Compliance & Covid-19: Anforderungen an die Informationssicherheit im Homeoffice

Das entgrenzte Arbeiten gehört immer häufiger zum Berufsalltag und wird auch immer wieder als Modern Workplace bezeichnet.(1) Die langersehnte Möglichkeit vieler Arbeitnehmerinnen und Arbeitnehmer, von Zuhause aus oder sogar unterwegs arbeiten zu dürfen, wurde in den letzten Wochen durch die weltweite Corona-Krise zur Realität. Doch sind viele Unternehmen, bei denen das Arbeiten mit Computern die Geschäftstätigkeit zum größten Teil ausmacht, darauf oft nicht ausreichend vorbereitet. Sie werden dadurch mit komplexen Problemen der Informationssicherheit konfrontiert. Die Anforderungen an die Informationssicherheit bilden einen elementaren Bestandteil der Compliance Anforderungen einer Organisation. Somit sind diese Compliance Anforderungen auch im Homeoffice einzuhalten.

Was kann ein Unternehmen tun, um die regelkonforme Informationssicherheit zu wahren und die damit verbundenen Gefahren, wie etwa den Zugang zu Geschäfts- und Betriebsgeheimnissen vor unbefugten Dritten, abzuwehren?

Die Antworten auf diese Frage werden im vorliegenden Blog-Beitrag kategorisiert aufgelistet, um eine nachhaltige Soforthilfe für Unternehmen zu bieten. Bereits die Einhaltung einiger weniger Grundsatzprinzipien der Informationssicherheit kann Gefahren erfolgreich abwehren. Die Grundwerte der Informationssicherheit gemäß BSI-Standard 200-1 „Verfügbarkeit“, „Integrität“ und „Vertraulichkeit“ stehen dabei immer im Vordergrund.

Qualifizierung

Es ist anzunehmen, dass die meisten Unternehmen bis zum Anfang der Corona-Krise keine Vorbereitungen für den Notfall getroffen haben, dass ihr Geschäftsbetrieb vorwiegend so aufrechterhalten bleiben muss, dass seine Beschäftigten im Homeoffice arbeiten müssen. Die Ausrichtung technischer und organisatorischer Maßnahmen müssen den sonst auch geltenden IT-Compliance Anforderungen entsprechen. Damit die Beschäftigten einer Organisation wissen, welche Maßnahmen für die IT-Compliance im Homeoffice getroffen werden müssen, ist eine rasche Qualifizierung nötig. Zielgruppenorientierte Schulungen, Verpflichtungserklärungen samt How-to Anleitungen führen zum gewünschten Ergebnis. Da schnelles Handeln erforderlich ist, können die Schulungen von geeigneten Schulungsanbietern erarbeitet und durchgeführt werden.

Eine Schulung eignet sich am besten für die Qualifizierung aller Personen im Unternehmen, da eine Organisation sicherstellen muss, dass die Beschäftigten die vorgeschriebenen Regelungen bezüglich der Informationssicherheit sowie des Datenschutzes erhalten und einhalten.(2) Das gilt im vollen Umfang auch, wenn die Arbeit nicht in den Räumlichkeiten des Unternehmens ausgeführt wird. Für die Sicherstellung der Informationssicherheit sowie des Datenschutzes reicht die bloße Bekanntgabe der Homeoffice Sicherheitsrichtlinien (3) nicht aus.

Die Verantwortung

Homeoffice ist auch deshalb eine Herausforderung, weil Beschäftigte und Organisationsleitung in ihrem privaten Bereich einen Arbeitsplatz einzurichten haben. Gemäß Maßnahme M 1.61 IT-Grundschutz des BSI ist die Benutzerin oder der Benutzer, in diesem Falle also die im Homeoffice tätige Arbeitskraft, dafür zuständig und verantwortlich, dass der Arbeitsplatz samt Umgebung als mobiler Arbeitsplatz geeignet ist. Zwar ist diese Verantwortung besonders in Notfallsituationen eher gering, es ist jedoch auf die Einhaltung grundlegender Anforderungen an die IT-Sicherheit zu achten. Die Verantwortung für eine sichere Arbeitsumgebung trägt dahingegen das Unternehmen. Somit werden Haftungsansprüche ebenfalls an das Unternehmen gestellt. Ein durchdachtes Zusammenspiel von Maßnahmen ist daher unerlässlich.

