Home Office kann sehr riskant sein.
Immer online: Praktisch, aber riskant.
In einigen Dienststellen erlauben Dienstgeber*innen die Nutzung privater IT-Geräte wie PC, Notebooks, Tablets und Smartphones zum Zugriff auf das dienstliche IT-System. Das geht im Allgemeinen mit großer Zustimmung der Bediensteten einher und erscheint als eine benutzerfreundliche Maßnahme mit Eignung zur Förderung der Mitarbeitermotivation. Doch ist das wirklich so?
Aus Sicht der Bediensteten ist es zunächst fraglos vorteilhaft, wenn die dienstlichen Arbeiten ortsunabhängig und auf den aus der Freizeit gewohnten Geräten durchgeführt werden können. Sei es das Lesen von Akten in der Bahn am Weg zum Dienst, sei es eine dringend erforderliche Genehmigung noch schnell vor dem Boarding am Flughafen – alles ist möglich. Zumindest bis man erkennt, dass der Weg von der Benutzerfreundlichkeit zur Selbstausbeutung ein sehr kurzer ist.
Da die Dienstnehmer*innen ihre eigenen und von ihnen geschätzten Geräte selbst mitbringen, ersparen sich Dienstgebende häufig Anträge auf teure Doppel- oder Zusatzausstattungen der Bediensteten - offensichtlich also eine Win-Win Situation.
Privates Gerät: Anwender*in haftet bei Schaden
Allerdings sehen wir heute weltweit eine steigende Cyberbedrohung, die zunehmend auf das Agieren staatsnaher Gruppen sowie hochprofessionell agierender krimineller Organisationen zurückgeht. Betrachten wir also einmal die Sicherheitssituation:
Ein gewisses Risiko besteht bei der Einbindung privater Geräte in das dienstliche Netzwerk ganz einfach deswegen, weil das private Verhalten der Nutzer*innen etwa hinsichtlich des Aktualisierens des Systems durch regelmäßige Updates oder deren Umgang mit „verdächtigen“ privaten Mails nicht vorhersehbar ist. Grundsätzlich erscheint dieses Risiko aber vielen Verantwortlichen als beherrschbar, auch wenn die Kosten der erforderlichen internen Schutzmaßnahmen den finanziellen Vorteil der Nutzung privater IT-Geräte zum Teil wieder zunichtemachen.
Die derzeitigen Vorgänge im Außenministerium sowie in der Vergangenheit bekannt gewordene Vorfälle im Ausland weisen aber auf eine ganz andere Gefahr hin: Das Betriebsnetz könnte angegriffen werden. Beispielsweise waren von solchen Angriffen durch mutmaßliche staatliche oder staatsnahe Akteure der Deutsche Bundestag, die staatlichen Behörden in Estland insgesamt, die Stromversorgung in der Ukraine und mehrere Verteidigungsministerien von NATO-Staaten betroffen. Kriminelle Angreifer verschlüsselten die Rechner in der Verwaltung mehrerer Krankenhäuser (zumindest wurde öffentlich behauptet, dass Gesundheitsdaten und medizinische Systeme nicht betroffen gewesen seien).
Im Fall einer erfolgreichen Kompromittierung des IT-Systems eines Zieles sind selbstverständlich alle mit diesem Netz verbundenen Geräte potenzielle Ziele im Zuge der Weiterführung des Angriffs. Angreifende unterscheiden nicht zwischen den Betriebsausstattung und privaten Geräten, die mit dem Netz verbunden sind.
Wenn die Daten „nur“ verschlüsselt wurden, so bleibt zu hoffen, dass die betriebliche Problemlösung etwa durch eine erfolgreiche Entschlüsselung auch den privaten IT-Geräten zugutekommt und die privaten Daten gerettet werden.
Wird die Dienststelle gehackt, muss das Privatgerät vernichtet werden
Was aber, wenn der Angriff so erfolgreich ist, dass eine Säuberung nur durch Expert*innen, die im Auftrag der Dienststelle arbeiten, erfolgen kann, das Gerät (samt Passwort natürlich) dazu an die auftragnehmenden Expert*innen übergeben werden muss? Vertrauen Sie Ihren Vorgesetzten ausreichend, um ihnen möglicherweise Einblick auf Ihre Konten, Ihr Wertpapierdepot, das Wallet für Ihre Kryptowährung oder Zugriff auf Ihre WhatsApp-Unterhaltungen oder Ihre privaten Fotos zu geben?
Und was passiert, wenn der Schaden so groß ist wie in Deutschland beim Angriff auf den Bundestag 2015, wo befürchtet wurde, dass alle Computer geschreddert und durch nagelneue Hardware ersetzt werden müssen? Wenn jegliche weitere Verwendung der privaten IT und die Nutzung der darauf befindlichen Daten mit fast absoluter Sicherheit zu weiteren Schäden an Hardware und Software Dritter führen wird? Wenn dadurch das Video von den ersten Schritten der Tochter, der Sponsion des Sohnes oder der goldenen Hochzeit der Eltern unwiederbringlich verloren ist? Wenn also ein ideeller zusätzlich zum materiellen Schaden für die Bediensteten entsteht?
In den mir bekannten Nutzungsbestimmungen für den Zugriff auf Betriebsnetze von privaten IT-Geräten sind für einen derartigen Fall keine Bestimmungen vorgesehen.
Zuletzt bleibt auch noch die Frage der Anwendbarkeit des Organhaftpflichtgesetzes: Wird die dienstliche IT durch eine Schadsoftware geschädigt, welche auf das IT-Gerät von Bediensteten zurückverfolgt werden kann, so könnte jedenfalls dann eine Haftung vorliegen, wenn allgemein empfohlene Updates und sonstige zumutbare Sicherheitsmaßnahmen allgemeiner Art nicht umfänglich getroffen wurden.
Solange aber weder die Risiken konkret dargestellt werden können, noch im Schadenfall die Tragung der Kosten der betroffenen Bediensteten durch die Dienststelle zugesichert sind, rate ich als Personalvertreter im DA/BMLV von der Nutzung privater IT-Geräte für dienstliche Zwecke entschieden ab, auch wenn Dienstgeber*innen dies anbieten.
Oberst Engelbert Ponemayr
Engelbert Ponemayr ist im BMLV für die Planung im Bereich der IT-Systeme und systemnaher Software verantwortlich. Er ist Personalvertreter im Dienststellenausschuss des BMLV.
Kontakt:
Unsere hilfreichen Kollegen im BMLV
Kinderbetreuung bei Homeschooling
Solidarität heißt Miteinander
Der Öffentliche Dienst hält Österreich am Laufen. Daher: NEIN zu Corona-Kürzungen im Öffentlichen Dienst.
Solidarität leben!
Wir fordern: Corona-Tausender, 30-Stunden-Woche, mehr AMS-Geld, bedingungsloses Grundeinkommen und endlich Vermögenssteuern!
