Im Homeoffice ist Datensicherheit wichtiger denn je! Wie kann ich meine Daten oder Kund*innendaten im heimischen Büro schützen? Welche Tools sind für mobiles Arbeiten geeignet und was mache ich, wenn im Firmenpostfach eine Phishingmail auftaucht?
Christian Süßenguth ist IT-Berater für nachhaltige Datensicherheit und hat uns seine besten Tipps für sicheres Arbeiten von zu Hause aus verraten. Seit fünf Jahren hilft er mit seiner Firma SWEETGOOD Unternehmen dabei, ihre Daten vor unbefugten Zugriffen zu schützen, individuelle Lösungen für IT-Probleme zu finden oder sie auf dem Weg in die digitale Souveränität zu begleiten.
HomeofficeGuru: Welche Risiken lauern im Homeoffice, die es im Firmenbüro nicht gibt?
Christian Süßenguth: Der große Unterschied: Im Firmenbüro läuft der gesamte Netzwerkverkehr über eine Firewall und unterliegt entsprechenden Richtlinien. Ich darf meine Geräte zum Beispiel nicht einfach irgendwo anschließen. Zusätzlich werden über die Firewall bestimmte Webseiten blockiert – ich habe dadurch netzwerktechnisch einen hohen Schutz, den ich im Homeoffice nicht habe. Außer, ich wähle mich mit dem Laptop in den VPN-Tunnel der Firma ein und surfe über den Firmenanschluss. Dazu müsste aber alles über den VPN der Firma laufen, das ist nicht zwangsweise der Fall.
Dann gibt es noch das Risiko, dass die Kinder oder die Familie das Gerät benutzen, weil es zu Hause steht. „Mal schnell was nachschauen, mal schnell ein Spiel installieren.“ Die Gefahr ist noch größer, wenn es sich nicht um ein Firmengerät, sondern um ein Privatgerät handelt. Das heißt, wenn jemand sein Privatgerät für Firmenbelange nutzt, ist es wichtig zu schauen, dass es ein Gerät ist, auf das nur derjenige Zugriff hat.
Auch der Einblick in die Privatsphäre kann ein Risiko darstellen, wenn ich den Laptop im Homeoffice verwende und Videokonferenz-Software installiert habe. Dann kann jede*r meine Wohnung sehen und auch die Menschen, die dort ein- und ausgehen. Das sind weitere Aspekte, die man an der Stelle berücksichtigen sollte.
Je nachdem, ob es ein Firmen- oder Privatgerät ist, kann auch Software installiert sein, die dort nicht drauf sein darf, weil sie ein Sicherheitsrisiko darstellt.
Zusammenfassend kann man sagen: Firmengeräte sind meist weniger problematisch – hier ist die einzige Gefahr das Nicht-Firmennetzwerk, an dem das Gerät am Internet hängt. Auf Privatgeräten könnte sich Software befinden, die dort nicht drauf gehört. Dann kann es z.B. vorkommen, dass Kundendaten unverschlüsselt auf dem eigenen Laptop liegen.
HomeofficeGuru: Wie kann ich trotzdem dafür sorgen, dass meine Daten beim Arbeiten zu Hause geschützt bleiben? Welche Top-Tipps hast Du für uns?
Christian Süßenguth: Mein erster Tipp: Gesunde Vorsicht und gesunder Menschenverstand. Überlege Dir: Was könnte alles im Homeoffice passieren und was davon ist wahrscheinlich? Im Homeoffice ist die Wahrscheinlichkeit höher, dass ich ein Getränk verschütte, weil ich kein Büro habe, sondern am Küchentisch esse und gleichzeitig am Laptop arbeite.
Damit Firmendaten geschützt bleiben, empfehle ich außerdem, den Firmenlaptop nicht für andere Zwecke zu nutzen. Nur für die Arbeit – und nicht, um nebenbei etwas Privates zu recherchieren. Beides sollte klar getrennt werden. Also am besten alles, was nichts mit der Arbeit zu tun hat, auf dem Privatlaptop machen.
Wenn es die Möglichkeit gibt, rate ich, den VPN-Tunnel, also den Firmenanschluss, zu nutzen. Damit läuft der gesamte Internetnetzwerkverkehr über das Unternehmen und ich kann davon ausgehen, dass das Sicherheitslevel höher ist. Und noch zwei wichtige Tipps: Updates installieren und die Software auf dem neusten Stand halten. Auch ein aktueller Virenschutz zieht noch einmal eine Sicherheitsebene auf dem PC ein.
HomeofficeGuru: Müssen Selbstständige zusätzliche Sicherheitsvorkehrungen im Homeoffice treffen – wo liegen hier die Unterschiede zu Angestellten? Stichwort Kund*innendaten!
Christian Süßenguth: Ganz klar! Die DSGVO (Datenschutz-Grundverordnung) schreibt technische und organisatorische Schutzmaßnahmen vor – die sogenannten TOM. Wenn ich sensible Kund*innendaten verarbeite, muss ich diese Maßnahmen ergreifen. Dazu zählen neben einer entsprechenden Festplattenverschlüsselung auch eine Firewall, ein Virenschutz und aktuelle Updates. Das sind die Basics, die auch fürs Homeoffice gelten.
Ansonsten muss auch hier wieder zwischen Firmengerät und Privatgerät unterschieden werden: Ist es mein Privatgerät, bin ich selbst voll verantwortlich dafür. In der Regel muss ich eine Datenschutzerklärung von meinem Arbeitgeber unterschreiben. Wenn ich gezwungen bin, Kund*innendaten auf meinem Privatgerät zu Hause zu verarbeiten, dann muss ich sicherstellen, dass niemand anderes Zugriff darauf hat.
