Corona verlangt nach Handeln.

SARS-CoV‑2  (“Corona”) und die damit ver­bun­de­ne Erkrankung COVID-19 füh­ren die Welt, unser Land und unse­ren Alltag gera­de mas­siv in für die meis­ten Menschen kom­plett unge­wohn­te Situationen. Täglich ver­schärft sich die Lage, nahe­zu stünd­lich wer­den von öffent­li­cher Stelle neue Maßnahmen  kom­mu­ni­ziert, die uns alle betref­fen und die alle­samt kon­se­quent ein wich­ti­ges Ziel ver­fol­gen — die Ausbreitungsgeschwindigkeit mög­lichst klein zu hal­ten. Wir tun dies, um Zeit zu gewin­nen, bis ein Gegenmittel gefun­den wird und um in der Zwischenzeit unser Gesundheitssystem hand­lungs­fä­hig zu halten.

Firmen, öffent­li­che Einrichtungen, Organisationen und Vereine reagie­ren auf die­se Maßnahmen. Zum einen, um die genann­ten Ziele zu unter­stüt­zen und gesell­schaft­lich dazu bei­zu­tra­gen, die Ausbreitung zu ver­lang­sa­men. Zum ande­ren natür­lich auch, um die eige­ne Leistungsfähigkeit auf­recht zu erhal­ten. Mitarbeiter_innen sol­len sich unter­ein­an­der nicht anste­cken, um den gleich­zei­ti­gen Ausfall wich­ti­ger Bereiche oder Knowhow-Träger zu ver­mei­den, um Kundenzusagen ein­hal­ten zu kön­nen und den Betrieb nicht zum Erliegen zu brin­gen. Die der­zeit über­all als Lösungsidee kom­mu­ni­zier­te Vorgehensweise ist in die­sem Fall das Home-Office.

Allgemeine Herausforderungen werden durch Corona verstärkt.

Die Arbeit im Home-Office ist nicht unum­strit­ten. Viele Firmen ver­hal­ten sich daher zöger­lich. Führung wird vie­ler­orts noch syn­onym mit Anwesenheit gesetzt. Und Firmen wie Hewlett Packard sind hier sogar zurück­ge­ru­dert und haben das Home-Office als Arbeitsform wie­der abge­wählt. Denn sowohl Themen des Arbeitsschutzes und der Arbeitssicherheit, aber auch Themen wie sozia­le Isolation und feh­len­de per­sön­li­che Kommunikation sind ech­te Herausforderungen, auf die es pro­fes­sio­nel­le Antworten braucht. Nicht jede Organisation ist hier­für aufgestellt.

Aber in Ausnahmesituationen wie einer Pandemie durch Corona gera­ten die­se Probleme in den Hintergrund und wer­den zweit­ran­gig. Der Handlungsdruck steigt mas­siv und Organisationen, die hier ggf. noch nicht so erfah­ren sind, müs­sen in die­sen Modus wech­seln. Und auch Firmen, die hier für aus­ge­wähl­te Bereiche bereits Home-Office in Ausnahmefällen tage­wei­se erlaubt hat­ten, müs­sen nun kom­plett in die­sen Modus wech­seln und vie­le Mitarbeiter_innen für lan­ge Zeit in die­se bis­her unge­wohn­te Form der Arbeitsorganisation schicken.

Ergebnis kann sein, dass eine Vielzahl hier uner­fah­re­ner Mitarbeiter_Innen nun für eine lan­ge Zeit in einer für sie unge­wohn­ten Arbeitsform zurecht kom­men müs­sen und sich hier nun ein gutes Stück allein orga­ni­sie­ren müs­sen, um den Job wei­ter­hin best­mög­lich machen zu kön­nen. Hinzu kommt, dass alle Menschen in Deutschland der­zeit ver­un­si­chert sind, was als nächs­tes kommt, wie es wei­ter geht und was das für die eige­ne Familie und die eige­ne Existenz bedeutet.

Welche Gefahr besteht dann? Aufgrund all­ge­mei­ner Verunsicherung und Angst, auf­grund feh­len­der orga­ni­sa­tio­na­ler Regelungen oder auf­grund feh­len­der Arbeitsmittel und Arbeitsprozesse für eine Arbeit im Home-Office kön­nen ein­mal erlern­te Regeln und Verhaltensweisen der Verarbeitung betrieb­li­cher Informationen ver­ges­sen oder igno­riert wer­den. Im schlimms­ten Fall tre­ten die­se drei Umstände (Verunsicherung, feh­len­de Regelungen, feh­len­de Arbeitsmittel) gleich­zei­tig auf und poten­zie­ren sich so. Das gefähr­det Informationssicherheit.

Schutz von Personen und Informationen.

So wich­tig der gesund­heit­li­che Schutz des Individuums und der Gesellschaft nun auch ist, so erlau­ben uns die aktu­el­len Maßnahmen rund um Corona nicht, in Bezug auf Informationssicherheit die drei gleich­be­rech­tig­ten Schutzziele aus den Augen zu verlieren.

