Bundesamt für Sicherheit in der Informationstechnik

M 2.116 Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Telearbeiter

Bei der Telearbeit werden typischerweise verschiedene Möglichkeiten zur Kommunikation wie beispielsweise Telefon-, Fax- und Internet-Anbindung, aber auch Postaustausch sowie Akten- und Datenträgertransport benötigt. Daher muss ein Telearbeitsrechner über diverse elektronische Kommunikationsmöglichkeiten verfügen.

Es muss geregelt werden, auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. Auch der Postaustausch sowie der Akten- und Datenträger-Transport zwischen Institution und Telearbeitsplatz muss dabei betrachtet werden. Grundsätzlich sollte die private Nutzung der Kommunikationsmöglichkeiten klar geregelt werden. Die Regelungen über die Nutzung der Kommunikationsmöglichkeiten bei Telearbeit sind schriftlich zu fixieren, z. B. in der Sicherheitsrichtlinie zur Telearbeit (siehe M 2.113 Regelungen für Telearbeit ). Diese Regelungen sind den Telearbeitern auszuhändigen.

Zu klären sind zumindest folgende Punkte:

  • Datenflusskontrolle
    Der Austausch von Informationen zwischen dem Telearbeitsplatz und der Institution muss so geregelt sein, dass die Sicherheit der Informationen gewährleistet ist.
    • Welche Dienste dürfen zum Informationsaustausch und zur Datenübertragung genutzt werden?
    • Welche Informationen dürfen dabei an wen weitergegeben werden?
    • Welche Dienste dürfen explizit nicht genutzt werden?
    • Welcher Schriftverkehr darf über E-Mail abgewickelt werden? Ist eine Unterschriftenregelung für die Kommunikation vorgesehen?
    • Welche Authentisierungsverfahren werden für den Schriftverkehr und für den Datenaustausch genutzt?
    • Werden digitale Signaturen eingesetzt?
  • Zugriffsberechtigungen
    Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server), muss zuvor festgelegt werden, welche Objekte wie Daten oder IT ein Telearbeiter tatsächlich für die Erfüllung seiner Aufgaben benötigt. Für die Erteilung der Zugangs- und Zugriffsrechte siehe M 2.7 Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten .
    • Sind die notwendigen Rechte wie Lese- und Schreibrechte auf diese Objekte zugewiesen worden? Auf Objekte, die ein Telearbeiter für seine Aufgabenwahrnehmung nicht braucht, sollte er auch nicht zugreifen können.
  • Sicherheitsmaßnahmen beim Informationsaustausch
    Der Informationsaustausch bei der Telearbeit muss angemessen abgesichert werden. Vertrauliche Informationen müssen sicher transportiert werden.
    • Für welche Datenträger soll welche Versandart eingesetzt werden (z. B. Kurierdienst)? Welche Art der Transportsicherung ist angemessen (z. B. Umschläge mit Sicherheitsetiketten)?
    • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? Daten sollten bei der Datenübertragung und auf Datenträgern möglichst immer verschlüsselt werden, damit Transportverluste höchstens deren Verfügbarkeit und nicht deren Vertraulichkeit gefährden kann.
    • Werden von zu übertragenden Daten, die nur zum Zweck der Datenübertragung erstellt bzw. zusammengestellt worden sind, Sicherungskopien dieser Zusammenstellung vorgehalten? Bei Verlust oder Beschädigung des Datenträgers kann auf diese Weise der Versand mit geringfügigem Aufwand erneut erfolgen.
    • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten.
    • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben?
    • Vor Versand und nach Erhalt von Daten sollte ein Computer-Viren-Check der Daten durchgeführt werden.
    • Für welche Datenübertragungen sollte eine Protokollierung erfolgen? Falls eine automatische Protokollierung von Datenübertragungen nicht möglich sein sollte, ist festzulegen, ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist.
  • Internet-Nutzung
    Es ist zu regeln, ob über den Telearbeitsrechner Internet-Dienste genutzt werden dürfen. Dabei ist auch zu klären, ob eine private Nutzung erlaubt wird.
    • Wird die Nutzung von Internet-Diensten generell verboten?
    • Welche Internet-Dienste dürfen genutzt werden?
    • Dürfen Daten aus dem Internet geladen werden? Bei Daten von fremden Servern besteht die Gefahr, dass sie Schadsoftware enthalten.
    • Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherheitsmechanismen sollen beispielsweise im Browser aktiviert werden?
    • Dürfen sich Telearbeiter am Informationsaustausch über Internet-Plattformen, Newsgruppen, Blogs oder ähnlichem beteiligen? Ist hierfür ein Pseudonym erforderlich?
  • Informationsgewinnung
    Vom Telearbeitsplatz aus können verschiedene Dienstleistungen zur Informationsgewinnung in Anspruch genommen werden, z. B. Datenbankabfragen, Suchmaschinen, Dokumentationssysteme oder Recherchedienstleister. Da deren Nutzung teilweise kostenpflichtig ist, ist das Budget, welches die Institution hierfür zur Verfügung stellt, zu berücksichtigen.
    • Welche Dienstleistungen zur Informationsgewinnung dürfen vom Telearbeitsplatz aus in Anspruch genommen werden?
    • Abfragen sollten möglichst über eine verschlüsselte Verbindung erfolgen, damit aus der Art der Abfragen keine Rückschlüsse auf Interna wie beispielsweise Unternehmensstrategien gezogen werden können.
    • Reicht die Bandbreite der Kommunikationsanbindung am Telearbeitsrechner für Online-Recherchen und Datenbankabfragen?

Prüffragen:

  • Ist klar geregelt, welche Kommunikationsmöglichkeiten bei der Telearbeit unter welchen Rahmenbedingungen benutzt werden dürfen?

  • Ist gewährleistet, dass der Informationsaustausch bei der Telearbeit angemessen abgesichert ist?

  • Sind dienstliche und private Nutzung von Internet-Diensten bei der Telearbeit geregelt?

Stand: 13. EL Stand 2013