Mobiles Arbeiten: Freiheiten und Vorschriften

Der Wunsch nach mehr Flexibilität und Produktivität durch flexibles Arbeiten stößt in vielen Unter­nehmen an eine Grenze: die Frage nach Datenschutz und Datensicherheit. Offenbar genügen weder technische Hilfsmittel noch Dienstanweisungen bisher dem Bedarf nach effizientem Schutz.

IT-Benutzer werden immer mobiler

Zwei Stunden schon wartete Richard S. am Gate auf seinen verspäteten Flug nach Hause. Am Ende einer langwierigen Konferenz der europäischen Vertriebsorganisation seiner Firma in Kopenhagen hatte ihm der Schneesturm gerade noch gefehlt, der jetzt seine Rückkehr verzögerte. Er hatte die Zeit bisher produktiv genutzt, seine Zahlen und die Kundendaten auf dem Laptop durchzusehen. Aber jetzt verlangte die Natur ihr Recht. Die Toilette war nur wenige Schritte entfernt, die Umsitzenden schienen durchaus vertrauenswürdig. Dennoch ging S. kein Risiko ein. Seit einem Kollegen vor Monaten im ICE der mobile Arbeitsplatz geklaut worden war, klebte auf jedem Laptop ein Sticker „Never leave me alone.“ S. ignorierte scheinbar gelassen die hochgezogenen Augenbrauen und die spöttisch verzogenen Lippen seiner Mitreisenden und nahm den Rechner mit aufs Häuschen. In seinem Innern aber brodelte es: Warum eigentlich, so fragte er sich, mache ich mich hier für meine Firma lächerlich?

Freiheit: Alle Daten jederzeit verfügbar

Vorschrift: Gesamte Festplatte und alle Daten mit Schlüssel auf USB-Stick verschlüsselt

In der Tat haben Unternehmen mit dem zügigen Umstieg aufs mobile Arbeiten mehr als nur eine technische Veränderung vollzogen. Waren die teuren Laptops zu Beginn eher ein Statussymbol für gehobene Führungskräfte, sind sie heute Arbeitsinstrumente für alle – quer durch die Hierarchien. Mit der Folge, dass nicht mehr nur jene für das darin gespeicherte Wissen Verantwortung tragen, die an diese Trägertätigkeit gewohnt sind, sondern alle, die einen Rechner mit sich durch die Welt transportieren. Und diese Welt ist gefährlich. Schreibt zumindest das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Beschreibung des Bausteins B 2.10 „Mobiler Arbeitsplatz“.

Dort heißt es: „IT-Benutzer werden immer mobiler und können, dank immer kleinerer und leistungsfähigerer Geräte, nahezu überall arbeiten. Daher werden dienstliche Aufgaben häufig nicht mehr nur in Räumen des Unternehmens bzw. der Behörde wahrgenommen, sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen, beispielsweise im Hotelzimmer, in der Eisenbahn oder beim Kunden. In solchen Umgebungen kann aber nicht die infrastrukturelle Sicherheit, wie sie in einer gewerblichen oder behördlichen Büroumgebung anzutreffen ist, vorausgesetzt werden. Daher sind Sicherheitsmaßnahmen zu ergreifen, die eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen lassen.“ Kurz gesagt: Gebt schön acht, liebe Laptop-Träger, da draußen hinter der grünen Grenze der uneingeschränkten Laptop-Nutzung wartet der böse Datenklau!

Risiken, die mit mobilem Arbeiten verbunden sind

Freiheit: Mit Mobiltelefon jederzeit erreichbar

Vorschrift: Sprach-Kommunikation im öffentlichen Raum ist strikt untersagt

Die Gefährdungslage, die das BSI ausmacht, liest sich bedrohlich wie ein Szenario aus dem Kalten Krieg. „Höhere Gewalt“ könne als Folge der wechselnden Einsatzumgebung vermehrt zum Tragen kommen. „Menschliche Fehlhandlungen“ träten gehäuft auf, wie etwa das Missachten von Sicherheitsmaßnahmen, der „ungeeignete Umgang“ mit Passwörtern oder die „Sorglosigkeit“ im Umgang mit Informationen. Ganz zu schweigen vom „ungesicherten Akten- und Datenträgertransport“, von „Manipulation oder Zerstörung von Geräten oder Zubehör“ sowie, man denke, „Diebstahl“. Die sperrigen Formulierungen der Bürokratie mögen dazu beitragen, dass die Risiken, die mit mobilem Arbeiten verbunden sind, nach wie vor unterschätzt und auf die leichte Schulter genommen werden. Sie können allerdings nicht darüber hinwegtäuschen, dass sie präsent – und dass ihre Folgen für Mitarbeiter und Unternehmen mitunter verheerend sind.

