Homeoffice: Wenn auf einmal alles anders ist, die Regeln aber bleiben.
Corona verlangt nach Handeln.
SARS-CoV‑2 (“Corona”) und die damit verbundene Erkrankung COVID-19 führen die Welt, unser Land und unseren Alltag gerade massiv in für die meisten Menschen komplett ungewohnte Situationen. Täglich verschärft sich die Lage, nahezu stündlich werden von öffentlicher Stelle neue Maßnahmen kommuniziert, die uns alle betreffen und die allesamt konsequent ein wichtiges Ziel verfolgen — die Ausbreitungsgeschwindigkeit möglichst klein zu halten. Wir tun dies, um Zeit zu gewinnen, bis ein Gegenmittel gefunden wird und um in der Zwischenzeit unser Gesundheitssystem handlungsfähig zu halten.
Firmen, öffentliche Einrichtungen, Organisationen und Vereine reagieren auf diese Maßnahmen. Zum einen, um die genannten Ziele zu unterstützen und gesellschaftlich dazu beizutragen, die Ausbreitung zu verlangsamen. Zum anderen natürlich auch, um die eigene Leistungsfähigkeit aufrecht zu erhalten. Mitarbeiter_innen sollen sich untereinander nicht anstecken, um den gleichzeitigen Ausfall wichtiger Bereiche oder Knowhow-Träger zu vermeiden, um Kundenzusagen einhalten zu können und den Betrieb nicht zum Erliegen zu bringen. Die derzeit überall als Lösungsidee kommunizierte Vorgehensweise ist in diesem Fall das Home-Office.
Allgemeine Herausforderungen werden durch Corona verstärkt.
Die Arbeit im Home-Office ist nicht unumstritten. Viele Firmen verhalten sich daher zögerlich. Führung wird vielerorts noch synonym mit Anwesenheit gesetzt. Und Firmen wie Hewlett Packard sind hier sogar zurückgerudert und haben das Home-Office als Arbeitsform wieder abgewählt. Denn sowohl Themen des Arbeitsschutzes und der Arbeitssicherheit, aber auch Themen wie soziale Isolation und fehlende persönliche Kommunikation sind echte Herausforderungen, auf die es professionelle Antworten braucht. Nicht jede Organisation ist hierfür aufgestellt.
Aber in Ausnahmesituationen wie einer Pandemie durch Corona geraten diese Probleme in den Hintergrund und werden zweitrangig. Der Handlungsdruck steigt massiv und Organisationen, die hier ggf. noch nicht so erfahren sind, müssen in diesen Modus wechseln. Und auch Firmen, die hier für ausgewählte Bereiche bereits Home-Office in Ausnahmefällen tageweise erlaubt hatten, müssen nun komplett in diesen Modus wechseln und viele Mitarbeiter_innen für lange Zeit in diese bisher ungewohnte Form der Arbeitsorganisation schicken.
Ergebnis kann sein, dass eine Vielzahl hier unerfahrener Mitarbeiter_Innen nun für eine lange Zeit in einer für sie ungewohnten Arbeitsform zurecht kommen müssen und sich hier nun ein gutes Stück allein organisieren müssen, um den Job weiterhin bestmöglich machen zu können. Hinzu kommt, dass alle Menschen in Deutschland derzeit verunsichert sind, was als nächstes kommt, wie es weiter geht und was das für die eigene Familie und die eigene Existenz bedeutet.
Welche Gefahr besteht dann? Aufgrund allgemeiner Verunsicherung und Angst, aufgrund fehlender organisationaler Regelungen oder aufgrund fehlender Arbeitsmittel und Arbeitsprozesse für eine Arbeit im Home-Office können einmal erlernte Regeln und Verhaltensweisen der Verarbeitung betrieblicher Informationen vergessen oder ignoriert werden. Im schlimmsten Fall treten diese drei Umstände (Verunsicherung, fehlende Regelungen, fehlende Arbeitsmittel) gleichzeitig auf und potenzieren sich so. Das gefährdet Informationssicherheit.
Schutz von Personen und Informationen.
So wichtig der gesundheitliche Schutz des Individuums und der Gesellschaft nun auch ist, so erlauben uns die aktuellen Maßnahmen rund um Corona nicht, in Bezug auf Informationssicherheit die drei gleichberechtigten Schutzziele aus den Augen zu verlieren.
Denn gerade jetzt dienen viele Maßnahmen rund um Corona dem Schutzziel der Verfügbarkeit informationeller Werte. Daten spielen im betrieblichen Wertschöpfungsprozeß eine zentrale Rolle. So paradox das nun hier klingen mag. Die Entsendung von Mitarbeiter_innen ins Home-Office verfolgt am Ende genau dieses Ziel: der Informationsfluss darf trotz Pandemie nicht zum Erliegen kommen. Daten müssen weiter verarbeitet werden und Wertschöpfung (auch in Daten) muss weiterhin erfolgen, auch (und erst Recht) wenn Mitarbeiter_innen bspw. vorsorglich in häuslicher Quarantäne, aber dennoch gesund und arbeitsfähig sind. Daten bleiben verfügbar und werden weiterhin in Unternehmensbereich A generiert, veredelt, bereitgestellt, damit Bereich B und C damit (weiter)arbeiten können und ihrerseits neue Daten generieren, die verfügbar sein müssen, damit D und E arbeitsfähig bleiben. Auch, wenn A, B, C, D und E ggf. über Monate im Home-Office sind.
Wenn nun aber im Home-Office Mitarbeiter_innen sich in ungewohnter Umgebung wiederfinden, sich erstmalig in dieser Umgebung nun für einen längeren Zeitraum einrichten müssen, darüber hinaus Anweisungen und Regelungen fehlen und dazu noch die permanente Verunsicherung bzgl. der gesellschaftlichen Gesamtsituation zunimmt, dann birgt das zwei Gefahren.
Zum einen können einmal erlernte Verhaltensweisen in Bezug auf Informationssicherheit schlicht in der allgemeinen Anspannung vergessen werden. Menschen befinden sich in dieser Krise in einer Ausnahmesituation. Rationalität ist da nicht mehr zu jedem Zeitpunkt selbstverständlich. Hier hilft es, die Belegschaft jetzt durch geeignete Maßnahmen an die anderen beiden Schutzziele in Bezug auf Informationssicherheit zu erinnern. Das Ziel muss hier sein, die Awareness für Informationssicherheit hoch zu halten.
Zum anderen sollten vor allem Firmen, die hier in Bezug auf Home-Office komplett oder in Teilen Neuland betreten, Ihre Belegschaft für Informationssicherheit im Home-Office sensibilisieren. Es reicht nicht aus, die Verfügbarkeit von Informationen durch Home-Office wie beschrieben aufrecht zu erhalten. Die beiden anderen Schutzziele, nämlich die Vertraulichkeit von Informationen und die Integrität von Informationen müssen im Home-Office genau so beachtet, gelebt und befolgt werden, wie es im “normalen” Unternehmensalltag der Fall ist. Corona entbindet niemanden von gesetzlichen und/oder vertraglichen Verpflichtungen. Es muss aktiv vermieden werden, dass Mitarbeiter_Innen jetzt anfangen, sich in WhatsApp-Gruppen zu organisieren, Dienste wie DropBox zum Datenaustausch zu verwenden, Telefonate mit vertraulichen (bspw. Personaldaten, Kundendaten) in Anwesenheit von Familienmitgliedern im Klartext und nicht pseudonymisiert zu führen oder vertrauliche Dokumente offen herumliegen zu lassen. Hier ist dringend angeraten, Mitarbeiter_Innen jetzt in dieser Phase initial in Bezug auf die wesentlichen Grundlage der Informationssicherheit zu sensibilisieren, wenn dies noch nicht geschehen ist.
Wir helfen Ihnen gern bei dieser Aufgabe. Unser Online-Kurs zu "Informationssicherheit im Homeoffice" bereitet Ihre Beschäftigten optimal auf diese Herausforderungen vor.
Und für alle Organisationen, die aktuell in dieser epochalen Krise der allgemeinen Daseinsfürsorge dienen, ist dieses Training kostenfrei. SECUTAIN unterstützt damit aktiv die gemeinsame Anstrengung im Kampf gegen Corona und hilft kritischen Infrastrukturen (KRITIS) bei ihrer aktuell überlebenswichtigen Arbeit.