Bundesamt für Sicherheit in der Informationstechnik

INF.8 Häuslicher Arbeitsplatz

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Telearbeiter, freie Mitarbeiter oder Selbstständige arbeiten typischerweise von häuslichen Arbeitsplätzen aus. Im Gegensatz zum Arbeitsplatz in einer Büroumgebung nutzen Mitarbeiter bei einem häuslichen Arbeitsplatz einen Arbeitsplatz im eigenen Wohnumfeld. Dabei muss ermöglicht werden, dass die berufliche Sphäre hinreichend von der privaten getrennt ist. Wenn Mitarbeiter häusliche Arbeitsplätze dauerhaft benutzen, müssen zudem diverse rechtliche Anforderungen erfüllt sein, beispielsweise müssen die Arbeitsplätze arbeitsmedizinischen und ergonomischen Bestimmungen entsprechen.

Bei einem häuslichen Arbeitsplatz kann nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie sie in den Büroräumen einer Institution anzutreffen ist, so ist z. B. oft der Arbeitsplatz auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein Sicherheitsniveau erreichen lässt, das mit einem Büroraum vergleichbar ist.

1.2 Zielsetzung

In diesem Baustein wird aufgezeigt, wie sich die Infrastruktur eines häuslichen Arbeitsplatzes sicher aufbauen und betreiben lässt. Kernziel des Bausteins ist der Schutz der Informationen der Institution am häuslichen Arbeitsplatz.

1.3 Abgrenzung

Der Baustein enthält grundsätzliche Anforderungen, die zu beachten und zu erfüllen sind, um den spezifischen Gefährdungen für einen häuslichen Arbeitsplatz entgegenwirken zu können. Dabei werden jedoch nur spezifische Anforderungen an die Infrastruktur für einen ortsfesten Arbeitsplatz mit Zugang durch Dritte definiert. Sicherheitsanforderungen für die eingesetzten IT-Systeme (z. B. Rechner) und insbesondere für die technischen Anteile der Telearbeit (z. B. Kommunikationsverbindungen) sind dagegen nicht Gegenstand des vorliegenden Bausteins, sondern werden in OPS.1.2.4 Telearbeit bzw. in den jeweiligen system-spezifischen Bausteinen beschrieben.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind für einen häuslichen Arbeitsplatz von besonderer Bedeutung:

2 1 Fehlende oder unzureichende Regelungen für den häuslichen Arbeitsplatz

Da ein häuslicher Arbeitsplatz räumlich außerhalb der Institution liegt, sind die Mitarbeiter dort weitgehend auf sich allein gestellt. Dadurch können durch fehlende oder unzureichende Regelungen für das häusliche Arbeitsplatzumfeld IT-Probleme mit erhöhten Ausfallzeiten entstehen. Wenn IT-Probleme nicht per Fernadministration geklärt werden können, muss beispielsweise ein IT-Betreuer aus der Institution erst zum häuslichen Arbeitsplatz fahren, um dort die Probleme zu beseitigen. Wenn der Umgang mit internen und vertraulichen Informationen am häuslichen Arbeitsplatz nicht nachvollziehbar geregelt ist, könnte es passieren, dass Mitarbeiter solche Informationen falsch aufbewahren. Dadurch kann die Vertraulichkeit und Integrität der Informationen gefährdet sein, da nicht ausreichend verhindert werden kann, dass Informationen ausgespäht oder modifiziert werden.

2 2 Unbefugter Zutritt zu schutzbedürftigen Räumen des häuslichen Arbeitsplatzes

Räume eines häuslichen Arbeitsplatzes, in denen schutzbedürftige Informationen aufbewahrt und weiterverarbeitet werden oder in denen schutzbedürftige Geräte stehen, werden dadurch zu schutzbedürftigen Räumen. Wenn unbefugte Personen diese Räume unbeaufsichtigt betreten können, ist die Vertraulichkeit, Integrität und Verfügbarkeit der dort befindlichen Daten und Informationen erheblich gefährdet.

Beispiele:

  • Ein Mitarbeiter hatte zuhause zwar ein separates Arbeitszimmer eingerichtet, aber es nicht konsequent abgeschlossen. Als die Kleinkinder kurz unbeaufsichtigt waren, spielten sie in dem nicht verschlossenen Arbeitszimmer. Dabei wurden wichtige Dokumente als Malgrundlage verwendet.
  • Als ein Mitarbeiter am häuslichen Arbeitsplatz in eine Projektarbeit vertieft war, bekam er überraschend Besuch. Während er in der Küche Kaffee kochte, wollte der Besucher am nicht gesperrten Rechner schnell etwas im Internet recherchieren und hat diesen dabei versehentlich mit Schadsoftware infiziert.

