Datendiebstahl durch Mitarbeiter im Homeoffice

Homeoffice-Mitarbeiter stellen ein beliebtes Ziel für Hackerangriffe dar, um Daten zu klauen. In diesem Artikel erfahren Sie, wer im Homeoffice für den Datenschutz verantwortlich ist, wer die Täter sind, wie Sie den Datendiebstahl im Homeoffice verhindern können und was Sie im Fall von Datenklau tun sollten.

Inhaltsverzeichnis



Datendiebstahl im Homeoffice

Für personenbezogene Daten gilt die Datenschutz-Grundverordnung (DS-GVO) – auch im Homeoffice. Sowohl Arbeitgeber als auch Arbeitnehmer müssen mit diesen Daten eine besondere Sorgfalt anwenden.

Umso besorgniserregender ist, dass fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) laut „diDsiN-Praxisreport Mittelstand 2020“ in den vergangenen Monaten Hackerangriffe verzeichneten.

Gerade im Homeoffice dient der Mitarbeiter als einfaches Angriffsziel, um z. B. Kundendaten, Mitarbeiterdaten oder FInanzdaten zu klauen.

Dabei sollten Beschäftigte am häuslichen Arbeitsplatz dieselben Vorkehrungen und Sicherheitsmaßnahmen umsetzen, die auch im Unternehmen getroffen würden. Doch wie kann ein Unternehmen sicherstellen, dass dies auch geschieht? Die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) verlangen, dass Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) umsetzen. Ob Beschäftigte diese Maßnahmen am Arbeitsplatz Zuhause umsetzen, ist schwer zu kontrollieren. 

Durch Unachtsamkeit, Ignoranz, Unwissenheit oder auch mit Absicht können in falsche Hände kommen, offengelegt, verändert oder vernichtet werden. Dies ist in jedem Fall ein „Datensicherheitsvorfall“, der für das Unternehmen teuer werden kann. Laut Bitkom beläuft sich die jährliche Schadenssumme in Deutschland auf rund 103 Mrd. Euro (2019).

Hackerangriffe nehmen zu

Datendiebstahl nachweisen Arbeitgeber

Während bei physischen Gegenständen wie beispielsweise einem Firmenrechner oder einem Mobiltelefon der Diebstahl „sichtbar“ ist, bleibt der Diebstahl von Kundendaten häufig „unsichtbar“. Solange die Daten nicht gelöscht, gesperrt oder verändert wurden, bleibt der Diebstahl in der Regel unbemerkt und ist entsprechend kaum nachweisbar. Laut Bitkom-Studie „Wirtschaftsschutzschutz“ (PDF) ist die Dunkelziffer hoch und die Kompromittierung von Daten schwer zu entdecken.

Wenn Hinweise auf einen Diebstahl von Daten auftauchen, dann ist es meist schon zu spät. Oft ist das auslösende Ereignis bereits Monate her. Entsprechend schwierig ist die Forensik und Nachverfolgung der Vorfälle. Meldungen gehen daher nur verspätet an die Datenschützer. Aus diesem Grund tauchen sie erst lange nach der akuten Bedrohung in Statistiken auf. Zudem redet kein Unternehmen gerne darüber, dass ihr Daten – womöglich Kundendaten – geklaut wurden.

Worauf es Datendiebe abgesehen haben

Was unterscheidet Datendiebstahl und Datenmissbrauch?

Der Datendiebstahl steht in der Regel mit einem „Datenmissbrauch“ in Verbindung. Benutzt ein Unbefugter die Daten, beispielsweise um sie zu verkaufen oder um Zugang zu vertraulichen Anwendungen oder Datenbanken zu erlangen, dann ist dies „Missbrauch von Daten“. Besonders beim Phishing ist das Ziel meist der Datenmissbrauch, z. B. um Kontodaten für eigene Zwecke zu verwenden. Auch die Weitergabe von Geschäftsgeheimnissen oder internen Firmendaten dient in der Regel dem Missbrauch.

Der Datendieb muss nicht identisch mit demjenigen sein, der den Missbrauch begangen hat. Im Darknet werden gestohlene Daten in großen Mengen gehandelt, um sie für die verschiedensten Zwecke zu benutzen. In der Regel ist es schwer möglich, in Erfahrung zu bringen, ob ein Unternehmen betroffen ist, bevor die gestohlenen Daten irgendwo sichtbar werden.

Datendiebstahl durch Mitarbeiter

Wie aus der Bitkom-Studie „Wirtschaftsschutz“ hervorgeht, haben über 70 Prozent der deutschen Unternehmen in den vergangenen zwei Jahren bereits Hackerangriffe erlebt. Über 80 Prozent der Verantwortlichen erwarten, dass ihr Unternehmen auch in Zukunft das Ziel von Angriffen sein wird.

