Verbreitung der Telearbeit
In den USA arbeiten mehr als 114.000 Mitarbeiter (5 %) des öffentlichen Dienstes im Rahmen der Telearbeit (Telecommuting) in ihren häuslichen Büros. Die öffentliche Bundesverwaltung US Office of Personal Management – General Services Administration (GSA) – will diesen Anteil durch vermehrten Einsatz drahtloser Kommunikationseinrichtungen noch erhöhen. Derzeit arbeiten in der GSA mehr als 7000 Mitarbeiter (57 %) des GSA-Gesamtpersonalbestandes in häuslichen Arbeitsplätzen.
Telearbeitsplätze in den USA 2011
Wirtschaft | 2.387.745 | |
Karitative – Non Profit – Unternehmen | 320.494 | |
Lokale staatliche Verwaltungen | 123.001 | |
Verwaltung der Bundesstaaten | 158.362 | |
Bundesverwaltung | 158.711. |
Im Durchschnitt stieg der Anteil der Telearbeitsplätze von 2010 bis 2011 zwischen 4.5% und 7.8 %. Lediglich bei der Bundesverwaltung machten sich Haushaltskürzungen bemerkbar, die einen Rückgang der Telearbeit 2011 um 5.0% verursachten.
Telearbeitsplätze in der EU bis 2011
In der EU können derzeit mehr als 15% der Arbeitnehmer als Telearbeiter bezeichnet werden. Viele Unternehmen in der EU zögern bei der Einführung der Telearbeit, da die regulatorischen Vorgaben die Telearbeitnehmer mit regulären Arbeitnehmern gleichstellen. Betrug der Anteil der Teilzeitbeschäftigung in deutschen Unternehmen 2009 noch 79.2 %, stieg der Anteil der Telearbeit von 7.8% im Jahr 2003 auf 18.5% im Jahr 2006 und erreichte 21.9 % im Jahr 2009. Der Anteil der Telearbeitsplätze 2012 betrug 16% in Großbritannien, 18% in Frankreich, 19% in Deutschland, zum Vergleich 19 % in Australien.
Sicherheitsaspekte
Neuartige, weltweite Angriffe auf private Datenendgeräte haben gezeigt, dass IT-Systeme der Unternehmen mit Schnittstellen zu Telearbeitsplätzen (Home/Mobile Offices) besonders gefährdet sind. Nach ernstzunehmenden Pressemeldungen sind mehr als 50 Mio. Router, auch solche mit WLAN-Funktion und Smartphones durch Fehlfunktionen der Universal Plug and Play (UPnP)-Protokoll-Software akut gefährdet.
Soweit bekannt, wurde die Sicherheitslücke in den letzten Tagen durch ein Sicherheits-Patch geschlossen. Nicht zuletzt auch die Angriffe auf IT-Systeme durch das Malware-System „Roter Oktober“ (vgl. Sicherheitsmelder Roter Oktober: Bedrohung bedeutender IT-Systeme durch umfassendes, bisher unbekanntes Spähprogramm [Günther K. Weiße] vom 28.1.2013) haben gezeigt, wie auf unkonventionelle Weise in IT-Systeme eingedrungen und sensitive Daten abgezogen werden können, da die meisten Antiviren-Produkte diese Angriffe noch nicht detektieren können.
Die Nutzung von WLAN bei der Telearbeit erhöht die Risiken, da auch verschlüsselte Verbindungen durch entsprechende Software entschlüsselt werden können. Datenschutzaspekte gewinnen eine besondere Bedeutung. Die gleichzeitige Nutzung privater Datenendgeräte zu privaten und betrieblichen Zwecken (Bring Your Own Device -ByoD) birgt ebenfalls nicht kalkulierbare Risiken.
Organisatorische und technische Voraussetzungen, Vorgaben des Datenschutzes
Auf arbeitsrechtliche Aspekte der Telearbeit wird hier nicht eingegangen. Der Bundesbeauftragte für den Datenschutz hat eine Reihe von Vorgaben zum Datenschutz bei der Telearbeit Vorgaben gemacht:
Sollen an einem Telearbeitsplatz nur Daten ohne jeglichen Personenbezug bearbeitet werden, ist dies ohne Einschränkungen möglich. Sollen hingegen personenbezogene Daten (Sozialdaten nach § 67 SGB X, personenbezogene Daten nach § 3 Abs.9 BDSG, personenbezogene Daten von Beschäftigten) am Telearbeitsplatz verarbeitet werden, ist dies nach datenschutzrechtlichen Vorgaben zu prüfen. Die Entscheidung, ob die Daten ver- oder bearbeitet werden, trifft der Arbeitgeber eigenverantwortlich.
