Risiko Homeoffice
Wenn Mitarbeiter von zu Hause arbeiten, leidet häufig die Datensicherheit. Wer bei Cyberattacken haftet
Ein ordentliches Arbeitszimmer, ergonomischer Bürostuhl und höhenverstellbarer Schreibtisch – so ein Bilderbuch-Homeoffice wird sich in den wenigsten Haushalten finden. Die Unternehmen sind vielleicht besser vorbereitet als im Frühjahr, viele werden trotzdem noch mit dem privaten Laptop am Küchentisch sitzen und auf ihr langsames Betriebssystem schimpfen. Und spätestens wenn das Antivirenprogramm noch in einem grellroten Fenster vermeldet, dass der Schutz abgelaufen ist, stellt sich die Frage: Ist das wirklich sicher? Was passiert, wenn ein Hacker über mich seinen Weg ins Firmennetzwerk findet?
Grundsätzlich sollte das gar nicht zur Debatte stehen. Denn der Arbeitgeber ist in der Pflicht, geeignetes und sicheres Material bereitzustellen, sagt Rechtsanwältin Miruna Xenocrat vom ArbeitnehmerHilfeVerein Berlin. Ist das nicht möglich, müssen Firmen wenigstens dafür sorgen, dass der Zugang sicher ist und zum Beispiel die Kosten für ein Antivirenprogramm übernehmen.
Dennoch kann auch der Angestellte in Schwierigkeiten kommen. Vor allem dann, wenn er sich nicht so verhält, dass er möglichst jeden Schaden abwendet. Xenocrat erklärt das anhand eines Beispiels: „Wenn sich jemand in einem öffentlichen WLAN einloggt, obwohl der Arbeitgeber das verbietet, hat der Arbeitnehmer ein Problem.“Das gelte auch, wenn der Angestellte den dienstlichen Rechner verbotenerweise privat nutzt. Ist die Situation unklar, rät Xenocrat: „Eine präventive Beratung ist immer gut.“
Wenn man trotz wiederholter Anfragen weder Material bereitgestellt noch Kosten erstattet bekommt? „Am besten so etwas per Mail abwickeln, damit man einen Beweis hat, dass der Arbeitgeber das unterlassen hat“, empfiehlt Xenocrat. Im Härtefall sei das Unternehmen in der Beweispflicht, dass der Angestellte im Homeoffice sich nicht richtig verhalten hat.
Der Begriff Homeoffice ist im Übrigen rechtlich noch gar nicht definiert. Im Gesetz findet sich der Begriff Telearbeit. „Dies bedeutet, der Arbeitsplatz wird am Wohnort vom Arbeitgeber eingerichtet und bedeutet eben ‚Arbeit von zu Hause aus‘“, erklärt Xenocrat. „Mobiles Arbeiten“finde dagegen „überall“statt, auch zum Beispiel im Café, am Strand oder im Hotel. Dabei habe der Arbeitnehmer keinen fest zugewiesenen Arbeitsplatz und brauche lediglich Handy und Laptop. Stärker reglementiert sei also das Homeoffice. Aber: „Die Vorschriften zum Datenschutz müssen bei beiden Arbeitsweisen gewährleistet werden“, hebt Xenocrat hervor.
Um Arbeitnehmer und -geber dabei zu unterstützen, haben Markus Schaffrin und Patrick Grihn einige Tipps zusammengetragen. Schaffrin ist IT-Sicherheitsexperte des Internetwirtschaftsverbandes eco, Grihn Geschäftsführer des IT-Unternehmens nextindex. „Die Grundlage ist ein stabiler Netzanschluss über das passwortgeschützte WLAN zu Hause“, heißt es in einer gemeinsamen Mitteilung. Die Mitarbeiter sollten über VPN auf das Firmennetzwerk zugreifen und ausschließlich über sichere Datenräume in der Cloud Daten austauschen. Außerdem raten Schaffrin und Patrick Grihn dazu, Privat- und Dienst-Hardware strikt zu trennen. Also weder privat mit dem Laptop vom Arbeitgeber im Internet surfen noch Geräte wie Smartphones,
USB-Sticks oder externe Festplatten daran anschließen. Das gilt auch für Software: Produkte für den Privatgebrauch sollte man nur für die Arbeit nutzen, wenn die IT-Abteilung damit einverstanden ist. Denn viele Dienste für Datentransfer und Konferenzen bieten weder den notwendigen Datenschutz noch die entsprechende Sicherheit. Angestellten, die gezwungenermaßen ihr eigenes Gerät verwenden, empfehlen die IT-Experten, stets auf sicher konfigurierten virtuellen Maschinen zu arbeiten. Zudem sollte das Betriebssystem immer auf dem neuesten Stand, ein Antivirenprogramm installiert und die Firewall aktiviert sein. Im Zweifelsfall könne man sein Gerät in die Firma bringen, damit es die Fachleute dort auf Sicherheitslücken überprüfen können.
Das hilft jedoch auch nichts, wenn der Mitarbeiter auf Betrüger hereinfällt. Denn Kriminelle nutzen die Corona-Krise, um vermeintliche Neuigkeiten zu schicken – und so in Firmennetzwerke einzudringen. Die Rede ist von sogenannten Phishing-Mails. Deshalb immer die Absenderadresse sowie den Inhalt überprüfen und beim geringsten Verdacht nicht auf Links klicken oder Anhänge öffnen. „Leiten Sie lieber eine E-Mail zu viel zur Prüfung an die Unternehmens-IT weiter, statt sich Schadsoftware einzufangen“, raten die Experten.
Die Mitarbeiter dürfen dabei laut Schaffrin aber nicht auf sich allein gestellt bleiben. Die Unternehmen müssten sie mitnehmen, etwa im Rahmen von Seminaren. Dort lernen sie etwa, dass auch wirklich nur der Angestellte den Firmenrechner nutzen sollte und das Gerät auch im Homeoffice stets gesperrt werden muss, wenn man nicht gerade damit arbeitet.