Wie im Homeoffice die Compliance sichergestellt werden kann

Die Corona-Pandemie hat viele Unternehmen gezwungen, ihre Mitarbeiter ins Homeoffice zu schicken. Trotz unerwartet guter Erfahrungen gab es aber auch so manche bösen Überraschungen. Hier sind 5 Tipps, um diese zu vermeiden und Compliance-gerecht von zu Hause zu arbeiten.

Homeoffice ist wie Handy ein deutscher Begriff im englischen Gewand. Aber die meisten deutschen Unternehmen haben sich lange Zeit schwergetan, ihre Mitarbeiter ins Homeoffice zu schicken. Das änderte sich radikal, als COVID-19 zuschlug und nach dem Lockdown Mitte März 2020 gefühlt halb Deutschland das Büro nach Hause verlegte. Abgesehen davon, dass die Unternehmen zunächst Schwierigkeiten hatten, das nötige Equipment, angefangen von Business-Notebooks hinterherzuschicken, haben viele von ihnen so gute Erfahrungen gemacht, dass auch Konzerne wie Siemens auch nach Corona dauerhaft dabeibleiben wollen.

Cyberkriminelle sind auf den Vormarsch

Es mehrten sich aber auch Berichte, dass die Situation von Cyberkriminellen ausgenutzt wird. Und selbst, wo keine Hacker und Co. am Werk sind, herrscht oft eine Sorglosigkeit, die nicht nur bei Datenschützern die Alarmglocken schrillen lassen. „Die Compliance-Regeln haben es oft nicht mit ins Homeoffice geschafft“, zitiert zum Beispiel der Gesamtverband der deutschen Versicherungswirtschaft e.V., aus einem Interview mit Rüdiger Kirsch, dem Vorsitzenden der AG Vertrauensschadenssicherung im GDV. „Für Betrüger ist die Corona-Pandemie ein Eldorado. Daher sollte man alles, was einem nur irgendwie skurril vorkommt, aktiv hinterfragen und überprüfen“, so Kirsch in dem Interview.

Vielfach fehlt es an grundlegenden Dingen wie Einhaltung der Datenschutzregeln im Homeoffice. Es darf zum Beispiel nicht sein, dass vertrauliche Informationen ausgedruckt oder auf dem Rechner für Familienmitglieder oder Besucher offen einsehbar sind. Das liegt auch vor, wenn so einfach knackbare Passwörter wie 12345678 oder der Geburtstag des Ehepartners dafür herhalten sollen. Damit kommen wir schon zum ersten der fünf Tipps:

Tipp 1:

Sichere Passwörter verwenden und Berufliche von Privaten trennen Passwörter oder Kennwörter sollten so wenig wie möglich leicht zu erraten sein, mindestens aus acht Zeichen bestehen, eine Folge von Buchstaben in Groß- und Kleinschreibung sowie von wenigstens einer Zahl und einem Sonderzeichen sein. Für beruflich genutzte Passwörter gilt auch, diese von Privaten zu trennen und Ähnlichkeiten zu vermeiden. Wer der Empfehlung folgen will, sich möglichst lange Passwörter einzuprägen, kann zum Beispiel die Anfangsbuchstaben eines Gedichtes oder Liedes mit Zahlen und Buchstaben kombinieren.

Tipp 2:

Sensible Daten verschlüsseln und Sicherheits-Updates Sensible und personenbezogene Daten sollten am besten mit einer Zwei-Faktor-Authentifizierung so wie die eigenen Bankzugangsdaten auf jeden Fall stets verschlüsselt sein. Denn die DSGVO zum Beispiel kennt im Versäumnisfall keine Gnade und schützt nicht vor empfindlichen Geldbußen. Um möglichen Angreifern ihr Handwerk zu erschweren, sollten die Rechner und Mobiltelefone auch jeweils mit den aktuellsten Sicherheits-Updates versehen sein.

Tipp 3:

Möglichst keine private Hardware für berufliche Zwecke nutzen Diesen Rat einzuhalten, war zu Anfang der Corona-Krise für viele Unternehmen schwierig. Grundsätzlich sollte aber gelten, dass geschäftliche Daten auf privaten Rechnern nichts verloren haben und vice versa. Viele Unternehmen haben auch strikte Vorschriften, dass Mitarbeiter auf Firmenrechnern keine privaten E-Mails verschicken oder beantworten sollten. Im Fall von Verlust oder Diebstahl sollte genau dokumentiert werden, welche Auswirkungen das bezüglich möglicher Datenschutzverletzungen das hat. Gerade in Zeiten des Homeoffice, ist eine noch stärke Aufklärung der Mitarbeiter über Phishing-Versuche und Hacker-Angriffe notwendig.

Tipp 4:

Mitarbeiter für Phishing und Malware sensibilisieren Bei Firmenrechnern mit Outlook oder einer anderen B2B-Software für den E-Mail-Verkehr ist die Gefahr von Pishing-Mails nicht so groß, weil sie oft über eine wirksame Spam-Filter verfügen. Dennoch kann es auch da passieren, dass Mitarbeiter auf Phishing-Mails hereinfallen. Oft sind hinter solchen Mails, die aussehen, als seien sie von höherer Stelle. Hier sind oft schon Bots am Werke. Zum Glück sind sie so wie Phishing-Mails aus dem fernen Ausland so fehlerhaft, dass man sie bei genauem Hinsehen leicht entlarven kann. Mitarbeiter sollten auf jeden Fall wachsam sein und dafür sensibilisiert sein. Gleiches gilt auch für Freeware oder Shareware. Denn so verlockend die Angebote auch aussehen mögen, verbirgt sich oft Malware dahinter. Auf privaten Rechnern ist es leider schwierig, das zu überprüfen.

Tipp 5:

VPNs und Co. gegen Datenmissbrauch Firmendaten sollten grundsätzlich nicht auf privaten Rechnern gespeichert werden, sondern möglichst auf Terminalservern zentral gespeichert werden. Der Zugang erfolgt in der Regel über eine VPN-Verbindung oder über eine Webanwendung. So kann auch sichergestellt werden, dass im Fall des Verlustes oder Diebstahl des jeweiligen Zugangsgerätes (Notebook oder Mobiltelefon) Unbefugte keine Chance haben, auf die Daten zugreifen zu können. Das „schnell mal“ Abspeichern von sensiblen Daten auf USB-Sticks sollte auch untersagt sein oder durch geeignete Maßnahmen wie Kopierschutz unterbunden werden.

Firmen- oder IT-Verantwortliche, die sich nicht sicher sind, wie sie der Schutz der Daten und die Compliances sicherstellen sollen, können sich auch extern beraten lassen. Experis kennt sich zum Beispiel als Tochtergesellschaft der ManpowerGroup bestens damit aus, wie Mitarbeiter „ticken“ und weiß die Brücke zwischen Menschen und IT zu schlagen, um auch vom und ins Homeoffice hinein für eine reibungslose, sichere Zusammenarbeit im Unternehmen zu sorgen.