie entsprechend geschult werden. Im Rahmen einer Online-Schulung könnten z.B. verschiede Angriffsszenarien dargestellt und in einem Multiple-Choice-Tests die richtige Reaktion der Arbeitnehmer abgefragt werden. Mit dem Einsatz von Informationsbroschüren können den Arbeitnehmern bestimmte Betrugsmaschen oder Merkmale etwaiger Cyberangriffe vorgestellt werden.
Einbindung verbindlicher Leitlinien
Sie sollten Ihre Arbeitnehmer mit klaren Leitlinien und Handlungsanweisungen (schriftlichen und nachlesbaren) unterstützen. Aus diesen Leitlinien und Anweisungen muss sich ergeben, wie sich die Arbeitnehmer im Falle des Verdachtes eines Angriffs oder einer eingetretenen Datenpanne zu verhalten haben. Auch Leitlinien hinsichtlich der Kommunikation mit Vorgesetzten sind vor dem Hintergrund der vom Social Engineering ausgehenden Gefahr von großer Bedeutung. So kann etwa bestimmt werden, dass bestimmte Handlungen nur nach Rückversicherung über einen zweiten Kommunikationsweg (z.B. telefonisch) durchgeführt werden dürfen und ein Abweichen von diesem Vorgehen strikt untersagt ist. Eine Kommunikationsleitlinie sollte den Arbeitnehmern überdies klar darlegen, wie und an wen ein Ernstfall zu melden.
Nicht zuletzt sollte der mögliche Reputationsschaden und ein damit gegebenenfalls einhergehender Vertrauensverlust von Kunden und Geschäftspartnern bedacht werden, wenn ein erfolgreicher Cyberangriff öffentlich wird oder aber die entwendeten Kunden von Dritten verwendet werden. Wenn Ihr Unternehmen doch Opfer eines Angriffs wird, dürften Sie verschiedene Interessen daran haben, dass dieser Vorfall nicht ungefiltert oder vielleicht sogar unrichtig nach außen dringt. Wenn ein Arbeitnehmer einen Vorfall direkt im erst besten Internetportal veröffentlicht, noch bevor Sie davon erfahren haben, kann dies (unkontrollierbare) Auswirkungen auf die Unternehmensreputation haben. Sie sollten Ihre Arbeitnehmer daher zur Verschwiegenheit über etwaige Cybervorfälle verpflichten. Auf diese Weise behalten Sie die Kommunikationshoheit und ermöglichen ein geordnetes Krisenmanagement (sofern erforderlich).
Die Einrichtung von Maßnahmen zum Schutz der IT-Infrastruktur kann sich zum einen aus verschiedenen Gesetzen, vor allem aber auch aus dem eigenen Interesse der Unternehmen ergeben.
Eine rechtliche Verpflichtung zur Einrichtung und Haltung eines IT-Sicherheitslevels gibt es bislang kaum. Das Gesetz des Bundesamtes für die Sicherheit in der Informationstechnologie (BSIG) verpflichtet zwar zur Etablierung angemessener technischer und organisatorischer Schutzmaßnahmen für informationstechnische Systeme (vgl. § 8a BDSIG). Diese Pflicht adressiert allerdings lediglich Betreiber von sogenannten kritischen Infrastrukturen in bestimmten Sektoren, wozu - in Abhängigkeit des Erreichens bestimmter Schellenwerte - etwa Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser u.a. zählen. Zu beachten ist hierbei, dass diese Pflicht auch solche Unternehmen treffen kann, die mit Betreibern kritischer Infrastrukturen zusammenarbeiten, z.B. weil sie für diese bestimmte Teile fertigen (Messgeräte, Pumpen o.ä.). Eine entsprechende Verpflichtung kennt das BSIG zudem für die Anbieter digitaler Dienste (vgl. § 8c BSIG). Unter diesen Diensten werden nach dem Gesetz (vgl. § 2 Abs. 11 und 12 BSIG) juristische Personen verstanden, die Online-Marktplätze, -Suchmaschinen oder Cloud-Computing-Dienste betreiben. Aus dem unlängst bekanntgewordenen Entwurf des IT-Sicherheitsgesetzes 2.0 (welches in Zukunft u.a. das BSIG ändern wird) ergibt sich, dass die Pflichten des BSIG künftig wohl für deutlich mehr Unternehmen gelten werden als dies nach aktuellem Gesetzesstand der Fall ist. Diese Änderungen sollten insbesondere größere Unternehmen im Auge behalten.
