E-Book, Deutsch, 216 Seiten
Karunakumar / Keuntje / Penner Sicheres Homeoffice
1. Auflage 2023
ISBN: 978-3-7578-9543-3
Verlag: BoD - Books on Demand
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Herausforderungen nachhaltiger Sicherheit
E-Book, Deutsch, 216 Seiten
ISBN: 978-3-7578-9543-3
Verlag: BoD - Books on Demand
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Die Corona Pandemie hat deutlich gemacht, dass über die Hälfte aller Jobs mindestens teilweise im Homeoffice ausgeführt werden können. Gleichzeitig zeigen weitere Forschungen, dass die Arbeit im Homeoffice das Infektionsrisiko deutlich senken kann. Jedoch ist damit nicht das Infektionsrisiko durch Computerviren und andere Malware gemeint, denn dieses, so zeigen weitere Studien ist im Homeoffice höher als am Arbeitsplatz im Unternehmen. Da wiederum andere Untersuchungen darauf hinweisen, dass die überwiegende Mehrheit der während der Pandemie im Homeoffice tätigen, auch in Zukunft im selben oder geringerem Umfang von zu Hause arbeiten möchte, gilt es sich dem Themenbereich Informationssicherheit im Homeoffice verstärkt zu widmen. Ziel dieses Sammelwerkes ist es deswegen, einen zwar nicht vollständigen, aber doch umfassenden Überblick über das gesamte Spektrum des sicheren Homeoffice zu geben und damit einerseits auf Gefahren und Schwachstellen hinzuweisen, andererseits aber auch über bereits erzielte Erfolge und sinnvolle Maßnahmen zu berichten. Auf diese Weise soll es konkret dabei helfen, sich der Risiken der Arbeit im Homeoffice im Hinblick auf Datensicherheit und Datenschutz bewusst zu werden und diese entweder zu reduzieren (vermindern) oder noch besser zu vermeiden.
Saghana Karunakumar hat nach dem Abitur am Gymnasium Leopoldinum als Bachelorstudentin 2017 mit dem Studiengang Betriebswirtschaftslehre am Fachbereich Wirtschaft und Gesundheit der FH Bielefeld begonnen und zeitnah angefangen als Werkstu-dentin bei dem Unternehmen Phoenix Contact GmbH & Co. KG in Blomberg zu arbeiten. Während ihrer Werkstudententätigkeit hat sie Interesse an IT-Themen, insbesondere im Finanzbereich entdeckt und daher ihre Bachelorarbeit und Masterarbeit in Kooperation mit dem Unternehmen in diesem Bereich geschrieben und ihren Master im Studiengang Wirtschaftsinformatik abgelegt. Nach dem erfolgreichen Abschluss hat sie begonnen als Inhouse Consultant bei Phoenix Contact GmbH & Co. KG zu arbeiten.
Autoren/Hrsg.
