ITK-Struktur für Remote Work einrichten
Von Sascha Harmuth, Ostertag DeTeWe
Viele Unternehmen wurden 2020 vor immense Herausforderungen gestellt. Eine davon: die Umstellung auf Heimarbeit von heute auf morgen. Da in vielen Unternehmen diese Art des Arbeitens noch nicht besonders weit verbreitet war, führte der schnelle Umstieg zu sehr vielen Problemen im täglichen Betrieb. Nicht nur die Datensicherheit war gefährdet, weil die Kommunikationskanäle nicht ausreichend geschützt waren, sondern es mangelte auch an Mitteln zur effektiven Kommunikation mit Kollegen oder Kunden. Da die Arbeit im Homeoffice bis auf Weiteres nicht mehr aus dem Berufsleben wegzudenken sein wird, müssen Unternehmen hier langfristig denken und auf eine entsprechend effiziente ITK-Struktur setzen.
Sichere Kanäle für Kommunikation und Daten
Wenn die Möglichkeiten zum Datenaustausch, die das Firmennetzwerk bietet, zu Hause nicht verfügbar sind, entstehen automatisch große Sicherheitslücken. Mitarbeiter unterhalten sich möglicherweise untereinander in einer WhatsApp-Gruppe und sprechen dort über sensible Firmenangelegenheiten. Oder es werden Daten per Dropbox ausgetauscht. Was einfach und zweckerfüllend erscheint, ist aber oft sehr unsicher, da die Daten nicht von Ende zu Ende verschlüsselt sind und unbefugte Dritte sehr leicht mithören oder Daten abgreifen können.
Der erste Schritt zu einer sicheren ITK-Struktur im Homeoffice ist für viele Unternehmen daher die Einrichtung eines VPN-Zugangs (Virtual Private Network) für die Mitarbeiter. Darüber können sich die Kollegen von zu Hause aus ins Firmennetzwerk einloggen und über einen sicheren Kanal auf die Daten dort zugreifen. Der Nachteil eines VPN ist, dass es ressourcenintensiv zu betreiben ist; as heißt, dass in vielen Fällen die Hardware aufgerüstet werden muss, wenn man jedem Mitarbeiter VPN-Zugang ins Firmennetzwerk gewähren will. Bei Unternehmen mit sehr vielen Beschäftigten ist dies nicht besonders praktikabel.
Besser ist in diesem Fall der Zugriff auf die Firmenrechner per Remote Access. Mitarbeiter können damit über eine verschlüsselte Verbindung auf ihren Arbeitsrechner in der Firma zugreifen. Das Einzige, was nach Hause auf den Laptop oder PC übertragen wird, ist dann der Bildschirminhalt des Rechners am Arbeitsplatz. Bei dieser Variante muss unbedingt darauf geachtet werden, dass die Anwendung sämtliche Sicherheitsanforderungen erfüllt und auch konform mit der Datenschutzgrundverordnung ist.
Welche Rolle spielt der Datenschutz?
Unternehmen sind verpflichtet, die Datenschutzbestimmungen gemäß EU-DSGVO einzuhalten, sowohl intern als auch extern. Viele handelsübliche Cloud- und Kommunikationsdienste (z.B. Dropbox oder Zoom) haben diesbezüglich Schwachstellen, sodass sie sich für den Austausch nicht eignen, weil sie nicht mit den Datenschutzauflagen konform sind.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Beim Aufbau einer ITK-Struktur muss ein Unternehmen also darauf achten, dass sämtliche Kommunikationsmittel sich mit der EU-DSGVO vereinbaren lassen. Ansonsten kann es im Schadensfall teuer werden, wenn sensible Daten plötzlich irgendwo öffentlich einsehbar sind.
Das besonders beliebte Videokonferenzprogramm Zoom ist – wie einige andere auch – in Sachen Datenschutz problematisch, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk moniert. Die Berliner Untersucherung bewertet insgesamt 17 Konferenzanwendungen. Das Open Source-Programm Jitsi hatte sogar gegenüber vielen kommerziellen Lösungen die Nase vorn. Das gab bei der Ostertag DeTeWe den Anstoß zur Entwicklung von OD.Meet, einem sicheren Videokonferenzsystem, das datenschutztechnisch unproblematisch ist.
Die Herausforderungen für Unternehmen
Die Bereitstellung eines sicheren Kommunikationskanals zwischen Homeoffice und Firmennetzwerk ist derzeit ein absolutes Muss für Unternehmen, da die Telearbeit auch in Zukunft eine wichtige Rolle einnehmen wird.
Die Überlegung, sichere Cloud-Dienste zur Speicherung von sensiblen Firmendaten zu verwenden, ist in diesem Rahmen für Unternehmen ebenfalls interessant, da die Wartung von eigenen Firmenservern mit viel Arbeit verbunden ist. Durch die Auslagerung dieser Arbeit an einen zuverlässigen Dienstleister müssen sich die Unternehmen in Sachen Datensicherheit und -schutz nicht mehr selbst um diese Angelegenheiten kümmern.
Sascha Harmuth ist Director Sales und Marketing der Ostertag DeTeWe GmbH, eines Systemhauses, das sich auf maßgeschneiderte IT- und Kommunikationslösungen für Unternehmen spezialisiert hat. Die eigens auf Basis von Jitsi entwickelte Videokonferenzlösung OD.meet entspricht allen Datenschutzrichtlinien und bietet eine sichere Alternative.
Ostertag DeTeWe GmbH, Schlattgrabenstr. 13, 72141 Walddorfhäslach, Tel.: 0800-3868-100, info@ostertagdetewe.de, www.ostertagdetewe.de