Herr Götz, Homeoffice ist seit Corona gelebte Wirklichkeit, doch für Städte und Gemeinden gilt auch die Wahrung der DSGVO …
Matthias Götz, IT-Leiter der Stadt Baden-Baden: Sie haben Recht. Bei der Umstellung auf den Homeoffice-Betrieb muss dem rechtlichen Rahmen Rechnung getragen werden. Die Einhaltung der DSGVO und Aspekte der Informationssicherheit sind zu beachten, denn nicht jeder Arbeitsplatz und jede Aufgabe ist für Homeoffice geeignet. Das kann durchaus zu Unmut führen, da sich einige Mitarbeiter benachteiligt fühlen, wenn man sie nicht im Homeoffice arbeiten lassen kann. Hier müssen individuelle Entscheidungen, je nach Beschaffenheit und Anforderungen des Arbeitsplatzes getroffen werden.
Andererseits wurde die Förderung der Digitalisierung als eines der Prinzipien in unserer Strategieplanung festgesetzt. Daher treiben wir das Thema mit Hochdruck voran. Was die sichere Übertragung von Daten aus dem Homeoffice betrifft, ist eine VPN-Lösung zur Wahrung der DSGVO im Bereich der technisch organisatorischen Maßnahmen (TOMs) die beste Antwort. Dabei handelt es sich um eine Kommunikations- bzw. Netzwerktechnologie, die eine sichere Verbindung zwischen Servern der Stadt und einem Rechner im Homeoffice herstellt. Die Daten werden durch einen VPN Tunnel verschlüsselt übertragen und sind dadurch geschützt. Wichtig ist, dass alle Sicherheitsfeatures entsprechend den sich ständig verändernden Bedrohungspotentialen regelmäßig auf den neuesten Stand gebracht werden. Natürlich sind zur Wahrung der DSGVO viele weitere Aspekte zu beachten, wie beispielsweise die Absicherung von Webseiten, das Verarbeitungsverzeichnis und AV-Verträge, der richtige Umgang mit Betroffenenanfragen, die Umsetzung weiterer technisch organisatorischer Maßnahmen sowie Prozesse bei Datenpannen.
Sie haben bereits vor Corona eine VPN-Lösung installiert. Sind Sie im Nachhinein froh, dass Sie so weitsichtig waren?
Ja, absolut, darüber bin ich ehrlich gesagt sogar sehr glücklich! Die neue Lösung bietet neben hoher Sicherheit auch großen Komfort: Durch das Managementsystem lässt sich der Administrationsaufwand auf ein Minimum reduzieren. Alle erforderlichen Aktivitäten wie die Überprüfung der Einhaltung von Sicherheitsrichtlinien, Rollout und Betrieb der mobilen Arbeitsplätze erfolgen automatisiert. Immerhin haben wir in unserer Stadtverwaltung 60 Außenstellen, 2 Rechenzentren und 1.200 teilweise unterwegs arbeitende Mitarbeiter. All das muss sicher vernetzt werden. Wenn man mit der Umstellung erst beginnt, wenn eine Krise bereits da ist, kann es zur Überlastung und zu Arbeitsausfällen kommen. Das konnten wir durch die Umstellung auf eine neue Lösung mit weiser Voraussicht vermeiden. Zudem profitieren wir durch die hohe Skalierbarkeit bis hin zu tausenden von Anwendern. Mit der NCP Lösung ist unser Behördennetzwerk sehr flexibel, sodass wir schnell auf einen veränderten Bedarf reagieren können, wenn – wie im Fall von Corona – in kürzester Zeit mehr Nutzer als gewohnt im Homeoffice arbeiten sollen.
Was macht Ihre Lösung so besonders? Wie wird die Informationssicherheit gewährleistet?
Wir wollten nicht mehr viel per Hand einstellen müssen, sondern auf Automatismen zurückgreifen, wie sie die gewählte Lösung des Nürnberger Unternehmens NCP bietet. Hilfreich ist auch das zentrale Konfigurations- und Rechtemanagement, sodass ein direkter Zugriff auf die Mitarbeitergeräte nicht notwendig ist. Die Konfigurationen können problemlos an die Nutzer ausgespielt und nötigen Einstellungen der „Endpoint-Policies“ für ein sicheres Arbeiten vorgenommen werden. Das bedeutet unter anderem, dass sich der Anwender mit dem Endgerät nur dann anmelden kann, wenn das Gerät umfänglich „up to date“ ist. Der Anwender kann mit nur einem Mausklick die komplett vorkonfigurierte Verbindung herstellen und sich auf seine eigentlichen Aufgaben konzentrieren, während auf administrativer Seite die volle Kontrolle über heikle sicherheitsrelevante Einstellungen liegt.
