OPS.1.2.4: Telearbeit

Transkript

1 Community Draft i OPS: Betrieb OPS.1.2.4: Telearbeit 1 Beschreibung IT-Grundschutz 1.1 Einleitung Unter Telearbeit wird jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit verstanden, die ausschließlich außerhalb der Geschäftsräume und Gebäude des Arbeitgebers verrichtet wird. Es gibt verschiedene Formen der Telearbeit. Sie kann beispielsweise als heimbasierte Telearbeit in der Wohnung des Mitarbeiters erbracht werden. Es ist ebenfalls möglich, dass die Mitarbeiter im Rahmen der On-Site-Telearbeit bei Kunden oder Lieferanten eingesetzt werden und dort mit der Ausstattung des eigenen Arbeitgebers arbeiten. Eine weitere Möglichkeit ist die Telearbeit in sogenannten Telecentern, Satelliten- oder auch Nachbarschaftsbüros. Bei der heimbasierten Telearbeit wird zwischen der ausschließlich zu Hause erbrachten Arbeit und der alternierenden Telearbeit unterschieden. Bei der alternierenden Telearbeit arbeiten die Arbeitnehmer wechselweise an ihrem Arbeitsplatz beim Arbeitgeber und am häuslichen Arbeitsplatz. 1.2 Zielsetzung Ziel des Bausteins ist der Schutz der Informationen, die während der Telearbeit gespeichert, verarbeitet und übertragen werden. Dazu werden typische Gefährdungen aufgezeigt und spezielle Anforderungen an die Telearbeit definiert. 1.3 Abgrenzung Dieser Baustein konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Es wird davon ausgegangen, dass zwischen dem Telearbeitsplatz und der Institution eine Telekommunikationsverbindung besteht, die es ermöglicht, Informationen auszutauschen und falls erforderlich auf Daten in der Institution zuzugreifen. Die Anforderungen dieses Bausteins umfassen drei verschiedene Bereiche: die Organisation der Telearbeit, den Telearbeitsrechner des Telearbeiters und die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution. Sicherheitsanforderungen an die Infrastruktur des Telearbeitsplatzes werden im vorliegenden Baustein nicht berücksichtigt, sondern sind im Baustein INF.8 Häuslicher Arbeitsplatz beschrieben. Die Anforderungen aus dem themenüberschneidenden Baustein INF.10 Mobiler Arbeitsplatz sind zu beachten. CD 1, zuletzt aktualisiert: Seite 1 von 7

2 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Telearbeit von besonderer Bedeutung: 2.1 Fehlende oder unzureichende Regelungen für den Telearbeitsplatz Da ein Telearbeitsplatz räumlich außerhalb der Institution liegt, bedarf es für ihn individuell angepasster organisatorischer Absprachen. Gibt es solche Regelungen nicht, wissen Mitarbeiter mitunter nicht, dass sie z. B. selbstständig Datensicherungen durchführen müssen. Auch wissen sie unter Umständen nicht, wie sie mit sicherheitsrelevanten Vorkommnissen am Telearbeitsplatz umgehen sollen. Gelangen beispielsweise vertrauliche Informationen in fremde Hände, können diese von Unbefugten möglicherweise zum schwerwiegenden Nachteil der Institution verwendet werden. 2.2 Fehlende oder unzureichende Schulung der Telearbeiter Telearbeiter sind am Arbeitsplatz weitgehend auf sich allein gestellt. Ist der Telearbeiter nicht ausreichend im Umgang mit der IT geschult, kann dies bei Problemen zu erhöhten Ausfallzeiten führen, da beispielsweise ein IT-Betreuer aus der Institution erst zum Telearbeitsplatz fahren muss, um dort die Probleme zu beseitigen. 2.3 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners Im häuslichen Bereich ist es einfacher, den dienstlichen Telearbeitsrechner privat zu benutzen, weil Kontrollen durch den Arbeitgeber nur bedingt möglich sind. Daher kann es dazu kommen, dass nicht geprüfte und freigegebene Software eingesetzt wird und durch unbedachtes Handeln Schadsoftware auf den Telearbeitsrechner gelangt. Dadurch könnten beispielsweise vertrauliche Informationen kompromittiert werden. Aber nicht nur Telearbeiter können ihren Rechner unsachgemäß benutzen, sondern auch Angehörige oder Besucher. Schäden wie gelöschte Festplatten können Reinstallationskosten oder Nacherfassungsarbeiten nach sich ziehen. 2.4 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter Üblicherweise hat ein Telearbeiter keine festen Arbeitszeiten am Telearbeitsplatz. Es werden lediglich feste Zeiten vereinbart, an denen er erreichbar sein muss. Bei alternierender Telearbeit sind seine Arbeitszeiten zudem noch zwischen Telearbeitsplatz und dem innerbetrieblichen Arbeitsplatz verteilt. Ist es notwendig, dass Informationen kurzfristig vom Telearbeiter eingeholt oder Informationen an den Telearbeiter übergeben werden können, kann es aufgrund der schwierigen Erreichbarkeit zu Verzögerungen kommen. Selbst wenn die Informationen über übermittelt werden, verkürzt das nicht notwendigerweise die Reaktionszeit, da nicht sichergestellt werden kann, dass der Telearbeiter die zeitnah liest. Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter können sich dabei je nach Situation und Institution unterschiedlich auswirken und die Verfügbarkeit einschränken. 2.5 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss Da Telearbeiter nicht täglich in der Institution sind, haben sie weniger Gelegenheit, am direkten Informationsaustausch mit Vorgesetzten und Arbeitskollegen teilzuhaben. Hierdurch können sie vom betrieblichen Geschehen isoliert werden und sich dadurch z. B. weniger mit der Institution identifizieren. Aufgrund von fehlenden Informationen können sich auch Fehler in den Arbeitsabläufen und betrieblichen Prozessen ergeben, die die Produktivität des Telearbeiters einschränken. Ist der Informationsfluss zum Telearbeiter nicht gewährleistet, erreichen ihn eventuell auch wichtige Nachrichten zum Thema Informationssicherheit nicht rechtzeitig. CD 1, zuletzt aktualisiert: Seite 2 von 7

3 2.6 Unzureichende Vertretungsregelungen für Telearbeit Die Aufgaben des Telearbeiters sind in der Regel so konzipiert, dass er weitestgehend selbständig arbeiten kann. Damit kann es im Krankheitsfall schwierig sein, eine entsprechende Vertretung für den Telearbeiter bereitzustellen. Insbesondere kann es zu Problemen führen, die erforderlichen Unterlagen oder die Daten aus dem Telearbeitsrechner für den Vertreter bereitzustellen, wenn keine Zutrittsmöglichkeiten zum häuslichen Arbeitsplatz des Telearbeiters bestehen. 2.7 Nichtbeachtung von Sicherheitsmaßnahmen Besonders am Telearbeitsplatz kann es aufgrund fehlender Kontrollmöglichkeiten dazukommen, dass Mitarbeiter empfohlene oder angeordnete Sicherheitsmaßnahmen nicht oder nicht in vollem Umfang umsetzen. Es können Schäden entstehen, die sonst verhindert oder zumindest vermindert worden wären. Je nach der Funktion des Mitarbeiters und der Bedeutung der missachteten Maßnahme können sogar gravierende Schäden eintreten, z. B. können vertrauliche Informationen in fremde Hände geraten. Diese können dann möglicherweise zum schwerwiegenden Nachteil der Institution verwendet werden. 3 Anforderungen Im Folgenden sind spezifische Anforderungen für den Schutz von Telearbeit aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Bausteinverantwortlicher Weitere Verantwortliche Informationssicherheitsbeauftragte (ISB) Leiter Personal, Leiter Organisation, Personalabteilung, Vorgesetzte, Leiter IT, IT- Betrieb, Telearbeiter 3.1 Basisanforderungen Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden: OPS A1 Regelungen für Telearbeit [Personalabteilung, Vorgesetzte] Alle relevanten Aspekte der Telearbeit MÜSSEN geregelt werden. Zu Informationszwecken MÜSSEN den Telearbeitern die geltenden Regelungen oder ein dafür vorgesehenes Merkblatt ausgehändigt werden, das die zu beachtenden Sicherheitsmaßnahmen erläutert. Alle strittigen Punkte MÜSSEN entweder durch Betriebsvereinbarungen oder durch zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen dem Telearbeiter und Arbeitgeber geregelt werden. Für jeden Telearbeiter MUSS ein Vertreter benannt werden. Der Vertretungsfall SOLLTE regelmäßig geprobt werden. Die Regelungen MÜSSEN regelmäßig aktualisiert werden. OPS A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner [Leiter IT, IT- Betrieb] Es MÜSSEN alle sicherheitstechnischen Anforderungen festgelegt werden, die ein Telearbeitsrechner erfüllen muss. Alle Zugangs- und Zugriffsmöglichkeiten auf die Kommunikationsrechner der Institution MÜSSEN auf das notwendige Mindestmaß beschränkt sein. Es MUSS sichergestellt werden, dass nur autorisierte Personen auf die Telearbeitsrechner zugreifen dürfen. Darüber hinaus MUSS der Telearbeitsrechner so abgesichert werden, dass er nur für autorisierte Zwecke benutzt werden kann. CD 1, zuletzt aktualisiert: Seite 3 von 7