Einerseits darf kein Familienmitglied an die Daten herankommen und andererseits sollte auch nicht die halbe Familie zuschauen, während ich Kund*innendaten verarbeite. In der Firma ist das wiederum unproblematisch: Wenn ein*e Kolleg*in neben mir steht, der oder die dieselbe Datenschutzerklärung mit seinem Arbeitsvertrag unterschrieben hat wie ich, dann gibt es kein Risiko. Mein Kind oder mein*e Partner*in haben die natürlich nicht unterschrieben.
HomeofficeGuru: Video-Tools sind ideal, um sich mit Kolleg*innen und Kund*innen auszutauschen, aber sie haben auch den Ruf, nicht datensicher zu sein. Was empfiehlst Du hier?
Christian Süßenguth: Ich empfehle hier ganz klar das Open Source Tool BigBlueButton. Das Tool ist Open Source Software, das heißt, sie ist kostenfrei verfügbar, jeder kann sie auf einem Server installieren oder bei einem entsprechenden deutschen Dienstleister mieten. Das zweite Tool, das ich weiterempfehlen kann, heißt Jitsi Meet. Das ist ebenfalls eine gute Alternative und auch hier gibt es viele kostenfreie Anbieter. Mit dem JitsiMeter kann man einen schnellen und datensicheren Server finden.
HomeofficeGuru: Phishingmails landen auch im Firmenpostfach und sehen dabei aus wie Mails von Auftraggeber*innen oder Dienstleister*innen: Was mache ich, wenn ich aus Versehen draufgeklickt habe?
Christian Süßenguth: Das kenne ich aus der Praxis: Jemand hat einen Mailabsender gefälscht, der so aussieht, als käme er von innerhalb der Organisation. Da muss man gewaltig aufpassen! Auch hier ist gesundes Misstrauen gefragt. Im Zweifel auf einem anderen Kanal nachfragen, um sich abzusichern. Einmal kurz anrufen oder zur Kontrolle eine Messenger-Nachricht schicken und nachhaken: „Hast Du mir die Mail geschickt?“
Wenn ich eine Phishingmail geöffnet habe, passiert normalerweise erst mal nichts. Denn fast alle Mailprogramme blockieren sämtliche Bilder, wenn ich eine Mail öffne. Früher wurden Bilder automatisch in einer Mail geladen – dann wusste man: Da wurde etwas geladen, also wurde die Mail aufgemacht. Jetzt sind Bilder grundsätzlich blockiert, die Bilder werden nicht nachgeladen und niemand weiß, dass ich die Mail geöffnet habe. Außer, ich schicke eine Lesebestätigung, antworte oder lade die Bilder nach.
Sollte jetzt jemand doch auf einen Link in der Mail geklickt oder sogar seine Zugangsdaten eingegeben haben, weil er auf etwas reagiert hat, dann ist der beste Tipp: Die Zugangsdaten sofort ändern – auch überall, wo das gleiche Passwort verwendet wurde. Im besten Fall nutzt man nie dasselbe Passwort an mehreren Stellen. Wenn ich eine Phishingmail bekommen habe, die auf mich zugeschnitten wurde, die also meine*n Auftraggeber*in oder Dienstleister*in imitiert, dann ist das eine Straftat, bei der ich erwägen würde, die Polizei hinzuzuziehen.
HomeofficeGuru: Du arbeitest mit Open Source Software, also freier Software. Was kann sie und welche Vorteile bietet sie im Homeoffice?
Christian Süßenguth: Die Hauptvorteile: Es gibt eine große Auswahl an Tools für die unterschiedlichsten Zwecke. Dahinter steht häufig eine sehr große Community, die die Tools verwendet und weiterentwickelt. Nächster Punkt: Open Source Software ist in den meisten Fällen kostenfrei oder sehr günstig.
Die Software besitzt eine geringe Einstiegshürde, so kann ich sie auf meinem PC schnell nachinstallieren. Ich muss keine Lizenzen beantragen und nichts bestellen. Ich gehe einfach auf die Seite, lade mir die Software herunter und installiere sie. Dann probiere ich sie aus und wenn sie mir nicht gefällt, deinstalliere ich sie wieder.
Ich bin sehr flexibel und gehe keine Verpflichtungen ein. Diese Niedrigschwelligkeit ist ein sehr großer Vorteil – und gleichzeitig ist es natürlich auch so, dass ich mit Open Source Software meine Souveränität behalte. Ich bleibe unabhängig. Die meisten entscheiden sich für das Office-Paket. Hier bin ich abhängig vom Lizenzmodell, von den Lizenzkosten und wenn das Lizenzmodell umgestellt wird, muss ich entweder mit den neuen Konditionen mitgehen oder ich falle raus. Mit Open Source Software passiert das nicht, weil es immer jemanden gibt, der das Projekt weiterentwickelt oder einen Ableger erstellt. Ich kann jederzeit zwischen den Tools wechseln und bin so unabhängig.
Möchtest Du noch mehr über unseren Interviewpartner Christian Süßenguth erfahren? Hier findest Du ihn online:
Webseite: sweetgood.de I Blog mit Tipps zu IT, Datensicherheit und Open Source Software: andersgood.de I Vorteile von Open Source Software kannst Du hier nachlesen: sweetgood.de/ueber-mich I Christians Empfehlung für Videokonferenzen: senfcall.de
+++Bist auch Du ein Homeoffice-Experte und möchtest uns im Interview Deine Tipps verraten? Dann freuen wir uns, wenn Du uns schreibst: social@homeoffice-guru.de+++
Bildquellen: Christian Süßenguth; pixabay.com
