Mission Possible - sicher surfen bei RTL II

02.06.2008
Von Reinhard Görtner
Der TV-Sender hat sich entschieden, die Internet-Nutzung mit Hilfe einer Web-Filterlösung unternehmensweit zu regeln und zu überwachen.

Die Einführung und Überwachung von Regeln zur privaten Internet-Nutzung stellt Unternehmen vor einige Herausforderungen: So gilt es nicht nur, die eigenen Mitarbeiter von der Notwendigkeit der Kontrollen zu überzeugen und entsprechende Policies zu definieren, sondern auch, deren Einhaltung zu überwachen, ohne die Privatsphäre der Angestellten zu verletzen.

Die aktuellen Diskussionen rund um den Schutz persönlicher Informationen rücken Datenfilter in ein schlechtes Licht. "Theoretisch wäre es der IT-Abteilung bei RTL II durchaus möglich, alle Aktionen der Mitarbeiter im Internet nachzuvollziehen", räumt Andreas Braunmiller, IT-Sicherheitsberater des Senders, ein.

Doch genau darum ging es dem Unternehmen nicht, als es Ende 2006 ein Web-Monitoring-System installierte. Die IT-Abteilung sei weder der unternehmenseigene Geheimdienst, noch unterstelle RTL II seinen Mitarbeitern Missbrauch oder arbeite gar gegen sie, stellt Braunmiller klar. "Im Gegenteil: Wir verstehen unsere Lösung als zusätzliches Sicherheitsnetz - sowohl für das Unternehmen als auch für unsere Mitarbeiter."

Im Frühjahr 2006 wurde der Berater mit der Einführung eines Systems beauftragt, mit dem sich die Internet-Nutzung nachvollziehen, vor allem aber auch einschränken lässt. Das IT-Netz des Senders setzt sich aus etwa 400 Web-fähigen Einzelplatzrechnern zusammen. Mit dem Bremer Security-Dienstleister Ampeg wählte Braunmiller einen Web-Filter für das gesamte Netz aus und begleitete dessen Installation.

Sicher durch Kontrollen

Angesichts zunehmend raffinierter Angriffsmethoden wie Phishing-Sites oder Seiten, auf denen Rechner allein durch den Besuch mit Schadprogrammen infiziert werden, erscheint es verantwortungslos, die Internet-Nutzung nicht zu regeln oder zu kontrollieren. Selbst erfahrene Mitarbeiter können professionellen Hackern heute in die Falle tappen. Vor diesem Hintergrund wäre es nicht verwunderlich, wenn mehr Arbeitgeber von ihrem Recht Gebrauch machen würden, die Internet-Nutzung im eigenen Unternehmen einzuschränken oder die private Nutzung sogar ganz zu verbieten.

"So weit wollten wir aber nicht gehen", beteuert Berater Braunmiller. Für RTL-II-Mitarbeiter sei das Internet eine unverzichtbare Informationsquelle, etwa für Recherchen: "Eine Unterscheidung der Web-Seiten nach privat oder geschäftlich ist in unserer Branche kaum möglich."

Dass die Nutzung des Netzes gewisser Regeln bedurfte, war dem Sender längst bewusst. Auch, dass Regeln nur dann einen Sinn ergeben, wenn sich ihre Einhaltung überprüfen lässt. Die Grundidee des Filters sollte deshalb einem Navigationssystem für Websites entsprechen, das Surfer auf sicherem Weg an ihr Ziel bringt.

Was leistet ein Web-Filter?

Web-Filter blockieren automatisch den Zugriff auf Internet-Seiten, auf denen Trojaner, Spyware, Keylogger oder Web-Viren lauern oder von denen Phishing- und Pharming-Angriffe ausgehen. Sie ermöglichen das Einrichten flexibler Richtlinien zur Internet-Nutzung der Angestellten: Dabei kategorisiert eine Master-Datenbank die Web-Seiten. Über klar zu definierende Zugangsregeln ist festgelegt, zu welchen dieser Kategorien die Mitarbeiter Zugang erhalten; alle anderen Seiten gelten als unerwünscht und sind gesperrt.

Der Schutz der eigenen Daten und die Sicherstellung ihrer Verfügbarkeit waren für das RTL-II-Management ausschlaggebende Argumente für das Projekt. Sollte es ein Schadprogramm wirklich einmal ins RTL-II-Netz schaffen, so erweist sich ein Web-Filtersystem auch hier als nützlich. Dazu Braunmiller: "Registriert die Software beispielsweise vermehrt Zugriffe von einem bestimmten Rechner auf gesperrte Seiten, so ist die Wahrscheinlichkeit hoch, dass sich auf dem PC ein Trojaner eingenistet hat."

Herausforderung Akzeptanz

Nach Paragraf 87, Punkt 6 BetrVG (Betriebsverfassungs-Gesetz) hat der Betriebsrat ein Mitbestimmungsrecht bei der "Einführung und Anwendung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Mitarbeiter zu überwachen". Deshalb fanden 2006 mehrere Gespräche mit den Mitarbeitervertretern statt. "Unser Betriebsrat verstand schnell, dass wir die Mitarbeiter nicht unter Generalverdacht stellen, sondern dass es hier um eine Erhöhung der Unternehmenssicherheit geht", erinnert sich Braunmiller.