Weitere Infos & Material
Homeoffice Regelungen und Maßnahmen nach BSI Grundschutz
Autor: Jörg-Michael Keuntje Einleitung
Mit dem ersten Lockdown zu Beginn der Corona-Pandemie waren alle Unternehmen, wo es irgendwie möglich war, gezwungen, innerhalb von wenigen Tagen Mitarbeiter ins Homeoffice zu schicken. Zunächst lag der Fokus nur darauf, dass es irgendwie funktioniert, nach und nach wurden Sicherheitsmaßnahmen implementiert. Jetzt, rund zwei Jahre nach Beginn der Pandemie, stellt sich für viele Unternehmen die Frage, ob Homeoffice als möglicher Arbeitsort erhalten bleiben kann, auch dann, wenn die Pandemie als besiegt gilt. Diese Überlegung ist der Anlass, sich mit dem Thema Informationssicherheit im Homeoffice noch einmal intensiv zu beschäftigen. In dieser Ausarbeitung sollen die zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehörenden Dokumente betrachtet werden hinsichtlich ihrer Relevanz für die Informationssicherheit im Homeoffice. Dabei liegt der Schwerpunkt der Ausarbeitung nicht darauf, die Bausteine aus dem Grundschutz-Kompendium zu analysieren, die sich speziell mit Homeoffice beschäftigen, sondern besonders den BSI Standard 200-1 und die elementaren Gefährdungen aus dem Grundschutz Kompendium daraufhin zu betrachten, wo sich Implikationen für das Homeoffice ergeben. Motivation
Die Karnevalssitzung in Gangelt im Kreis Heinsberg, die als Ursache für den ersten Corona Hot Spot in Deutschland gilt, fand am 15. Februar 2020 statt.28 "Mitte März 2020 war die Europäische Region der WHO zum Epizentrum der Pandemie [der Coronavirus-Krankheit (COVID-19), Anm. d. Verf.] geworden und meldete über 40 % der weltweit bestätigten Fälle. Mit Stand vom 28. April 2020 entfielen 63 % der weltweiten durch das Virus bedingten Mortalität auf die Europäische Region."29 Diese Daten zeigen, dass die Unternehmen in Deutschland praktisch "über Nacht" reagieren mussten und, wo immer es ging, ihre Mitarbeiter zu deren Schutz ins Homeoffice geschickt haben. Zeit, das Thema Homeoffice strategisch (und sicher) zu planen, blieb nicht. Jetzt, zwei Jahre später im März 2022, verfügen sowohl Arbeitgeber als auch Arbeitnehmer über viele Erfahrungen mit dem Homeoffice, so dass einer Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Folge 58 % der Unternehmen das Homeoffice-Angebot nach der Pandemie aufrechterhalten oder sogar ausweiten wollen30. Damit hat sich Homeoffice als neuer "Arbeitsplatz" etabliert. Das ist Grund genug, sich mit dem Thema Informationssicherheit im Homeoffice zu beschäftigen und zu betrachten, an welchen Stellen sich im IT-Grundschutz des BSI Bezüge zum Homeoffice herstellen lassen. Dabei sollen nicht die einzelnen Bausteine aus dem Grundschutz-Kompendium des BSI der Reihe nach betrachtet werden, sondern es werden der BSI-Standard 200-1 sowie die elementaren Gefährdungen aus dem Grundschutz-Kompendium betrachtet. Dies stellt sicher, dass immer ein ganzheitlicher Blick auf das Thema Informationssicherheit im Homeoffice gegeben ist. Bei jedem Aspekt, der in dieser Ausarbeitung behandelt wird, erfolgt am Ende ein Blick auf Bausteine oder Anforderungen aus Bausteinen, die im Grundschutz-Kompendium das Thema aufgreifen, so dass der Leser, der diesen Aspekt vertiefen möchte, schnell geeignete Referenzen zur Hand hat. Sowohl die BSI-Standards als auch das Kompendium können von der Homepage des BSI heruntergeladen werden. Der BSI Grundschutz
Der BSI Grundschutz ist eine Vorgehensweise, ein Informationssicherheitsmanagementsystem (ISMS) in einem Unternehmen einzuführen. Unternehmen, die alle erforderlichen Anforderungen erfüllt haben, können sich dann nach IT-Grundschutz auf Basis der internationalen Norm ISO 27001 zertifizieren lassen und so einen Nachweis erlangen, dass Informationssicherheit auf höchstem Niveau auf aktuellen Stand der Technik gewährleistet ist. Der BSI Grundschutz besteht aus den vier BSI Standards und dem Grundschutz-Kompendium. "Der im Rahmen der IT-Grundschutz-Modernisierung aktualisierte BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002."31 "Verantwortliche für Informationssicherheit können mit dem Standard 200-2 sowie den erforderlichen Bausteinen aus dem IT-Grundschutz-Kompendium ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern."32 Es handelt sich also um den Leitfaden, der im Zusammenspiel mit dem Grundschutz-Kompendium beschreibt, wie das ISMS im Unternehmen eingeführt werden kann. "Mit dem BSI-Standard 200-3 stellt das BSI ein leicht anzuwendendes und anerkanntes Vorgehen zur Verfügung, mit dem Institutionen ihre Informationssicherheitsrisiken angemessen und zielgerichtet steuern können. Das Vorgehen basiert auf den elementaren Gefährdungen, die im IT-Grundschutz-Kompendium beschrieben sind und auf deren Basis auch die IT-Grundschutz-Bausteine erstellt werden."33 "Im IT-Grundschutz ist das Thema Business Continuity Management (BCM) bereits seit Jahren fest verankert und bietet mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung. Die fortlaufenden Entwicklungen und Erfahrungen in den Bereichen BCM, Notfallmanagement und (IT-)Krisenmanagement sowie mit den angrenzenden BSI-Standards zur Informationssicherheit haben jedoch den Bedarf aufgezeigt, den BSI Standard 100-4 grundsätzlich zu modernisieren. […] Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. […] Bis zur Veröffentlichung des finalen neuen BSI-Standard 200-4 bleibt der BSI-Standard 100-4 gültig."34 "Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten. Im Fokus des IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS). Das IT-Grundschutz-Kompendium wird jährlich im Februar in einer neuen Edition veröffentlicht."35 Die folgende Abbildung zeigt die Dokumente im Überblick: Abbildung 1 Die Dokumente des IT-Grundschutzes im Überblick36 Jeder Baustein enthält ein oder mehrere Anforderungen, die jeweils umgesetzt werden müssen. Die Anforderungen sind noch mit Buchstaben gekennzeichnet. Dabei steht (B) für Basisschutz, also für die Anforderungen, die zuallererst umgesetzt werden müssen, um einen Minimalschutz zu erreichen. (S) steht für Standard-Anforderungen nach aktuellem Stand der Technik bei normalem Schutzbedarf. (H) beschreibt Anforderungen, die Unternehmen mit einem hohen Schutzbedarf umsetzen müssen. In dieser Ausarbeitung steht (wie schon in der Einleitung erwähnt) von den vier Standards der Standard 200-1 im Fokus. Da er die Anforderungen an ein ISMS definiert, lassen sich daraus auch mehrere Anforderungen an das Homeoffice ableiten. Die anderen Standards bieten in dieser Hinsicht wenige Aspekte. Auch aus der Beschreibung der elementaren Gefährdungen im Grundschutz-Kompendium lassen sich diverse Gefährdungen für das Homeoffice ableiten. Diese Aspekte werden in den nächsten beiden Kapiteln ausführlich erläutert. Betrachtungen zum BSI Standard 200-1
Allgemeine Betrachtungen Das BSI betont auch im Standard 200-1 die klassischen Grundwerte der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.37 Für diese Ausarbeitung ist es nicht notwendig, weitere Grundwerte wie Authentizität oder Nichtabstreitbarkeit zu unterscheiden, es genügt die Betrachtung der drei klassischen Grundwerte. Für Leser, die nicht regelmäßig Veröffentlichungen zur IT-Sicherheit lesen, muss explizit darauf hingewiesen werden, dass nach dieser Definition eine Verletzung der Verfügbarkeit einen Sicherheitsvorfall bedeutet. Die drei Grundwerte gelten natürlich auch im Homeoffice. Klassisch in der Informationssicherheit ist auch die Dreiteilung der Aufgaben: Die Gesamtverantwortung obliegt der Leitungsebene. Für die Umsetzung der Maßnahmen sowie die Aufrechterhaltung der Sicherheit ist der Informationssicherheitsbeauftragte (ISB, oft auch als Chief Information Officer, CISO, bezeichnet) verantwortlich. Jeder Mitarbeiter muss die IT-Sicherheit an seinem Arbeitsplatz gewährleisten. Letzteres gilt natürlich auch wieder...