Freiheit: Mobile Arbeitsgeräte jederzeit online

Vorschrift: Sicherung mit Systemkennwort, Sperrung mit Windows-Taste und L, wann immer unbeaufsichtigt

Dabei sind die Potenziale, die sich aus dem mobilen Arbeiten ergeben, durchaus verlockend. Zumal der Faktor Mensch dabei eine größere Rolle spielt als die Technik. Zu diesem, für manche überraschenden, Ergebnis kam die Arbeit „Understanding and Managing the Mobile Workforce“, die 2007 vom Netzwerkspezialisten Cisco initiiert worden war. Autoren des Reports sind Wissenschaftler von Pearn Kandola, einem auf Arbeitspsychologie spezialisierten britisch-irischen Institut. Die Untersuchung arbeitet im Wesentlichen drei Defizite heraus: Besetzungen mit nicht geeigneten Mitarbeitern, fehlende oder falsche technologische Ressourcen für die Mitarbeiter sowie inadäquates Management. Die Studie ging dabei der Frage nach, welche Merkmale im Persönlichkeitsprofil von Mitarbeitern für die Effektivität mobiler Arbeit Erfolg versprechend sind. Zu den wichtigsten Kriterien zählen: Kontaktfreudigkeit, Selbstständigkeit, Disziplin, die Fähigkeit zur Eigenmotivation, emotionale Stabilität, Stressresistenz sowie Kreativität und Offenheit für neue Ideen. In einem aktiv betriebenen Personalmanagement also durchaus überprüfbare Parameter.

Freiheit: Alle Mitarbeiter sind mobil produktiv

Vorschrift: Alle Mitarbeiter haben eine IT-Sicherheitsklausel im Arbeitsvertrag – Sanktionen inklusive

Gerade die Verlagerung der Arbeit aus dem Schutzraum „Büro“ hinaus in die freie Wildbahn sowie auf bewegliche Geräte und Menschen bringt bisher im Arbeitsalltag eher seltene Risiken mit sich. Je kompletter der mobile Arbeitsplatz mit Informationen und Daten gespickt ist, desto größer ein potenzielles Leck, wenn Unbefugte Zugang zu diesem Arbeitsplatz erlangen. Schon Mitte der 90er Jahre warnten erste Datensicherheits-Fachleute vor dem „Datenklau beim Bettenbau“. Dabei wurden Zimmermädchen in Hotels mit leistungsfähigen externen Festplatten ausgestattet, mit deren Hilfe sie in wenigen Minuten die Laptops der gerade frühstückenden Business-Gäste kopierten. Egal, ob die Konkurrenz oder ein Geheimdienst dahinter stand: Kundendaten und Betriebsgeheimnisse lagen selbst in ausgeschalteten Geräten offen umher.

Allein das komplette Verschlüsseln aller Inhalte bietet annähernd ausreichend Schutz

Freiheit: Jeder Mitarbeiter schützt seinen Arbeitsplatz mit einem eigenen Passwort

Vorschrift: Das Sicherheitssystem akzeptiert schwache Passwörter (12345) nicht

Selbst der inzwischen obligatorische Passwort-Schutz war für die Datensauger kein großes Hindernis, zumal sich die meisten mobilen Arbeiter weder beim Ausdenken ihrer Zugangskontrollen großer Fantasie bemühen noch die Passwörter häufig ändern. Allein das komplette Verschlüsseln aller Inhalte bietet annähernd ausreichend Schutz, wobei zum Beispiel China nur staatlich genehmigte Verschlüsselungstechnik erlaubt, selbige anmeldepflichtig macht und bei Verstößen Gerät und Inhalt konfisziert. Weshalb zum Beispiel der brandenburgische Verfassungsschutz Auslandsreisenden rät: „Speichern Sie geschäftliche Daten auf einem USB-Stick oder einer DVD und führen Sie den Datenträger am Körper mit; geben Sie ihn nie aus der Hand und bewahren Sie ihn nicht im Hotelsafe auf. Spielen Sie auf Notebooks möglichst nur das Betriebssystem auf und nutzen Sie auf Reisen nur eine minimale Konfiguration.“

