Home Office –Risiken erkannt?

Homeoffice ist dieser Tage in aller Munde; dass jedoch bei der Umsetzung durch den Arbeitgeber einige Fallstricke für diesen bestehen, fällt in den Diskussionen oft unter den Tisch.

„Homeoffice“ ist heute ein Sammelbegriff. Dabei ist oft nicht klar, was dies für die Organisationsverantwortung des Arbeitgebers rechtlich genau bedeutet. So kennt das Gesetz z.B. den Telearbeitsplatz oder das mobile Arbeiten. Die verschiedenen Formen des „Homeoffice“ haben allerdings ganz klar definierte rechtliche Anforderungen. Sie betreffen dabei besonders auch Maßnahmen des Arbeitsschutzes – dies nur am Rande.

Ob Telearbeit oder mobiles Arbeiten, um als Arbeitgeber und Unternehmer „Homeoffice“ zu ermöglichen, gibt es verschiedene technische Lösungen. Ich will hier übersichtshalber auf einige davon eingehen und verschiedene relevante Fragestellungen im Zusammenhang mit der jeweiligen Arbeitsweise und deren „Sicherheit“ im weitesten Sinne aufwerfen.

Variante 1 – Die Webanwendung im Browser

Ein beliebter Weg in der aktuellen COVID-19-Krise ist das browserbasierte Arbeiten. Diese Arbeitsweise lässt sich leicht auf jeglichen Endgeräten umsetzen. In der Krise ist diese Variante beliebt, da im Zweifel auch kurzzeitig auf private Endgeräte zurückgegriffen werden kann.
Dabei stellt der Unternehmer dem Arbeitnehmer zumeist Mail- und Dateiapplikationen über ein Webportal im Browser zur Verfügung. Hierzu zählen klassische Lösungen wie z.B. O365, Nextcloud, Zimbra und viele andere.

Die Vorteile sind offensichtlich. Eine schnelle Umsetzung ist möglich, zudem lassen sich gewohnte Applikationen zur Textverarbeitung und Kommunikation leicht abbilden.

Nachteilig ist, dass eine Kontrolle über einen unautorisierten Abfluss von Dateien nur schwer umsetzbar ist. Auch hat der Arbeitgeber keine Überwachung im Sinne der oft gewohnten End-Point-Protection wie z.B. Virenscanner und Websitefilter. Hierdurch könnte bereits auf dem Rechner befindliche oder auch neue Schadware Informationen über Zugangsdaten und Bildschirminformationen bekommen. – Private Computer sind aufgrund des allgemein üblichen Surfverhaltens deutlich anfälliger für Schadsoftware. Gerade in der COVID-19-Krise rücken durch dieses „Homeoffice-Verhalten” private Rechner wieder in den Focus von Cyber-Kriminellen.

Variante 2 – Der Remote Desktop

Remote Desktop Varianten sind Lösungen, die ein gewisses Maß an Mitwirkung durch den Anwender erfordern. Hier wird quasi per Fernbedienung auf die laufenden Rechner und Systeme im Unternehmen zugegriffen. Je nach Struktur des bestehenden Systems, kann dabei ein Zugriff auf die physikalischen Computer der Arbeitnehmer erfolgen, oder es wird mittels virtueller Maschinen gearbeitet. Zur Umsetzung gibt es viele etablierte Anbieter auf dem Markt. Lösungen lassen sich mit der richtigen Datenleitung beispielsweise über Citrix, Teamviewer oder den Windows eigenen „Remote Desktop Client“ herstellen.

Vorteil dieser Lösungen ist es, dass auch eigene unternehmensspezifische Applikationen auf altbewährten Oberflächen weiter genutzt werden können. Auch hier ist es teilweise möglich, private Rechner zu nutzen, um kurzfristig Arbeitsleistung zu erbringen.

Als Nachteile sind die in regelmäßigen Abständen auftauchenden Schwachstellen der Remote-Software zu nennen. Immer wieder erreichen uns Berichte über neu entdeckte Schwachstellen der verschiedenen Dienstanbieter. Hier ist ein regelmäßiges Patchen und Updaten der Software notwendig. Dabei kann der Unternehmer sich nicht alleine auf das Updateverhalten seiner Nutzer verlassen, sondern muss durch systematische Maßnahmen einen hohen Sicherheitsstandard bewahren. Auch sind beispielsweise offene RDP-Ports (Remote Desktop Protocol) ein häufig gewähltes Einstiegstor von Hackern in die Unternehmensnetze. Der Einsatz von Remote-Software erfordert ein gewissenhaftes Risikomanagement und regelmäßige Evaluierung der aktuellen Sicherheitslage.

