Bundesamt für Sicherheit in der Informationstechnik

M 2.241 Durchführung einer Anforderungsanalyse für den Telearbeitsplatz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Bevor ein Telearbeitsplatz eingerichtet wird, ist es sinnvoll, eine Anforderungsanalyse durchzuführen. Sinn dieser Anforderungsanalyse ist es, alle in Frage kommenden Einsatzszenarien zu bestimmen, um daraus die benötigten Hard- und Software-Komponenten für die Anbindung des häuslichen Arbeitsplatzes abzuleiten. Hierdurch können spezielle Anforderungen identifiziert werden, die den Einsatz bestimmter Systeme und/oder Software erforderlich machen (siehe hierzu z. B. Baustein B 4.4 VPN oder Baustein B 4.5 LAN-Anbindung eines IT-Systems über ISDN ).

Die Ergebnisse einer solchen Anforderungsanalyse müssen dokumentiert und mit den IT-Verantwortlichen abgestimmt werden.

Im Rahmen dieser Anforderungsanalyse sind u. a. folgende Fragen zu klären:

  • Bis zu welchem Vertraulichkeitsanspruch dürfen Daten im Rahmen der Telearbeit am Telearbeitsplatz, also außerhalb der "schützenden Mauern" der Behörde bzw. des Unternehmens, bearbeitet werden?
  • Zu welchem Zweck wird der Zugang zur Institution genutzt (Abfragen von Informationen, Einstellen von Informationen, Programmnutzung)?
  • Wie hoch ist der Datenverkehr zwischen dem häuslichen Arbeitsplatz und der Institution?
  • Benötigt der Telearbeiter Zugriff auf das Intranet der Institution? Wenn ja, muss der Zugriff auf das gesamte Intranet, d. h. auf alle dort verfügbaren Daten und Dienste erfolgen oder nur auf Teilbereiche des Intranets?
  • Ist für die Telearbeiter die Nutzung des Internets vorgesehen? Wenn ja, bekommt der Telearbeiter einen eigenen Internet-Zugang oder wird dieser Zugang über das Intranet der Institution realisiert?

Je nach dem Vertraulichkeitsanspruch der Daten kann es erforderlich sein, bestimmte Übertragungswege von der Organisation zum Telearbeitsplatz festzulegen. Dabei kann es sinnvoll sein, bestimmte Übertragungswege auszuschließen oder Mindestanforderungen dafür festzulegen. Beispielsweise könnte es vorgeschrieben sein, Papierdokumente mit vertraulichen Informationen nur auf direktem Weg von der Organisation zum Telearbeitsplatz in verschlossenen Transportbehältern zu transportieren. Ebenso könnten für verschiedene Vertraulichkeitsgrade unterschiedliche Verschlüsselungsverfahren für die Datenübertragung vorgesehen sein.

Ähnliche Überlegungen sollten angestellt werden, wenn die im Rahmen der Telearbeit zu verarbeitenden Informationen besonders vor Manipulation geschützt werden müssen.

Prüffragen:

  • Wurde eine Anforderungsanalyse für den Telearbeitsplatz durchgeführt?

  • Wurden die Anforderungen an den Telearbeitsplatz mit den IT -Verantwortlichen (Administratoren und anderem technischem Personal) abgestimmt?

  • Wurde der Schutzbedarf der Informationen, die im Rahmen der Telearbeit verarbeitet werden, festgestellt und dokumentiert?

Stand: 13. EL Stand 2013