In puncto Informationssicherheit sind wir bei NCP in besten Händen und in bester Gesellschaft, denn die Lösung wird auch in zehn Landesrechenzentren und auf Bundesebene von zahlreichen Ministerien und Ämtern eingesetzt. Das spricht für die hohe Sicherheit der Lösung, welche mit modernsten Verschlüsselungsalgorithmen arbeitet. Darüber hinaus wissen wir, dass NCP eng mit dem BSI zusammenarbeitet und auch Produkte speziell für die Kommunikation und den Datenaustausch der Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) anbietet.
Wie viele Mitarbeiter nutzen diese Lösung?
Wir haben im ersten Schritt VPN Clients für über zehn Prozent unserer Mitarbeiter bezogen, um deren Endgeräte sicher mit der Verwaltungszentrale zu verbinden. Durch die Einführung bereits vor der Corona-Pandemie war ein sanfter Übergang möglich, sodass wir mit Hilfe des flexiblen Rollouts der neuen Lösung zu Beginn der Krise sofort reagieren konnten. Zudem hilft uns das nach aktuellem Bedarf erweiterbare Lizenz-Modell, die kommunalen Budgets zu schonen und dennoch bei Bedarf allen Anwendern eine sichere Anbindung zu ermöglichen. Denn wir können das Kontingent im Notfall jederzeit mit sogenannten ‚Pandemie-Lizenzen‘ aufstocken und auch wieder reduzieren. In diesem Fall nutzen wir dann ‚Pay-per-Use‘ und zahlen nur für das, was wir nutzen. Diese Möglichkeit erhöht die Flexibilität unserer Stadtverwaltung enorm; der Ressourceneinsatz für den kleinsten Stadtkreis des Landes Baden-Württemberg lässt sich stark herunterfahren.
Wie sieht es mit der Hardware aus, mussten Sie hier auch bestimmte Anforderungen erfüllen?
Für die VPN-Lösung ist keine Hardware erforderlich, aber natürlich braucht es für mobiles Arbeiten entsprechende Endgeräte wie Notebooks, Tablets oder Smartphones mit aktuellem Anti-Virus-Programm und Betriebssystem. Daher werden in Baden-Baden die Geräte von der Stadtverwaltung ausgegeben und administriert. Das ist der sicherste Weg, um sich gegen Cyberangriffe zu schützen. Das sogenannte ‚Bring your own device‘ ist bei uns nicht vorgesehen, da es viele Sicherheitsrisiken mit sich bringt. Die ‚Gesundheit‘ des eingesetzten Endgerätes ist entscheidend und bei eigenen Geräten mangelt es oft an den von Behörden definierten Sicherheitsstandards wie beispielsweise Festplatten-Verschlüsselung und Anti-Schadsoftware. Abgesehen davon muss eine Installation von ‚privaten‘ Programmen ausgeschlossen sein. Gleiches gilt für eine freie Verwendung der anfälligen USB-Schnittstellen!
Wie sind Ihre derzeitigen Erfahrungen mit dem Homeoffice, wie klappt die Zusammenarbeit mit den Mitarbeitern, wo gab es eventuell Anlaufschwierigkeiten, woran hatte man evtl. noch nicht gedacht und ist die Arbeitsleistung gleichgeblieben?
Ich habe von meinen Kollegen bisher keine Beanstandungen bekommen. Das bedeutet, dass die Software optimal läuft und sich superleicht – nämlich mit nur einem Mausklick – bedienen lässt. In der IT bekommt man meistens nur direktes Feedback, wenn es Probleme gibt. Hier habe ich allerdings schon gehört, dass die neue Lösung im Vergleich zur vorherigen komfortabler zu bedienen ist! Da wir ja mit der Umstellung bereits vor der Corona-Krise begonnen haben und schon vorher viele Mitarbeiter regelmäßig von unterwegs gearbeitet haben, gab es keinerlei Anlaufschwierigkeiten.
Wie sieht es aus mit der Zeit nach Corona, werden Ihre Mitarbeiter/innen auch danach vermehrt ins Homeoffice dürfen?
Es werden zwar immer mehr Mitarbeiter künftig auch von zu Hause oder von unterwegs arbeiten, aber es sind nicht alle Arbeitsplätze dafür geeignet. In einer Stadtverwaltung wie Baden-Baden sind beispielsweise Erzieherinnen und Erzieher fest an die Kindertagesstätten oder Kindergärten gebunden. Bei der Verlegung von Arbeitsplätzen ins Homeoffice muss man als Arbeitgeber unbedingt bedenken, dass die Bindung zum Arbeitgeber nicht verloren geht. Darunter könnte dann die Produktivität leiden und es ist möglich, dass Probleme im zwischenmenschlichen Bereich entstehen. Daher müssen wir mit diesem Thema sehr sensibel und individuell umgehen.
Die Fragen stellte Stephanie Gust
Für individuelle Fragen stehen die Stadt Baden-Baden und NCP in einem gemeinsamen Webinar am 16. September zur Verfügung. Informationen dazu finden Sie unter www.ncp-e.com.