Zusätzlich sind folgende Vorgaben zu beachten:
- Separates, abschließbares Arbeitszimmer;
- Trennung zwischen beruflicher und privater Nutzung der IT-Anlage;
- zertifizierte Kartenlesegeräte sind bei der Verarbeitung personenbezogener Daten erforderlich;
- Verbindung zum Auftraggeber nur über „Virtual Private Network -VPN“;
- Zertifizierte End to End-Verschlüsselung der Daten;
- Zugang des Datenschutzbeauftragten und Beauftragten der Datenschutzbehörden zum Heimbüro;
- Sperrung von USB-Zugängen zum System;
- Protokollierung der Druckaufträge am betrieblichen Drucker;
- Keine Nutzung betrieblich bereitgestellter IT-Ausstattung zu privaten Zwecken;
- Festlegung, ob und in welchem Umfang auf das Internet zugegriffen werden darf;
- Keine Nutzung privater Hard- und Software auf der betrieblichen IT- Ausstattung;
- Transport von Datenträgern nur verschlüsselt;
- Papierdatenträger in verschlossenen Behältnissen, Aufsicht über Datenträger beim Transport;
- Vertragliche Festlegung der Bestimmungen zum Umgang mit personenbezogenen Daten;
- keine Umleitung von E-Mails und Anrufen auf private E-Mail-Postfächer oder Telefonanschlüsse;
- Benachrichtigung bei Verdacht eines Angriffs auf das Endgerät, USB-Sticks u.a.;
- Meldung bei nur kurzzeitigem Abhandenkommen oder Verlust von Datenträgern.
Technische Voraussetzungen
- Einsatz von IT-System-Hardware nach dem neuesten Stand der Technik;
- Bereitstellen aktueller Software einschließlich Vorgaben zum Update;
- Bereitstellen aktueller Virenschutz-Software;
- Anbindung des IT-Systems über Kabel, soweit möglich;
- dauerhafte Deaktivierung der WLAN-Fähigkeit des Systems und integrierter Webcams;
- Aufnahmeöffnungen sind abzudecken;
- Integrierte Mikrofone sind abzuschalten oder dauerhaft zu deaktivieren;
- Bereithaltung von Redundanzen zur Datensicherung;
- regelmäßige Datensicherung und gesicherte Aufbewahrung dieser Sicherungsdateien;
- regelmäßige Änderung von Passwörtern;
- regelmäßge Überprüfung des Systems auf Befall mit Malware;
- Nutzung eines zertifizierten Zugangskontroll- und Schlüsselsystems und der Updates;
- Aufbewahrung der Hauptkomponente des IT-Systems (zertifiziertes Verwahrgelass);
- regelmäßige Systemrevision;
- bei Bedarf, regelmäßige Untersuchung des Systems auf parasitäre Abstrahlungen;
- Sicherung durch Einbruchmeldeanlage und Schließsystem bei Verarbeitung betrieblicher Daten;
- Löschung bzw. Vernichtung von Datenträgern nach anerkannten Sicherheitsrichtlinien;
- permanente Deaktivierung der Fernwartungsfunktion und regelmäßige Kontrolle der Deaktivierung.
Welche Schutzvorkehrungen bei Mobiltelefonen, Smartphones u.ä. Einrichtungen gegen Abhören zu treffen sind, ist mit Fachkundigen abzustimmen. Dies gilt auch für die Deaktivierung von GPS-Funktionen.
Praxishinweise
|
Quellen: Sicherheitsrichtlinien des Zertifizierungsdiensteanbieters DATEV für die Ausgabe von Signatur- und Verschlüsselungszertifikaten auf SmartCards (Certification Authority e:secure).
Die Zukunft der Netzwerksicherheit, Sophos-Umfrage zur Netzwerksicherheit 2012; Datenschutz-Wegweiser Telearbeit, Der Bundesbeauftragte für den Datenschutz, Bonn.