Sabotage oder Spionage, vor allem durch Social Engineering, nimmt immer mehr zu. Dabei werden Menschen von außen manipuliert, um an sensible Daten zu gelangen. Im Interesse der Datendiebe stehen häufig Finanzdaten, Mitarbeiterdaten oder Kundendaten. Der Arbeitgeber kann den Diebstahl nur schwer nachweisen. 

Zu den Tätern zählen häufig organisierte Banden, Wettbewerber, Hobby-Hacker, aber auch aktuelle und ehemalige Mitarbeiter des betroffenen Unternehmens. Während aktuelle Mitarbeiter häufig unabsichtlich zu Tätern werden, handeln Ex-Mitarbeiter mit Vorsatz.

Ein Praxisbeispiel: Ein Beschäftigter der Personalabteilung erhält eine E-Mail mit Anhängen eines angeblichen Bewerbers. Der Anhang, meist Word-Dateien mit der Endung „doc“ statt „docx“, ist jedoch mit Malware (Schadsoftware) verseucht. Öffnet der Beschäftigte einen solchen Anhang, dann wird ein sogenannter Keylogger installiert, also eine Software, die Tastatureingaben eines Nutzers aufzeichnet. Immer, wenn sich der Beschäftigte dann in ein Unternehmenssystem mit Passwort einloggt, versendet dieser die Daten an den Hacker. So kann zum Beispiel ein Konkurrent Firmendaten ausspähen und das Unternehmen ausspionieren.

Mit „Malware“ (ein Kunstwort aus „Malicious“ und „Software“) ist jede Art von Schadprogramm gemeint. Das können Viren, Trojaner, Keylogger, Rogueware oder Spyware sein, die die auf dem Rechner gespeicherten Daten ausspioniert.

Datenklau und Datendiebstahl verhindern

Um das Ausspähen von Daten und den Klau von Daten zu verhindern bzw. vorzubeugen, ist ein Datenschutz-Konzept und IT-Sicherheitskonzept Pflicht. Beide Konzepte zählen zu den Basisvoraussetzungen, um im Home-Office ein hohes Schutzniveau der Daten zu erreichen.

Die Umsetzung der technischen und insbesondere der organisatorischen Maßnahmen nach DSGVO und ISO 27001 stellt die eigentliche Herausforderung dar.

Bei der Planung der Maßnahmen sollten folgende Aspekte berücksichtigt werden:

  • der Raum, in dem der Homeoffice-Mitarbeiter arbeitet
  • die Hardware, die der Mitarbeiter im Homeoffice verwendet
  • die Internetverbindung, die der Mitarbeiter im Homeoffice nutzt
  • die Zugriffsrechte und Berechtigungen des Mitarbeiters
  • die Security Awareness des Mitarbeiters

Die Bereitstellung einer sicheren VPN-Verbindung und sicheren Hardware ist relativ einfach umsetzbar.

Um Mitarbeitern Unsicherheiten zu nehmen und die Datensicherheit zu erhöhen, sollten diese nur auf die für ihre Tätigkeit nötigen Daten Zugriff erhalten. Hierfür sind sehr gut konzipierte Berechtigungs- und Autorisierungskonzepte nötig. Beispielsweise soll der Beschäftigte Zugriff auf bestimmte Kundendaten erhalten, jedoch nicht lokal auf seinem privaten PC im Homeoffice speichern können – so wie es die DSGVO fordert. Ein derartiges Berechtigungskonzept lässt sich mit der Software „Trusted Secure Desktop“ umsetzen.

Gleichzeitig sollten vor dem Hintergrund, dass viele Datendiebe aus dem Kreis der ehemaligen Arbeitnehmer kommen, Berechtigungskonzepte so flexibel sein, dass das Offboarding von Ex-Mitarbeitern in kürzester Zeit und umfassend möglich ist. 

Um die Folgen eines möglichen Vorfalls kalkulieren zu können, ist eine Risiko-Folgenabschätzung bzw. Datenschutz-Folgenabschätzung (DSFA) sinnvoll, die die möglichen Auswirkungen einer Sabotage oder anderer Angriffe erfasst. Alle kritischen Geschäftsprozesse sollten hier auf die bestehenden Risiken für den Datenschutz untersucht und Maßnahmen zur Abhilfe festgelegt werden. So lässt sich abschätzen, wann und unter welchen Bedingungen die Ressourcen wieder einsatzfähig sind.

Wer haftet bei Datenklau im Homeoffice?

Auch wenn Arbeitnehmer im Homeoffice arbeiten, bleibt der Arbeitgeber für die Datenverarbeitung verantwortlich.

Da der Arbeitgeber die Zwecke und Mittel bestimmt, die für die Arbeit verwendet werden, ist er im Sinne der DSGVO der verantwortliche Entscheider und haftet damit grundsätzlich nach außen für Datenschutzverstöße.