Zumal es noch nicht einmal böse Absicht braucht, damit kostbare Daten verloren gehen. Die menschliche Schusseligkeit genügt schon: Jede Woche gehen nach Schätzungen des Ponemon Instituts auf den 106 größten Flughäfen der USA 12.200 Notebooks verloren. Auf den sieben größten Airports in Europa sind es rund 3.800, davon 300 in Frankfurt am Main. Und schon 2008 berichtete die Zeitschrift Computerwoche von 55.000 Handys, die deren Besitzer im Laufe eines halben Jahres in Londoner Taxis vergessen oder verloren hatten – die meisten davon eingeschaltet. Der damit einhergehende Verlust liegt ein gutes Stück über dem Kaufpreis der Geräte. Laut einer Studie des Ponemon Institute im Mai 2009 betragen die finanziellen Einbußen eines gestohlenen Laptops insgesamt circa 34.768 Euro.

Freiheit: Mitarbeiter haben mobil Zugang zu sensiblen Firmen- und Kundendaten

Vorschrift: Mitarbeiter müssen in Compliance geschult und auf Einhaltung entsprechender Regeln verpflichtet werden

Wobei es keine Reise ins Ausland braucht, um sensible Daten der Ausspähung preiszugeben. Der Blick durch den Spalt zwischen zwei Sesseln im ICE auf den Laptop-Monitor des Vordermanns ist genauso ungetrübt wie der durch die Lücke der Sitze in der Business Class eines Flugzeugs. Die Tatsache, dass man dort zum Beispiel am Montagmorgen fast ausschließlich von Krawatten tragenden Kollegen im Dreiteiler umgeben ist, schützt nicht vor den schmerzhaften Folgen der statistischen Normalverteilung guter und böser Menschen. Oder vor der Anwesenheit von Journalisten …

Menschliches Fehlverhalten also als die Hauptgefahr für Datensicherheit

Selbst Normalreisende indes nehmen oft verwundert zur Kenntnis, wie an öffentlichen Orten wie Zugabteilen, Abfluggates oder Hotellobbys klar und deutlich vernehmbar vermeintliche Geschäftsgeheimnisse die Luft erzittern lassen. Im Klartext wird hier über Produktmängel genauso kommuniziert wie über anstehende Entlassungen, über Kreditkürzungen für Kleinbetriebe und über Vorstands-Revirements bei Großkonzernen. Ob im direkten Gespräch miteinander oder lauthals am Telefon: Diskretion scheint nicht nur keine Ehrensache mehr, sondern schlicht und einfach eine Erfindung von gestern zu sein. Das Ponemon Institute, kam, als es die Sicherheit von Sprachdaten erforschte, zu dem Ergebnis, dass das Abhören von Betriebsgeheimnissen während Smartphone-Gesprächen Unternehmen teuer zu stehen kommt und nur schwer aufzudecken ist. Laut seinen Ermittlungen betragen die durchschnittlichen Kosten pro offengelegtem Betriebsgeheimnis, das in die Hände von Unbefugten (insbesondere Händler oder Konkurrenz) gelangt, rund 900.000 Euro.

Freiheit: Alle Mitarbeiter haben mobil Zugang zu Firmendaten

Vorschrift: Alle Mitarbeiter werden bei Einstellung oder Beförderung von der Personalabteilung auf IT-„Fahrtauglichkeit“ überprüft

Menschliches Fehlverhalten also als die Hauptgefahr für Datensicherheit beim mobilen Arbeiten? Alle Anzeichen deuten darauf hin. Denn der evolutionäre Schritt der persönlichen Arbeit aus den schützenden Mauern des Büros hinaus „auf die Straße“ steht erst am Anfang. Wenn man sich die möglichen Gefahren ansieht, die allein das BSI für den Verlust der Vertraulichkeit oder Integrität von Daten dokumentiert hat, ist schnell zu erkennen, in welchem Grenzbereich von Nutzen und Risiko der unterstellte Produktivitätsgewinn des „Arbeitsplatzes to go“ stattfindet. Dabei spielen sich einige davon sogar noch „inhouse“ ab, wo Mobilität nur eine Folge dezentral aufgestellter Peripheriegeräte sind. Zum Beispiel:

  • Mitarbeiter holen versehentlich Ausdrucke mit personenbezogenen Daten nicht am Netzdrucker ab.
  • Vertrauliche Informationen werden in Hörweite fremder Personen diskutiert, beispielsweise in Pausengesprächen von Besprechungen.
  • Es werden Datenträger versandt, ohne dass die vorher darauf gespeicherten Daten in geeigneter Weise gelöscht wurden.
  • Dokumente werden auf einem Webserver veröffentlicht, ohne dass geprüft wurde, ob diese tatsächlich zur Veröffentlichung vorgesehen und freigegeben sind.

Und damit ist auszugsweise nur das erste von insgesamt 98 (!) Gefährdungspotenzialen beschrieben, den das Sicherheitsamt in dem Gefährdungskatalog „Menschliche Fehlhandlungen“ aufführt. Zum Vergleich: Beim „Technischen Versagen“ bestehen – nur – 73 Optionen.

Die weitreichende Landkarte solcher Risiken in der Nutzung mobiler Arbeitsplätze ist umso bedrohlicher, als vor allem kleine und mittlere Unternehmen weit davon entfernt scheinen, hierfür über ausreichende Schutzmaßnahmen zu verfügen, ganz zu schweigen von einem ausreichenden Problembewusstsein. Was dazu führt, dass nicht nur die firmeneigene Hard- und Softwarelandschaft zum unsicheren Terrain wird, sondern dass auch noch – kostensparend – die Nutzung privater Geräte erlaubt oder gar gefördert wird. Citrix Systems, ein internationaler Systemdienstleister für mobiles Arbeiten, hat vorigen Herbst Ergebnisse einer weltweit durchgeführten Umfrage der Marktforschungsunternehmen YouGov und Research Now vorgestellt, die beleuchtete, inwiefern mobile Endgeräte für Konsumenten im Zuge der Nachfrage nach flexibleren Arbeitsmodellen Einzug in die Arbeitswelt halten.

Ausreichende Schutzmaßnahmen und ausreichendes Problembewusstsein

Freiheit: Mitarbeiter verwenden ihre privaten Mobilgeräte dienstlich

Vorschriften: Die Geräte müssen überprüft und registriert, die Mitarbeiter nach Sicherheitsstufen für den Datenzugang klassifiziert werden

Sie zeigt, dass gerade KMU zunehmend dem Druck ausgesetzt sind, ihren Mitarbeitern den Einsatz von privaten Smartphones, Tablets und anderen Geräten auch im Arbeitsalltag zu ermöglichen. Ein Viertel der befragten Unternehmen unterstützt das Prinzip „Bring your own“ am Arbeitsplatz bereits, viele von ihnen profitieren dabei von erheblichen Produktivitätssteigerungen um 30]Prozent, da ihre Mitarbeiter nun von überall und jedem Gerät aus ihrer Arbeit nachgehen können. Die Bereiche Sicherheit und Vertraulichkeit der Daten kommen jedoch häufig noch zu kurz: So verfügen 62 Prozent der Unternehmen über keinen „Eisernen Vorhang“, sprich: Regeln und Prozesse, die den Einsatz von privaten Endgeräten kontrollierbar machen. 45 Prozent der IT-Manager haben darüber hinaus keinen Überblick über alle Geräte, die von den Mitarbeitern für berufliche Zwecke eingesetzt werden. Unternehmen stehen allerdings nicht nur dem vermehrten Einsatz von privaten Endgeräten am Arbeitsplatz gegenüber, sondern auch dem Wunsch nach Arbeitsmodellen, die den Mitarbeitern eine bessere Work-Life-Balance ermöglichen (vgl. randstadkorrespondent 1-2012). Auch hier braucht es technische Überprüfungen, Schulungen und Regeln, um Sicherheit zu erzeugen und zu bewahren.

Freiheit: Mitarbeiter reisen mit Datengeräten ins Ausland

Vorschrift: Die Datengeräte sind clean und verschlüsselt, sensible Daten, wenn überhaupt, auf USB-Sticks am Mann

Aus dem aktuellen Stand von Technik und betrieblichen Anforderungen ergibt sich so unterm Strich ein ganz neues Betätigungsfeld für ein bereichsübergreifendes Zusammenarbeiten von Personal-, IT- und Rechtsabteilung. Nicht nur, weil technische Lösungen und menschliche Stärken bzw. Schwächen aufeinander abgestimmt werden müssen (und sich mit der Verlagerung gespeicherte Daten in eine irgendwo verortete „Cloud“ kein Problem löst, sondern sich neue Sicherheitsfragen auftun). Sondern auch, weil Datensicherheit als Teil der betrieblichen Compliance ebenso wie der Bestandssicherung des Unternehmens eindeutig formulierter, klarer und durchsetzbarer Regeln bedarf. Damit sich in absehbarer Zeit keiner mehr lächerlich macht, der sein Notebook mit zur Toilette nimmt.

Lesen Sie zu diesem Thema auch unsere Artikel Auch Paragraphen machen mobil und Wissen kompakt.

Illustrationen: Daniel Althausen