Datenschutz und Informationssicherheit gelten zu Hause genau gleich wie im Büro. Das Finanzdepartement und die Dienststelle Informatik haben in Zusammenarbeit mit dem DSB während des ersten Lockdowns einen Newsletter erarbeitet zum Thema So arbeiten Sie sicher im Home-Office. Dabei ist Datenschutz im Home-Office noch immer genauso aktuell, damit auch ausserhalb des Büros das Amtsgeheimnis und die Persönlichkeitsrechte von Bürgerinnen und Bürgern gewahrt werden können. Gerne führen wir an dieser Stelle aus Sicht Datenschutz die wichtigsten Regeln an, die aus und neben der kantonalen Weisung zum Mobil-flexiblen Arbeiten für die kantonale und kommunale Verwaltung zu beachten sind:
- Sicheres Arbeitsumfeld einreichten
Stellen Sie sicher, dass Sie ausserhalb des Büros ihren Arbeitsplatz so einrichten, dass Sie sicher arbeiten können. Dies gilt physisch wie elektronisch. Schützen Sie den Bildschirm vor Einsicht. Schützen Sie Papierdossiers und Ausdrucke vor unberechtigtem Zugriff.
Kontrollieren Sie die Verbindung, dass Sie nur mittels VPN (Cisco AnyConnect) oder Citrix-Client oder anderem sicheren Zugriff auf die Infrastruktur der Verwaltung zugreifen. Nur so können Sie die benötigen Fachanwendungen verwenden und stellen zugleich sicher, dass der Netzwerkverkehr verschlüsselt ist.
Das Gerät darf nicht anderen Personen zur Verfügung gestellt werden. Aktivieren Sie beim Verlassen des Rechners bzw. Notebooks die Bildschirmsperre (Shortcut: Windows-Taste + L) und fahren Sie diesen nach getaner Arbeit herunter.
- E-Mail sicher einsetzen
Senden Sie – wie auch am Arbeitsplatz – keine arbeitsbezogenen E-Mails von Ihrer privaten E-Mail-Adresse aus und umgekehrt. Beim Abrufen der eigenen @lu.ch-Adresse über Webmail (https://webmail.sso.lu.ch/owa/) am privaten Gerät dürfen keine Anhänge auf ihrem privaten Rechner gespeichert werden.
- Schützen Sie sich vor Phishing und anderen Bedrohungen
Die Versuche, mittels schadhaften E-Mails Zugriff auf Daten zu erlangen oder sonst Kapital herauszuschlagen, haben stark zugenommen. Prüfen Sie Ihre E-Mails auf folgende verdächtige Merkmale:
- Ein seriöser Absender wird Sie nicht nach sensitiven Informationen in einer E-Mail fragen.
- Ein seriöser Absender spricht Sie mit Ihrem korrekten Namen an (Sehr geehrter Herr Meyer und nicht «Hi User»).
- Ein seriöser Absender verwendet seine eigene E-Mail-Domain: Überprüfen Sie nicht nur den Namen des Absenders. Überprüfen Sie auch die E-Mail-Domain (Zeichenfolge nach dem @). Stellen Sie sicher, dass keine Änderungen (wie zusätzliche Zahlen oder Buchstaben) vorgenommen wurden. Also daniel.spichty(at)lu.ch und nicht daniel.spichty(at)lul.ch.
- Ein seriöser Absender macht keine offensichtlichen Schreibfehler. Der wahrscheinlich einfachste Weg, eine betrügerische E-Mail zu erkennen, ist schlechte Grammatik.
- Ein seriöser Absender zwingt Sie nicht auf seine Website. Manchmal sind Phishing-E-Mails komplett als Hyperlink codiert. Wenn Sie also versehentlich oder absichtlich irgendwo in der E-Mail klicken, wird eine gefälschte Webseite geöffnet oder Spam auf Ihren Computer heruntergeladen.
- Ein seriöser Absender versendet keine unaufgeforderten Anhänge. Unaufgeforderte E-Mails, die Anhänge enthalten, stinken nach Hackern!
Und ganz wichtig: Öffnen Sie niemals Anhänge oder Links, es sei denn, sie stammen von einer Ihnen bekannten, vertrauenswürdigen Quelle. Prüfen Sie immer bei einem angezeigten Link, ob sich auch die korrekte Internet-Adresse dahinter verbirgt. Wenn der Link im Text nicht mit der Internet-Adresse übereinstimmt, die angezeigt wird, wenn der Mauszeiger über dem Link schwebt, ist das ein sicheres Zeichen dafür, dass Sie auf eine Website geleitet werden, die Sie nicht besuchen möchten.
Auch schadhafte Kalendereinträge nehmen zu. Die Mails werden an die betroffene Adresse als Einladung geschickt und das System übernimmt sie automatisch in den Kalender. Klicken sie nicht auf «Ablehnen», sondern löschen Sie diese direkt, ohne darauf zu antworten. Melden Sie schadhafte E-Mails mit der Outlook-Funktion «Phishing melden» der DIIN.
- Mitgebrachte Akten sichern
Es gilt auch zu Hause der gleiche Umgang mit Akten wie im Büro. Nehmen Sie nur Unterlagen nach Hause, welche zur Erfüllung Ihrer Aufgaben unbedingt notwendig sind. Falls Sie Dokumente von Ihrer Arbeit mit nach Hause genommen haben, stellen Sie sicher, dass diese verschlossen aufbewahrt werden können und durch Dritte (auch Familienmitglieder) nicht einsehbar sind. Aus Sicherheitsgründen dürfen Akten nicht im «normalen» Altpapier entsorgt werden. Entsorgen Sie die Unterlagen in einem Aktenvernichter oder nehmen Sie diese wieder an Ihren Arbeitsort in der Dienststelle, um sie korrekt zu entsorgen. Falls Ihnen trotz aller Vorsichtsmassnahmen Dokumente oder Gerätschaften abhandenkommen, so melden Sie den Verlust Ihrer vorgesetzten Person. So kann rasch reagiert und ein grösserer Schaden möglichst abgewendet werden.
- Nur Drucken was nötig
Vermeiden Sie wenn immer möglich das Ausdrucken von Dokumenten mit Personendaten zu Hause auf Ihrem privaten Drucker. Müssen Sie Dokumente mit Personendaten im Home-Office drucken, verwenden Sie wenn immer möglich Ihren kantonalen Rechner bzw. Notebook. Lassen Sie auch zu Hause keine ausgedruckten Dokumente im Drucker liegen. Stellen Sie beim Drucken immer sicher, dass es sich tatsächlich um Ihren eignen Drucker handelt und nicht um den WLAN-fähigen Drucker des Nachbarn (Tipp: Sie können zuerst auch eine Testseite drucken).
- Vertraulichkeit gilt auch beim Telefonieren
Bitte beachten Sie, dass Sie zu Hause bei Telefon-, Videokonferenzen und Anrufen die Vertraulichkeit sicherstellen. Wenn Sie beispielsweise vertrauliche Informationen besprechen, so sorgen Sie dafür, dass die Informationen nur von jenen Personen mitgehört werden, die involviert sein dürfen.
- Webkonferenzen & Kollaborationslösungen
Wählen Sie die Kommunikations-Tools bewusst aus. Nutzen Sie die kantonsinterne Lösung «Skype for Business» für Webkonferenzen & Kollaboration. Überlegen Sie sich immer, welche Funktionen Sie tatsächlich benötigen. Sharing (Teilen) von Desktop, Applikationen oder Dokumenten sollte sehr zurückhaltend eingesetzt werden. Dies gilt insbesondere bei Konferenzen mit externen Dritten. Diese Funktionen bergen ein erhebliches Risiko, dass sensitive Daten unbeabsichtigt mit nicht berechtigten Personen geteilt werden. Nutzen Sie eine Funktion immer nur dann, wenn Sie mit der Funktionsweise vertraut sind. Bei der Verwendung von Kollaborations-Tools von Dritten ist grundsätzlich davon auszugehen, dass sie unsicher sind und mit diesen keine geheime Information ausgetauscht werden sollten.
- Kommunikation im Team
Wählen sie zur Kommunikation unter Mitarbeitenden nur sichere Kommunikationskanäle. Tauschen Sie über WhatsApp und ähnliche Dienste keine geschäftlichen Informationen aus. Nutzen Sie datenschutzfreundlichere Lösungen wie Threema für die Kommunikation untereinander.