Inzwischen sind wir es zwar alle gewöhnt, dennoch bergen das Home Office und Remote Work immer noch Herausforderungen für die Informationssicherheit. Diese müssen erkannt und gemanaged werden. Im Interview erklärt Nina Benz, Consultant für Information and Data Protection bei TSX Partners, auf welche Aspekte es bei Remote Work ankommt und welche technischen Maßnahmen wichtig sind.
Wie hat die Pandemie die Digitalisierung deiner Meinung nach vorangetrieben?
Um es ein wenig plakativ auszudrücken: ohne Pandemie würden viele Büros immer noch am Fax sitzen.
Welche Maßnahmen waren damals für die Unternehmen wichtig?
Nicht wenige Unternehmen haben sich bereits vor der Pandemie mit der Digitalisierung interner Prozesse befasst und sich Gedanken gemacht. Mit den erhöhten Infektionszahlen und dem resultierenden Lockdown im März des Jahres 2020 wurde dieser Prozess stark verkürzt, damit die Mitarbeitenden zeitnah in ihrem Home-Office arbeiten konnten. Dazu gehörte die Beschaffung von mobilen Geräten und die Möglichkeit, von extern auf die Systeme zugreifen zu können.
Gibt es etwas, das gerne übersehen wurde?
Die Digitalisierung und erfolgreiche Umsetzung von Remote Work verlangt nicht nur technische und organisatorische Maßnahmen [TOM]. Essenziell sind ebenso die Fähigkeiten der Führungskraft, die hinter diesen Prozessen steht. Klassische Führungsmuster stoßen hier an ihre Grenzen. Wie stark die Führungskraft sich den geänderten Rahmenbedingungen anpassen muss, hängt von den Mitarbeitenden ab. Um dieses Thema strukturierter zu betrachten, kann es helfen, diverse Führungstheorien heranzuziehen.
Sind die Unternehmen, die frühzeitig auf den Zug der Digitalisierung und des Remote Work aufgesprungen sind heute im Vorteil?
Dazu lässt sich kaum eine pauschale Aussage treffen. Die zeitliche Komponente würde ich nicht als Kriterium betrachten, sondern die tatsächliche Umsetzung durch die Beteiligten. Ein System muss nicht zwangsläufig besser sein, nur weil es früher implementiert wurde. Wird das System gelebt? Wird der PDCA-Zyklus [Plan-Do-Check-Act] verfolgt?
Theoretisch betrachtet, gibt es viele gut aufgestellte Unternehmen. Wenn diese jedoch nicht auf dem aktuellen Stand bleiben, ist der zeitliche Vorsprung irrelevant.
Aus deiner Erfahrung als Consultant für Information and Data Protection, welches sind die wichtigsten Tools, um die Sicherheit im Remote Work zu gewährleisten?
Für das Arbeiten von zu Hause aus gelten andere Voraussetzungen als im Büro. Vor allem private Computer und private Netzwerke bergen Gefahren, denn selten entsprechen diese den notwendigen Sicherheitsanforderungen. Darum müssen Mindeststandards wie sichere VPN Verbindungen, Multi-Faktor-Authentifizierung, Mobile Device Management und Verschlüsselungen eingerichtet sowie deren Nutzung und Effizienz überwacht werden.
Es darf auch nicht vergessen werden, dass Cloud-Working Programme, und hier insbesondere Videokonferenzsysteme natürlich unentbehrlich sind, aber im Hinblick auf Datenschutz und Internet Security großer Kritik ausgesetzt sind. Dies betrifft vor allem Programme aus den USA. Die Datenaufsichtsbehörden mancher Bundesländer warnen explizit vor dem Einsatz unter anderem von Microsoft Produkten [Informationsfreiheit, B.B.f.D.u. 2021; LfDI Baden-Württemberg, 2022]. Die avisierten Bußgeldhöhen für datenschutzwidrige Nutzungen dieser Programme können auch für große Konzerne existenzbedrohende Ausmaße annehmen.
