Datenfrühling Der Frühling ist da ‐ die Viren sprießen

Die Zeiten der CORONA-Krise stellt Unternehmen und Mitarbeiter vor neue Herausforderungen. Wo möglich, wird im Home-Office gearbeitet, doch darauf sind viele Unternehmen bisher gar nicht eingestellt. Auch unterliegt die Verarbeitung von Gesundheitsdaten in Unternehmen den Datenschutzvorschriften und sollte nicht leichtfertig erfolgen. Neben den Infrastrukturproblemen sind auch besondere Formen von Angriffen zu verzeichnen.

Verarbeitung von Gesundheitsdaten

Welche Arten von Daten im Rahmen der CORONA-Krise darf ein Unternehmen verarbeiten? Dürfen Gesundheitsstände der Mitarbeiter und Besucher erfasst werden?
Vor diesen Fragen stehen heute viele Unternehmen. Die gute Nachricht ist: es gibt klare Regelungen & Empfehlungen: [4].

Home-Office & Teleworking

Wenn ihr Unternehmen bereits Regelungen und organisatorische Maßnahmen zur Heimarbeit umgesetzt hat, zählen sie zu den wenigen vorbereiteten. Grundlegend sind für die Umsetzung von Heimarbeit mindestens folgende Themen zu beachten:

Betriebsvereinbarung

Sofern anwendbar, müssen entsprechende Betriebsvereinbarungen mit dem Sozialpartner geschlossen werden. Dies bedingt das Betriebsverfassungsgesetz, welches dem Schutz der Mitarbeiter dient. So ist bspw. zu Regeln, ob- und inwieweit Auswertungen im Rahmen der Nutzung von Teleworking stattfinden.

Zusatzvertrag für Mitarbeiter

Mitarbeiter im Home-Office müssen besondere technische- und organisatorische Maßnahmen befolgen, die in einem Zusatzvertrag zu regeln sind. Diese sind, neben Datenschutz- und Datensicherheitsthemen, organisatorische Anweisungen welche die Ausgestaltung eines Heimarbeitsplatzes regeln.

Technische Infrastruktur

Das Unternehmen muss die entsprechenden technischen Möglichkeiten umgesetzt haben, die eine sichere Verbindung der Heimarbeitsplätze mit dem Unternehmensnetzwerk ermöglichen. Ebenso sind entsprechende Bandbreiten der Internetverbindung einzuplanen. Auf keinen Fall darf die Verbindung des Unternehmensnetzwerks mit dem Heimarbeitsplatz einfach durch Öffnung an der Unternehmens-Firewall über unsichere Kommunikationskanäle erfolgen. Für die Umsetzung sind verschlüsselte, mit einer 2-Faktor Athentifizierung versehene Lösungen notwendig und heute Gang und Gäbe. Die Kommunikation der Heimarbeitsplätze direkt in das Internet sollte verhindert- und über einen im Unternehmen verfügbaren Proxy Server laufen um die Gefahr eines Angriffs über den Heimarbeitsplatzrechner auf das Unternehmensnetzwerk zu minimieren.

Kommunikationstechnik

Für die Kommunikation mit Kollegen und Kunden (auch in Gruppen) empfehlen sich Lösungen, die neben der Sprache auf Bildschirminhalte und Presentationen ermöglichen (Webkonferenz). Vor deren Nutzung ist dringend auf eine datenschutzkonforme Lösung zu achten, da viele der Anbieter in den USA ihren Sitz haben und manche sich unbemerkt in Konferenzschaltungen einschalten- und Inhalte mitschneiden können. Wie jüngste Ereignisse zeigen, existieren auch unsichere Lösungen am Markt, wie das Beispiel von Zoom gezeigt hat. [7] [8] [9] [13]

Notfallpläne

Für besonders kritische Dienstleistungen sollten Notfall- bzw. Ausweichmöglichkeiten im Falle der Nicht-Verfügbarkeit von Teilen der Infrastruktur- aber auch Ausfall der Mitarbeiter geregelt werden.

Europäische Telekommunikationsdienstleister haben bereits für die Dauer der Krise auf Notfallpläne umgestellt. So werden kritische Infrastrukturen in der Internet- und Telekommunikation bevorzugt, nachdem es in einzelnen Staaten bereits zu massiven Unterbrechungen in der Telekommunikationsinfrastruktur kam. Streaming-Dienste wie bspw. Netflix & Co haben von sich aus die Datenraten gesenkt und bieten ihre Dienste in verminderter (aber vollkommen ausreichender) Qualität an. Internetknotepunkte wie das DE-CIX in Frankfurt verzeichnen einen um 20- 30% erhöhten Datenverkehr und setzen Maßnahmen zur Kapazitätssteigerung um, damit die Internet-Infrastruktur weiterhin verfügbar bleibt.

Kommunikationskultur & Zwischenmenschliches

In Heimarbeit mit Hilfe digitaler Medien zu arbeiten bedingt andere Verhaltensweisen als bei persönlicher Zusammenarbeit. Für Telekonferenzen sollten klare Kommunikations-Richtlinien etabliert werden. So empfiehlt es sich, einen Mitarbeiter zu benennen der die Konferenz leitet. Auch sollten Mikrophone von Kollegen, die aktuell nicht sprechen, stumm geschaltet werden um Störungen zu vermeiden. Bei Nutzung von Kamerasystemen sollte daruf geachtet werden, daß diese keine Inhalte wiedergeben welche der professionellen Umgebung nicht angemessen sind (Hintergründe, Flyer, persönliche Heim-Ambiente). Hintergründe sollten neutral gestaltet werden.