Eine vertragliche Nebenpflicht des Arbeitsnehmers nach § 241 Abs. 2 BGB ist die Pflicht zur Wahrung von Betriebs- und Geschäftsgeheimnissen.(4) Die im Unternehmen gespeicherten und verarbeiteten Datenmengen sind nur für einen begrenzten Adressatenkreis bestimmt und sollen für unberechtigte Dritte nicht zugänglich sein.(5) Diese Daten, in der Regel Geschäfts-, Kunden- sowie Mitarbeiterdaten, sind besonders schützenswerte Informationen.(6) So werden sie als sensible personenbezogene oder als sensible unternehmensbezogene Daten eingeordnet, weil das Unternehmen oder die betroffene Person ein besonders schützenswertes Interesse an einer Geheimhaltung dieser Informationen haben.(7)

Die Umgebung

In der häuslichen Arbeitsstätte bedeutet eine Internetverbindung die Grundlage der Arbeit. Die meisten Haushalte verfügen über einen Internetanschluss mit WLAN. Dieser unterliegt jedoch nicht der strengen Kontrolle einer unternehmenseigenen IT-Infrastruktur. Die dienstliche Nutzung von solchen Internet-Diensten, die die Arbeitskraft privat abonniert, muss bei einem Heimarbeitsplatz geregelt sein.(8) Dabei sind zwei wichtige Faktoren zu beachten, um die grundlegende Sicherheit herzustellen: Zum einen sollte zur Absicherung des WLANs der Sicherheitsstandard WPA2 Authentifizierung/Verschlüsselung eingesetzt werden.(9) Zum anderen sollten der Routername und das Passwort regelmäßig geändert werden, damit die Möglichkeit für die Nachverfolgung erschwert ist und somit das WLAN sicherer wird. Dennoch kann eine häusliche WLAN-Internetnutzung nie die ausreichende Sicherheit bieten, weshalb davon abgeraten wird. Vielmehr ist es empfehlenswert, wenn nicht gleich notwendig, dass die Internetverbindung zum Rechner oder Laptop mit dem LAN Kabel hergestellt wird.

Bezüglich der Umgebung ist ein aufgeräumter Arbeitsplatz ein Grundsatz der Informationssicherheit und so auch der Compliance. Es ist sicherzustellen, dass nur berechtigte Personen auf Anwendungen und IT-Systeme zugreifen können,(10) so dass bei der Nichtbenutzung des Computers diese Inhalte für andere nicht zugängig sind. Alle Mitarbeitenden, besonders die im Homeoffice, müssen darauf hingewiesen werden, dass auf unbeaufsichtigten Arbeitsplätzen keine sensiblen Informationen frei zugreifbar oder frei zugängig sein dürfen.(11) Die Bildschirmsperre bietet hierbei die Lösung, welche automatisch aktiviert werden kann(12) oder beim Verlassen des Arbeitsplatzes die Sperrung durch die Arbeitskraft vorgenommen werden muss. Ebenso kann die Arbeitskraft dazu verpflichtet werden, bei kurzen Unterbrechungen der Arbeit, den unerwünschten Benutzerwechsel unter ein und derselben Benutzererkennung am PC zu verhindern.(13) Eine weitere Lösung kann sein, dass der Raum des Heimarbeitsplatzes an sich für andere nicht betretbar ist. Dies lässt sich allerdings in familiärer Umgebung schwer umsetzen. Ein weiterer Risikofaktor bleibt die nicht vorhandene Möglichkeit zur Durchführung von stichprobenartigen Kontrollen seitens des Arbeitgebers.(14)

IT-Ausstattung

4.1 Unternehmenseigene Laptops

Die Arbeitsmittel, die die Mitarbeitenden zur Erledigung der vertraglich geschuldeten Tätigkeiten benötigen, also auch die IT-Ausstattung, muss grundsätzlich vom Unternehmen bereitgestellt werden.(15) Die geeignete Auswahl von Laptops wird im optimalen Fall anhand einer Anforderungsanalyse und deren Bewertung von der Institution vorgenommen.(16) Hierbei werden Faktoren sowohl für Hardware als auch für Software berücksichtigt.