Variante 3 – Die Tunnellösung

Vor allem Unternehmen, die schon lange Möglichkeiten besitzen, „von zuhause zu arbeiten“, greifen oft auf voll integrierte Lösungen im VPN (Virtual Privat Network) zurück. Dabei wird -vereinfacht gesprochen – ein verschlüsselter Tunnel von dem Endgerät zum Unternehmensnetzwerk aufgebaut. Aufgrund der Verschlüsselung der Verbindung können die dazwischenliegenden „Vermittlungsstellen“ den Verkehr nicht mitlesen, die VPN-Verbindung wird deshalb regelmäßig als Tunnel dargestellt. Durch den hohen Konfigurationsaufwand und eine nicht unbedingt anwenderfreundliche Installation sind diese Lösungen zumeist auf unternehmenseigener Hardware zu finden. Sie sorgen dann jedoch dafür, dass der Anwender zumeist vollumfänglich so arbeiten kann, „als wäre er im Büro“.

Die Lösungen können jedoch je nach Umsetzung sehr fehleranfällig und supportintensiv sein.

Der Vorteil des VPN-Zugriffes kann sogleich auch der Nachteil sein. Ein Nutzer eines VPN-Zugangs befindet sich technisch im Unternehmensnetzwerk, und kann sich auch so in diesem bewegen. Standardmäßig wird ein Unternehmensnetzwerk von außen besser geschützt als von innen. Der Nutzer hier ist bereits IM NETZWERK. Sollten also Zugänge in falsche Hände gelangen, hat der Angreifer einen für das Unternehmen sehr risikoreichen Fund gemacht.

Was ist nun die Lösung?

Es wäre vermessen, hier den „einzig richtigen Weg“ heraus zu deuten. Vielmehr stellt jede der gerade dargestellten Varianten einen möglichen Weg dar. Es kommt hier, wie so oft, auf die Umstände und Zielsetzungen der jeweiligen Arbeitsaufgabe an. Dabei spielen vorrangig die folgenden Fragen eine wichtige Rolle:

- Braucht der Arbeitnehmer unternehmensspezifische Applikationen, bspw. Individuelle Softwarelösungen? (Handlungsfähigkeit)
- Verarbeitet der Arbeitnehmer sensible Informationen, die einen speziellen Schutz erfordern? (Datensicherheit)
- Können schwerwiegende Eingriffe auf bestehende Systeme durch den außerhalb arbeitenden Arbeitnehmer erfolgen? (Integrität)
- Kann der Arbeitgeber alle notwendigen Überwachungsaufgaben ordnungsgemäß durchführen? (Controlling/Revision)

Wie bereits in anderen Blogbeiträgen dargestellt, stand aufgrund der zeitlichen Komponente oft die Handlungsfähigkeit im Vordergrund. Hier bestand häufig die Schwierigkeit, mit den gegebenen technischen Mitteln die notwendigen Applikationen für externe Zugriffe gangbar zu machen. Dieses führte oft über den Weg der von mir darstellen Varianten 1+2. Dies ging meist zulasten der Datensicherheit, hier wurden oft Zugriffsberechtigungen neu verteilt und bspw. 4-6 Augen-Prinzipien außer Kraft gesetzt.

Gleichzeitig mussten Lösungen gefunden werden, um auch den Support von Anwendern im Rahmen des „Homeoffice“ zu ermöglichen. Beispielsweise mussten Administratoren falsch eingegebene Passwörter auch von zu Hause zurücksetzen können. Backups mussten überprüfbar bleiben und Lastverteilung auf unterschiedliche Server durch das neue Nutzungsverhalten gewährleistet werden. All diese Leistungen sollten jetzt aber nicht mehr aus dem „klassischen“ Büro erbracht werden müssen. Diese Eingriffe haben direkten Bezug zur Integrität der IT-Systeme selbst und stellen schon unter normale Bedingung bei falscher Handhabung ein Risiko für den Geschäftsbetrieb dar. Im Rahmen der COVID-19-Krise mussten diese Verfahren teilweise innerhalb von Tagen aus dem „Homeoffice“ ermöglicht werden, zumeist unter Einräumung weitreichender Rechtefreigaben für die beteiligten Administratoren.

Schon im normalen Ablauf ist ein enges Monitoring/Überwachung der eben genannten Rechteinhaber notwendig. Im Rahmen der sich schnell entwickelnden Umstände der COVID-19-Krise ist ein solches Monitoring kaum möglich. Die Möglichkeit besteht zumeist nur bei Unternehmen, die bereits lange im Vorlauf vorgesorgt und eine erhebliche Sensibilität für das sogenannte „Root“-Problem entwickelt hatten. Ohne Vorsorge in diesem Bereich mussten sich Unternehmensführungen in diesen Situationen ihren IT-Administratoren ausliefern. Dies führt zu einer erheblichen Einschränkung der Revisions- und Controlling-Fähigkeiten in diesem kritischen Bereich einer Unternehmensinfrastruktur.

