Information Security and digitics

Of digital mice and men – for availability, integrity and privacy


Home office – per Anweisung am Küchentisch ?

Eine Empfehlung des BSI mit einer signifikanten Lücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 18. März 2020 an die Sicherheit am heimischen Arbeitsplatz erinnert, nachdem zahlreiche Unternehmen zu diesem Zeitpunkt ihre Mitarbeiter ins Home Office gebeten oder geordert hatten. Mit einem Newsletter wurde am 19. März auf diese Publikation noch besonders hingewiesen.

Vier Bausteine des IT-Grundschutzes wurden hervorgehoben:

CON.7 Informationssicherheit auf Auslandsreisen
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
OPS.1.2.4: Telearbeit

Soweit so gut. Doch ein wichtiger Aspekt wurde in dem panikartigen Aufbruch an den Arbeitsplatz am heimischen Esstisch, Küchentisch, Arbeitsecke vergessen: Welche Bedingungen haben denn Mitarbeiter zuhause, im Kreis der Lieben oder auch störenden Familienmitglieder?

Vor Allem aber: Hat ein Arbeitgeber überhaupt das Recht, Mitarbeiter zur Arbeit nach Hause zu schicken? Ich bin kein Arbeitsrechtler und überhaupt kein Anwalt, aber meine instinktive Vermutung geht dahin: Nein, das kann ein Arbeitgeber nicht verlangen. Er kann freundlich darum bitten, und die meisten Menschen werden der Bitte freundlich nachkommen.

Dazu hatte ich in der Xing-Gruppe IT-Grundschutz, die vom BSI moderiert wird, angeregt, dass zumindest ein Hinweis aufgenommen wird für Arbeitgeber, die rechtliche Grundlage für eine Entsendung nach Hause zu prüfen. Das schließt m.E. die Option ein, dass Mitarbeiter nach Hause geschickt werden – ohne Arbeitsauftrag.

Die Kollegen vom BSI verwiesen in ihrer Antwort auf den Baustein ORP.5 und darin speziell auf den Abschnitt 3.1 mit den Anforderungen ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen und ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen. Darin wird generell gefordert, dass Führungskräfte für die Konformität zu geltendem Recht verantwortlich sind. Doch wer denkt da schon an die vertragliche Gestaltung für den Fall, dass der Arbeitnehmer, der sonst unbedingt vor Ort sein soll, zur Fortführung des Geschäfts nach Hause geschickt wird und dort entsprechende Arbeitsmittel vorhalten soll.

Es gibt bestimmt einige Unternehmen, die das in ihren BCM-Plänen bedacht haben. Die Regel ist aber, dass Mitarbeiter einen Vorteil darin sehen, von zu Hause aus zu arbeiten, mit Remoteanbindung ans Firmennetz oder auch offline, und das Unternehmen sie darin unterstützt, um ihnen entgegenzukommen. Es werden dann aus dem ISMS heraus Anforderungen an den sicheren Umgang mit Informations-Assets gestellt.

In der akuten Krise ist es nun aber umgekehrt: Die Motivation kommt nicht vom Mitarbeiter, sondern vom Unternehmen. Und viele Unternehmen hatten für eine solche Panikreaktion der Politik und öffentlichen Meinung keinen Notfallplan – und folglich keinen angemessenen rechtlichen Rahmen.

Und viele Mitarbeiter sind nicht darauf vorbereitet und haben gar nicht die Möglichkeit im eigenen Heim einen sicheren Arbeitsplatz einzurichten, weder räumlich noch finanziell. Und es ist i.d.R. auch nicht Gegenstand von Notfallplänen, dass gleichzeitig die Kinder nach Hause geschickt werden, und ihren Müttern oder Vätern bei der Arbeit helfen sollen.

(Die Behörden scheinen in ihrer Panik diese Problematik gar nicht wahrzunehmen. Panik ist keine gute Entscheidungsgrundlage.)

Es gibt übrigens eine schon länger veröffentlichte Empfehlung des BSI für das heimische Büro, die ebenfalls keinen Hinweis auf rechtskonforme Nutzung des Home Office im Interesse des Arbeitgebers enthält. Allerdings verschwimmen hier die Begriffe “Mobiles Arbeiten” und “Home Office”.

BSI Mobiles Arbeiten




2.000 Kreditkarten-Kunden von illegalen Einzügen betroffen

Wie sicher sind Kreditkarten? oder noch schärfer: Wie sicher sind Konten, die von Kreditkarten belastet werden können ?

Kriminelle haben es auch nicht leicht. Mittlerweile ist dies eines meiner Mantren für Informationssicherheitsfragen, wenn es einzig um die Bereicherung geht. Der NDR meldet, dass die Oldenburgische Landesbank 1,5 Millionen in einem Angriff verloren hat, bei dem die Konten von 2.000 Kunden belastet wurden. Da nichts auf ein Fehlverhalten der Kunden hinweist, hat die Bank in jedem Einzelfall den Fehlbetrag (aus dem Risikopuffer für operationelle Risiken?) ausgeglichen.

Continue reading