Beispiele für Policies bei RTL II

  • Ausführbare Dateien (Erkennung über Dateiinhalte, nicht über Endungen oder Mime-Types) werden grundsätzlich aus E-Mails herausgefiltert.

  • Die Kategorien "Malicious Content" und "Fishing or other fraud" werden von der Web-Filterlösung geblockt.

  • Das Umgehen des WebProxies wird durch Filterung verhindert.

  • Um zu vermeiden, dass fragwürdige Tools aus dem Web in das LAN gelangen, ist die Kategorie "Hacking" auf der Appliance gesperrt.

Gemeinsam festgelegte Regeln für die Web-Nutzung und die Möglichkeit, Missbrauch aufzudecken, wurden sogar positiv kommentiert. "Bei RTL II sind auch temporäre Arbeitskräfte im Einsatz, die man vielleicht nicht so gut kennt und die mit den Regeln im Unternehmen nicht voll vertraut sind", erläutert Braunmiller. Die Vereinbarung und Kommunikation fester Regeln für alle Mitarbeiter und Manager sorge von Anfang an dafür, "dass jeder weiß, was erlaubt ist und was nicht".

Das gelte auch für die kontrollierende Seite: Seit dem Projekt sei allen Mitarbeitern klar, was die IT-Abteilung beobachten dürfe. Im Zuge der Gespräche seien sie auch über ihre Datenschutzrechte aufgeklärt worden.

Realisiert wurde der Web-Filter mit Hilfe der "Web Security Suite" von Websense, auf die das IT-Management von RTL II im Mai 2006 durch Ampeg aufmerksam geworden war. Mit dem Security-Dienstleister hatte der Sender schon verschiedene Sicherheitsprojekte betrieben. Auf seine Empfehlung hin baute er im Juli eine Testinstallation auf. Sie bestand aus einer Websense-Appliance, auf der der Filter läuft, sowie einem Windows-2003-Server, auf dem die Datenbank mit den Log-Files liegt. Als Datenbank kam Microsofts SQL Server 2005 zum Einsatz.

Braunmiller übernahm die Evaluation. Er testete zunächst, ob der Filter tatsächlich alle Seiten blockierte, die gemäß den Security-Policies nicht erreichbar sein sollten. Zwar sei es ihm gelungen, einige unerwünschte Seiten zu öffnen, sagt er, doch hätten die Ergebnisse auch gezeigt, dass man die große Masse an zweifelhaften oder gefährlichen Web-Seiten im Griff habe. Auch der Versuch, die Lösung mit raffinierten Methoden zu umgehen, war nur mit einem bestimmten Maß an - simulierter - krimineller Energie erfolgreich. Damit habe RTL II die eigenen Anforderungen als erfüllt angesehen. Versehentlich könne jedenfalls niemand mehr auf gefährlichen Seiten surfen.

Die Lösung läuft nun seit weit über einem Jahr, und Braunmiller ist mit den Ergebnissen zufrieden: "False Positives, also Blockaden von Seiten, die zugänglich bleiben müssen, wurden uns aus der Belegschaft bislang noch nicht gemeldet."

Projektsteckbrief

Projektart: Einführung einer Web-Filterlösung.

Branche: Medien, TV-Sender.

Umfang: für 400 Einzelplatzsysteme.

Zeitrahmen: von Juli 2006 bis Mitte 2007.

Stand heute: erfolgreich eingeführt und erprobt.

Produkt: Websense Web Security Suite.

Dienstleister: Ampeg, Bremen.

Ansprechpartner: Andreas Braunmiller, RTL II.

Effizient durch Traffic-Analyse

Zudem konnten die IT-Verantwortlichen die Effizienz im Firmennetz steigern: Mit Hilfe der Traffic-Analyse wurde deutlich, welche Intranet- oder Web-Seiten besonders häufig benötigt werden. Dafür wurden separate Caches oder eigene Leitungen eingerichtet, was die Verbindungen beschleunigte.

RTL II hat ein vorausschauendes Vorgehen gezeigt, wie es auch der IT-Branchenverband Bitkom in seinen "Leitlinien zum Thema Internetnutzung im Betrieb" empfiehlt: "Die Diskussion über den Umfang des Datenschutzes bei neuen Kommunikationsformen am Arbeitsplatz wie Internet und E-Mail steht aber erst am Anfang. Zur Vermeidung späterer Streitigkeiten über den Umfang der Kontrollbefugnisse des Arbeitgebers ist es daher in jedem Fall empfehlenswert, klare Regelungen über die dienstliche Nutzung und die Gestattung der privaten Nutzung des Internets zu treffen." (kf)

Lessons learned

  • Wegen der zunehmenden Professionalisierung der Online-Kriminalität besteht die Notwendigkeit, Mitarbeiter und Unternehmen durch einen Web-Filter zu schützen.

  • Offene Gespräche mit dem Betriebsrat sind eine rechtliche Voraussetzung für die Einführung eines Web-Filters und erhöhen die Akzeptanz bei den Mitarbeitern.

  • Den Beschäftigten muss klargemacht werden, dass es nicht darum geht, sie zu überwachen. Die Internet-Nutzung zu Recherche-Zwecken darf nicht eingeschränkt werden.

  • Akzeptanz der Lösung kann die IT-Abteilung nur erhoffen, wenn die Mitarbeiter möglichst selten auf "False Positives" stoßen.