Allerdings gilt im Innenverhältnis die „eingeschränkte Arbeitnehmerhaftung“ – auch im Homeoffice. Das bedeutet, dass der Arbeitnehmer unter bestimmten Umständen zur Verantwortung gezogen werden kann. Der Arbeitnehmer haftet im Schadensfall anteilig, wenn ihm mehr als leichte Fahrlässigkeit nachgewiesen werden kann. Bei Vorsatz kann der Homeoffice-Mitarbeiter voll in die Haftung genommen werden, sofern er den Schaden absehen konnte und bewusst in Kauf genommen hat.

Umso wichtiger ist es, die von der DSGVO geforderten technischen und organisatorischen Maßnahmen festzulegen und umzusetzen. Damit ein dem Risiko angemessenes Schutzniveau gewährleistet werden kann, hat der Arbeitgeber dafür Sorge zu tragen, dass die entsprechenden Anforderungen auch im Homeoffice erfüllt werden.

Anders gesagt: Der Arbeitgeber muss auch am häuslichen Arbeitsülatz für geeignete technische und organisatorische Maßnahmen (TOM) sorgen, die helfen, Kundendaten zu schützen. Die Software „Trusted Secure Desktop hilft Unternehmen den Datenschutz und die Datensicherheit im Homeoffice sicherzustellen und den Datendiebstahl am Arbeitsplatz zu verhindern.

Meldepflicht an die zuständige Datenschutzbehörde

Ist es zu einem Datendiebstahl gekommen, dann sollte man schnell reagieren und Anzeige erstatten. Nützlich ist ein Notfallplan, in dem alle wichtigen Schritte aufgeführt sowie Ansprechpartner und Telefonnummern notiert sind.

Im Fall von personenbezogene Daten handelt es sich um einen Datenschutzvorfall und bedarf einer Meldepflicht an die zuständige Datenschutzbehörde. Laut Art. 33 der DSGVO muss eine Datenschutzverletzung, die ein Risiko für Rechte oder Freiheiten von Betroffenen enthalten könnte, innerhalb von 72 Stunden nach Kenntniserlangung der Datenschutzbehörde gemeldet werden.

Gleichzeitig müssen Maßnahmen zur Schadensbegrenzung eingeleitet werden. Dazu gehören zum Beispiel:

  • Sperren von kompromittierten Zugängen
  • Passwort-Änderungen
  • Datensicherungen
  • Einspielen von Backups

Dürfen Daten im Homeoffice auf einem USB-Stick gespeichert werden?

Die Speicherung auf privaten Medien wie USB-Sticks ist grundsätzlich problematisch. Über USB-Sticks können Schadprogramme übertragen werden, die Daten können abhanden oder in falsche Hände kommen und eine Vervielfältigung enthält prinzipiell Risiken. Falls der Stick zwischen dem Homeoffice und dem Firmenbüro hin- und hertransportiert wird, kommt noch die Gefahr des Verlusts oder Diebstahls hinzu.

Da es in den meisten Fällen nicht notwendig ist, Daten auf USB-Sticks zu transportieren, ist eine elektronische Übertragung angeraten. Firmenintern können Dokumente ohnehin über eine verschlüsselte VPN-Verbindung sicher auf dem Server gespeichert werden.

Dürfen Daten im Homeoffice gedruckt werden?

Manche Unterlagen müssen aus Gründen der besseren Übersichtlichkeit oder Handhabung für die Arbeit ausgedruckt werden. Auch wenn sich das papierlose Büro immer mehr durchsetzt, erleichtert der Ausdruck bestimmte Arbeitsgänge, vor allem wenn der Arbeitnehmer nur einen einzigen Monitor zur Verfügung hat.

Ein Problem dabei ist es allerdings, wenn gedruckte Unterlagen im Homeoffice irgendwo herumliegen und dadurch unbefugten Personen zugänglich gemacht werden. Deshalb müssen klare Richtlinien für den Umgang mit gedruckten Dokumenten bestehen. Auch der Druck selbst kann Probleme verursachen, wenn ein privater Drucker verwendet wird, die Daten im Gerät zwischengespeichert oder im häuslichen Netzwerk unsicher übertragen werden. Aus Sicht der Datenschutzbehörden ist das Drucken im Homeoffice nicht ratsam.

Wir möchten darauf hinweisen, dass wir keine Rechtsberatung anbieten und der vorliegende Artikel lediglich ein Informationsangebot darstellt. Wir übernehmen keine Gewähr auf Vollständigkeit und Richtigkeit. Des Weiteren haben wir im Artikel aus Gründen der Einfachheit die männliche Schreibweise der „Mitarbeiter“ gewählt. Gemeint sind selbstverständlich Mitarbeiterinnen und Mitarbeiter gleichermaßen. Gleichberechtigung und Vielfalt sind uns wichtig!

eBook zu Datenschutz und Datensicherheit im Homeoffice

Holen Sie sich das kostenfreie eBook mit all unseren Beiträgen im PDF-Format. Mit über 50 Seiten Wissen zu Datenschutz und Datensicherheit im Homeoffice.

Jetzt kostenfrei downloaden.