Was also tun?

Der Gesetzgeber hat dem Unternehmer schon immer gewisse Rahmenbedingungen mit auf den Weg gegeben. Diese Rahmenbedingungen haben vor und nach COVID-19 Bestand. Die gesetzlichen Anforderungen stellen dabei eine gute Checkliste dar, um den Beginn eines Grundschutzes im Unternehmensbereich sicherzustellen.

Stellen Sie sich die Frage, ob Sie die folgenden, Ihnen vermutlich geläufigen, gesetzlichen Anforderungen auch im „Homeoffice“ noch sicherstellen können:

Die GOBD – Werden Geschäftsbriefe noch ordnungsgemäß archiviert? Wird die Buchhaltung noch zentralisiert und dokumentiert geführt? – Verstöße hiergegen können zu Strafen führen.

Das Gesetz zum Schutz von Geschäftsgeheimnissen – Haben Sie noch die umfassende Kontrolle über ihre Geschäftsgeheimnisse? Können Daten durch vermeintliche Vertrauenspersonen aus dem Unternehmen abgezogen werden? Was ist mit den Daten ihrer Kunden? Haben Änderungen durch Covid-19-Anpassungen Auswirkungen auf die bestehenden Verfahren im Bereich des Geheimnisschutzes? – Verstöße hiergegen können zu einer erheblichen Schwächung Ihrer Rechtsposition im Falle einer Klage führen.

Die Datenschutzgrundverordnung – Arbeiten ihre Mitarbeiter mit personenbezogenen Daten zuhause? Gibt es hierfür spezielle Handlungsanweisungen? Werden personenbezogene Daten in der Heimarbeit ordnungsgemäß geschützt und vernichtet? Sind entsprechende Prozesse zur Verschlüsselung und sicheren Datenübertragung möglich? – Verstöße gegen die DSGVO können zu erheblichen Sanktionsmaßnahmen durch die Aufsichtsbehörden führen.

Die Klärung der hier dargestellten Fragestellungen erlaubt Ihnen eine erste Einschätzung über die Rechtssicherheit Ihrer spezifischen „Homeoffice“-Praktiken. Natürlich sind die hier dargestellten Themenschwerpunkte nur ein Auszug aus dem Gesamtbild und reichen alleine nicht für eine umfassende Bewertung aus.

Die rechtlichen Folgen von Krisenmanagement in der IT – Corona 2020 (Teil 1)

Dokumentation – Was haben wir getan?

Einleitung

Am 27. Januar 2020 wurde in Deutschland der erste Fall einer Erkrankung mit dem neuartigen Coronavirus (Covid-19) bekannt. Nur zwei Tage später schloss das erste Unternehmen mit Webasto (Sitz in Bayern) aufgrund von Erkrankungen seine Firmenzentrale. Ab diesem Zeitpunkt fingen Unternehmen an, zu erkennen, dass Geschäftsabläufe durch Covid-19 gefährdet sein könnten. Nur wenige Unternehmen verfügten zu diesem Zeitpunkt über Strategien, um mit pandemischen Vorkommnissen umgehen zu können.

Zwei Monate später, um den 19. März 2020 herum, erliegt das öffentliche Leben in Deutschland zu großen Teilen. Es beginnt eine Phase, die als „Kontaktminimierung“ bezeichnet wird. Die Bundesländer erlassen hierzu weitreichende Verordnungen unter dem Infektionsschutzgesetz, um das pandemische Geschehen auf ein Minimum zu reduzieren.

Organisation

Die meisten Unternehmen reagieren in ähnlicher Form. Es muss jedoch klar herausgestellt werden, dass die Unternehmen dieses nicht unter einer staatlichen Verordnung oder aufgrund der allgemeinen Gesetzeslage tun. Vielmehr ist es in den meisten Fällen die freie Entscheidung von Unternehmensführungen, den Betrieb ihrer Unternehmen alternativ zu gestalten.

Die alternativen Gestaltungen kommen in vielen Variationen. Unternehmen einigen sich beispielsweise auf ein sogenanntes „3-Schichten-Modell“. Die erste Gruppe besteht dabei aus Mitarbeitern, die vor Ort in den Niederlassungen und Büros arbeiten, die zweite Gruppe unterstützt die im Büro verblieben Mitarbeiter aus dem Homeoffice, während die dritte Gruppe keiner Tätigkeit nachgeht. – Es ist dabei unstreitig, dass diese „Art“ des Arbeitens nicht für alle Tätigkeitsarten zielführend ist.
Diese Taktik soll sicherstellen, dass eine Infektion verlangsamt wird, und auch über längere Zeit eine Gruppe gesund und arbeitsfähig bleibt. – Inwieweit diese Taktik bei der aktuell eingetretenen Verlangsamung der Verbreitung von Covid-19 weiterhin sinnvoll ist, bleibt abzuwarten.