Zusammen mit deinem Team berätst Du KMU in Sachen Vorbereitung zum TISAX® Assessment. In der überarbeiteten Version des VDA ISA Fragenkatalogs wird besonders auf die Informationssicherheit des Arbeitens im privaten Bereich hingewiesen. Wie lässt sich das deiner Meinung nach umsetzen und kontrollieren?
Meines Erachtens liegt der größte Erfolgsfaktor für die Umsetzung bei den Anwendern. Mit entsprechenden Privacy-Einstellungen, Sicherheitsmaßnahmen und -updates lässt sich viel abfedern. Der ausschlaggebende Schutz sitzt jedoch vor dem Bildschirm. Wie Anforderungen von Mitarbeitenden umgesetzt werden, hängt von der Erfahrung, dem Wissen aber auch von der Überzeugung, dem Verantwortungs- und Selbstbewusstsein ab [Franken 2010; Hersey und Blanchard 1988].
Was würdest Du Unternehmen in Deiner Position als Consultant für Information and Data Protection heute raten, die Dich zum Thema Remote Work ansprechen?
Der Erfolg von Remote Work hängt wie o.g. vom Personal ab. Durch die Eigenverantwortlichkeit der Mitarbeitenden und deren Selbstständigkeit benötigen Führungskräfte kein fortlaufendes Feedback und keine Kontrolle der Arbeitsprozesse. Vorausgesetzt geeignetes Equipment ist in Nutzung und die TOMs sind angemessen vorhanden. Mit regelmäßigen Schulungen, Sensibilisierungen und gebündelten Informationsmails kann der Arbeitgeber bereits viel erreichen.
Das Interview führte Julia Grewe
Nina Benz ist Consultant für Information and Data Protection bei TSX Partners und berät Unternehmen bei den Vorbereitungen zum TISAX® Assessment. Die studierte Medieninformatikerin ist Expertin für Daten- und Informationssicherheit
und hat in ihrer akademischen Laufbahn zum Thema Remote Work geforscht.
Suchen Sie eine TISAX® Beratung auf Augenhöhe? Lesen Sie hier mehr.
Disclaimer:
TISAX® ist eine eingetragene Marke der ENX Association.
Zwischen TSX Partners powered by CNX Consulting Partners und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Beratungsleistungen keine geschäftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
Quellen:
Brink, D.S., Petri, P.D.T., Will, M., Ronellenfitsch, P.D.M., und Grethel, M. 2020. „Microsoft Office 365: Bewertung der Datenschutz-konferenz zu undifferenziert – Nachbesserungen gleichwohl geboten“ L.f.d.D.u.d.I. Baden-Württemberg, B.L.f.d. Datenschutz, B.L.f. Datenschutzaufsicht, H.B.f.D.u. Informationsfreiheit und U.D. Saarland (eds.). Stuttgart, München, Ansbach, Wiesbaden, Saarbrücken: Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Baden-Württemberg, Bayerischer Landesbeauftragter für den Datenschutz, Bayerisches Landesamt für Datenschutzaufsicht, Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Unabhängiges Datenschutzzentrum Saarland, S. 1-2.
Informationsfreiheit, B.B.f.D.u. 2021. „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten,“ B.B.f.D.u. Informationsfreiheit (ed.). Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit.
Datenschutzkonferenz. 2019. „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen,“ in: Datenschutzkonferenz. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, S. 8.
Datenschutzkonferenz. 2020. „3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Videokonferenz am 22. September 2020,“ in: Datenschutzkonferenz. DSK Vorsitz 2020 Sächsischer Datenschutzbeauftragter.
Franken, S. 2010. „Führungsstile und –konzepte.“ Gabler, S. 250-288.
Hersey, P., und Blanchard, K.H. 1988. Management of Organizational Behavior: Utilizing Human Resources. Prentice-Hall, S. 174-175.
LfDI Baden-Württemberg, 2022. „Nutzung von MS 365 an Schulen“. Abgerufen am 04.05.2022, 2022, https://www.baden-wuerttemberg.datenschutz.de/nutzung-von-ms-365-an-schulen.
Stiftung Datenschutz, 2022. „Datenschutzwoche vom 28.02.2022“. Abgerufen am 04.05.2022, 2022, https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-28022022-285.