B 5.8 Telearbeit

Beschreibung
Unter Telearbeit versteht man im allgemeinen Tätigkeiten, die räumlich entfernt vom Standort des Arbeit- bzw. Auftraggebers durchgeführt werden, deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeit- bzw. Auftraggebers unterstützt wird.
Es gibt unterschiedliche Formen von Telearbeit wie z. B. Telearbeit in Satellitenbüros, Nachbarschaftsbüros, mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers. Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit, d. h. der Arbeitnehmer arbeitet teilweise im Büro und teilweise zu Hause.
Dieser Baustein konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Es wird davon ausgegangen, dass zwischen dem Arbeitsplatz zu Hause und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder ggf. auch den Zugriff auf Daten in der Institution ermöglicht.
Die Maßnahmenempfehlungen dieses Bausteins umfassen vier verschiedene Bereiche:
- die Organisation der Telearbeit,
- den Telearbeitsrechner des Telearbeiters,
- die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und
- den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.
Die in diesem Baustein aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen für ein IT-System, das für die Telearbeit eingesetzt wird. Insbesondere für die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden müssen. Für das eingesetzte IT-System muss weiterhin der passende Client-Baustein betrachtet werden, sowie die im Baustein B 2.8 Häuslicher Arbeitsplatz erforderlichen Maßnahmen.
Gefährdungslage
Für den IT-Grundschutz der Telearbeit werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- | G 1.1 | Personalausfall |
Organisatorische Mängel:
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.4 | Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen |
- | G 2.5 | Fehlende oder unzureichende Wartung |
- | G 2.7 | Unerlaubte Ausübung von Rechten (am häuslichen Arbeitsplatz und am Kommunikationsrechner der Institution) |
- | G 2.22 | Fehlende Auswertung von Protokolldaten |
- | G 2.24 | Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes |
- | G 2.49 | Fehlende oder unzureichende Schulung der Telearbeiter |
- | G 2.50 | Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter |
- | G 2.51 | Mangelhafte Einbindung des Telearbeiters in den Informationsfluss |
- | G 2.52 | Erhöhte Reaktionszeiten bei IT-Systemausfall |
- | G 2.53 | Unzureichende Vertretungsregelungen für Telearbeit |
Menschliche Fehlhandlungen:
- | G 3.1 | Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer |
- | G 3.3 | Nichtbeachtung von IT-Sicherheitsmaßnahmen |
- | G 3.9 | Fehlerhafte Administration des IT-Systems |
- | G 3.13 | Übertragung falscher oder nicht gewünschter Datensätze |
- | G 3.16 | Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
- | G 3.30 | Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners |
Technisches Versagen:
- | G 4.13 | Verlust gespeicherter Daten |
Vorsätzliche Handlungen:
- | G 5.1 | Manipulation/Zerstörung von IT-Geräten oder Zubehör |
- | G 5.2 | Manipulation an Daten oder Software |
- | G 5.7 | Abhören von Leitungen |
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.10 | Missbrauch von Fernwartungszugängen |
- | G 5.18 | Systematisches Ausprobieren von Passwörtern (am häuslichen Arbeitsplatz und am Kommunikationsrechner) |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.21 | Trojanische Pferde |
- | G 5.23 | Computer-Viren |
- | G 5.24 | Wiedereinspielen von Nachrichten |
- | G 5.25 | Maskerade |
- | G 5.43 | Makro-Viren |
- | G 5.71 | Vertraulichkeitsverlust schützenswerter Informationen |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Eine ausreichend sichere Form der Telearbeit wird nur erreicht, wenn IT-Sicherheitsmaßnahmen aus mehreren Bereichen ineinandergreifen und sich ergänzen. Wird einer dieser Bereiche vernachlässigt, ist eine sichere Telearbeit nicht mehr möglich. Die einzelnen Bereiche und wesentlichen Maßnahmen sind:
- Infrastrukturelle Sicherheit des Telearbeitsplatzes: Maßnahmen, die am Telearbeitsplatz zu beachten sind, werden im Baustein B 2.8 Häuslicher Arbeitsplatz beschrieben.
- Organisation der Telearbeit: sichere Telearbeit setzt organisatorische Regelungen und personelle Maßnahmen voraus. Diese werden nachfolgend unter den Oberbegriffen "Organisation" und "Personal" beschrieben. Besonders zu beachten sind die Verpflichtungen des Telearbeiters, seine Einweisung und die Nutzungsregelungen der Kommunikation. Sie sind in den folgenden Maßnahmen beschrieben
- Sicherheit des Telearbeitsrechners: der Telearbeitsrechner muss so gestaltet sein, dass im unsicheren Einsatzumfeld eine sichere Nutzung möglich ist. Insbesondere darf nur eine autorisierte Person den Telearbeitsrechner offline und online nutzen können. Die notwendigen Maßnahmen sind unter dem Oberbegriff "Hardware/Software" und "Notfallvorsorge" zusammengefasst. Dabei sind insbesondere die Sicherheitsanforderungen aus M 4.63 Sicherheitstechnische Anforderungen an den Telearbeitsrechner zu beachten.
- Sichere Kommunikation zwischen Telearbeitsrechner und Institution: da die Kommunikation über öffentliche Netze ausgeführt wird, sind besondere Sicherheitsanforderungen für die Kommunikation zwischen Telearbeitsrechner und Institution zu erfüllen. Sie sind in M 5.51 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution beschrieben. Für die Anbindung des Telearbeitsrechners über das öffentliche Netz ist Baustein B 4.5 LAN-Anbindung eines IT-Systems über ISDN zu beachten. Für die Anbindung des Telearbeitsrechners über einen Remote-Access-Service (RAS) ist Baustein B 4.4 Remote Access zu beachten.
- Sicherheit des Kommunikationsrechners der Institution: dieser Rechner stellt eine quasi öffentlich zugängliche Schnittstelle dar, über die der Telearbeiter die IT und die Daten der Institution nutzen kann. Da hier ein Missbrauch durch Dritte verhindert werden muss, sind besondere Sicherheitsanforderungen zu erfüllen, die in M 5.52 Sicherheitstechnische Anforderungen an den Kommunikationsrechner beschrieben sind.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Telearbeit" vorgestellt.
Planung und Konzeption
- | M 2.113 | (A) | Regelungen für Telearbeit |
- | M 2.114 | (A) | Informationsfluss zwischen Telearbeiter und Institution |
- | M 2.115 | (B) | Betreuungs- und Wartungskonzept für Telearbeitsplätze |
- | M 2.116 | (A) | Geregelte Nutzung der Kommunikationsmöglichkeiten |
- | M 2.117 | (A) | Regelung der Zugriffsmöglichkeiten des Telearbeiters |
- | M 2.205 | (C) | Übertragung und Abruf personenbezogener Daten |
- | M 2.241 | (C) | Durchführung einer Anforderungsanalyse für den Telearbeitsplatz |
Umsetzung
- | M 4.63 | (A) | Sicherheitstechnische Anforderungen an den Telearbeitsrechner |
- | M 5.51 | (A) | Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution |
- | M 5.52 | (A) | Sicherheitstechnische Anforderungen an den Kommunikationsrechner |
Betrieb
- | M 3.21 | (A) | Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters |
- | M 3.22 | (B) | Vertretungsregelung für Telearbeit |
- | M 4.3 | (A) | Regelmäßiger Einsatz eines Anti-Viren-Programms |
- | M 4.33 | (A) | Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung |
Notfallvorsorge
- | M 6.38 | (B) | Sicherungskopie der übermittelten Daten |
- | M 6.47 | (B) | Aufbewahrung der Backup-Datenträger für Telearbeit |