2 3 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen am häuslichen Arbeitsplatz

Ein nicht nach ergonomischen Gesichtspunkten eingerichteter häuslicher Arbeitsplatz oder ein ungünstiges Arbeitsumfeld können dazu führen, dass dort nicht ungestört gearbeitet werden kann oder die verwendete IT nicht oder nicht optimal benutzt werden kann. Die Störungen reichen von Lärm oder starkem Kundenverkehr bis zu ungünstiger Beleuchtung und schlechter Belüftung. Dadurch werden Arbeitsabläufe eingeschränkt und Mitarbeiterpotenziale unzureichend genutzt. Es können sich bei der Arbeit auch Fehler einschleichen, die Integrität von Daten kann vermindert werden.

2 4 Ungesicherter Akten- und Datenträgertransport

Wenn Dokumente, Datenträger oder Akten zwischen der Institution und dem häuslichen Arbeitsplatz transportiert werden, besteht die Gefahr, dass diese Daten und Informationen verloren gehen oder auch von unbefugten Dritten entwendet, gelesen oder manipuliert werden. Der Akten- und Datenträgertransport kann auf verschiedene Arten unzureichend gesichert sein:

  • Werden Unikate transportiert (fehlendes Backup), können nach Verlust Ziele und Aufgaben nicht wie geplant erreicht werden.
  • Fallen unverschlüsselte Datenträger in falsche Hände, kann das zu schwerwiegenden Vertraulichkeitsverlusten führen.
  • Wenn unterwegs kein ausreichender Zugriffsschutz vorhanden ist, können Akten oder Datenträger unbemerkt kopiert oder manipuliert werden.

2 5 Ungeeignete Entsorgung der Datenträger und Dokumente

Ist es Mitarbeitern am häuslichen Arbeitsplatz nicht möglich, Datenträger und Dokumente geeignet zu entsorgen, besteht die Gefahr, dass diese in den Hausmüll geworfen werden. Angreifer können jedoch hieraus wertvolle Informationen gewinnen, die sich gezielt für Erpressungsversuche oder zur Wirtschaftsspionage missbrauchen lassen. Die Folgen reichen vom Know-how-Verlust bis zur Existenzgefährdung der Institution, zum Beispiel wenn dadurch wichtige Aufträge nicht zustande kommen oder Partnerschaften scheitern.

2 6 Manipulation oder Zerstörung von IT, Zubehör, Informationen und Software am häuslichen Arbeitsplatz

IT-Geräte, Zubehör, Informationen und Software, die am häuslichen Arbeitsplatz benutzt werden, können unter Umständen einfacher manipuliert oder zerstört werden als in der Institution. Der häusliche Arbeitsplatz ist oft für Kunden, Angehörige und Besucher der Familie zugänglich. Auch sind hier die zentralen Schutzmaßnahmen der Institution nicht vorhanden, zum Beispiel Pförtnerdienste. Wenn IT-Geräte, Zubehör, Informationen oder Software manipuliert oder zerstört werden, ist der Mitarbeiter am häuslichen Arbeitsplatz oft nur noch eingeschränkt arbeitsfähig. Des Weiteren müssen womöglich zerstörte IT-Komponenten, Informationen und Softwarelösungen ersetzt werden, was sowohl finanzielle als auch zeitliche Ressourcen erfordert.

2 7 Gefährdung durch Reinigungs- oder Fremdpersonal

Reinigungs- und Fremdpersonal können interne Informationen, Geschäftsprozesse und IT-Systeme auf verschiedene Art und Weise gefährden, angefangen von der unsachgemäßen Behandlung der technischen Einrichtungen, über den Versuch des "Spielens" an IT-Systemen bis zum Diebstahl von Unterlagen oder IT-Komponenten. So kann beispielsweise durch Reinigungspersonal versehentlich eine Steckverbindung gelöst werden, Wasser in die IT gelangen, Unterlagen verlegt oder sogar mit dem Abfall entfernt werden.

2 8 Erhöhte Diebstahlgefahr am häuslichen Arbeitsplatz

Der häusliche Arbeitsplatz ist meistens nicht so gut abgesichert wie der Arbeitsplatz in einem Unternehmen oder einer Behörde. Durch aufwendigere Vorkehrungen (z. B. Sicherheitstüren, Pförtnerdienst) ist dort die Gefahr, dass jemand unbefugt in das Gebäude eindringt, weitaus geringer als bei einem Privathaus. Einbrecher stehlen meistens vorrangig Gegenstände, die schnell und einfach verkauft werden können. Dabei kann auch dienstliche IT gestohlen werden. Die auf den entwendeten dienstlichen IT-Systemen vorhandenen Informationen besitzen aber oft einen höheren Wert als die IT-Systeme selber. Einbrecher könnten versuchen, durch Erpressung oder Weitergabe der Daten an Konkurrenzunternehmen einen höheren Gewinn als durch den Verkauf der Hardware zu erzielen.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Schutz des häuslichen Arbeitsplatzes aufgeführt. Grundsätzlich ist der Mitarbeiter für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.

