Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 5.8 Telearbeit - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 5.8 Telearbeit

Logo Telearbeit

Beschreibung

Unter Telearbeit versteht man im allgemeinen Tätigkeiten, die räumlich entfernt vom Standort des Arbeit- bzw. Auftraggebers durchgeführt werden, deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeit- bzw. Auftraggebers unterstützt wird.

Es gibt unterschiedliche Formen von Telearbeit wie z. B. Telearbeit in Satellitenbüros, Nachbarschaftsbüros, mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers. Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit, d. h. der Arbeitnehmer arbeitet teilweise im Büro und teilweise zu Hause.

Dieser Baustein konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Es wird davon ausgegangen, dass zwischen dem Arbeitsplatz zu Hause und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder ggf. auch den Zugriff auf Daten in der Institution ermöglicht.

Die Maßnahmenempfehlungen dieses Bausteins umfassen vier verschiedene Bereiche:

Die in diesem Baustein aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen für ein IT-System, das für die Telearbeit eingesetzt wird. Insbesondere für die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden müssen. Für das eingesetzte IT-System muss weiterhin der passende Client-Baustein betrachtet werden, sowie die im Baustein B 2.8 Häuslicher Arbeitsplatz erforderlichen Maßnahmen.

Gefährdungslage

Für den IT-Grundschutz der Telearbeit werden folgende typische Gefährdungen angenommen:

Höhere Gewalt:

- G 1.1 Personalausfall

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.7 Unerlaubte Ausübung von Rechten (am häuslichen Arbeitsplatz und am Kommunikationsrechner der Institution)
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
- G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
- G 2.50 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter
- G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss
- G 2.52 Erhöhte Reaktionszeiten bei IT-Systemausfall
- G 2.53 Unzureichende Vertretungsregelungen für Telearbeit

Menschliche Fehlhandlungen:

- G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.13 Übertragung falscher oder nicht gewünschter Datensätze
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.30 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners

Technisches Versagen:

- G 4.13 Verlust gespeicherter Daten

Vorsätzliche Handlungen:

- G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhören von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugängen
- G 5.18 Systematisches Ausprobieren von Passwörtern (am häuslichen Arbeitsplatz und am Kommunikationsrechner)
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.43 Makro-Viren
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Eine ausreichend sichere Form der Telearbeit wird nur erreicht, wenn IT-Sicherheitsmaßnahmen aus mehreren Bereichen ineinandergreifen und sich ergänzen. Wird einer dieser Bereiche vernachlässigt, ist eine sichere Telearbeit nicht mehr möglich. Die einzelnen Bereiche und wesentlichen Maßnahmen sind:

Nachfolgend wird das Maßnahmenbündel für den Bereich "Telearbeit" vorgestellt.

Planung und Konzeption

- M 2.113 (A) Regelungen für Telearbeit
- M 2.114 (A) Informationsfluss zwischen Telearbeiter und Institution
- M 2.115 (B) Betreuungs- und Wartungskonzept für Telearbeitsplätze
- M 2.116 (A) Geregelte Nutzung der Kommunikationsmöglichkeiten
- M 2.117 (A) Regelung der Zugriffsmöglichkeiten des Telearbeiters
- M 2.205 (C) Übertragung und Abruf personenbezogener Daten
- M 2.241 (C) Durchführung einer Anforderungsanalyse für den Telearbeitsplatz

Umsetzung

- M 4.63 (A) Sicherheitstechnische Anforderungen an den Telearbeitsrechner
- M 5.51 (A) Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution
- M 5.52 (A) Sicherheitstechnische Anforderungen an den Kommunikationsrechner

Betrieb

- M 3.21 (A) Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters
- M 3.22 (B) Vertretungsregelung für Telearbeit
- M 4.3 (A) Regelmäßiger Einsatz eines Anti-Viren-Programms
- M 4.33 (A) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung

Notfallvorsorge

- M 6.38 (B) Sicherungskopie der übermittelten Daten
- M 6.47 (B) Aufbewahrung der Backup-Datenträger für Telearbeit