HR-Sicherheit im Zeitalter von Remote Work
Durch die Arbeit im Homeoffice sowie die mobile Arbeit erhalten die Mitarbeitenden über das Internet Zugriff auf die interne IT-Infrastruktur der Unternehmen. Die entstehenden Informationssicherheitsrisiken müssen identifiziert und durch geeignete Maßnahmen vermieden werden.
In seinem neuesten Beitrag beleuchtet unser Autor, Raschid Bouabba, wie Unternehmen ihre HR-Security effektiv gestalten können. Dabei zeigt der Autor auf, wie sichere Prozesse und Regelungen aufgesetzt und wirksame Schutzmaßnahmen installiert werden können.
Durch die Arbeit im Homeoffice sowie die mobile Arbeit erhalten die Mitarbeitenden über das Internet Zugriff auf die interne IT-Infrastruktur der Unternehmen. Die entstehenden Informationssicherheitsrisiken müssen identifiziert und durch geeignete Maßnahmen vermieden werden. Dies dient der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit und umfasst auch den Einsatz von Videokonferenzsystemen und Messengerdiensten. Bei ad hoc eingerichteten Lösungen für mobiles Arbeiten können in der Regel nicht alle Anforderungen der Informationssicherheit von Anfang an vollständig umgesetzt werden.
Organisatorische Maßnahmen
Es empfiehlt sich, diejenigen Maßnahmen auszuwählen, welche betriebsintern und zeitnah umgesetzt werden können. Dadurch soll ein Mindestmaß an Sicherheit gewährleistet und durch klare und verbindliche Regelungen für die Mitarbeitenden begleitet werden.
Maßnahmen | To-do |
Geschäftsprozesse | prüfen |
Regelungen | erstellen |
Mitarbeitende | sensibilisieren |
Erreichbarkeit | sicherstellen |
Informationsfluss | aufrechterhalten |
Schnittstellen | absichern |
Geschäftsprozesse und Richtlinien prüfen
Existierende Geschäftsprozesse und Richtlinien sollten unter Berücksichtigung der neuen Situation geprüft und angepasst werden, u. a.: Passwortrichtlinien, da viele Systeme nun zusätzlichen äußeren Einflüssen ausgesetzt sind; Notfallpläne, aufgrund der veränderten Präsenz der Mitarbeitenden; VPN-Firmenrichtlinien, um einer größeren Anzahl entfernt arbeitender Beschäftigter Zugänge bereitzustellen; Support-Prozesse, welche kurzfristig technische Unterstützung an mobilen Arbeitsplätzen gewährleisten.
Regelungen für mobiles Arbeiten
Es ist festzulegen, welche Mitarbeitenden mobil und welche nur im Betrieb in Präsenz arbeiten dürfen. Es muss geklärt werden, welche Mitarbeitenden zur Aufrechterhaltung der kritischen Geschäftsprozesse unbedingt erforderlich sind. Die Regelungen beinhalten die Tätigkeit sowie den notwendigen Umgang mit der IT.
Mitarbeitende sensibilisieren
Mobiles Arbeiten erfreut sich einer hohen Beliebtheit. Die Mitarbeitenden müssen hinsichtlich der entstehenden Risiken sensibilisiert werden. Sie benötigen außerdem Informationen, wie im Homeoffice eine sichere Arbeitsumgebung geschaffen werden kann.
Telefonische Erreichbarkeit sicherstellen
Die telefonische Erreichbarkeit der Mitarbeitenden im Homeoffice muss sichergestellt werden. Es wird empfohlen, Listen zu erstellen, aus denen die jeweilige telefonische Erreichbarkeit der Mitarbeitenden hervorgeht.
Informationsfluss aufrechterhalten
Um den Informationsfluss auch über die Gebäudegrenzen hinweg aufrechtzuerhalten, sollten Prozesse und Abläufe zur Einbindung der Mitarbeitenden etabliert werden. Hilfreich könnte hier z. B. der Einsatz eines internen Chat-Systems sein.
Schnittstellen absichern
Im häuslichen Umfeld kann die Hemmschwelle zur Verwendung privater, extern angeschlossener Geräte (z. B. USB-Sticks) niedriger sein. Um eine Infektion des Systems mit Schadsoftware zu vermeiden, kann eine Schnittstellenkontrolle diesen potenziellen Infektionsweg absichern.
Vorhandene Regelungen zur Schnittstellenkontrolle sollten überprüft werden. Die Mitarbeitenden sollten sensibilisiert und angehalten werden, Maßnahmen zur Absicherung des ggf. genutzten privaten Heimnetzes zu treffen; hierzu zählt insbesondere die Anwendung der Sicherheitsfunktionen des privaten Routers.
Mobile Arbeitsplätze sind durch einen Authentifizierungsprozess zu schützen und dürfen nur nach einer erfolgreichen Authentifizierung entsperrt werden. Es sollte eine automatische Bildschirmsperre eingerichtet sein; schon beim kurzzeitigen Verlassen des Arbeitsplatzes ist das System durch den Nutzer zu sperren. Die Zeitspanne bis zum Aktivieren der automatischen Bildschirmsperre ist an die Gegebenheiten anzupassen, denn Mitwohnende und Familienmitglieder dürfen keinen Zugriff auf das System erhalten.
Die Verwendung eines Virenschutzprogramms ist unabdingbar. Eine regelmäßige Aktualisierung der Virendefinitionen (Update-Prozess) muss auch für mobile Arbeitsplätze sichergestellt werden. Die regelmäßige Aktualisierung der Software auf den mobilen Arbeitsplätzen muss sichergestellt werden.
Mobile IT hat ein erhöhtes Risiko eines direkten sowie unbemerkten Zugriffs und somit einer Manipulation. Insbesondere der Bootvorgang muss zur Erhaltung der Integrität weitestgehend geschützt werden. Verbindungen zum unternehmensinternen Netz sollten protokolliert und die Protokolle regelmäßig ausgewertet werden, um Risiken und Angriffe zeitnah zu erkennen.
Umgang mit dienstlichen Informationen
Beim Umgang mit dienstlichen Informationen sollten folgende Aspekte beachtet werden: Beim Transport sensibler Daten ist auf eine angemessene Verschlüsselung zu achten. Bei einer Netzverbindung übernimmt ein eingerichtetes VPN diese Aufgabe. Unverschlüsselte Datenspeicher (externe Festplatten, USB-Sticks etc.) müssen durch zusätzliche Software oder Hardware ertüchtigt werden. Eine permanente Datenträgerverschlüsselung sollte in Betracht gezogen werden, damit der Zugriff auf gespeicherte Daten nach einem Verlust verhindert wird.
Lesen Sie den vollständigen Beitrag aus der HR Performance 2/2025.