Wenn bereits konfigurierte Laptops im Homeoffice eingesetzt werden können, muss von der Arbeitskraft auf wesentlich weniger geachtet werden. Die Arbeit im Homeoffice ist vergleichbar mit der Arbeit auf Geschäftsreisen. Die sichere Kommunikation muss auch von unterwegs gewährleistet sein.(17) Die dazugehörigen Regelungen – für den Informationsschutz für unterwegs – sind in den Sicherheitsrichtlinien des Unternehmens festzuhalten.(18) Gleich wie in der Büroumgebung muss auch bei Heimarbeitsplätzen eine sichere, an die Aufgaben der jeweiligen benutzenden Person angepasste Benutzerumgebung eingerichtet werden. Dies gilt auch für den Zugriffsschutz.(19)

Das Unternehmen kann derart konfigurierte Hardware zur Verfügung stellen, die nur den Zugang zum eigentlichen Unternehmensnetzwerk herstellt, ohne dass sich die Informationen dabei auf dem Laptop befinden. Wiederum können auch solche Laptops herausgegeben werden, die den Arbeitsplatzrechner als Telearbeitsrechner ersetzen. Die Gestaltung der Informationssicherheit dieser Endgeräte ist weit anspruchsvoller und richtet sich nach dem Schutzbedarf der verarbeiteten Informationen.

Überlegenswert ist – unabhängig von der Zugangsart zum Unternehmenssystem – die zeitliche Beschränkung für Benutzerkonten auf diesen Geräten.(20) Für den Fall, dass das Gerät in den Besitz von unbefugten Personen gerät, reduziert sich so das Risiko. Je nach Schutzbedarf können mobile Geräte auch mit einem GPS-Sender ausgestattet werden und bei fehlgeschlagenen Anmeldeversuchen wird auch die genaue Vorgehensweise definiert. Eine weitere technische Lösung für die Gewährleistung von Informationssicherheit, für den Fall eines Verlustes, ist der Remote-Zugriff durch den Arbeitgeber, wenn die Sicherheit der Daten akut gefährdet ist. Die Sperrung sowie Löschung des zur Arbeitskraft und mobilem Endgerät zugehörigen Accounts/Terminals muss unternehmensintern vorgenommen werden.(21)

In Verbindung mit der dienstlichen Nutzung von privaten mobilen Datenträgern, wie beispielsweise USB-Sticks, wurde vom BSI das Fallbeispiel “Servicetechniker” veröffentlicht, das auf geeigneter Weise auf die Gefahren aufmerksam macht.(22) Auf den dienstlichen USB-Stick, der für Softwareaktualisierungen eingesetzt war, hat der Servicetechniker von seinem privaten PC Musik übertragen. Dabei ist auch Schadsoftware auf die Hardware gelangt, die den Entwicklungsrechner infizierte und auf diese Weise dem Betrieb erhebliche Schaden hätte verursachen können.

USB-Sticks bedeuten ein Sicherheitsrisiko, weshalb der Umgang mit solchen Geräten geregelt werden muss.(23) Der Einsatz von privaten und bereits benutzten USB-Sticks ist zu vermeiden, wenn der dienstliche Laptop nicht über ausreichenden Schutz verfügt. Eine weitere denkbare Lösung ist die Sperrung aller USB-Anschlüsse der Laptops mit eventuellen Freigabemöglichkeiten.