BausteinverantwortlicherMitarbeiter
Weitere VerantwortlicheHaustechnik, Informationssicherheitsbeauftragter (ISB)

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

INF.8.A1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz

Dienstliche Unterlagen und Datenträger MÜSSEN am häuslichen Arbeitsplatz so aufbewahrt werden, dass kein Unbefugter darauf zugreifen kann. Daher MÜSSEN ausreichende verschließbare Behältnisse (Schreibtisch, Rollcontainer, Schrank etc.) vorhanden sein. Jeder Mitarbeiter MUSS seinen häuslichen Arbeitsplatz aufgeräumt hinterlassen und sicherstellen, dass keine sensitiven Informationen frei zugänglich sind.

INF.8.A2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz [Haustechnik]

Es MUSS geregelt werden, welche Datenträger und Unterlagen am häuslichen Arbeitsplatz bearbeitet und zwischen der Institution und dem häuslichen Arbeitsplatz hin und her transportiert werden dürfen. Generell MÜSSEN Datenträger und andere Unterlagen sicher transportiert werden. Die Regelungen MÜSSEN den Mitarbeitern geeignet bekanntgegeben werden.

INF.8.A3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz [Haustechnik]

Den Mitarbeitern MUSS bekanntgegeben werden, welche Regelungen und Maßnahmen zum Einbruchs- und Zutrittsschutz zu beachtet sind. So MUSS darauf hingewiesen werden, Fenster zu schließen und Türen abzuschließen, wenn der häusliche Arbeitsplatz nicht besetzt ist.

Es MUSS sichergestellt werden, dass Unbefugte zu keiner Zeit den häuslichen Arbeitsplatz betreten und auf dienstliche IT und Unterlagen zugreifen können. Diese Maßnahmen MÜSSEN in sinnvollen zeitlichen Abständen, mindestens aber bei einer Änderung der häuslichen Verhältnisse überprüft werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Häuslicher Arbeitsplatz. Sie SOLLTEN grundsätzlich umgesetzt werden.

INF.8.A4 Geeignete Einrichtung des häuslichen Arbeitsplatzes [Haustechnik]

Der häusliche Arbeitsplatz SOLLTE durch eine geeignete Raumaufteilung von den privaten Bereichen der Wohnung getrennt sein.

Der häusliche Arbeitsplatz SOLLTE über eine geeignete Einrichtung verfügen, die den ergonomischen Anforderungen entspricht.

Ebenso SOLLTE der häusliche Arbeitsplatz durch geeignete technische Sicherungsmaßnahmen vor Einbrüchen geschützt werden. Die Schutzmaßnahmen SOLLTEN an die örtlichen Gegebenheiten und den vorliegenden Schutzbedarf angepasst sein.

INF.8.A5 Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz [Haustechnik]

Vertrauliche Informationen SOLLTEN sicher entsorgt werden, also nicht einfach in den Hausmüll. In einer speziellen Sicherheitsrichtlinie SOLLTE daher geregelt werden, wie schutzbedürftiges Material zu beseitigen ist. Es SOLLTEN die dafür benötigten Entsorgungseinrichtungen verfügbar sein.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz [Informationssicherheitsbeauftragter (ISB)](CIA)

Wenn Mitarbeiter dienstliche Unterlagen oder Informationen mit erhöhtem Schutzbedarf bearbeiten müssen, SOLLTE überlegt werden, von einem häuslichen Arbeitsplatz ganz abzusehen. Anderenfalls SOLLTE der häusliche Arbeitsplatz durch erweiterte, hochwertige technische Sicherungsmaßnahmen geschützt werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Häuslicher Arbeitsplatz" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001] ISO/IEC 27001:2013

    Information technology- Security techniques- Information security management system- Requirements, ISO, 2013
    https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en

  • [DIN1627] DIN EN 1627:2011-09

    Türen, Fenster, Vorhangfassaden, Gitterelemente und Abschlüsse - Einbruchhemmung - Anforderungen und Klassifizierung, 2011

  • [ISF] The Standard of Good Practice - Area BA2.3 Protection of Databases

    The Standard of Good Practice, Information Security Forum, ISF, 06.2016

  • [NIST80053] Security and Privacy Controls for Federal Information Systems and Organizations

    Special Publication 800-53, Revision 4, NIST, 04.2013 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Häuslicher Arbeitsplatz" von Bedeutung.

  • G 0.1 Feuer
  • G 0.2 Ungünstige klimatische Bedingungen
  • G 0.3 Wasser
  • G 0.4 Verschmutzung, Staub, Korrosion
  • G 0.13 Abfangen kompromittierender Strahlung
  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.15 Abhören
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.22 Manipulation von Informationen
  • G 0.23 Unbefugtes Eindringen in IT-Systeme
  • G 0.24 Zerstörung von Geräten oder Datenträgern
  • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • G 0.32 Missbrauch von Berechtigungen
  • G 0.41 Sabotage
  • G 0.44 Unbefugtes Eindringen in Räumlichkeiten

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK