COVID-19 und insbesondere der Lockdown hat viele Unternehmen auch vor große technische Herausforderungen gestellt. Binnen kürzester Zeit mussten Lösungen implementiert werden, um die Zusammenarbeit von Mitarbeitern vom Home-Office aus zu ermöglichen. Monate nach Ende des Lockdowns haben sich viele dieser Lösungen als fixer Bestandteil des eigenen IT-Portfolios etabliert. Doch sind sie auch immer in das eigene Sicherheitskonzept integriert?

Mitte Februar 2020 konnten sich die wenigsten Unternehmen in Österreich vorstellen, dass es auch hierzulande zu einem Lockdown, wie im fernen China, kommen könnte. Anfang März, nachdem Italien dem Beispiel Chinas gefolgt ist, begannen manche Unternehmen bereits sich auf den Fall des Falles vorzubereiten. Als der Lockdown in Österreich Mitte März tatsächlich verhängt wurde, erwischte er dennoch viele Unternehmen (aber auch Behörden) teils unvorbereitet, teils noch mitten in der Vorbereitung. In jedem Fall mussten kurzfristig Lösungen gefunden oder fertig gestellt werden, damit der Betrieb auch während des Lockdowns möglichst reibungslos weitergeführt werden kann. In erster Linie bestand dabei vor allem Bedarf nach Software, welche kollaboratives Arbeiten und einen sicheren (gemeinsamen) Zugriff auf die im Unternehmen gespeicherten Daten ermöglich.

In jenen Tagen haben so manche Unternehmen sowohl bei der Hard-, als auch bei der Software auf Notlösungen zurückgegriffen. Dies auf Basis der Einschätzung, dass der mögliche Schaden durch einen (teilweisen) Betriebsstillstand jenen durch die potentiell mit der übereilten Implementierung verbundenen Sicherheitsrisiken übersteigt. In vielen Fällen sicherlich eine plausible Annahme.

Doch die Auswirkungen waren, und sind, letztendlich oftmals viel weitreichender, als ursprünglich gedacht. BYOD, SaaS, VPN, … plötzlich haben viele neue Abkürzungen ihren Einzug in die Firmen-IT gehalten. Doch hinter allen stecken Konzepte, die sich nicht immer in das zuvor bestehende IT- und Sicherheitskonzept eines Unternehmens einfügten. Und was in vielen Fällen als Not- oder zumindest temporäre Lösung begann, hat sich mittlerweile, zumindest untern den Mitarbeitern, als neuer fixer Bestandteil ihres Arbeitsalltags etabliert. Und aktuell ist tatsächlich nicht abschätzbar, wann Unternehmen wieder darauf vertrauen können, diese für alle jene Mitarbeiter nicht mehr zu benötigen, welche vor COVID-19 und dem Lockdown (fast) ausschließlich im Büro gearbeitet haben. Und so entwickeln sich ehemals temporären „COVID-Lösungen“ zu festen Bestandteilen der Unternehmen-IT. Doch stellt sich dabei die Frage: Sind diese auch technisch und rechtlich sicher?

Die aktuelle Gesetzeslage hilft bei der Lösung dieser Frage leider kaum bis gar nicht. Zwar wurde nun, und oft vorerst nur temporär bis31.12.2020,in einigen Fällen überhaupt erst die rechtlich zulässige Möglichkeit des Einsatzes technischer Lösungen geschaffen, z.B. bei der Online-Gesellschafterversammlung. Diese neuen Ausnahmeregeln betreffen aber den Großteil der Zwecke nicht, für welche IT in Unternehmen eingesetzt wird. Die neuen (und temporären) arbeitsrechtlichen Erleichterungen für den Abschluss einer Home-Office-Vereinbarung sind dagegen bedeutender, haben aber keinen Einfluss auf die dafür verwendeten technischen Lösungen.

So bleibt es dabei, dass die technische und rechtliche Sicherheit von IT-Lösungen auch während COVID-19 nach denselben Prinzipien beurteilt werden, wie vor COVID-19. Entscheidungsträger, welche daher nicht für Schäden haften wollen, welche durch den Einsatz von IT-Lösungen entstehen, müssen daher nach wie vor darauf achten, dass diese technik- und sicherheitsadäquat sind und allfällige rechtliche Vorgaben erfüllen.

 

Für COVID-Lösungen gilt daher:

 

  • Prüfung der Adäquanz von COVID-Lösungen:

Bei allen in einem Unternehmen eingesetzten technischen Lösungen müssen grundsätzlich der Stand der Technik, die Kosten und die mit der Lösung verbundenen Risiken abgewogen werden. Bei temporären Lösungen kann es durchaus akzeptabel sein, wenn diese nicht dem Stand der Technik entsprechend oder ausreichenden Schutz vor den ermittelten Risiken bieten. Bei Dauerlösungen ist das aber nicht der Fall.

Ist eine COVID-Lösung daher nach wie vor und voraussichtlich noch einige Zeit in Verwendung, entspricht aber nicht den für eine Dauerlösung geltenden Anforderungen, sollte sie alsbald durch eine Adäquate Lösung ersetzt werden.

 

  • Erstellung oder Erweiterung des Sicherheitskonzepts:

Sämtliche in einem Unternehmen genutzte Hard- und Software muss in das unternehmenseigene Sicherheitskonzept integriert sein. Wo neue Nutzungsszenarien hinzugekommen sind, z.B. weil nun neue Abteilungen remote arbeiten, muss das Konzept entsprechend erweitert werden. Und wo bisher ein formelles Sicherheitskonzept fehlte, muss bei Erweiterung der Nutzungsarten und Möglichkeiten, z.B. der Einführung von Kollaborationssoftware, überlegt werden, ob die nicht Formalisierung des Sicherheitskonzepts angebracht wäre. Das ist jedenfalls dann der Fall, wenn auf Basis des bestehenden, nicht formalisierten Konzepts eine Prüfung der Adäquanz (Angemessenheit und Üblichkeit) möglich ist.

 

  • Integration von Hard- und Software in das Sicherheitskonzept:

Nachdem das Konzept entsprechend angepasst oder erweitert wurde ist zu überprüfen, ob sämtliche Hard- und Software in dieses ausreichend eingebunden ist. Insbesondere in die Unternehmens-IT eingebundene private Geräte der Mitarbeiter stellen aufgrund ihrer nicht kontrollier- und beschränkbaren Privatnutzung regelmäßig hohe Risiken dar. Wo private Geräte ursprünglich als Notlösung eingebunden wurden, ist mittlerweile auch die Frage angebracht, ob diese nicht durch dedizierte und vollständig abgesicherte Firmengeräte ersetzt werden sollen.

 

  • Ausscheiden von als riskant bekannten Lösungen:

Vor und zu Beginn des Lockdowns haben viele Unternehmen auch relativ neue oder bisher eher unbekannte Kollaborationssoftware implementiert. Im Laufe der Zeit wurden solche Softwarelösungen immer wieder analysiert und verglichen und nicht selten stellten sich teils gravierende Fehler oder Sicherheitsbedenken heraus. Auch wenn ein Umstieg von einer implementierten und an sich funktionierenden Lösung mit, auch finanziellem, Aufwand verbunden ist, so darf man nicht übersehen, dass die Abwägung zwischen Stand der Technik, Kosten und Risiko auch bei bestehenden Lösungen vorzunehmen ist, wenn sich in Bezug auf diese etwas verändert. Und wenn Sicherheitsbedenken offenbar werden, welche die Lösung als nicht (mehr) adäquat erscheinen lassen, muss ein Wechsel in Betracht gezogen werden. Besonders, wenn die ursprünglich temporäre Lösung nun als dauerhafte höheren Anforderungen genügen muss.

 

 

Autor: Mag. Árpád Geréd