Bundesamt für Sicherheit in der Informationstechnik

B 5.8 Telearbeit

Logo Telearbeit

Beschreibung

Unter Telearbeit wird jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit verstanden, die ausschließlich oder zeitweise außerhalb der Gebäude des Arbeit- bzw. Auftraggebers verrichtet wird. Die Erledigung der Tätigkeiten wird durch eine kommunikationstechnische Anbindung an die IT des Arbeit- bzw. Auftraggebers unterstützt.

Es gibt verschiedene Formen von Telearbeit. So kann sie als heimbasierte Telearbeit in der Wohnung des Mitarbeiters oder auch als mobile Telearbeit von unterwegs erbracht werden. Es ist ebenfalls möglich, dass die Mitarbeiter im Rahmen der On-Site-Telearbeit bei Kunden oder Lieferanten eingesetzt werden und dort mit der Ausstattung des eigenen Arbeitgebers arbeiten. Eine weitere Möglichkeit ist die Telearbeit in sogenannten Telecentern oder auch Satelliten- oder Nachbarschaftsbüros.

Bei der heimbasierten Telearbeit wird zwischen der ausschließlich zu Hause erbrachten Arbeit und der alternierenden Telearbeit unterschieden. Bei der alternierenden Telearbeit arbeiten die Arbeitnehmer wechselweise an ihrem Arbeitsplatz beim Arbeitgeber und am häuslichen Arbeitsplatz.

Dieser Baustein konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Es wird davon ausgegangen, dass zwischen dem Arbeitsplatz zu Hause und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder gegebenenfalls auch den Zugriff auf Daten in der Institution ermöglicht.

Die Maßnahmenempfehlungen dieses Bausteins umfassen vier verschiedene Bereiche:

  • die Organisation der Telearbeit,
  • den Telearbeitsrechner des Telearbeiters,
  • die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und
  • den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.

Die in diesem Baustein aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen für die IT-Systeme, die für die Telearbeit eingesetzt werden, und auch auf die bei der Telearbeit verarbeiteten Informationen. Insbesondere für die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden müssen.

Gefährdungslage

Für den IT-Grundschutz der Telearbeit werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.1 Personalausfall

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
G 2.50 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter
G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss
G 2.53 Unzureichende Vertretungsregelungen für Telearbeit

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.13 Weitergabe falscher oder interner Informationen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.30 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners

Technisches Versagen

G 4.13 Verlust gespeicherter Daten

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.9 Unberechtigte IT-Nutzung
G 5.10 Missbrauch von Fernwartungszugängen
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.19 Missbrauch von Benutzerrechten
G 5.20 Missbrauch von Administratorrechten
G 5.21 Trojanische Pferde
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den sicheren Einsatz von Telearbeit sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung und Konzeption über die Beschaffung bis hin zur Notfallvorsorge. Die Schritte, die dabei zu durchlaufen sind und die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Maßnahmen zur infrastrukturellen Sicherheit des Telearbeitsplatzes werden im Baustein B 2.8 Häuslicher Arbeitsplatz beschrieben. Für das als Telearbeitsrechner eingesetzte IT-System muss außerdem der passende Client-Baustein umgesetzt werden.

Planung und Konzeption

Es sollte ein Konzept für Telearbeit erstellt werden, in dem die Sicherheitsziele, der Schutzbedarf der bei der Telearbeit zu bearbeitenden Informationen sowie die Risiken und Sicherheitsmaßnahmen aufgezeigt werden (siehe M 2.117 Erstellung eines Sicherheitskonzeptes für Telearbeit ).

Sichere Telearbeit setzt organisatorische Regelungen und personelle Maßnahmen voraus. Besonders zu beachten sind die speziellen Verpflichtungen der Telearbeiter und deren Einweisung in die Nutzungsregelungen der Kommunikation. Sie sind in den folgenden Maßnahmen beschrieben:

Umsetzung

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, können die Telearbeitsrechner, Kommunikationsrechner und andere IT-Systeme installiert werden. Dabei sind folgende Maßnahmen zu beachten:

Betrieb

Die Benutzer haben einen wesentlichen Einfluss auf die Sicherheit bei der Telearbeit. Die Telearbeiter müssen daher zur Einhaltung der Sicherheitsvorgaben und für die Nutzung der IT-Systeme geschult werden (siehe M 3.21 Sicherheitstechnische Einweisung der Telearbeiter ).

Notfallvorsorge

Alle relevanten Daten, die im Rahmen der Telearbeit erstellt oder verändert wurden, müssen gesichert werden (siehe M 6.47 Datensicherung bei der Telearbeit ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Telearbeit" vorgestellt.

Planung und Konzeption

M 2.113 (A) Regelungen für Telearbeit
M 2.114 (A) Informationsfluss zwischen Telearbeiter und Institution
M 2.115 (B) Betreuungs- und Wartungskonzept für Telearbeitsplätze
M 2.116 (A) Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit
M 2.117 (A) Erstellung eines Sicherheitskonzeptes für Telearbeit
M 2.205 (C) Übertragung und Abruf personenbezogener Daten
M 2.241 (C) Durchführung einer Anforderungsanalyse für den Telearbeitsplatz

Umsetzung

M 4.63 (A) Sicherheitstechnische Anforderungen an den Telearbeitsrechner
M 5.51 (A) Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution
M 5.52 (A) Sicherheitstechnische Anforderungen an den Kommunikationsrechner

Betrieb

M 3.21 (A) Sicherheitstechnische Einweisung der Telearbeiter

Notfallvorsorge

M 6.47 (B) Datensicherung bei der Telearbeit

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK