Corona versus Datenschutz gemäß ISO 27001 (Informationssicherheit)

Was Sie während dieser Pandemie über die ISO 27001 wissen müssen.

Die Internationale Norm wurde einerseits erarbeitet, damit Organisationen Maßnahmen bei der Einführung eines Informationssicherheits­managementsystems nach ISO 27001 setzen können. Andererseits dient sie als Leitfaden, um gemeinhin akzeptierte Maßnahmen für die Informationssicherheit einzuführen.

Das Hauptthema während der CORONA-Pandemie ist eindeutig die längerfristige Telearbeit, also Home-Office. Dazu sollte in Ihrem Unternehmen ein schriftliches Konzept erstellt werden, in dem die technischen und organisatorischen Maßnahmen beschrieben werden, wie Daten sicher und datenschutzgerecht im Home-Office verarbeiten werden. Denn im Rahmen des Dienstverhältnisses trägt der Arbeitgeber die datenschutzrechtliche Verantwortung für die Datenverarbeitung bei Telearbeit.

Hier ein paar wichtige Standards, die es einzuhalten gilt:

Nutzen Sie dienstliche Endgeräte
Stellen Sie den MitarbeiterInnen für die Arbeit im Home-Office dienstliche Endgeräte zur Verfügung. Private Geräte sollten aus Sicherheitsgründen nicht erlaubt werden.

Definieren Sie die Datensicherung
Setzen Sie fest, wie Daten gesichert werden sollen. Das Speichern von Daten außerhalb des gesicherten Betriebes birgt viele datenschutzrechtliche Risiken (Datenverlust, Diebstahl etc.). Sind Daten einmal weg, dann wird es schwierig bis unmöglich, sie wieder ins betriebliche Netzwerk zurückzuholen.

Schulen Sie MitarbeiterInnen
Alle sollten, bevor sie in seinem Home-Office zu Arbeiten beginnen, über die Risiken zu Hause geschult werden. Das beinhaltet den Schutz der Daten und Informationen gegenüber Dritten (z.B. Familienangehörigen). MitarbeiterInnen müssen wissen, wie sie vertrauliche Daten und Informationen vor Einsicht und Zugriff Dritter schützen (z.B. Monitor-Ausrichtung, Blickschutzfilter oder passwortgeschützte Bildschirmschoner etc.).
Doch welche Maßnahmen sind zu setzen? Die wohl beste Möglichkeit ist das Heranziehen der Vorgaben der ISO 27001. In den Abschnitten der ISO 27001 Annex A finden Sie tiefergehende Informationen über die folgenden Maßnahmen. Sie können auch gerne mit Dietmar Thüringer Kontakt aufnehmen und einen, für Ihr Unternehmen angepassten, sicheren Maßnahmenkatalog erstellen. Hier finden Sie die Themen der ISO 27001 als Anhaltspunkte:

  • Organisation der Informationssicherheit: Regeln für die Unternehmensleitung und Richtlinien (z.B.: Risiken und Sicherheitsmaßnahmen für die Nutzung von Mobilgeräten).
  • Personalsicherheit: Verständnis der Beschäftigten und AuftragnehmerInnen über ihre Verantwortlichkeiten und nötigen Kompetenzen (z.B.: klare Festlegung der Verantwortungsbereiche).
  • Verwaltung der Werte: Darstellung der Werte der Organisation und angemessene Verantwortlichkeiten, wie mit welchen Themen umgegangen wird (z.B.: Schutz und Entsorgung von Datenträgern).
  • Zugangssteuerung: Anmeldeverfahren, Benutzerrechte, Kennwortverwaltung (z.B.: Zuständigkeit für die regelmäßige Überprüfung der Benutzerzugangsrechte).
  • Kryptografie: Umgang und Gebrauch von kryptographischen Maßnahmen zum Schutz von Informationen (z.B.: klare Richtlinie zu Verwendung von Passwörtern oder verschlüsselten Medien).
  • Physische- und Umgebungssicherheit: Verhinderung, dass Unbefugte Zutritt zu Informationen erhalten oder Beschädigungen verursachen, sowie Katastrophenschutz (z.B.: Sicherung von Räumlichkeiten während Abwesenheit).
  • Betriebssicherheit: Erkennungs-, Vorbeugungs-und Wiederherstellungsmaßnahmen zum Schutz vor Schadsoftware, um einen sicheren Betrieb zu gewährleisten (z.B.: Sicherungsrichtlinie für Sicherungskopien relevanter Daten).
  • Kommunikationssicherheit: Schutz von Informationen in Netzwerken und informationsverarbeitenden Einrichtungen (z.B.: Vertraulichkeits- oder Geheimhaltungsvereinbarungen).
  • Compliance: Vermeidung von Verstößen gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen (z.B.: Dokumentation und Aktualisierung von Auflagen).

Mehr Informationen über das Arbeiten unter DSGVO-Bedingungen von Dietmar Thüringer können Sie hier über das Kontaktformular beantragen.

Photo by Adam Nieścioruk on Unsplash