Mobiles Arbeiten ist heute ein fester Bestandteil der „New Work“. Immer mehr Unternehmen setzen auf Modelle, bei denen ein Arbeitnehmer selbst entscheiden kann, von wo er arbeitet. Moderne Kommunikationsmittel, gemeinsame Kollaborationsplattformen, Clouddienste und ein überall verfügbares mobiles Internet bilden dafür die Grundlage.
Mobiles Arbeiten eröffnet dabei Unternehmen auf den Arbeitsmarkt ganz neue Möglichkeiten und bietet Ihnen weit mehr Flexibilität.
Mobiles Arbeiten – Vorteile für alle Seiten
Flexible Arbeitsplätze lassen so manch einen Standortnachteil ausgleichen und ermöglichen es Unternehmen neue qualifizierte Bewerber zu gewinnen, die möglicherweise nicht bereit wären, ihren bisherigen Wohnort für eine neue Stelle zu verlassen. Der Arbeitnehmer profitiert bei diesem Arbeitsmodell zum Beispiel davon, dass sich Familie und Beruf viel besser in Einklang bringen lassen als bei bisherigen Arbeitsmodellen.
WLAN als Grundlage und auch Risiko
Der Begriff Mobiles Arbeiten umfasst jedoch nicht nur die Arbeit aus den eigenen vier Wänden heraus, sondern auch das Arbeiten von Unterwegs. Spätestens seit die Deutsche Bahn in ihren Hochgeschwindigskeitszügen flächendeckend kostenloses WLAN anbietet, nutzen immer mehr Reisende Bahnfahrten, um Emails zu beantworten, Präsentationen zu erstellen oder Dokumente zu lesen oder gar zu verfassen.
Nicht jeder Remote-Arbeiter arbeitet gern von zu Hause, so dass so manch einer tagsüber den Arbeitstag auch mal im Café oder in einem Coworking-Space verbringt. Und manch einer nutzt das Mobile Arbeiten gar dazu, in den warmen Gefilden zu überwintern.
Mobiles Arbeiten stellt jedoch einige Herausforderungen an ein Unternehmen. Das fängt beim Arbeitsschutz und Arbeitsrecht an, umfasst Fragen zum Datenschutz und zur Datensicherheit, aber auch zur Sicherheit der Infrastruktur des Unternehmensnetzwerks.
IT-Sicherheitskonzept erforderlich
Die Voraussetzung für ein sicheres mobiles Arbeiten bildet ein umfassendes IT-Sicherheitskonzept, bei dem das Unternehmen sämtliche Risiken und Anforderungen an die unterschiedlichen Arbeitsplatzmodelle abbilden sollte. Dazu gehören die festen und flexiblen Arbeitsplätze am Standort selbst, ebenso wie die Remote-Mitarbeiter. Abgebildet werden sollten auch die unterschiedlichen Geräte vom Laptop bis zum mobilen Endgerät aber auch die Bring-Your-Own-Device (BYOD) Geräte.
Solange ein Mitarbeiter ausschließlich von zu Hause aus einem Arbeitszimmer heraus arbeitet, sind die Herausforderungen für die IT noch recht übersichtlich.
VPN ist ein Muss
Eine VPN-Verbindung bildet hier das A und O für jeden mobilen Arbeitsplatz und jedes weitere mobile Endgerät wie das Diensttelefon oder ein Tablet. Der Arbeitnehmer sollte zudem sicherstellen, dass sein Netzwerk bzw. Router sicher konfiguriert ist und die Geräte vor dem Zugriff Dritter sowohl technisch als auch physisch geschützt sind.
Außerhalb der eigenen Wohnung kommen bei mobilen Arbeiten viele zusätzliche Herausforderungen an die IT hinzu. Das größte Risiko sind dabei schlecht gesicherte Netze bzw. WLAN-Anschlüsse. Weder das Gratis-WLAN im ICE oder im Hotel, noch im Starbucks darf als sicher bezeichnet werden und stellt eine riskante Schwachstelle in der IT-Sicherheitskette dar. Es sollte deshalb niemals ohne VPN und eine lokale Firewall genutzt werden. Zu beachten ist auch, dass die VPN Verbindung erst funktioniert, wenn man mit den WLAN verbunden ist. Emails im lokalen Mail-Client sollten z.B. erst nach Herstellung einer gesicherten Verbindung abgerufen werden.
Eine bessere Alternative zum kostenlosen WLAN bietet die Kopplung des Laptops an das Diensthandy und die gemeinsame Nutzung der LTE Verbindung. Solche Kopplung lässt sich relativ einfach über ein Kabel oder auch Bluetooth herstellen, ein Nachteil ist hier jedoch der hohe Akku-Verschleiß beim Smartphone.
Privatsphäre und Datenschutz beachten
Ein enormes Risiko beim mobilen Arbeiten stellt der öffentliche Raum dar, z.B. in der Bahn, am Flughafen oder im Café. Es ist für Dritte sehr einfach einen Blick auf den Monitor zu erhaschen, z.B. durch den Sitzspalt in der Bahn und erst recht vom Nebensitz aus. Ein Sichtschutzfolie für das Display sollte beim Arbeiten außerhalb eines Büros zum Standard gehören, insbesondere wenn man mit sensiblen Daten arbeitet. Ebenso sollte man beim Telefonieren im öffentlichen Bereich vorsichtig sein und darauf achten, welche Informationen laut äußert.
Wer z.B. Werktags die Pendler-ICEs zwischen Frankfurt und Köln nutzt, kommt regelmäßig und unfreiwillig in die Situation bei einem vertraulichen Telefonat mit zu lauschen. Die eine oder andere Information ist bei diesen Business-Gesprächen ganz sicher nicht für Dritte bestimmt.
Bildschirmschoner automatisch aktivieren
Eigentlich eine Selbstverständlichkeit – das Sperren des Bildschirms, wenn man im ICE kurz das WC aufsucht oder sich einen Kaffee im Bordbistro holt. Dennoch stößt man regelmäßig auf Passagiere, die Ihren Laptop ungesichert zurücklassen – und dabei ein vertrauliches Dokument oder gar das Email-Postfach geöffnet haben.
Ein mobiles Gerät sollte deshalb so konfiguriert sein, dass sich spätestens nach 1-2 Minuten automatisch der Bildschirmschoner aktiviert und das Gerät sperrt. Und dass das Smartphone mit einem Sperrcode versehen wird, sollte noch selbstverständlicher sein.
Diebstahlschutz und Verlust
Ein weiterer wichtiger Aspekt beim mobilen Arbeiten ist der Diebstahlschutz. Die Geräte sollten deshalb so konfiguriert sein, dass vertrauliche Daten verschlüsselt gespeichert werden und im Fall eines Verlusts, sei es durch Diebstahl oder Verlust von Dritten nicht ausgelesen werden kann. Viele mobile Geräte verfügen zudem über „Finde-Mich“ Funktionen und spezielle Software zum Remote-Löschen der Daten auf dem jeweiligen Gerät. Um Diebstahl vorzubeugen, sollte das Laptop zudem immer in Auto im Kofferraum verstaut werden, z.B. in einem Parkhaus. Im Hotel gehören solche Geräte in den Tresor.
Vorsicht bei Fremdgeräten
Manchmal ist es auch erforderlich auf Firmen-Emails zuzugreifen, wenn man sein eigenes Gerät nicht zur Hand hat. Hier bietet sich zwar ein Internet-Café oder Hotel-Computer an, dennoch sollte man auf die Nutzung von öffentlichen Fremdcomputern beim Zugriff auf Firmenressourcen verzichten. Dies gilt auch, wenn man solche Geräte bloß zum Drucken nutzt und den USB-Stick aus dem Fremdgerät zurück in seinen Firmenlaptop steckt. Eine Virenprüfung sollte hier selbstverständlich sein – und gilt generell für die Nutzung jedes externen, betriebsfremden Datenträgers.
Reisen ins Ausland
Ein weiteres Risiko stellt die Reise ins Ausland dar, insbesondere in Länder wie China oder Russland. Hier sollten sich Mitarbeiter vorab mit ihrer IT-Abteilung abstimmen. Es ist ratsam eine Sicherung des Geräts durchzuführen und die Reise mit einer Minimal-Installation anzutreten. Alternativ eignet sich auch die Mitnahme eines anderen Geräts mit ausgewählten Daten und restriktiven Zugang zu kritischen Unternehmensressourcen. Nach Rückkehr lässt sich auf dem Gerät oft problemlos die zuvor durchgeführte Sicherung einspielen.
Usability vs. Security
Manche dieser Sicherheitsmaßnamen mögen in der einen oder anderen Situation unpraktisch sein, dennoch ist IT-Sicherheit immer die gesunde Abwägung zwischen Usability und Security.
Generell empfiehlt es sich für ein Unternehmen klare Regeln für das mobile Arbeiten und die sichere Kommunikation zu erstellen.
Betriebliche Regelung vereinbaren
Eine solche Regelung hilft Haftungsfälle zu vermeiden hilft auch die Anforderungen an die betriebliche Datensicherheit am Arbeitsplatz sicherzustellen. Berücksichtigt werden sollten in solch einer Regelung auch Aspekte zur privaten Nutzung oder Richtlinien zu betrieblich freigegebener Software, Hardware und Dateien. Ein wichtiger Punkt umfasst auch den Datenschutz und den Umgang mit vertraulichen oder persönlichen Daten – ebenso wie sich Dokumente sicher vor unbefugten Dritten aufbewahren und verarbeiten lassen.
Regelmäßige Schulungen durchführen
Unternehmen sollten zudem regelmäßig Schulungen zur IT-Sicherheit und zum Datenschutz anbieten und auch an die Anforderungen der mobilen Arbeitnehmer anpassen.
Peter Meyer ist am 31.01.2019 zu Gast beim 26. Cyber-Sicherheits-Tag der Allianz für Cybersicherheit des BSI bei der IHK Essen und betreut dort die Themeninsel zum Thema Sicherer mobiler Arbeitsplatz und sichere Kommunikation.
Weitere Informationen zu der Veranstaltung unter
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/CST/cur/cst.html
Die eyeo GmbH ist Mitglied der Allianz für Cybersicherheit