Denn gera­de jetzt die­nen vie­le Maßnahmen rund um Corona dem Schutzziel der Verfügbarkeit infor­ma­tio­nel­ler Werte. Daten spie­len im betrieb­li­chen Wertschöpfungsprozeß eine zen­tra­le Rolle. So para­dox das nun hier klin­gen mag. Die Entsendung von Mitarbeiter_innen ins Home-Office ver­folgt am Ende genau die­ses Ziel:  der Informationsfluss darf trotz Pandemie nicht zum Erliegen kom­men. Daten müs­sen wei­ter ver­ar­bei­tet wer­den und Wertschöpfung (auch in Daten) muss wei­ter­hin erfol­gen, auch (und erst Recht) wenn Mitarbeiter_innen bspw. vor­sorg­lich in häus­li­cher Quarantäne, aber den­noch gesund und arbeits­fä­hig sind.  Daten blei­ben ver­füg­bar und wer­den wei­ter­hin in Unternehmensbereich A gene­riert, ver­edelt, bereit­ge­stellt, damit Bereich B und C damit (weiter)arbeiten kön­nen und ihrer­seits neue Daten gene­rie­ren, die ver­füg­bar sein müs­sen, damit D und E arbeits­fä­hig blei­ben. Auch, wenn A, B, C, D und E ggf. über Monate im Home-Office sind.

Wenn nun aber im Home-Office Mitarbeiter_innen sich in unge­wohn­ter Umgebung wie­der­fin­den, sich erst­ma­lig in die­ser Umgebung nun für einen län­ge­ren Zeitraum ein­rich­ten müs­sen, dar­über hin­aus Anweisungen und Regelungen feh­len und dazu noch die per­ma­nen­te Verunsicherung bzgl. der gesell­schaft­li­chen Gesamtsituation zunimmt, dann birgt das zwei Gefahren.

Zum einen kön­nen ein­mal erlern­te Verhaltensweisen in Bezug auf Informationssicherheit schlicht in der all­ge­mei­nen Anspannung ver­ges­sen wer­den. Menschen befin­den sich in die­ser Krise in einer Ausnahmesituation. Rationalität ist da nicht mehr zu jedem Zeitpunkt selbst­ver­ständ­lich. Hier hilft es, die Belegschaft jetzt durch geeig­ne­te Maßnahmen an die ande­ren bei­den Schutzziele in Bezug auf Informationssicherheit zu erin­nern. Das Ziel muss hier sein, die Awareness für Informationssicherheit hoch zu halten.

Zum ande­ren soll­ten vor allem Firmen, die hier in Bezug auf Home-Office kom­plett oder in Teilen Neuland betre­ten, Ihre Belegschaft für Informationssicherheit im Home-Office sen­si­bi­li­sie­ren. Es reicht nicht aus, die Verfügbarkeit von Informationen durch Home-Office wie beschrie­ben auf­recht zu erhal­ten.  Die bei­den ande­ren Schutzziele, näm­lich die Vertraulichkeit von Informationen und die Integrität von Informationen müs­sen im Home-Office genau so beach­tet, gelebt und befolgt wer­den, wie es im “nor­ma­len” Unternehmensalltag der Fall ist. Corona ent­bin­det nie­man­den von gesetz­li­chen und/oder ver­trag­li­chen Verpflichtungen. Es muss aktiv ver­mie­den wer­den, dass Mitarbeiter_Innen jetzt anfan­gen, sich in WhatsApp-Gruppen zu orga­ni­sie­ren, Dienste wie DropBox zum Datenaustausch zu ver­wen­den,  Telefonate mit ver­trau­li­chen (bspw. Personaldaten, Kundendaten) in Anwesenheit von Familienmitgliedern im Klartext und nicht pseud­ony­mi­siert zu füh­ren oder ver­trau­li­che Dokumente offen her­um­lie­gen zu las­sen. Hier ist drin­gend ange­ra­ten, Mitarbeiter_Innen jetzt in die­ser Phase initi­al in Bezug auf die wesent­li­chen Grundlage der Informationssicherheit zu sen­si­bi­li­sie­ren, wenn dies noch nicht gesche­hen ist.

Wir hel­fen Ihnen gern bei die­ser Aufgabe. Unser Online-Kurs zu "Informationssicherheit im Homeoffice" berei­tet Ihre Beschäftigten opti­mal auf die­se Herausforderungen vor.

Und für alle Organisationen, die aktu­ell in die­ser epo­cha­len Krise der all­ge­mei­nen Daseinsfürsorge die­nen, ist die­ses Training kos­ten­frei. SECUTAIN unter­stützt damit aktiv die gemein­sa­me Anstrengung im Kampf gegen Corona und hilft kri­ti­schen Infrastrukturen (KRITIS) bei ihrer aktu­ell über­le­bens­wich­ti­gen Arbeit.