4.2 Eigene Hardware – BYOD

In einigen Branchen kann der Einsatz von eigenen PCs oder Laptops der Arbeitskraft (24) möglich sein, wenn die Sicherheitsgrundsätze eingehalten werden. In diesem Fall ist wesentlich mehr zu beachten, als bei dienstlichen mobilen Endgeräten. Die Verantwortung der Mitarbeitenden ist ebenfalls höher. Die Abgrenzung von privater und beruflicher Nutzung erscheint sowohl aus rechtlicher als auch technischer Sicht besonders im Hinblick auf die Informationssicherheit und den Datenschutz äußerst schwer zu verwirklichen.(25) Eine berufliche Nutzung von einem Laptop liegt dann vor, „wenn ein spezifischer Bezug zu den arbeitsvertraglichen Leistungspflichten besteht. Dies ist immer dann der Fall, wenn der Arbeitnehmer die IT-Betriebsmittel nutzt, um seine ihm übertragenen Aufgaben zu erledigen.“(26) Der Arbeitgeber muss aber sicherstellen, dass die von ihm vorgegebenen Maßnahmen zur Datensicherheit durch die jeweilige Person eingehalten werden.(27) Es ist wichtig, besonders im Dienstleistungsgeschäft, dass auch Kundendaten ausreichend geschützt werden. Besondere Vorsicht ist u.a. in der Finanzdienstleistungsbranche geboten. Hierbei stellt die Nutzung eigener privaten Endgeräte eine erhebliche Gefahr dar und soll möglichst vermieden werden. Dennoch können einige Umstände dazu führen, dass ein privates Endgerät doch eingestezt wird. In diesem Fall gilt auch, dass Mitarbeitende ausreichend geschult und informiert werden sowie die Vorgaben des Arbeitgebers äußerst genau einhalten. Verpflichtende BYOD-Konzepte ergänzt mit Checklisten für die Mitarbeiter können sich dabei als geeignet erweisen, welche von externen Dienstleistern zur Verfügung gestellt werden können.(28)

4.2.1 Eignung

Die Eignung der eigenen Geräte ermöglicht, dass eine Arbeitnehmerin oder ein Arbeitnehmer ohne dienstliches Endgerät seine aus dem Arbeitsvertrag herzuleitenden Aufgaben erledigt. Dabei ist neben der Kompatibilität von diversen Anwendungen auch sicherzustellen, dass die im Homeoffice benutzten Geräte nicht veraltet sind. Fehlende Updates beispielsweise können die Arbeit im Homeoffice unnötig beschränken und die Informationssicherheit gefährden, da Sicherheitslücken in den älteren Versionen mit großer Wahrscheinlichkeit vorhanden sein können. Noch vor der dienstlichen Nutzung müssen diese Updates eingespielt werden.

Angemessene Sicherheitsprodukte wie geeignete Anti-Viren bzw. Anti-Malware(29) Programme sowie geeignete Firewall(30) Einstellungen müssen im Homeoffice ebenfalls den unternehmensinternen Sicherheitsanforderungen und den gesetzlichen Vorschriften entsprechen(31) damit die IT-Compliance gewährleistet ist. Ebenfalls ist es festzulegen sowie bekanntzugeben, welche Verhaltensregeln beim Auftreten von Schadprogrammen zu befolgen sind.(32)

4.2.2 Mehrere Benutzer

Oft werden private Geräte von anderen im Haushalt lebenden Personen, meist von Familienangehörigen, benutzt. Daraus ergeben sich besondere Gefahren für die Informationssicherheit überwiegend im Hinblick auf Datenschutz.(33)

Die dienstliche und die private Nutzung kann mithilfe von Benutzeranmeldungen in geeigneter Weise getrennt werden, damit der Zugang zu arbeitsrelevanten Inhalten sowie Anwendungen unbefugten Dritten (meist Familienangehörigen) nicht gelingt. So garantiert der Zugriffschutz auch die Verhinderung einer versehentlichen Einstellungsveränderung, Löschung von Dokumenten oder Versendung von E-Mails.

Eine weitere mögliche Lösung für die technische Trennung von privaten und dienstlichen Daten auf einem privaten Endgerät ermöglichen sog. Container-Apps.(34) Dabei ist die Kompatibilität unter allen dienstlich genutzten Computern von Relevanz. Eine weitere denkbare Lösung bietet eine Virtualisierungssoftware.

4.2.3 Gespeicherte Daten

Auf dem eigenen Endgerät gespeicherte Daten, unter Umständen auch Kundendaten, sind trotz einhaltung der oben aufgezeigten Schutzmaßnahmen nicht ausreichend geschützt. Ein Grund hierfür ist, dass private Laptops nicht die den Unternehemsanforderungen entsprechenden Konfiguration haben. So kann beispielsweise die Sperrung des Geräts mithilfe von Remote-Zugriff nicht vorgenommen werden und die gespeicherten Daten werden im Falle eines Diebstahls oder Verlustets leicht zugängig. Aufgrund eines technischen Fehlers oder ungeeigneter Sicherheitsvorkehrungen (s.o. Anti-Malware und Firewall Einstellungen) kann der private PC derartig geschädigt sein, dass die auf diesem Gerät gespeicherten Daten nicht mehr abrufbar sind. In diesem Fall ist nicht nur die Vertraulichkeit sondern auch die Verfügbarkeit der Informationen nicht gewährleistet.

Die Unsicherheit in einem Dienstverhältnis von beiden Seiten kann mit BYOD-Konzepten abgeschafft werden.(35) Diese Konzepte wären dann als Nutzungsbedingungen für das Homeoffice ausgearbeitet und erfordern eine sorgfältige vertragliche Gestaltung,(36) da der Arbeitgeber sicherstellen muss, dass die Sicherheitsmaßnahmen seitens der Mitarbeitenden vorgenommen werden. Eine umfassende vertragliche Regelung ist deshalb empfehlenswert.(37) Die Nutzung von privaten Endgeräten für dienstliche Zwecke bedeutet also einen höheren regulativen Aufwand auch für den Arbeitgeber(38) und mehr Verantwortung für die mitarbeitenden Personen.

Die drei Musketiere

5.1 Verschlüsselung

Die Unternehmenskommunikation erfolgt im Homeoffice vorwiegend über das Internet und enthält in der Regel für das Unternehmen sensible unternehmens- und personenbezogene Daten bzw. Geschäfts- und Betriebsgeheimnisse.(39) Nicht nur der Datenschutz, sondern auch die Wettbewerbsfähigkeit kann dabei gefährdet werden, wenn diese Daten in den Machtbereich von unbefugten Dritten gelangen. Deshalb müssen die Telekommunikationsmöglichkeiten bei der Telearbeit einer Organisation geregelt werden.(40) Der abgesicherte Informationsaustausch(41) über das Internet ist eine Voraussetzung der Informationssicherheit, welcher mithilfe von einer aktuellen Konzeption(42) oder Richtlinie(43) für die sichere Internet-Nutzung für den geregelten Ablauf nur nach geeigneten, klar definierten Regeln vorgenommen wird.(44)

Ein für das Unternehmen geeignetes Virtual Private Network (VPN) bietet den erwünschten Grundschutz und garantiert die Ende-zu-Ende Verschlüsselung der Verbindung zwischen Arbeitskraft und Unternehmen. Der Einsatz des VPNs sollte von einer VPN-Anforderungsanalyse anhand der gegebenen Geschäftsprozesse und Anwendungszwecke vorbereitet werden.(45) Es ist festzulegen, welche Arten von Benutzerinnen und Benutzern (hier Homeoffice Mitarbeiteende(46)) mit welchen Berechtigungen das jeweilige VPN nutzen dürfen. Die Verfahren zur Identifikation und Authentifikation für die Nutzung des VPNs müsste dementsprechend geeignet sein.(45)

Nicht nur die Überprüfung sowie das Monitoring sind erforderlich,(47) sondern eine Sicherheitsrichtlinie zur VPN-Nutzung muss ebenfalls erstellt werden, welche den Mitarbeitern etwa durch Schulungen bekanntgegeben werden.(48)

