B 5.8 Telearbeit
Beschreibung
Unter Telearbeit wird jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit verstanden, die ausschließlich oder zeitweise außerhalb der Gebäude des Arbeit- bzw. Auftraggebers verrichtet wird. Die Erledigung der Tätigkeiten wird durch eine kommunikationstechnische Anbindung an die IT des Arbeit- bzw. Auftraggebers unterstützt.
Es gibt verschiedene Formen von Telearbeit. So kann sie als heimbasierte Telearbeit in der Wohnung des Mitarbeiters oder auch als mobile Telearbeit von unterwegs erbracht werden. Es ist ebenfalls möglich, dass die Mitarbeiter im Rahmen der On-Site-Telearbeit bei Kunden oder Lieferanten eingesetzt werden und dort mit der Ausstattung des eigenen Arbeitgebers arbeiten. Eine weitere Möglichkeit ist die Telearbeit in sogenannten Telecentern oder auch Satelliten- oder Nachbarschaftsbüros.
Bei der heimbasierten Telearbeit wird zwischen der ausschließlich zu Hause erbrachten Arbeit und der alternierenden Telearbeit unterschieden. Bei der alternierenden Telearbeit arbeiten die Arbeitnehmer wechselweise an ihrem Arbeitsplatz beim Arbeitgeber und am häuslichen Arbeitsplatz.
Dieser Baustein konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Es wird davon ausgegangen, dass zwischen dem Arbeitsplatz zu Hause und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder gegebenenfalls auch den Zugriff auf Daten in der Institution ermöglicht.
Die Maßnahmenempfehlungen dieses Bausteins umfassen vier verschiedene Bereiche:
- die Organisation der Telearbeit,
- den Telearbeitsrechner des Telearbeiters,
- die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und
- den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.
Die in diesem Baustein aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen für die IT-Systeme, die für die Telearbeit eingesetzt werden, und auch auf die bei der Telearbeit verarbeiteten Informationen. Insbesondere für die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden müssen.
Gefährdungslage
Für den IT-Grundschutz der Telearbeit werden folgende typische Gefährdungen angenommen:
Höhere Gewalt
- | G 1.1 | Personalausfall |
Organisatorische Mängel
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.4 | Unzureichende Kontrolle der Sicherheitsmaßnahmen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.22 | Fehlende oder unzureichende Auswertung von Protokolldaten |
- | G 2.24 | Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes |
- | G 2.49 | Fehlende oder unzureichende Schulung der Telearbeiter |
- | G 2.50 | Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter |
- | G 2.51 | Mangelhafte Einbindung des Telearbeiters in den Informationsfluss |
- | G 2.53 | Unzureichende Vertretungsregelungen für Telearbeit |
Menschliche Fehlhandlungen
- | G 3.1 | Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten |
- | G 3.3 | Nichtbeachtung von Sicherheitsmaßnahmen |
- | G 3.9 | Fehlerhafte Administration von IT-Systemen |
- | G 3.13 | Weitergabe falscher oder interner Informationen |
- | G 3.16 | Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
- | G 3.30 | Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners |
Technisches Versagen
- | G 4.13 | Verlust gespeicherter Daten |
Vorsätzliche Handlungen
- | G 5.1 | Manipulation oder Zerstörung von Geräten oder Zubehör |
- | G 5.2 | Manipulation an Informationen oder Software |
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.10 | Missbrauch von Fernwartungszugängen |
- | G 5.18 | Systematisches Ausprobieren von Passwörtern |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.21 | Trojanische Pferde |
- | G 5.71 | Vertraulichkeitsverlust schützenswerter Informationen |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Für den sicheren Einsatz von Telearbeit sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung und Konzeption über die Beschaffung bis hin zur Notfallvorsorge. Die Schritte, die dabei zu durchlaufen sind und die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Maßnahmen zur infrastrukturellen Sicherheit des Telearbeitsplatzes werden im Baustein B 2.8 Häuslicher Arbeitsplatz beschrieben. Für das als Telearbeitsrechner eingesetzte IT-System muss außerdem der passende Client-Baustein umgesetzt werden.
Planung und Konzeption
Es sollte ein Konzept für Telearbeit erstellt werden, in dem die Sicherheitsziele, der Schutzbedarf der bei der Telearbeit zu bearbeitenden Informationen sowie die Risiken und Sicherheitsmaßnahmen aufgezeigt werden (siehe M 2.117 Erstellung eines Sicherheitskonzeptes für Telearbeit ).
Sichere Telearbeit setzt organisatorische Regelungen und personelle Maßnahmen voraus. Besonders zu beachten sind die speziellen Verpflichtungen der Telearbeiter und deren Einweisung in die Nutzungsregelungen der Kommunikation. Sie sind in den folgenden Maßnahmen beschrieben:
- M 2.113 Regelungen für Telearbeit
- M 2.116 Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit
- M 2.117 Erstellung eines Sicherheitskonzeptes für Telearbeit
- M 3.21 Sicherheitstechnische Einweisung der Telearbeiter
Umsetzung
Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, können die Telearbeitsrechner, Kommunikationsrechner und andere IT-Systeme installiert werden. Dabei sind folgende Maßnahmen zu beachten:
- Sicherheit des Telearbeitsrechners: Der Telearbeitsrechner muss so gestaltet sein, dass im unsicheren Einsatzumfeld eine sichere Nutzung möglich ist. Insbesondere darf nur eine autorisierte Person den Telearbeitsrechner offline und online nutzen können. Dabei sind insbesondere die Sicherheitsanforderungen aus M 4.63 Sicherheitstechnische Anforderungen an den Telearbeitsrechner zu beachten.
- Sichere Kommunikation zwischen Telearbeitsrechner und Institution: Da die Kommunikation über öffentliche Netze (also z. B. über ISDN - oder DSL -Anbindungen) ausgeführt wird, sind besondere Sicherheitsanforderungen für die Kommunikation zwischen Telearbeitsrechner und Institution zu erfüllen. Sie sind in M 5.51 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution beschrieben. Für die Anbindung des Telearbeitsrechners über öffentliche Netze ist Baustein B 4.5 LAN-Anbindung eines IT-Systems über ISDN zu beachten. Für die Anbindung des Telearbeitsrechners über ein Virtuelles Privates Netz (VPN) ist der Baustein B 4.4 VPN zu beachten.
- Sicherheit des Kommunikationsrechners der Institution: Dieser Rechner stellt eine quasi öffentlich zugängliche Schnittstelle dar, über die der Telearbeiter die IT und die Daten der Institution nutzen kann. Da hier ein Missbrauch durch Dritte verhindert werden muss, sind besondere Sicherheitsanforderungen zu erfüllen, die in M 5.52 Sicherheitstechnische Anforderungen an den Kommunikationsrechner beschrieben sind.
Betrieb
Die Benutzer haben einen wesentlichen Einfluss auf die Sicherheit bei der Telearbeit. Die Telearbeiter müssen daher zur Einhaltung der Sicherheitsvorgaben und für die Nutzung der IT-Systeme geschult werden (siehe M 3.21 Sicherheitstechnische Einweisung der Telearbeiter ).
Notfallvorsorge
Alle relevanten Daten, die im Rahmen der Telearbeit erstellt oder verändert wurden, müssen gesichert werden (siehe M 6.47 Datensicherung bei der Telearbeit ).
Nachfolgend wird das Maßnahmenbündel für den Bereich "Telearbeit" vorgestellt.
Planung und Konzeption
- | M 2.113 | (A) | Regelungen für Telearbeit |
- | M 2.114 | (A) | Informationsfluss zwischen Telearbeiter und Institution |
- | M 2.115 | (B) | Betreuungs- und Wartungskonzept für Telearbeitsplätze |
- | M 2.116 | (A) | Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit |
- | M 2.117 | (A) | Erstellung eines Sicherheitskonzeptes für Telearbeit |
- | M 2.205 | (C) | Übertragung und Abruf personenbezogener Daten |
- | M 2.241 | (C) | Durchführung einer Anforderungsanalyse für den Telearbeitsplatz |
Umsetzung
- | M 4.63 | (A) | Sicherheitstechnische Anforderungen an den Telearbeitsrechner |
- | M 5.51 | (A) | Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution |
- | M 5.52 | (A) | Sicherheitstechnische Anforderungen an den Kommunikationsrechner |
Betrieb
- | M 3.21 | (A) | Sicherheitstechnische Einweisung der Telearbeiter |
Notfallvorsorge
- | M 6.47 | (B) | Datensicherung bei der Telearbeit |