Da Menschen soziale Wesen sind, sollte über die Einführung sog. "Kaffeklatsch Ecken" nachgedacht werden. Diese können bspw. Team-basiert die normalerweise im Büroalltag stattfindende Kommunikation wenn nicht ersetzen- so doch das Miteinander erleichtern.

Neue Angriffe der Cybergangster

Angriffe finden vermehrt auf die Internetverbindungen von Unternehmen statt, um die Möglichkeiten der Heimarbeit - aber auch die Erreichbarkeit der Unternehmen zu stören. Interpol hat diesbezüglich bereits Anfang April alle 194 Mitgliedsstaaten vor dem erhöhten Risiko diesbezüglicher Angriffe gewarnt [15]. Diese Form der Angriffe gehen oft mit Erpressungsversuchen seitens der Kriminellen einher. Hierauf sollte auf keinen Fall eingegangen werden, da dies als häufig einzige Konsequenz zur Folge hat, daß weitere Erpressungsversuche folgen werden (ein guter Kunde bleibt ein Kunde). Technisch lassen sich diese sogenannten Denial of Service Attacken durch Hochverfügbarkeitslösungen, welche von verschiedenen Dienstleistern angeboten werden, begegnen. Derartig zu Grunde liegende Schutzmaßnahmen der eigenen Infrastruktur sind nicht nur dieser Tage unabdingbar und beispielhaft in diesem Wikipedia-Eintrag beschrieben: [6]. Weitere Schutzmaßnahmen und Best Practices sind auch in den vorherigen Jahresezeiten zu finden.

Weitere Formen der Angriffe betreffen unsere kritische Infrastruktur, wie bspw. Krankenhäuser. Auch diese werden von Cyberkriminellen versucht zu erpressen, indem die Verfügbarkeit lebensnotwendiger Systeme und Dienstleistungen erheblich gestört wird.

Ökonomische- und gesellschaftliche Auswirkungen

Angriffe finden nicht nur gegen unsere Wirtschaft und die, zugegebenermaßen unzureichend abgesicherten, Förderplattformen der Staaten für in Not geratene europäische Unternehmen statt, sondern auch gegen die sich um das Leib & Leben sorgenden Krankenhäuser und Gesundheitsdienstleister. Diese absolut inakzeptable Form der Kriminalität betrifft uns alle, spielt mit dem Leben von Menschen, gefährdet die Wirtschaft ganzer Nationen und muss mit aller Härte verfolgt werden. [10]

Die Gemeinschaft ist aufgerufen, sich aktiv dagegen zur Wehr zu setzen und Grenzen zur Verfolgung und Bestrafung dieser Kriminellen zu überwinden. Jeder Einzelne kann seinen Beitrag dazu leisten, indem bspw. sämtliche Versuche von Kriminellen einen Schaden hervorzurufen oder auszunutzen den Strafverfolgungsbehörden angezeigt werden. [1]

Zur weiteren Eindämmung der Verbreitung des COVID-19 Virus existieren einige vielversprechende Ansätze, deren Sicherheits- und Datenschutzanforderungen aktuell geprüft werden, wie das Beispiel von Apple & Google- sowie des Heinrich-Hertz-Instituts zeigen. Bitte beachten Sie, neben den digitalen Vorsorgemaßnahmen, auch die Hygieneempfehlungen zum Schutz Ihrer Mitmenschen und der Unternehmen. [11] [12] [14]

Und liebe US-Bürger: wer mexikanisches Corona Bier trinkt, infiziert sich dadurch nicht mit dem COVID-19 Virus!

Weitere Quellen zum Thema

[1] Portal für online Strafanzeigen
[2] Bundesamt für Sicherheit in der Informationstechnik zu kritischer Infrastruktur
[3] Bundesministerium für Gesundheit
[4] Informationen zur Verarbeitung von Gesundheitsdaten für Unternehmen
[5] Deutsches Gesundheitsportal
[6] Wikipedia Artikel zu Denial of Service
[7] Wikipedia Artikel zu Webkonferenzsystemen
[8] Cisco Webex
[9] Zoom als unsicheres Webkonferenzsystem entlarft
[10] NRW stoppt Auszahlungen von Soforthilfen
[11] Apple & Google schaffen Coronatracker
[12] Hygieneempfehlungen der Bundeszentrale für gesundheitliche Aufklärung
[13] Heise Artikel zum BSI Kompendium für sichere Videokonferenz-Systeme
[14] Artikel zum CORONA-Tracking des Heinrich-Hertz-Instituts auf Netzpolitik.org
[15] Cyberthreat-Warnungen von Interpol

Die hier gemachten Angaben sind als Orientierung zu verstehen und erheben keinen Anspruch auf Vollständigkeit und Rechtsverbindlichkeit. Für rchtsverbindliche Ausküfte konsultieren Sie bitte einen Fachanwalt für IT-Recht, zertifizierten Datenschutzbeauftragten oder die Bundesbehörde für kritische Infrastruktur (BSI).