- Im Homeoffice ist der Mitarbeiter für die physische Sicherheit seines Arbeitsplatzes verantwortlich. Das Unternehmen muss die Regeln definieren und die Umsetzung kontrollierbar machen.
- Ein abschließbarer Raum oder zumindest ein abschließbarer Schrank für Firmenhardware und -unterlagen ist die Mindestanforderung.
- Bildschirmsperre, Sichtschutzfolie und die Trennung von privater und beruflicher Nutzung sind grundlegende technische Maßnahmen.
- Vertrauliche Dokumente dürfen nicht im Hausmüll entsorgt werden. Mitarbeiter brauchen eine Lösung für die sichere Vernichtung.
- Eine Homeoffice-Vereinbarung regelt die gegenseitigen Pflichten und schafft die Grundlage für die Kontrolle der Maßnahmen.
Das Büro wandert nach Hause, das Risiko auch
Seit der Pandemie ist Homeoffice für viele Unternehmen kein Ausnahmefall mehr, sondern Normalität. Was als Notlösung begann, hat sich zu einem festen Bestandteil der Arbeitswelt entwickelt. Aus Sicht der Informationssicherheit bringt das eine grundlegende Herausforderung mit sich: Im Büro kontrollierst du die physische Umgebung. Im Homeoffice des Mitarbeiters tust du das nicht.
Im Büro gibt es Zutrittskontrolle, abschließbare Schränke, Aktenvernichter, eine stabile Netzwerkinfrastruktur und klare Regeln. Im Homeoffice gibt es den Küchentisch, die Familie, den Besuch von Freunden, den Handwerker und den Paketboten. Vertrauliche Telefonate finden in Hörweite des Partners statt. Der Firmenlaptop steht neben dem Spielzeug der Kinder. Und die Personalakte liegt auf dem Couchtisch, weil der Schreibtisch zu voll ist.
Das soll kein Plädoyer gegen Homeoffice sein. Es soll deutlich machen, dass die physische Sicherheit im Homeoffice nicht von allein funktioniert, sondern bewusst gestaltet werden muss.
Was die Normen fordern
ISO 27001:2022 behandelt Telearbeit und Remote-Arbeit in Kontrolle A.6.7 (Remote Working). Die Kontrolle verlangt, dass Sicherheitsmaßnahmen implementiert werden, wenn Personal außerhalb der Unternehmensräumlichkeiten arbeitet, um den Zugang zu, die Verarbeitung von und die Speicherung von Informationen außerhalb der Geschäftsräume zu schützen. Die physische Sicherheit ist dabei explizit erwähnt.
Ergänzend fordert A.7.9 (Security of Assets Off-Premises), dass Vermögenswerte außerhalb der Geschäftsräume geschützt werden müssen, unter Berücksichtigung der unterschiedlichen Risiken des Arbeitens außerhalb der Geschäftsräume.
Der BSI IT-Grundschutz widmet dem Thema den Baustein INF.9 (Mobiler Arbeitsplatz) und OPS.1.2.4 (Telearbeit). Beide Bausteine enthalten detaillierte Anforderungen an die physische Sicherheit am häuslichen Arbeitsplatz.
Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen, unabhängig vom Ort der Datenverarbeitung. Personenbezogene Daten müssen im Homeoffice genauso geschützt werden wie im Büro.
Der Arbeitsplatz: Einrichtung und Anforderungen
Der ideale Homeoffice-Arbeitsplatz
Ein separates, abschließbares Arbeitszimmer ist die beste Voraussetzung für einen sicheren Homeoffice-Arbeitsplatz. Die Tür lässt sich schließen, wenn vertrauliche Gespräche geführt werden. Der Raum kann beim Verlassen abgesperrt werden, sodass Familienmitglieder, Mitbewohner oder Besucher keinen Zugang zu Firmenhardware und -unterlagen haben. Und du hast eine klare räumliche Trennung zwischen Arbeit und Privatleben.
Die Realität sieht in vielen Haushalten anders aus: Nicht jeder hat ein separates Arbeitszimmer. Viele arbeiten am Küchentisch, im Wohn- oder Schlafzimmer oder in einer Ecke des Flurs. Das ist nicht ideal, aber auch kein Ausschlusskriterium für sicheres Arbeiten, wenn die folgenden Mindestanforderungen eingehalten werden.
Mindestanforderungen
Abschließbarer Schrank oder abschließbare Schublade: Wenn kein separater Raum vorhanden ist, braucht der Mitarbeiter mindestens eine abschließbare Aufbewahrungsmöglichkeit für Firmenhardware (Laptop, externe Festplatte, USB-Sticks), Firmenunterlagen in Papierform und den Firmenausweis bzw. Zugangskarten.
Sichtschutz: Der Bildschirm muss so positioniert sein, dass andere Personen im Raum den Inhalt nicht mitlesen können. Bei Arbeitsplätzen am Fenster (Erdgeschoss!) oder in Gemeinschaftsräumen empfiehlt sich eine Sichtschutzfolie (Privacy Filter), die den Blickwinkel so einschränkt, dass nur die Person direkt vor dem Bildschirm den Inhalt sehen kann.
Telefonierte Vertraulichkeit: Vertrauliche Telefonate und Videokonferenzen sollten nur geführt werden, wenn sichergestellt ist, dass keine unbefugten Personen mithören können. Das bedeutet: Tür zu, Kopfhörer nutzen, und wenn das nicht möglich ist, das Gespräch verschieben.
Aufgeräumter Arbeitsplatz: Die Clean Desk Policy gilt auch im Homeoffice. Am Ende des Arbeitstages werden vertrauliche Unterlagen weggeschlossen und der Bildschirm gesperrt – die Clean Desk Policy gilt auch hier.
Hardware schützen
Diebstahlschutz
Im Büro ist Hardware durch Zutrittskontrolle und gegebenenfalls Kensington-Schlösser geschützt. Im Homeoffice ist der Schutz gegen Einbruchdiebstahl deutlich geringer. Empfohlene Maßnahmen sind die Vollverschlüsselung aller Firmenlaptops und externen Datenträger, damit bei Diebstahl keine Daten abfließen. Der Laptop sollte bei längerer Abwesenheit (Urlaub, Wochenende) in einem abschließbaren Schrank oder zumindest außer Sicht aufbewahrt werden. Hardware sollte nicht im Auto gelassen werden, auch nicht "nur kurz". Die Seriennummern aller Geräte im Homeoffice müssen dokumentiert sein, damit du im Schadensfall eine genaue Verlustmeldung machen kannst.
Trennung privat und dienstlich
Firmenhardware sollte nicht privat genutzt werden und private Hardware nicht dienstlich, es sei denn, es gibt eine explizite BYOD-Richtlinie (Bring Your Own Device) mit entsprechenden technischen Maßnahmen wie Container-Lösungen, MDM (Mobile Device Management) oder virtuellen Desktops.
Der Firmenlaptop ist kein Spielzeug für die Kinder. Kein Familien-Netflix. Kein Download von Spielen. Jede private Nutzung erhöht das Risiko von Malware-Infektionen und erschwert die Abgrenzung bei einem Sicherheitsvorfall.
Netzwerksicherheit
Das Heim-WLAN ist in der Regel weniger sicher als das Unternehmensnetzwerk. Grundlegende Anforderungen an das Heim-Netzwerk sind die WPA3-Verschlüsselung (mindestens WPA2) mit einem starken Passwort, ein aktueller Router mit aktueller Firmware und ein separates WLAN für Gäste und IoT-Geräte, damit der Firmenlaptop nicht im selben Netz hängt wie die smarte Glühbirne und der Saugroboter. VPN-Nutzung für den Zugriff auf Unternehmensressourcen sollte verpflichtend sein, nicht optional. Und öffentliche WLANs (Café, Hotel, Zug) sollten nur über VPN genutzt werden.
Dokumente und Daten
Minimierungsprinzip
Im Homeoffice sollten nur die Dokumente vorhanden sein, die für die aktuelle Arbeit benötigt werden. Komplette Kundenakten, ganze Personalordner oder umfangreiche Vertragswerke gehören nicht dauerhaft in die Wohnung. Digitales Arbeiten reduziert das Risiko: Wenn Dokumente auf dem Firmenserver bleiben und nur per VPN abgerufen werden, müssen keine physischen Kopien nach Hause transportiert werden.
Transport von Dokumenten
Wenn physische Dokumente zwischen Büro und Homeoffice transportiert werden müssen, dann in einer verschlossenen Tasche, nicht lose im Rucksack. Vertrauliche Dokumente sollten nicht in öffentlichen Verkehrsmitteln gelesen werden, zumindest nicht ohne Sichtschutz. Und der Transport sollte dokumentiert werden: Welche Dokumente wurden mitgenommen und wann zurückgebracht?
Entsorgung im Homeoffice
Vertrauliche Dokumente dürfen nicht im Hausmüll entsorgt werden – die sichere Entsorgung ist Pflicht. Es gibt drei Optionen: einen eigenen Aktenvernichter im Homeoffice (mindestens Sicherheitsstufe P-3), die Mitnahme der Dokumente ins Büro zur Vernichtung dort oder einen verschlossenen Sammelbehälter, der bei der nächsten Büropräsenz mitgebracht und dort vernichtet wird. Für gelegentliches Arbeiten im Homeoffice reicht die zweite oder dritte Option. Bei dauerhaftem Homeoffice lohnt sich die Anschaffung eines eigenen Aktenvernichters, dessen Kosten das Unternehmen übernehmen sollte.
Videokonferenzen: Das unterschätzte Risiko
Videokonferenzen im Homeoffice bringen spezifische Risiken mit sich, die im Büro nicht oder kaum auftreten.
Hintergrund: Was sieht die Kamera? Ein Whiteboard mit vertraulichen Notizen? Ein Bildschirm mit geöffneten Dokumenten? Post-its mit Passwörtern? Kinder, die ins Bild laufen und damit verraten, dass du nicht allein bist? Nutze virtuelle Hintergründe oder achte darauf, dass der Kameraausschnitt keine sensiblen Informationen zeigt.
Mithören: Wer befindet sich im selben Raum oder im Nebenzimmer? Dünne Wände und offene Türen lassen mehr durch, als du denkst. Nutze Kopfhörer, damit zumindest die Gesprächspartner nicht über den Lautsprecher zu hören sind. Schließe die Tür und informiere Mitbewohner, dass du in einem vertraulichen Gespräch bist.
Screensharing: Beim Teilen des Bildschirms können versehentlich private Benachrichtigungen, E-Mail-Betreffzeilen oder geöffnete Tabs sichtbar werden. Aktiviere den "Nicht stören"-Modus und teile immer nur das spezifische Fenster, nicht den gesamten Bildschirm.
Die Homeoffice-Vereinbarung
Die Grundlage für alle Maßnahmen ist eine schriftliche Homeoffice-Vereinbarung zwischen Unternehmen und Mitarbeiter. Diese Vereinbarung regelt die gegenseitigen Pflichten und schafft die Grundlage dafür, dass du als Unternehmen die Einhaltung der Sicherheitsmaßnahmen einfordern und kontrollieren kannst.
Inhalte der Vereinbarung
Arbeitsplatzanforderungen: Beschreibung der Mindestanforderungen an den häuslichen Arbeitsplatz, wie oben beschrieben.
Hardware und Software: Welche Geräte werden vom Unternehmen gestellt? Welche privaten Geräte dürfen genutzt werden? Welche Software muss installiert sein (VPN, Antivirus, Festplattenverschlüsselung)?
Umgang mit Dokumenten: Regeln für den Transport, die Aufbewahrung und die Vernichtung von Firmendokumenten im Homeoffice.
Datenschutz: Verpflichtung zur Einhaltung der DSGVO und der betrieblichen Datenschutzrichtlinien.
Kontrollrecht: Das Recht des Unternehmens, die Einhaltung der Sicherheitsmaßnahmen zu überprüfen. Dieses Kontrollrecht muss verhältnismäßig und mit dem Mitarbeiter abgestimmt sein. Ein spontaner Hausbesuch durch den ISB ist in den meisten Fällen weder rechtlich zulässig noch praktikabel. Stattdessen kannst du arbeiten mit einer Selbstauskunft per Checkliste (z. B. vierteljährlich), einer Foto-Dokumentation des Arbeitsplatzes (freiwillig) und Remote-Checks der technischen Maßnahmen (Festplattenverschlüsselung aktiv, VPN konfiguriert, Betriebssystem aktuell).
Meldepflicht bei Vorfällen: Verpflichtung, Sicherheitsvorfälle im Homeoffice (Diebstahl, Verlust, unbefugter Zugriff, Malware) unverzüglich zu melden.
Haftung und Versicherung: Wer haftet bei Beschädigung oder Verlust von Firmeneigentum im Homeoffice? Ist die Firmenhardware über die Hausratversicherung des Mitarbeiters abgedeckt, oder hat das Unternehmen eine eigene Versicherung?
Schulung und Sensibilisierung
Die besten Regeln nützen nichts, wenn Mitarbeiter sie nicht kennen oder nicht verstehen, warum sie wichtig sind. Integriere das Thema physische Sicherheit im Homeoffice in deine Security-Awareness-Schulung.
Konkrete Szenarien verwenden: Nicht "Schützen Sie vertrauliche Informationen", sondern "Wenn du morgens zum Bäcker gehst, schließ den Laptop weg, auch wenn du nur fünf Minuten weg bist. In fünf Minuten kann jemand einen USB-Stick anstecken und Daten kopieren."
Empathie zeigen: Viele Mitarbeiter empfinden Sicherheitsanforderungen im Homeoffice als Misstrauen. Erkläre, dass es nicht um Kontrolle geht, sondern um den Schutz aller Beteiligten, einschließlich des Mitarbeiters selbst.
Praktische Hilfe anbieten: Empfiehl konkrete Produkte (abschließbare Schränke, Sichtschutzfolien, Aktenvernichter) und übernimm die Kosten oder biete einen Zuschuss an. Ein Mitarbeiter, der 30 Euro für eine Sichtschutzfolie aus eigener Tasche bezahlen muss, wird sie wahrscheinlich nicht kaufen.
Checkliste: Physische Sicherheit im Homeoffice
Die folgende Checkliste kannst du als Grundlage für die Selbstauskunft der Mitarbeiter verwenden.
Arbeitsplatz: Separates Arbeitszimmer oder abschließbarer Bereich vorhanden? Abschließbarer Schrank oder Schublade für Hardware und Unterlagen? Bildschirm so positioniert, dass Dritte nicht mitlesen können? Sichtschutzfolie bei Bedarf (Fenster, offene Umgebung)?
Hardware: Festplattenverschlüsselung aktiv? Bildschirmsperre konfiguriert (maximal 5 Minuten)? Hardware bei Abwesenheit weggeschlossen oder gesichert? Keine private Nutzung der Firmenhardware?
Netzwerk: WLAN mit WPA2/WPA3 und starkem Passwort? Router-Firmware aktuell? VPN für den Zugriff auf Unternehmensressourcen konfiguriert?
Dokumente: Keine vertraulichen Dokumente dauerhaft im Homeoffice? Vertrauliche Unterlagen am Ende des Arbeitstages weggeschlossen? Entsorgungsmöglichkeit für vertrauliche Dokumente vorhanden (Aktenvernichter oder Mitnahme ins Büro)?
Verhalten: Bildschirm wird bei Verlassen des Arbeitsplatzes gesperrt? Vertrauliche Telefonate nur ohne Mithörer? Keine Firmenunterlagen im Hausmüll? Sicherheitsvorfälle werden sofort gemeldet?
Kontrolle und Nachweis
In einem internen oder externen Audit musst du nachweisen können, dass du die Risiken des Homeoffice identifiziert und angemessene Maßnahmen ergriffen hast. Das bedeutet nicht, dass du jeden Homeoffice-Arbeitsplatz persönlich inspizieren musst. Es bedeutet, dass du eine dokumentierte Homeoffice-Richtlinie hast, die Risiken adressiert, dass Mitarbeiter die Richtlinie nachweisbar erhalten und verstanden haben (Unterschrift oder elektronische Bestätigung), dass du regelmäßig (z. B. jährlich) die Einhaltung überprüfst (Selbstauskunft, Remote-Checks) und dass Verstöße und Vorfälle dokumentiert und behandelt werden.
Die Kombination aus klarer Richtlinie, regelmäßiger Schulung, technischen Kontrollen (Festplattenverschlüsselung, VPN-Pflicht) und dokumentierter Selbstauskunft ist in den meisten Audits ausreichend und verhältnismäßig. In ISMS Lite lassen sich Homeoffice-Richtlinie, Selbstauskunft-Checklisten und Schulungsnachweise an einem Ort verwalten und nachweisbar an Mitarbeitende verteilen.
Vom Notbehelf zum professionellen Remote-Arbeitsplatz
Physische Sicherheit im Homeoffice ist kein unlösbares Problem, aber es erfordert bewusste Gestaltung. Die meisten Maßnahmen sind einfach und kostengünstig: einen abschließbaren Schrank kaufen, eine Sichtschutzfolie aufkleben, den Router aktualisieren, den Bildschirm sperren. Die eigentliche Herausforderung liegt darin, das Bewusstsein der Mitarbeiter zu schärfen und die Maßnahmen im Alltag zu verankern.
Als Unternehmen trägst du die Verantwortung, die Regeln zu definieren, die Infrastruktur bereitzustellen und die Einhaltung zu kontrollieren. Du kannst und solltest den Mitarbeitern nicht die alleinige Verantwortung aufbürden, sondern sie mit klaren Vorgaben, konkreten Hilfestellungen und angemessener Ausstattung unterstützen. Dann wird das Homeoffice nicht zur Sicherheitslücke, sondern zu einem professionellen Arbeitsplatz, der den gleichen Standards genügt wie das Büro.
Weiterführende Artikel
- Sichere Remote-Arbeit: Homeoffice und mobiles Arbeiten absichern
- Clean Desk Policy: Warum der aufgeräumte Schreibtisch ins ISMS gehört
- Sichere Entsorgung: Festplatten, Dokumente und Hardware richtig vernichten
- Mobile Device Richtlinie und BYOD: Smartphones und Tablets im Unternehmen
- Security Awareness Programm aufbauen und lebendig halten