Homeoffice-Richtlinie: IT-Sicherheit beim Arbeiten von zuhause

Warum Homeoffice eine eigene Richtlinie braucht

Das Büro ist ein kontrollierter Raum. Das Netzwerk wird von der IT verwaltet, der physische Zutritt ist geregelt, die Arbeitsplätze sind standardisiert, und die Sicherheitsinfrastruktur (Firewall, IDS, Netzwerksegmentierung) schützt alle Geräte gleichermaßen.

Im Homeoffice löst sich dieser Schutzmantel auf. Der Mitarbeitende sitzt im eigenen WLAN, das möglicherweise mit dem Standard-Passwort des Routers gesichert ist. Die Kinder nutzen denselben Netzwerkanschluss für Online-Gaming. Der Bildschirm ist vom Esstisch aus einsehbar, wo der Besuch sitzt. Vertrauliche Dokumente liegen auf dem Küchentisch, weil der Drucker im Wohnzimmer steht. Und wenn der Laptop gestohlen wird, ist nicht nur ein Gerät weg, sondern der vollständige Zugang zum Unternehmensnetzwerk.

All das klingt nach Einzelfällen, passiert aber täglich tausendfach. Eine Homeoffice-Richtlinie definiert die Spielregeln, die sicherstellen, dass das Arbeiten von zuhause nicht zum Sicherheitsrisiko wird. Sie ergänzt die allgemeine Informationssicherheitsrichtlinie um die spezifischen Anforderungen des Remote-Arbeitsplatzes.

Was die Normen verlangen

ISO 27001

ISO 27001 adressiert das Thema Remote Work in A.6.7 (Remote Working). Das Control fordert, dass Sicherheitsmaßnahmen implementiert werden, wenn Mitarbeitende außerhalb der Unternehmensräume arbeiten. Die Maßnahmen müssen die physische Arbeitsumgebung, die Kommunikation, den Fernzugriff auf Systeme und die Sicherheit der verwendeten Geräte umfassen.

Ergänzend relevant sind A.8.1 (User endpoint devices) für die Gerätesicherheit und A.8.20 (Networks security) für die sichere Netzwerkverbindung.

NIS2

NIS2 verlangt in Artikel 21 angemessene technische und organisatorische Maßnahmen zum Schutz der Netz- und Informationssysteme. Das Homeoffice erweitert die Angriffsfläche erheblich, und ohne dokumentierte Maßnahmen fehlt der Nachweis, dass du dieses Risiko adressierst.

BSI IT-Grundschutz

Das BSI widmet dem Thema den Baustein OPS.1.2.4 (Telearbeit) und INF.9 (Mobiler Arbeitsplatz). Beide enthalten detaillierte Anforderungen, die als Orientierung für deine Richtlinie dienen können.

Geltungsbereich

Die Richtlinie muss klar definieren, für wen und für welche Arbeitsformen sie gilt.

Telearbeit (Homeoffice): Regelmäßiges Arbeiten von der privaten Wohnung des Mitarbeitenden aus, mit einem fest eingerichteten Arbeitsplatz.

Mobiles Arbeiten: Gelegentliches Arbeiten von unterwegs (Zug, Hotel, Café, beim Kunden). Die Anforderungen sind hier teilweise strenger, weil die Umgebung weniger kontrollierbar ist.

Hybrides Arbeiten: Kombination aus Büro- und Heimarbeit. Die häufigste Arbeitsform in vielen Unternehmen.

Die Richtlinie gilt für alle Mitarbeitenden, die ganz oder teilweise außerhalb der Unternehmensräume arbeiten, einschließlich externer Mitarbeitender und Dienstleister, soweit sie von remote auf Unternehmenssysteme zugreifen.

Technische Anforderungen

Geräte

Die Richtlinie muss festlegen, welche Geräte für das Arbeiten im Homeoffice zugelassen sind.

Unternehmenseigene Geräte (bevorzugt): Vom Unternehmen bereitgestellte und verwaltete Laptops sind die sicherste Option. Die IT hat Kontrolle über Konfiguration, Updates, Verschlüsselung und installierte Software. Die Richtlinie sollte unternehmenseigene Geräte als Standard definieren.

Private Geräte (BYOD): Wenn private Geräte zugelassen werden, muss die Richtlinie Mindestanforderungen definieren: aktuelles Betriebssystem, Festplattenverschlüsselung, Antivirus-Software, automatische Updates. Mobile Device Management (MDM) oder eine Container-Lösung, die geschäftliche und private Daten trennt, ist empfehlenswert.

Unabhängig vom Gerätetyp fordert die Richtlinie:

• Festplattenverschlüsselung: BitLocker (Windows), FileVault (macOS) oder vergleichbar. Ohne Verschlüsselung ist ein gestohlener oder verlorener Laptop ein vollständiger Datenabfluss.
• Automatische Bildschirmsperre: Nach maximal fünf Minuten Inaktivität.
• Aktuelles Betriebssystem und Patches: Sicherheitsupdates werden zeitnah installiert, idealerweise automatisiert.
• Endpoint-Protection: Antivirus/EDR-Lösung aktiv und aktuell.
• Keine lokale Administratorrechte: Mitarbeitende können keine beliebige Software installieren.

Netzwerkverbindung

Die Verbindung vom Homeoffice ins Unternehmensnetzwerk ist der kritischste Punkt.

VPN-Pflicht: Die Richtlinie definiert, dass der Zugriff auf interne Systeme ausschließlich über das Unternehmens-VPN oder eine gleichwertige Zero-Trust-Lösung erfolgt. Direkter Zugriff auf interne Ressourcen ohne VPN ist nicht zulässig.

WLAN-Sicherheit: Die Richtlinie empfiehlt, das private WLAN mit WPA3 (oder mindestens WPA2 mit starkem Passwort) zu sichern, und verbietet die Nutzung offener oder unbekannter WLANs für berufliche Zwecke.

Split-Tunneling: Die Richtlinie legt fest, ob Split-Tunneling (nur Unternehmensverkehr über VPN, privater Verkehr direkt ins Internet) erlaubt ist. Full-Tunneling bietet mehr Sicherheit, weil der gesamte Datenverkehr über die Unternehmensinfrastruktur läuft und dort gefiltert wird. Split-Tunneling entlastet die VPN-Infrastruktur, bietet aber weniger Schutz.

Hotspots und öffentliche Netzwerke: Die Richtlinie verbietet die Nutzung öffentlicher WLANs (Hotel, Café, Flughafen) ohne aktive VPN-Verbindung. Alternativ soll ein mobiler Hotspot (Smartphone-Tethering) genutzt werden.

Authentifizierung

MFA-Pflicht: Für den Fernzugriff auf Unternehmenssysteme ist Mehr-Faktor-Authentifizierung zwingend. Das gilt für VPN, E-Mail-Zugang, Cloud-Dienste und alle anderen extern erreichbaren Systeme.

Passwort-Richtlinie: Die allgemeine Passwort-Richtlinie gilt uneingeschränkt auch im Homeoffice.

Session-Timeouts: Sitzungen werden nach einer definierten Inaktivitätsdauer automatisch beendet. Der Mitarbeitende muss sich erneut authentifizieren.

Physische Sicherheit im Homeoffice

IT-Sicherheit im Homeoffice beschränkt sich nicht auf Technik. Die physische Umgebung spielt eine ebenso wichtige Rolle.

Arbeitsumgebung

Die Richtlinie empfiehlt (oder fordert, je nach Unternehmensgröße und Schutzbedarf):

• Separater Arbeitsbereich: Idealerweise ein abschließbares Arbeitszimmer. Wenn das nicht möglich ist, muss der Arbeitsplatz so positioniert sein, dass der Bildschirm nicht von Dritten (Familienmitglieder, Besucher) einsehbar ist.
• Bildschirmschutzfolie: Für Arbeiten in Bereichen, in denen Dritte den Bildschirm sehen könnten. Im Homeoffice optional, beim mobilen Arbeiten (Zug, Café) empfohlen.
• Verschließbare Aufbewahrung: Vertrauliche Dokumente werden in einem abschließbaren Schrank oder Rollcontainer aufbewahrt, nicht offen auf dem Schreibtisch.

Dokumente und Ausdrucke

• Drucken: Die Richtlinie definiert, ob im Homeoffice gedruckt werden darf und welche Klassifizierungsstufen davon ausgenommen sind. Vertrauliche und streng vertrauliche Dokumente gemäß der Klassifizierungsrichtlinie sollten nicht im Homeoffice gedruckt werden.
• Vernichtung: Ausdrucke mit internen oder vertraulichen Informationen werden nicht im Hausmüll entsorgt, sondern mit einem Aktenvernichter (Cross-Cut, Sicherheitsstufe P-4 oder höher) vernichtet oder im Büro in die sichere Entsorgung gegeben.
• Aufbewahrung: Geschäftliche Dokumente werden nicht dauerhaft im Homeoffice gelagert, sondern nach Gebrauch ins Büro mitgenommen oder digital abgelegt.

Telefonate und Videokonferenzen

• Vertrauliche Gespräche: Gespräche mit vertraulichem Inhalt werden nicht in Hörweite Dritter geführt. Bei Videokonferenzen wird darauf geachtet, dass keine vertraulichen Informationen (Whiteboards, Bildschirminhalte, Dokumente) im Hintergrund sichtbar sind.
• Headset: Die Nutzung eines Headsets wird empfohlen, um mithören zu verhindern.
• Hintergrund: Bei Videokonferenzen einen neutralen oder virtuellen Hintergrund verwenden, wenn die häusliche Umgebung ungeeignet ist.

Datenhaltung und Cloud-Nutzung

Die Richtlinie regelt, wo und wie Daten im Homeoffice gespeichert werden.

Keine lokale Speicherung: Geschäftliche Daten werden nicht lokal auf dem Endgerät gespeichert, sondern auf den zentralen Unternehmensystemen (Fileserver, Cloud-Laufwerk, DMS). Lokale Kopien sind nur für die aktive Bearbeitung zulässig und werden danach gelöscht.

Zugelassene Cloud-Dienste: Nur die vom Unternehmen freigegebenen Cloud-Dienste dürfen für die Speicherung und den Austausch von Geschäftsdaten genutzt werden. Private Cloud-Speicher (Dropbox-Privatkonto, Google Drive privat) sind für geschäftliche Daten verboten.

USB-Sticks und externe Speicher: Die Nutzung privater USB-Sticks und externer Festplatten für geschäftliche Daten ist verboten oder stark eingeschränkt (siehe Wechseldatenträger-Richtlinie).

Umgang mit Sicherheitsvorfällen im Homeoffice

Die Incident-Response-Richtlinie gilt auch im Homeoffice. Die Homeoffice-Richtlinie ergänzt sie um spezifische Aspekte:

Meldepflicht: Sicherheitsvorfälle (Verlust oder Diebstahl des Geräts, Verdacht auf Malware, unbefugter Zugriff auf den Arbeitsplatz, verdächtige E-Mails) werden sofort an die IT oder den ISB gemeldet, auch außerhalb der Geschäftszeiten.

Erreichbarkeit: Die Kontaktdaten für die Meldung von Sicherheitsvorfällen müssen auch offline verfügbar sein (nicht nur im Intranet, sondern auch auf dem Handy oder ausgedruckt).

Geräteverlust: Bei Verlust oder Diebstahl des Geräts wird sofort die IT informiert. Das Gerät wird remote gesperrt oder gelöscht (Remote Wipe). Zugangsdaten werden zurückgesetzt.

Auffälligkeiten im Netzwerk: Wenn der Mitarbeitende ungewöhnliches Verhalten seines Geräts oder Netzwerks bemerkt (z.B. unerklärliche Popups, langsame Verbindung trotz gutem Internet, unbekannte Prozesse), meldet er das der IT, auch wenn es sich als harmlos herausstellt.

Verantwortlichkeiten

Mitarbeitende: Einhaltung der Richtlinie, Meldung von Vorfällen, Sicherung der physischen Umgebung, Teilnahme an Schulungen.

IT-Abteilung: Bereitstellung und Konfiguration der Geräte, VPN-Infrastruktur, Endpoint-Management, Unterstützung bei technischen Problemen im Homeoffice.

ISB: Erstellung und Pflege der Richtlinie, Überwachung der Einhaltung, Risikobewertung der Homeoffice-Situation.

Vorgesetzte: Sicherstellen, dass die Mitarbeitenden die Richtlinie kennen und einhalten. Unterstützung bei der Einrichtung eines geeigneten Arbeitsplatzes.

Geschäftsführung: Freigabe der Richtlinie, Bereitstellung der Ressourcen (Geräte, VPN-Lizenzen, Bildschirmschutzfolien, Aktenvernichter).

Schulung und Awareness

Mitarbeitende, die im Homeoffice arbeiten, brauchen spezifische Schulungen:

• Einmalige Schulung bei Beginn der Homeoffice-Tätigkeit: Technische Einrichtung, VPN-Nutzung, physische Sicherheit, Meldewege.
• Jährliche Auffrischung: Aktuelle Bedrohungen (Phishing im Homeoffice-Kontext, Social Engineering über Telefon), Updates der Richtlinie, Best Practices.
• Phishing-Simulationen: Regelmäßige Phishing-Tests, die auch Homeoffice-spezifische Szenarien umfassen (z.B. gefälschte IT-Support-E-Mails, die zum Installieren von „VPN-Updates" auffordern).

Kontrolle und Compliance

Die Richtlinie muss regeln, wie die Einhaltung überprüft wird, ohne die Privatsphäre der Mitarbeitenden unverhältnismäßig einzuschränken.

Technische Überprüfung: Automatisierte Checks über das MDM oder Endpoint-Management: Ist die Festplattenverschlüsselung aktiv? Sind die Patches aktuell? Ist das Antivirus-Programm aktuell?

Keine Überwachungssoftware: Die Richtlinie stellt klar, dass keine Software zur Überwachung der Arbeitsleistung im Homeoffice eingesetzt wird. Die Kontrolle bezieht sich ausschließlich auf die Einhaltung der Sicherheitsanforderungen, nicht auf das Arbeitsverhalten.

Stichproben: Der ISB kann in Abstimmung mit dem Betriebsrat (falls vorhanden) Stichproben durchführen, z.B. durch Überprüfung der Gerätekonfiguration bei der nächsten Büro-Anwesenheit.

Selbstauskunft: Mitarbeitende bestätigen jährlich (z.B. im Rahmen der Richtlinien-Kenntnisnahme), dass sie die Anforderungen der Homeoffice-Richtlinie einhalten und keine wesentlichen Änderungen an ihrer Arbeitsumgebung eingetreten sind. In ISMS Lite lässt sich diese jährliche Selbstauskunft als digitale Kenntnisnahme abbilden, sodass du jederzeit den Nachweis hast, wer die Richtlinie bestätigt hat.

Beispielgliederung

1. Zweck und Geltungsbereich - Arbeitsformen, betroffener Personenkreis
2. Begriffe und Definitionen - Telearbeit, mobiles Arbeiten, hybrides Arbeiten
3. Normative Grundlagen - ISO 27001 A.6.7, A.8.1, NIS2, BSI OPS.1.2.4
4. Grundsätze - Gleiches Sicherheitsniveau wie im Büro, Eigenverantwortung
5. Technische Anforderungen - Geräte, Verschlüsselung, VPN, WLAN, MFA
6. Physische Sicherheit - Arbeitsumgebung, Dokumente, Telefonate
7. Datenhaltung - Zentrale Speicherung, Cloud-Nutzung, USB-Verbot
8. Drucken und Entsorgung - Einschränkungen, Aktenvernichtung
9. Sicherheitsvorfälle - Meldepflicht, Geräteverlust, Kontaktdaten
10. Private Geräte (BYOD) - Zulassung oder Verbot, Mindestanforderungen
11. Verantwortlichkeiten
12. Schulung und Awareness
13. Kontrolle und Compliance
14. Verstöße und Konsequenzen
15. Überprüfung und Aktualisierung
16. Inkrafttreten und Freigabe

Häufige Fehler bei Homeoffice-Richtlinien

Zu restriktiv ohne Alternativen

Wenn die Richtlinie alles verbietet, ohne praktikable Alternativen anzubieten, werden die Mitarbeitenden Workarounds finden. Verbietest du USB-Sticks? Dann biete einen sicheren Cloud-Transfer an. Verbietest du das Drucken zuhause? Dann ermögliche den digitalen Workflow. Für jede Einschränkung braucht es eine gangbare Alternative, sonst wird die Richtlinie umgangen.

Fokus nur auf Technik

Viele Homeoffice-Richtlinien konzentrieren sich auf VPN, Verschlüsselung und Antivirus, vergessen aber die physische Sicherheit und die menschliche Komponente. Social Engineering am Telefon, Bildschirminhalte im Blickfeld von Besuchern oder vertrauliche Dokumente im Hausmüll sind Risiken, die keine Firewall abfängt.

Keine Unterscheidung nach Schutzbedarf

Nicht jede Tätigkeit hat den gleichen Schutzbedarf. Eine allgemeine Recherche im Internet braucht andere Schutzmaßnahmen als die Bearbeitung von Personalakten oder Finanzdaten. Die Richtlinie kann differenzieren: Basistätigkeiten im Homeoffice mit Standardschutz, sensible Tätigkeiten nur mit erweiterten Maßnahmen (z.B. nur im abschließbaren Arbeitszimmer, nur auf Unternehmensgeräten).

Vergessene Aktualisierung

Die IT-Infrastruktur ändert sich: neue Cloud-Dienste, neue VPN-Lösung, Umstellung auf Zero Trust. Wenn die Richtlinie diese Änderungen nicht nachvollzieht, wird sie zunehmend wirklichkeitsfremd. Ein jährlicher Review ist das Minimum. Technische Änderungen an der Fernzugriffsinfrastruktur sollten automatisch einen Review der Homeoffice-Richtlinie auslösen.

Fehlende Berücksichtigung des Betriebsrats

Wenn ein Betriebsrat existiert, hat er bei Regelungen, die das Verhalten der Mitarbeitenden am Arbeitsplatz betreffen, ein Mitbestimmungsrecht. Die Homeoffice-Richtlinie sollte frühzeitig mit dem Betriebsrat abgestimmt werden, insbesondere Aspekte wie technische Überwachung, Stichproben und Kontrollmaßnahmen.

Von der Richtlinie zum sicheren Homeoffice

Eine Homeoffice-Richtlinie darf kein bürokratisches Dokument sein, das Mitarbeitende davon abhält, produktiv von zuhause zu arbeiten. Sie soll Orientierung geben und ein Sicherheitsniveau schaffen, das dem des Büros möglichst nahekommt. Je praktischer und verständlicher die Richtlinie formuliert ist, desto eher wird sie gelebt.

ISMS Lite unterstützt den gesamten Richtlinien-Lifecycle: Du erstellst die Homeoffice-Richtlinie mit KI-Unterstützung, versionierst jede Änderung, holst die digitale Kenntnisnahme aller betroffenen Mitarbeitenden ein und lässt die Geschäftsführung per Unterschrift freigeben. So hast du jederzeit den Nachweis, dass deine Mitarbeitenden die Richtlinie kennen und dass sie aktuell und wirksam ist.

Weiterführende Artikel

• Sichere Remote-Arbeit und Homeoffice: Praxisleitfaden
• Richtlinie zur Nutzung mobiler Endgeräte (BYOD/MDM)
• Passwort-Richtlinie erstellen: Anforderungen, Beispiel und Durchsetzung
• MFA einführen: So machst du es richtig
• Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung