Von CW-Redakteur Frank Niemann
MÜNCHEN (COMPUTERWOCHE) - Firmen suchen nach Wegen, die private Internet-Nutzung am Arbeitsplatz einzuschränken. Neben dem Blocken von anrüchigen Sites bieten Tools Funktionen zur Analyse von Texten und demnächst auch Bilderkennung.
Fast jeder PC in einem Unternehmen verfügt über einen Web-Zugang und kann E-Mails über das Internet verschicken. Kopfzerbrechen bereitet Managern das dadurch ebenfalls mögliche privates Surfen am Arbeitsplatz. Sie befürchten Produktivitätseinbußen, wenn PC-Nutzer während der Arbeitszeit Börsenkurse abrufen, sich an Online-Spielen beteiligen, Sexseiten besuchen oder Musik sowie Programme zur privaten Nutzung aus dem Netz laden. Zudem bringen Angestellte die Netzadministratoren auf die Palme, wenn sie das interne Netz mit Programm- und Musik-Downloads verstopfen. Firmen fangen sich durch solche Aktionen auch immer wieder Viren ein.
Laut Untersuchungen in den USA finden 70 Prozent der Besuche auf Pornoseiten während der Arbeitszeit statt. Hoch im Kurs steht auch der private Web-Einkauf am Firmen-PC. So hat das Marktforschungsunternehmen Nielsen/Netratings herausgefunden, dass Kunden des Online-Auktionshauses Ebay im Januar dieses Jahres 157 Minuten ihrer Arbeitszeit auf der Site verweilten. Am Heim-PC brachten sie nur 126 Minuten auf Internet-Versteigerungen zu. Die mit solchen Arbeitsunterbrechungen für Unternehmen verbundenen Einbußen in Mark und Pfennig zu berechnen fällt jedoch schwer.
Illegale Inhalte können den Job kosten
Schaden kann einem Unternehmen auch dann entstehen, wenn Mitarbeiter illegale Inhalte, beispielsweise rechtsextremes Gedankengut, diffamierende Äußerungen über Kollegen oder Konkurrenten sowie derbe Sprüche verbreiten. Firmen fürchten um ihren Ruf, wenn herauskommt, dass Angestellte Sexbilder verschicken oder gar ihre rechte Gesinnung via Web kundtun. Haften muss der Arbeitgeber allerdings nur dann, wenn ihm bekannt war, dass beispielsweise einer der Mitarbeiter rechtsradikale Parolen ins Netz stellt und verbreitet, er aber trotzdem nichts dagegen unternommen hat, erläutert Franz Tepper, Rechtsanwalt bei der Anwaltskanzlei Brandi Dröge Piltz Heuer und Gronemeyer aus Gütersloh.
Teilweise greifen Firmen hart durch, um solche Umtriebe zu verhindern. Berichten zufolge wurden beim amerikanischen Softwarehersteller Computer Associates zehn Mitarbeiter entlassen, nachdem sie pornografische Inhalte per E-Mail versendet hatten. Und auch bei Siemens in München musste ein Angestellter seinen Hut nehmen, da er via Web Pornoseiten angeschaut und damit gegen die Unternehmensrichtlinien verstoßen hatte.
Verschiedene Ansatzmöglichkeiten
Zum Durchsetzen von Regeln für die Internet-Nutzung stehen den Verantwortlichen im Unternehmen eine Reihe von Werkzeugen zur Verfügung. URL-Blocker beispielsweise verhindern das Aufrufen bestimmter Sites, die garantiert nicht zum Arbeitsumfeld der Mitarbeiter zählen. Diese Software basiert auf einer Liste von Websites, die von einer Redaktion geprüft und in bestimmte Kategorien eingeordnet wurden, beispielsweise Sex, Gewalt, aber auch Spiele, Unterhaltung, Sport, Reisen, Automobile, Immobilien oder Shopping. Nach den Erfahrungen von Anja Block, stellvertretende Leiterin der Security-Division des E-Business-Spezialisten Infinigate Deutschland aus München, kaufen sich Firmen oftmals erst dann eine solche Lösung an, wenn bereits eine Firewall im Einsatz ist. Diese Sicherheitseinrichtungen liefert simple Reports darüber, auf welchen Sites Mitarbeiter wie lange surfen. Dabei sollten Unternehmen jedoch die Mitarbeiter und insbesondere den Betriebsrat über die Surfkontrolle informieren. Oft genügt schon die Ankündigung einer solchen Installation, um die private Nutzung des Web am Arbeitsplatz einzudämmen. Generell sollten Firmen gemeinsam mit der Belegschaft Regeln für die Nutzung des Internet aufstellen. Dabei ist es nicht ratsam, alle Angestellten über einen Kamm zu scheren. Einige benötigen den Zugang zu bestimmten Sites, etwa zum Einkaufen von Produkten im Auftrag des Arbeitgebers oder zum Buchen einer Reise.
Mehr als URL-Blocker
Eine Reihe von Anbietern haben Systeme auf den Markt gebracht, die dem Blocken von URLs gleichzeitig dienen und über Funktionen zur Abwehr von Viren und schädlichen Java-Applets oder Active X Controls verfügen. "Interscan Webmanager", ein Produkt des amerikanischen Virenschutzspezialisten Trend Micro, fällt in diese Kategorie. Alle über das Hypertext Transfer Protocol (HTTP) geladenen Daten überprüft eine Scan-Engine, die auch in den Antivirenprodukten des Herstellers ihren Dienst verrichtet. Den Zugang zu unerwünschten Websites sperrt die Software ebenfalls. Hierzu arbeitet der Interscan Webmanager mit einem Proxy-Server beispielsweise von Microsoft oder Netscape zusammen. Das Tool nutzt dabei die Filtersoftware "Cyber Patrol" des US-Herstellers Surfcontrol Inc. Dieses Programm prüft, ob die von einem Anwender im Unternehmen aufgerufene Site in einer zentralen Datenbank als problematisch eingestuft wurde.
Über das bloße Blocken bestimmter Sites gehen andere Lösungen hinaus. "Websweeper 4" , ein Produkt der von Baltimore übernommenen Firma Content Technologies, verfügt über Methoden zur Textanalyse. Anhand von bestimmten Wörter soll die Software Inhalte identifizieren und sperren, die aller Wahrscheinlichkeit nach nur der Unterhaltung des Mitarbeiters dienen. Darüber hinaus kann der Administrator über Websweeper festlegen, wann die Angestellten auf bestimmte Websites gehen dürfen. So könnte das Unternehmen den Online-Einkauf während der Kernarbeitszeit verhindern. Definieren lässt sich mit dem Tool nicht nur, was herunter geladen, sondern auch, was ins Web gestellt werden darf.
So kann der Verwalter das Laden von MP3-Dateien oder JPEG-Bildern verbieten, aber auch das Übertragen solcher Files auf externe Websites oder deren Versendung über Web-basierte E-Mail-Services wie Hotmail oder Yahoo Mail.
Praxisbeispiel: Börsencafe
Ein Anwender solcher Filterfunktionen ist die Raiffeisenbank Landshut. Das Kreditinstitut betreibt mit "Börsencafe" ein Internet-Cafe für seine Kunden. Diese können im Lokal surfen, allerdings sind bestimmte Websites gesperrt. Das Produkt "Superscout" von Surfcontrol sorgt dafür, dass die Bankkunden nur harmlose Inhalte ansteuern können. Superscout verfügt über eine ständig aktualisierte Liste von URLs, die der Anwender um weitere Sites ergänzen kann. Zusätzlich durchsucht die Software HTML-Seiten nach Wörtern, die beispielsweise auf pornografische Inhalte hinweisen.
Nach Angaben von Jörg Lorenz, Geschäftsführer des E-Business-Systemhauses Itis AG aus Landshut, könnte diese Worterkennung jedoch beispielsweise auch wissenschaftliche Artikel herausfiltern, falls darin verdächtige Begriffe vorkommen, was natürlich nicht im Sinne des Cafebetreibers ist. Die Itis AG hat die Software für das Börsencafe eingerichtet. Der Content-Filter wurde dabei als Plugin in den Proxy-Server von Microsoft integriert. Mit Superscout lassen sich nicht nur bestimmte Sites sperren (Black List), sondern auch eine fest definierte Zahl von Websites zulassen (White List). Beim Börsencafe wurde die URL-Sperrung mit dem Benutzergruppenkonzept von Windows NT verknüpft. Jeder Surfer meldet sich über sein Terminal als Nutzer an einem NT-System an. Wer ohne etwas bezahlen zu müssen surfen will, darf nur eine geringe Auswahl von Websites ansteuern, beispielsweise solche, die Aktiennachrichten liefern. Doch um etwa E-Mails von Web-basierten Messaging-Diensten abzurufen oder beliebige Websites aufzurufen, muss der Besucher des Cafes zur zahlungspflichtigen Nutzergruppe gehören.
Praxisbeispiel 2: Commerzbank
Obwohl es sich um ein amerikanisches Produkt handelt, arbeitet Superscout nach Angaben des Itis-Chefs auch bei deutschen Sites zuverlässig. Dies trifft allerdings nur auf Produkte zu, die für den europäischen Markt angepasst wurden. Denn da in den USA beispielsweise rechtsradikale Äußerungen in stärkerem Maß unter die Meinungsfreiheit fallen als in Deutschland, lassen sich US-Produkte nicht ohne weiteres hierzulande einsetzen, meinen Experten. Anders herum möchten die Amerikaner gern Sexdarstellungen aus dem Netz verbannen, die für Europäer weit weniger anstößig sind. Surfcontrol unterhält verschiedene Redaktionen, die Websites ausfindig machen und bewerten, in Großbritannien, USA, Dänemark und Österreich. Laut Firmenangaben enthält die Datenbank 2,5 Millionen Sites, die gesperrt werden können. Updates holt sich Superscout automatisch von den zentralen Servern des Herstellers. Auch bei der Bewertung von Begriffen sind sprachspezifische Unterscheidungen unabdingbar. "Sex" kann im Englischen auch "Geschlecht" bedeuten, was dann oft nicht auf Pornografie schließen lässt. Experten sind sich über die Treffgenauigkeit der Textanalyse uneins. So ist beispielsweise Thomas Matzen, verantwortlich für den zentralen Servicebereich Information-Technology bei der Commerzbank in Frankfurt, davon überzeugt, dass keines der im Hause bekannten Produkte, wie "Smartfilter" von Secure Computing oder "Webwasher" für sich allein eine zuverlässige Lösung darstellen. Deshalb setzt das Geldhaus verschiedene Produkte zur Filterung von Inhalten ein. Die Commerzbank verwendet diese Software in erster Linie zum Schutz vor Viren und anderen schädlichen Inhalten. Die private Nutzung des Web ist auch dort über eine Betriebsvereinbarung geregelt.
Trend: Bilderkennung
Neben dem Seitenblocken und dem Erkennen von unerwünschten Inhalten aufgrund von Wörtern entwickeln Firmen nun aufwändige Verfahren, um auch anhand von bildlichen Darstellungen Content zu identifizieren. Der Bilderkennungsspezialist Cobion aus Kassel entwickelt mit dem Firewall-Hersteller Biodata aus Lichtenfels eine Filtertechnik namens "I-Watch". Jede neue, noch nicht kategorisierte Website wird von dem System zunächst geprüft und dann in eine Kategorie einsortiert. Dabei wertet I-Watch sowohl Text- als auch Bildinformationen aus. Cobion wird auf der CeBIT gemeinsam mit der auf Internet-Filtertechnik spezialisierten Webwasher AG und einem dritten Kooperationspartner ein System zum Blocken von unerwünschtem Content vorstellen. Nach Ansicht von Anja Block von Infinigate bietet sich durch die Kombination von URL-Listen, Text- und Bilderkennung eine weit größere Genauigkeit. Schließlich wüssten auch die Content-Anbieter Mittel und Wege, Filter zu umgehen. So würden auf der Startseite so mancher Porno-Site nur Bilder auftauchen, so dass die nur mit Textanalyse ausgestatteten Systeme keine eindeutigen Wörter finden und die Site als harmlos einstufen.
Klassifizierung von Inhalten
Im Web-Browser "Internet Explorer" können Surfer festlegen, welche Inhalte sie sperren wollen. Microsoft hat hierzu eine von der Internet Content Rating Association (ICRA) entwickelte Filterfunktion namens "Icrasafe" implementiert. Dieses System wurde jedoch eher für private Nutzer, insbesondere Eltern, ins Leben gerufen. Hinter ICRA stehen unter anderem die Bertelsmann-Stiftung und der Internet-Service-Provider T-Online. Das System basiert auf einer Selbstklassifizierung durch die Inhalteanbieter. Durch ein Etikett erkennt der Filter im Browser, um welche Art von Online-Angebot es sich handelt. Dabei müssen sich die Anbieter anhand einer Reihe von Fragen selbst in eine Kategorie einstufen. Hierzu steht ihnen ein Fragebogen auf der Website der Organisation zur Verfügung. Danach erhalten sie ein elektronisches Etikett, das sie in ihre Website einfügen. Inzwischen unterstützt das ICRA-Verfahren neben Englisch die Sprachen Deutsch, Spanisch und Französisch.
Doch der Erfolg dieses Systems steht und fällt mit der Bereitschaft der Content-Anbieter, sich einer Klassifizierung zu unterziehen. Eine Verpflichtung dazu gibt es nämlich nicht. Laut der ICRA haben zwar Pornoanbieter durchaus Interesse an einer Beteiligung am Icrasafe-System, doch bisher haben sich insgesamt nur 170.000 Site-Betreiber registriert.
Nun hat sich ein weiteres Firmenkonsortium gebildet, um Content-Filter für Europa zu entwickeln. Wie zu Icrasafe schießt die EU auch zum "World Wide Web Safe Surfing Service" (3W3S) Fördermittel zu. Dem 3W3S gehören die griechische Firma Zeus Consulting, Webwasher AG aus Paderborn, Thales Communications aus Frankreich sowie eine Universität und mehrere europäische Institute an. Das W3S3 geht einen anderen Weg als ICRA. Nicht die Content-Anbieter, sondern das Konsortium sorgt für die Klassifizierung. Ein Team von Experten soll dabei die Inhalte der Sites durchforsten und diese dann in Kategorien einordnen. Das Konsortium will Content-Filter definieren, die die verschiedenen kulturellen Gegebenheiten in den europäischen Staaten berücksichtigen.
Praxisbeispiel 3: Hypovereinsbank
Die Webwasher AG, ein Spinoff von Siemens, hat sich durch das gleichnamige Produkt zum Herausfiltern von Werbebannern aus Internet-Seiten einen Namen gemacht. Mittlerweile bietet das Unternehmen auch eine Lösung für Firmen an. Damit lassen sich nicht nur Online-Anzeigen, sondern auch Cookies sowie in HTML-Seiten eingebettete Inhalte wie etwa MP3 oder JPEG-Bilder herausfiltern. Die Hypovereinsbank aus München kaufte dieses Produkt, um es mit den Hardware-Caches des Typs "Netcache" von Network Appliances zu verbinden. Die Wahl fiel auf Webwasher, da es mit den Netcache-Boxen zusammenarbeiten kann. Über die ICAP-Schnittstelle (Internet Content Adaptation Protocol) sind die Software und das Cache-Gerät miteinander verbunden. Dieses Interface wurde von einer Reihe von Firmen entwickelt, um Geräte wie etwa Content-Server oder Caches mit Web-Applikationen zu verknüpfen. So arbeitet beispielsweise auch die Antivirensoftware von Trend Micro über ICAP mit den Netcache-Produkten zusammen. Die Bank nutzt Webwasher, um aus Gründen der Sicherheit bestimmte, in HTML eingebettete Objekte zu filtern. So sperrt Webwasher Active X Controls, das heißt, eine Web-Seite wird zwar angezeigt, doch die mit der Microsoft-Technik erzeugten Bereiche werden geblockt.
Als einen Vorteil dieser Lösung betrachtet Thomas Zäch, bei der Hypovereinsbank Projektleiter für Netcache-Installation, dass Webwasher verschiedene eingebettete Objekte anhand ihres MIME-Typs (Multipurpose Internet Mail Extension) erkennt. So können beispielsweise bestimmte Plugins wie etwa "Shockwave" von Macromedia durchgelassen werden. Webwasher sucht in Internet-Seiten nach Auszeichnern (Object Tags), die auf eingebettete Objekte hinweisen.
Bis auf eine URL-Liste, über die der Zugriff auf bestimmte Sites gesperrt wird, unternimmt die Bank nichts, um Mitarbeiter vom privaten Surfen abzuhalten. Tools, die anhand von Wörtern oder Bildern Inhalte identifizieren, nutzt die Hypovereinsbank nicht. Es gibt jedoch eine Betriebsvereinbarung, deren Einhaltung jedoch nicht über den URL-Blocker hinaus erzwungen wird.
Amerika: Einen Schritt voraus?
So wie die Bank begnügen sich viele Firmen damit, die schlimmsten Sites zu blocken. In den USA dagegen denken Manager bereits über Verfahren nach, genau zu kontrollieren, wo gesurft wird. So bieten Tools wie "Websense Reporter" des US-Herstellers Websense oder das bereits erwähnte Websweeper 4 nicht nur Funktionen zum Sperren von bestimmten Online-Angeboten, sondern Reporting-Werkzeuge, die Berichte über das Surfverhalten der Angestellten erstellen. In Deutschland bedarf es allerdings der Zustimmung des Betriebsrats, bevor solche Programme eingesetzt werden dürfen.
In diesem Zusammenhang besonders heikel ist die Kontrolle von E-Mails. Surfcontrol entwickelt eine Lösung namens "Superscout E-Mail", mit der sowohl eingehende als auch versendete Nachrichten geprüft werden können. Das Tool arbeitet mit gängigen Messaging-Servern zusammen und soll beispielsweise Spam-Mails unschädlich machen, noch bevor sie beim Empfänger eintreffen. So wäre die Software etwa in der Lage, Nachrichten mit drei Ausrufzeichen im Betrefffeld zu verwerfen, da es sich mit hoher Wahrscheinlichkeit um eine unaufgefordert versendete Werbebotschaft handelt. Über ein Verzeichnis von Schlüsselwörtern, zum Beispiel "Sex", analysiert das System auch den Inhalt der Mail. Der Verwalter kann für jeden Begriff Punkte zwischen 1 und 10 vergeben. Die Werte der gefundenen Begriffe werden addiert. Übersteigt dann beim Auswerten die Gesamtpunktzahl eine vom Administrator festgelegte bestimmte Summe, verfährt Superscout E-Mail gemäß der vom Verwalter definierten Regeln, etwa das Löschen der Botschaft. Mit der gleichen Methode ließe sich aber auch prüfen, ob ein Mitarbeiter vertrauliche Daten aus dem Unternehmen per Mail verschickt. Ähnlich wie URL-Blocker verfügt auch dieses Produkt über Listen mit E-Mail-Adressen von Spam-Versendern. Zudem arbeitet Superscout E-Mail mit Antivirenwerkzeugen zusammen, die Würmer und Viren unschädlich machen sollen.