4 OPS A3 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung [Telearbeiter, Leiter IT, IT-Betrieb] Es MÜSSEN sicherheitstechnische Anforderungen an die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution definiert werden. Dabei MUSS sichergestellt sein, dass die Vertraulichkeit, Integrität und Authentizität der übertragenen Daten gewährleistet ist. Alle eingesetzten Kommunikationsprotokolle und Sicherheitsmechanismen MÜSSEN den definierten Anforderungen der Institution genügen. Die Stärke der dazu erforderlichen Sicherheitsmechanismen SOLLTE sich nach dem Schutzbedarf der übertragenen Daten richten. Zusätzlich MUSS die Authentizität der Kommunikationspartner gewährleistet sein. OPS A4 Datensicherung bei der Telearbeit [Telearbeiter, IT-Betrieb] Alle Daten, die bei der Telearbeit bearbeitet werden, MÜSSEN zeitnah gesichert werden. Hierfür MÜSSEN entweder lokal auf externen Datenträgern oder zentral über die Anbindung an das Netz der Institution Datensicherungen durchgeführt werden. Das gewählte Datensicherungsverfahren MUSS für das Volumen des Datenbestands geeignet und ausreichend sein. Für einen reibungslosen Prozessablauf MÜSSEN bei der Datensicherung möglichst wenig Aktionen vom Telearbeiter ausgehen. Es SOLLTE eine Generation der Backup-Datenträger in der Institution hinterlegt werden. OPS A5 Sensibilisierung und Schulung der Telearbeiter [Vorgesetzte, Leiter IT ] Anhand eines Merkzettels MÜSSEN die Telearbeiter über die Gefahren sensibilisiert werden, die mit der Telearbeit verbunden sind. Außerdem MÜSSEN sie in die entsprechenden Sicherheitsmaßnahmen der Institution eingewiesen und im Umgang mit diesen geschult werden. Die Schulungs- und Sensibilisierungsmaßnahmen für Telearbeiter SOLLTEN regelmäßig wiederholt werden. 3.2 Standardanforderungen Gemeinsam mit den Basisanforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Telearbeit. Sie SOLLTEN grundsätzlich umgesetzt werden. OPS A6 Erstellen eines Sicherheitskonzeptes für Telearbeit [Leiter IT, Leiter Organisation, Vorgesetzte] Es SOLLTE ein Sicherheitskonzept für Telearbeit erstellt werden, das Sicherheitsziele, Schutzbedarf, Sicherheitsanforderungen sowie Risiken beschreibt. Das Konzept SOLLTE regelmäßig aktualisiert und überarbeitet werden. Das Sicherheitskonzept zur Telearbeit SOLLTE mit dem übergreifenden Sicherheitskonzept der Institution abgestimmt werden. OPS A7 Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit [IT- Betrieb, Telearbeiter] Es SOLLTE klar geregelt werden, welche Kommunikationsmöglichkeiten bei der Telearbeit unter welchen Rahmenbedingungen benutzt werden dürfen. Die dienstliche und private Nutzung von Internet-Diensten bei der Telearbeit SOLLTE geregelt werden. Dabei SOLLTE auch geklärt werden, ob eine private Nutzung generell erlaubt oder unterbunden wird. OPS A8 Informationsfluss zwischen Telearbeiter und Institution [Telearbeiter, Vorgesetzte] Es SOLLTE ein regelmäßiger innerbetrieblicher Informationsaustausch zwischen den Telearbeitern, den Arbeitskollegen und der Institution gewährleistet sein. Alle Telearbeiter SOLLTEN zeitnah Informationen über geänderte Sicherheitsanforderungen und andere sicherheitsrelevante Aspekte erhalten. Allen Kollegen des jeweiligen Telearbeiters SOLLTE bekannt sein, wann und wo dieser erreicht werden kann. Technische und organisatorische Telearbeitsregelungen zur Aufgabenbewältigung, zu Sicherheitsvorfällen und sonstigen Problemen SOLLTEN geregelt und an den Telearbeiter kommuniziert werden. CD 1, zuletzt aktualisiert: Seite 4 von 7

5 OPS A9 Betreuungs- und Wartungskonzept für Telearbeitsplätze [Leiter IT, IT-Betrieb, Telearbeiter] Für Telearbeitsplätze SOLLTE ein spezielles Betreuungs- und Wartungskonzept erstellt werden. Darin SOLLTEN folgende Aspekte geregelt werden: Ansprechpartner für den Benutzerservice, Wartungstermine, Fernwartung, Transport der IT-Geräte und Einführung von Standard- Telearbeitsrechnern. Damit die Telearbeiter einsatzfähig bleiben, SOLLTEN für sie Ansprechpartner für Hard- und Softwareprobleme benannt werden. OPS A10 Durchführung einer Anforderungsanalyse für den Telearbeitsplatz [Leiter IT, IT-Betrieb] Bevor ein Telearbeitsplatz eingerichtet wird, SOLLTE eine Anforderungsanalyse durchgeführt werden. Daraus SOLLTE z. B. hervorgehen, welche Hard- und Software-Komponenten für den Telearbeitsplatz benötigt werden. Die Anforderungen an den jeweiligen Telearbeitsplatz SOLLTEN mit den IT- Verantwortlichen abgestimmt werden. Es SOLLTE immer festgestellt und dokumentiert werden, welchen Schutzbedarf die am Telearbeitsplatz verarbeiteten Informationen haben. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit). 4 Weiterführende Informationen 4.1 Versionshistorie 4.2 Literaturverzeichnis Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich Telearbeit finden sich unter anderem in folgenden Veröffentlichungen: [SP800-46] NIST Special Publication Rev.2, Guide to Enterprise Telework, Remote Access, and Brind Your Own Device (BYOD) Security, July [27001] ISO/IEC 27001:2013: Information technology Security techniques Information security management systems Requirements, insbesondere Annex A, A Mobile device policy & A Security of equipment and assets off-premises, [ISF] The Standard of Good Practice, Information Security Forum (ISF), June 2016, insbesondere Area PA2 Mobile Computing CD 1, zuletzt aktualisiert: Seite 5 von 7

6 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die folgenden elementaren Gefährdungen sind für die Telearbeit von Bedeutung. G 0.14 Ausspähen von Informationen / Spionage G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.21 Manipulation von Hard- und Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.24 Zerstörung von Geräten oder Datenträgern G 0.25 Ausfall von Geräten oder Systemen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen G 0.32 Missbrauch von Berechtigungen G 0.33 Personalausfall G 0.40 Verhinderung von Diensten (Denial of Service) G 0.45 Datenverlust G 0.46 Integritätsverlust schützenswerter Informationen CD 1, zuletzt aktualisiert: Seite 6 von 7

7 Gefährdungen Anforderungen G 0.14 G 0.18 G 0.19 G 0.21 G 0.22 G 0.23 G 0.24 G 0.25 G 0.30 G 0.31 G 0.32 G 0.33 G 0.40 G 0.45 G 0.46 A1 x x x x x x x x x x x x A2 x x x x x x x x x x A3 x x x x x x x x x A4 x x x x x x x x x x A5 x x x x x x x A6 x x x x x A7 x x x x x x x x x x A8 x x x A9 x x x A10 x CD 1, zuletzt aktualisiert: Seite 7 von 7