5.2 Phishing

Ein weiterer wichtiger Faktor der Informationssicherheit ist die E-Mail-Kommunikation. Die VPN-Verbindung oder eine Ende-zu-Ende Verschlüsselung des Mailing Programms bieten zwar den erwünschten Grundschutz, dennoch können Mitarbeiter oft Opfer von Phishing-Mails werden. In diese Kategorie sind weitere betrügerische Handlungen wie z.B. CEO-Fraud Mails und Update-Anforderungen einzuordnen. Eine im Namen der Geschäftsleitung versendete Mail mit einem “Link zum Draufklicken” erweckt in Mitarbeitern viel zu oft nicht den Eindruck einer betrügerischen Mail. Deshalb ist es umso wichtiger, alle Personen im Unternehmen regelmäßig auf solche Gefahren aufmerksam zu machen, gar zu testen.(49)

5.3 Passwortmanagement

Die fehlende Passwortsicherheit bietet Cyberkriminellen ein Paradies für ihr zerstörerisches und betrügerisches Vorhaben. Die Regelungen zu Passwörtern (Verwendung und Umgang) sind meistens bereits in der unternehmenseigenen IT-Sicherheitsrichtlinie festgelegt. Hierbei sind zwei Aspekte hervorzuheben: Die Stärke des Passworts und Regelmäßigkeit der Passwortänderung.

Von einfachen und nachvollziehbaren Passwörtern wie Geburtsdatum, Name oder User ID ist generell abzuraten. Es gilt: Je komplexer, desto sicherer. Mögliche Vorgaben können sein: Mindestens oder exakt 8 Zeichen, Verwendung von Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen.(50) Der Einsatz von Sonderzeichen gibt zwar mehr Sicherheit, erhöht aber gleichzeitig die Gefahr, Passwörter international aufgrund von unterschiedlichen Tastaturen nicht verwenden zu können und somit keinen Zugang zu haben. Es muss seitens der Arbeitskraft gesichert sein, dass die, für unterschiedliche dienstliche Anmeldungen benutzten Passwörter, verschieden sind.

Eine verbindliche Regelung für den Passwortgebrauch führt im Unternehmen zur einer erhöhten Informationssicherheit.(51) Doch einzelne Handlungen wie das Anweisen zur regelmäßigen Passwortänderung und Geheimhaltung sind mitarbeiterfreundlicher und vermitteln den Eindruck der Aufmerksamkeit des Unternehmens ohnehin.(52)

Zusatzhinweise

Gleich ob eine neue Situation Unternehmen zum Umdenken sowie zum Umorganisieren veranlasst, bleibt das Problem alt: Anhand einer unerwarteten Situation sollte eine Institution in der Lage sein, den Betrieb aufrecht zu erhalten, da die Betriebsfähigkeit (Handlungsfähigkeit, Gewinnorientierung sowie Verlässlichkeit) elementare Bestandteile einer Organisation sind.

Deshalb sind Notfallpläne und die entsprechende Vorbereitung der Mitarbeitenden auf bestimmte Szenarien, wie beispielsweise die jetzige Situation, dass vorwiegend im Homeoffice gearbeitet werden muss, nötig. So können Arbeitnehmer ihren dienstlichen Verpflichtungen bestmöglich nachkommen. Ganz egal, für welchen Fall: Brand, Unwetterschäden, Wasserschaden, Erdbeben, Pandemie oder vergleichbare Naturkatastrophen. Diese Notfallpläne sollten erprobt werden und ergebnisabhängig revidiert sowie verbessert werden, damit sie immer aktuell und umsetzbar sind.(53)