Technische Organisation

Die Nutzung des Homeoffice, der sogenannten Telearbeit, ist auf technische Unterstützung angewiesen. Mitarbeiter sollen dabei gleichwertig zu ihrem regulären Arbeitsplatz in einer Niederlassung oder den vorhandenen Unternehmensbüros arbeiten können.

Das führt, aufgrund der zeitkritischen Umsetzung, zu einer Reihe von wahrscheinlich zunächst unerwarteten Herausforderungen, die ich im Folgenden beleuchten will. Die Darstellung ist nicht abschließend, umfasst aber die wichtigsten Punkte, die ein Unternehmer beachten sollte, sofern er Telearbeit im Rahmen der Krisenreaktion umsetzen will.

- Verfügbarkeit von unternehmensbezogenen, aber auch personenbezogenen Daten als Arbeitsgrundlage für Mitarbeiter
- Kommunikation (Erreichbarkeit von Extern und Intern)
- Zugriff von extern auf unternehmensspezifische Applikationen
- Wahrung der gesetzlichen Vorschriften
- Schutz der Kommunikation und Daten außerhalb des Unternehmens.

Ich will noch einmal darauf hinweisen, dass es sich bei dem Artikel im Schwerpunkt nicht um eine Darstellung zur Einrichtung von regulären Telearbeitsplätzen im Rahmen von normalem unternehmerischen Handeln behandelt. Vielmehr geht es um die schnelle Umsetzung aufgrund sich überholender Ereignisse im Zusammenhang mit Covid-19 Erkrankungen.

Dokumentation

Mein erster Hinweis dabei geht ganz klar in Richtung einer klaren, zeitnahen und regelmäßigen Dokumentation Ihrer durchgeführten Schritte. Unternehmen ändern in dieser Krisenzeit schnell Prozesse und Arbeitsabläufe, um eine Handlungsfähigkeit oder sogar Betriebsfähigkeit zu erhalten.
Im Rahmen des Krisenmanagements ist dabei niemand vor Fehlentscheidungen geschützt. Wichtig wird es jedoch sein, auch in rechtlicher Hinsicht auf Dokumentation zurückgreifen zu können, welche die Umstände der Entscheidung klar darzustellen ermöglicht. In diesem Zusammenhang sei auf die Haftung von Vorständen und den Tatbestand der Untreue im Bereich des Strafrechtes verweisen, ohne dies an dieser Stelle näher ausführen zu wollen.

Die praktische Umsetzung

Im Bereich der Informationstechnologien hat die Dokumentation eine weitere wichtige Bedeutung.
Ich entschuldige mich im Voraus für die folgende Verallgemeinerung.

IT‘ler sind Bastler.

Der klassische IT’ler ist von seiner Mentalität her an lösungsorientiertem Arbeiten interessiert. Dabei ist das Verfahren von „Try and Error“ keine Seltenheit und es führt schlussendlich meist zum Erfolg.

Die Situation rund um COVID-19 hat dabei die zuständigen Fachabteilungen oft aus ihrer Wohlfühl-Zone geführt. Lösungen und spezifische Applikationen, die oft schon seit Jahren auf den Tischen der Entscheidungsträger lagen, mussten jetzt innerhalb von Tagen unternehmensweit eingeführt werden. – Wohl durchdachte Regelwerke zur Nutzung von eigenen Endgeräten, Nutzung von Internet, Freigaben von Webcams und Mikrofonen und Konzepte zur Dateifreigabe wurden innerhalb von Stunden über Bord geworfen oder außer Kraft gesetzt.

Fazit

Warum also Protokolle? Irgendwann, wenn der erste Rauch sich gelegt hat, werden Unternehmer darüber nachdenken müssen, ob die oben geschaffen Ausnahmen dem Anspruch der Unternehmensführung, zumindest jedenfalls den gesetzlichen Anforderungen entsprechen. Dies können Sie nur dann nachverfolgen, wenn Sie auch wissen, was angepasst und geändert wurde. – Und seien Sie sich darüber bewusst, die Änderungen mit den größten Auswirkungen hat kein Board- oder Vorstandsmeeting durchgeführt, sondern vermutlich ein IT-Administrator mit einem kleinen Haken vor einer Einstellungsoption in Softwarelösungen, die er zum Zeitpunkt der Umsetzung nur ungenau kannte.

Mit dieser Reihe will ich in den nächsten Tagen Problemfelder im Bereich der IT-Sicherheit und Datenschutz im Zusammenhang mit Covid-19 aufwerfen.

Dirk Koch – Rechtsanwalt
(Verfasser)