Seit März 2020 ist die Welt aufgrund von Corona in einem Ausnahmezustand. Persönliche Zusammentreffen sind seither auf ein Minimum zu beschränken. Vor allem in den ersten zwei, drei Monaten der Pandemie zeigte sich deutlich, wie wenig die digitale Transformation bereits praktische Umsetzung erfahren hat und als Standard angenommen wird.
Im Homeoffice arbeitet, hat’s nicht immer leicht. Besonders für Behördenmitarbeiter ist auch die IT-Sicherheit oft ein Problem.
„Ob Meetings, Dokumentenmanagement oder einfach der kommunikative Austausch unter Kollegen im Arbeitsalltag, anfänglich kam es in einigen Stadtverwaltungen für Wochen fast zu einem Stillstand, weil es
keine adäquaten Strukturen für funktionales Homeoffice gab“, weiß Robert Rios, Geschäftsführer der Riomar GmbH, und erläutert: „Mittlerweile wurden alle Hebel in Bewegung gesetzt, um diese Zustände zu
verbessern, doch drängt sich nun mehr und mehr die Frage auf, ob alles auch datenschutzrechtlich konform abläuft.“
„Viele schmeißen IT-Sicherheit und Datenschutz noch immer in einen Topf, dabei sind es zwei unterschiedliche Themen, die jedoch Schnittstellen haben“, merkt Robert Rios an. IT-Sicherheit beinhaltet alle technologischen Maßnahmen, mit denen Daten, Funktionen und Programme in IT-Systemen gesichert werden. Hierzu gehören Zugriffskontrollen bei Dateien und Programmen, Back-ups und Patchmanagement, Firewalls sowie die redundante Speicherung der Daten. Der Datenschutz ist dabei ein Teilbereich, der wiederum von den automatisierten Maßnahmen der IT-Sicherheit profitiert. Er bezieht sich auf den Umgang und die Speicherung personenbezogener Daten, wie Namen, Kontakt- oder Kontodaten oder IP-Adressen. So ist es zwingend erforderlich, diese sehr sensiblen Daten nicht nur technisch innerhalb der IT zu schützen, sondern auch nach datenschutzrechtlichen Vorgaben zu händeln – im Homeoffice genauso wie im Büro. Egal, ob es nun um IT-Sicherheit oder Datenschutz geht, nach Möglichkeit sollten Verwaltungsmitarbeiter im Homeoffice nicht über eigene Geräte oder IT-Systeme arbeiten.
„Firmenlaptops und Diensthandys sind gegenüber persönlichen Devices immer vorzuziehen – allein schon, weil die meisten Menschen privat Whats-App nutzen. Finden sich dann auch Unternehmens- oder Kundenkontakte oder Informationen in diesem Device, ist das datenschutzrechtlich nicht tragbar“, erklärt Rios. Auch bei so einfachen Vorgängen wie dem Austausch von E-Mails bestehen Gefahren. Für eine End-to-End-Verschlüsselung sind Absender und Empfänger verantwortlich. „Im Fall der Nutzung privater Devices müsste der Arbeitgeber für jedes verwendete Gerät seiner Mitarbeiter prüfen und sicherstellen, dass diese sogenannten Public Keys und andere Sicherheitsprogramme installiert und stets aktuell sind. Im täglichen Workflow ist das zusätzlich nicht zu bewältigen“, erklärt Rios. Neben dem Schutz von außen muss auch gewährleistet werden, dass Dritte wie Partner, Familienmitglieder oder Freunde des Mitarbeiters nicht auf Daten oder Informationen zugreifen können.
Robert Rios: Kommunen sollten Experten für die IT-Sicherheit zu Rate ziehen.
Zentral und deshalb vorteilhaft gestalten sich Zugriffe aus dem Homeoffice über Virtual Private Network und Remote-Zugänge. Nicht nur, dass Daten und Programme so nicht auf den einzelnen Devices von Mitarbeitern abgelegt werden müssen, auch in Bezug auf System- und Programm-Updates arbeiten bei diesen Ansätzen alle auf der gleichen Systemoberfläche. „Stand am Anfang der Pandemie noch im Fokus, es zu ermöglichen, dass Kommunalverwaltungen ihrer Arbeit überhaupt nachgehen können, ist in der nächsten Zeit zu erwarten, dass Bundesländer die Homeoffice-Standards bei den Mitarbeitern prüfen werden“, so Rios und fügt hinzu: „Vor allem dann, wenn Kommunen die Investitionen in Endgeräte für Mitarbeiter beim Homeoffice scheuen, sollten sie sich sehr gut über ihre Aufgaben und Verpflichtungen informieren. So liegt es in ihrer Verantwortung, genaue Anweisungen zu erteilen, welche Informationen auf den Geräten gespeichert und welche Arbeitsmaßnahmen auf diesen durchgeführt werden dürfen.“
Hier hilft es, einen Experten für die IT-Sicherheit zu beauftragen. Große Wirtschaftskonzerne haben oft inhouse eine IT-Abteilung oder einen IT-Verantwortlichen. Kleine Institutionen und Kommunalverwaltungen müssen jedoch abwägen, ob die Beschäftigung einer Vollzeitkraft in Kosten und Nutzen rentabel ist, da hier die personelle Auslastung geringer und mitunter unregelmäßiger ist. Trotz der geringeren Auslastung dürfen Verwaltungseinrichtungen allerdings nicht denken, dass IT-Sicherheit leicht selbst zu bewältigen und externe Expertise nicht notwendig ist. Kommunen stellen sich häufig die Fragen: „Lohnt sich der Einsatz eines Dienstleisters? Sprengt das nicht die Kosten, und können wir uns in der Corona-Zeit eine solche zusätzliche Belastung überhaupt leisten?“
Auch wenn die Zuhilfenahme eines externen Dienstleisters die Kostenleuchte aufblinken lässt, sollten Gemeinden die Risiken abwägen, wenn sie bei den Themen IT-Sicherheit und Datenschutz eher nach dem Bauch als nach konkretem Wissen vorgehen. Managed Service, Datenmanagement und IT-Sicherheit sind mittlerweile schon relativ kostengünstig möglich. Dahingegen wiegen die Wirtschafts- und Imageschäden durch Hacking oder Datenschutzfehler finanziell wesentlich negativer und hängen Verantwortlichen lange nach. Dienstleister wie die Riomar arbeiten bei Angeboten heutzutage schon sehr individuelle Projektpläne aus. Robert Rios verdeutlicht: „So schließen wir unnötige Leistungen und somit Kostenstellen direkt aus und können Kommunalverwaltungen viel bedarfsorientiertere Lösungen ermöglich, damit der Geschäftsalltag digital einwandfrei und sicher abläuft.
Kennwort: Riomar