Take away

Die Arbeit im Homeoffice in Hinblick auf IT-Compliance Anforderungen erfordert besondere Aufmerksamkeit sowohl seitens der Unternehmensleitung, als auch von den einzelnen Mitarbeitenden. Gleichzeitig erweisen sich „tone from the top“ in Form von Anweisungen sowie Anordnungen etwa durch interne Schulungen als besonders wichtig und stehen in enger Verbindung mit den unternehmenseigenen Notfallplänen. Es bedarf einer strikten Trennung zwischen Informationen für „what if“ und „always“, abhängig vom Unternehmensprofil und Branche. Die in diesem Beitrag angesprochenen Themen lassen sich mithilfe einer Checkliste sowie speziellen, den Unternehmensbedürfnissen angepassten Schulungen für Mitarbeitenden implementieren und können somit den ersten und gleichzeitig den wichtigsten Schritt zu einer complianten Informationssicherheit für den heimischen Arbeitsplatz bieten. Bei der Erstellung von solchen Checklisten sowie Durchführung von Mitarbeiterschulungen als Web Based Trainings (WBT) helfen externe Beratungsleistungen von kompetenten und qualifizierten Dienstleistern.(54) Es ist stets zu beachten, dass alle Maßnahmen und Vorkehrungen im Einklang mit den Schutzzielen Integrität, Verfügbarkeit sowie Vertraulichkeit der Informationssicherheit sein müssen.

Quellen

• Bundesamt für Sicherheit in der Informationstechnik, Checklisten Handbuch IT-Grundschutz, 14. Aktualisierung 2015;
• Stefan Kramer, IT-Arbeitsrecht, Digitalisierte Unternehmen: Herausforderungen und Lösungen, 2. Auflage 2019.

Verweise

(1) Kramer, Rn. 9.
(2) Kramer, Rn. 690.
(3) BSI, Maßnahme M 2.309.
(4) Kramer, Rn. 189.
(5) Kramer, Rn. 180.
(6) Kramer, Rn. 181 f.
(7) Kramer, Rn. 182.
(8) BSI, Maßnahme M 2.116.
(9) BSI, Maßnahmen M 3.58, M 3.59, M 6.102.
(10) BSI, Maßnahme M 4.1.
(11) BSI, Maßnahme M 2.37.
(12) BSI, Maßnahmen M 3.18, M 4.2.
(13) BSI, Maßnahme M 3.18.
(14) BSI, Maßnahme M 2.37.
(15) Kramer, Rn. 628.
(16) BSI, Maßnahmen M 2.310, M 4.63.
(17) BSI, Maßnahme M 5.121.
(18) BSI, Maßnahme M 2.430.
(19) BSI, Maßnahme M 4.27.
(20) BSI, Maßnahme M 4. 16.
(21) BSI, Maßnahme M 4.17.
(22) https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_095c.pdf
(23) BSI, Maßnahmen M 2.401, M 4.4.
(24) Bring Your Own Device - BYOD.
(25) Kramer, Rn. 18, Rn. 138.
(26) Kramer, Rn. 139.
(27) Kramer, Rn. 690.
(28) z. B. von g2c Consulting
(29) BSI, Maßnahme M 3.69.
(30) BSI, Maßnahmen M 3.28, M 5.91.
(31) BSI, Maßnahme M 4.41.
(32) BSI, Maßnahme M 6.23.
(33) Kramer, Rn. 690.
(34) Kramer, Rn. 691.
(35) Kramer, Rn. 18.
(36) Kramer, Rn. 710.
(37) Kramer, Rn. 712.
(38) / (39) Kramer, Rn. 677.
(40) BSI, Maßnahme M 2.116.
(41) BSI, Maßnahme M 2.116.
(42) BSI, Maßnahme M 2.475.
(43) BSI, Maßnahme M 2.476.
(44) BSI, Maßnahmen M 3.77, M 3. 78, M 5.45 i.V.m M 5.93 , M 5.155.
(45) BSI, Maßnahmen M 2.415, evtl. M 4.113.
(46) BSI, Maßnahme M 2.419
(47) BSI, Maßnahme M 2.417.
(48) BSI, Maßnahmen M 2.418, M 3.65. Zur sicheren Konfiguration und zum sicheren Betrieb eines VPN-s siehe M 4.320 f. und M 6.109 Notfallplan für den Ausfall eines VPNs.
(49) BSI, Maßnahme M 3.33.
(50) Kramer, Rn. 169.
(51) BSI, Maßnahme M 2. 11.
(52) BSI, Maßnahme M 4.306.
(53) Notfallpläne sind elementare Bestandteile des Risikomanagements einer Organisation. Eine Risikoanalyse dient der Vorbereitung des Notfallplans.
(54) www.g2c.consulting