Für weitere Bereiche gibt es zudem Sonderregeln, wie etwa für die Betreiber von Telekommunikationsnetzten (vgl. § 104 TKG) oder für die Betreiber geschäftlicher Telemediendienste (vgl. § 13 Abs. 7 TMG). Auch nach diesen Regelungen sind technische und organisatorische Maßnahmen zur Erreichung eines angemessenen IT-Sicherheitslevels einzurichten.
Die DSGVO verlangt, dass geeignete technisch-organisatorische Maßnahmen getroffen werden, um dem bestehenden Risiko für die personenbezogenen Daten ein angemessenes Schutzniveau entgegenzuhalten (vgl. Art. 32 DSGVO). Anders als das BSIG oder etwaige Sondergesetze, adressiert die DSGVO nicht Unternehmen aus bestimmten Sektoren oder mit bestimmten Angeboten, sondern grundsätzlich jedes Unternehmen, dass personenbezogene Daten verarbeitet, sei es von Kunden oder von ihren Beschäftigten. Aus diesem Grund ist auch das Schutzobjekt ein Anderes. Die DSGVO zielt nicht direkt auf den Schutz einer IT-Infrastruktur oder eines bestimmten Dienstes ab, sondern auf den Schutz personenbezogener Daten. Da dieses Schutzziel aber regelmäßig auch die Einrichtung technisch-organisatorischer Maßnahmen zum Schutz der IT-Infrastruktur erfordert, ist eine angemessene IT-Sicherheit zumindest reflexartig zu gewährleisten.
Abgesehen von gesetzlichen Pflichten zur Errichtung von technischen oder organisatorischen Schutzmaßnahmen, sollten Unternehmen aber auch ein eigenes Interesse an der Einrichtung entsprechender Schutzmaßnahmen haben. Dies gilt etwa dann, wenn dieses Unternehmen wertvolle Geschäftsgeheimnisse hat. Um in den Genuss des gesetzlichen Geheimnisschutzes nach dem Geschäftsgeheimnisgesetz zu kommen, muss ein Geschäftsgeheimnis (bzw. eine als solches zu schützende Information) Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen sein (vgl. § 2 Nr. 1 lit. b GeschGehG). Anders ausgedrückt sind faktische „Geschäftsgeheimnisse“ eines Unternehmens gesetzlich nicht als solche geschützt, wenn das Unternehmen selbst keine geeigneten Schutzmaßnahmen zu Schutze dieser Informationen trifft.
Sofern ein Unternehmen den IT-sicherheitsrechtlichen Vorgaben des BSIG oder eines Spezialgesetzes unterfällt, unterliegt es zugleich auch bestimmten Meldepflichten. Solche Meldepflichten (vgl. etwa § 8b Abs. 4 BSIG oder § 8c Abs. 3 BSIG) verlangen in der Regel eine unverzügliche Meldung des Sicherheitsvorfalls mit bestimmten Angaben über das Geschehen.
Ebenso ist es zu beachten bei einem Vorfall, der zu einem Abfluss personenbezogener Daten geführt hat. Dann hat das Unternehmen - ggfs. neben den Meldepflichten aus dem BSIG - auch die Meldepflicht nach der DSGVO gegenüber der Datenschutzaufsichtsbehörde zu erfüllen (Art. 33 DSGVO), welche ebenfalls die Angabe diverser Informationen fordert. Überdies sind bei einem Angriff auf personenbezogene Daten unter Umständen auch die Personen (Kunden/Arbeitnehmer) zu informieren, deren Daten von dem Angriff betroffen sind.
Diese Meldungen müssen in der Regel unverzüglich (vgl. § 8b Abs. 4 BSIG) oder spätestens innerhalb von 72 Stunden (vgl. Art. 33 Abs. 1 DGSVO) erfolgen. Daher ist es von großer Bedeutung, dass die Arbeitnehmer im Falle der Entdeckung eines sicherheitsrelevanten Vorfalls wissen, an welche Stelle im Unternehmen sie diesen Vorfall zu melden haben. In Frage kommen hier - je nach Vorfall - der IT-Sicherheitsbeauftragte oder der Datenschutzbeauftragte.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.