MEIST FEHLEN in Unternehmen Richtlinien über die Internet-Nutzung, die laut den Marktforschern der Metagroup ein wesentlicher Bestandteil einer „Security Policy“ zu sein haben. Die Analysten zeichnen ein düsteres Bild vom Sicherheitsbewusstsein in deutschen Firmen: „Während nur 48 Prozent der deutschen Unternehmen eine schriftlich fixierte Security Policy vorweisen können, haben 37 Prozent noch nicht einmal entsprechende Planungen für die Zukunft.“ Schuld daran seien unter anderem geringe Sicherheits-Budgets und die schlechte Messbarkeit von Risiken beziehungsweise des Return on Investment (ROI).
Im Netz lauern die unterschiedlichsten Gefahren: 94 Prozent von 408 befragten IT-Verantwortlichen aus europäischen Unternehmen sind zunehmend mit Sicherheitsproblemen konfrontiert, die auf Grund der Nutzung des Internet am Arbeitsplatz entstehen.
Großes Gefahrenpotenzial
Das ergab eine Untersuchung von Infosecurity Europe 2003 in Zusammenarbeit mit dem Anbieter von Sicherheitssoftware Websense International Ltd. Die größten Gefahren sehen die befragten IT-Experten demnach bei den drei Themen privates Web-Surfen am Arbeitsplatz (31 Prozent), Herunterladen von Software (24 Prozent) und Web-basierende E-Mails (24 Prozent).
70 Prozent der Befragten sind der Meinung, dass Peer-to-peer-Filesharing Hackern die Tür ins Firmennetzwerk weit öffnet; 62 Prozent glauben, dass Instant Messaging ihre Unternehmensnetzwerke anfälliger für Viren macht, und 62 Prozent befürchten, dass Mobile Malicious Codes (MMC) sich in ihren Firmennetzwerken ausbreiten können, wenn Angestellte bei Recherchen im Internet auf infizierte URLs treffen.
Doch auch die Belästigung durch Spam-Mails nimmt zu. „Das ist ein wichtiger Grund, warum sich auch der deutsche Mittelstand zunehmend für den Einsatz von Web-Filtersoftware interessiert“, sagt Bernie Lörwald vom Filtersoftware-Anbieter Webwasher, nach Angaben von Frost & Sullivan hierzulande Marktführer. Programme wie Websense, Webwasher oder Surfcontrol sollen auch Produktivitätsverlusten entgegenwirken, die durch private Web- Touren während der Arbeitszeit verursacht werden. Denn 58 Prozent aller Mitarbeiter sind Untersuchungen zufolge fünf Stunden pro Woche im Internet für private Zwecke unterwegs - und betreiben damit „Cyberslacking“.
Es gibt verschiedene Maßnahmen, mit denen sich die Unternehmen gegen die private Nutzung des Internet zu Bürozeiten schützen wollen. Das Spektrum reicht von mündlich ausgesprochenen Surfverboten während der Arbeitszeit bis zu Betriebsvereinbarungen und Zusätzen zum Arbeits- Vertrag, die nicht nur die Internet-Nutzung regeln, sondern auch die Mitarbeiter über den Einsatz von Kontrollwerkzeugen und Konsequenzen beim Internet- Missbrauch informieren.
Wer die Web-Nutzung seiner Belegschaft de facto überprüfen will, braucht zunächst einmal keine Spezialsoftware. Denn jeder Internet- Ausflug hinterlässt Spuren, beispielsweise auf dem Proxy-Server des Providers oder des Unternehmens. Hier wird in der Regel pro Zugriff protokolliert, welcher Rechner welche Seite angefordert hat, wann das war und wie viele Bytes übertragen wurden.
Unter anderem lässt sich auch feststellen, mit welchen Begriffen in einer Suchmaschine gesucht wurde. Auch hier lassen sich bereits Filter setzen zwischen Anwender und Internet: Steht beispielsweise die Zeichenkette „sex“ in der angeforderten URL, so kann der Zugriff verweigert werden.
Viel raffinierter sind allerdings die Kontrollmechanismen in spezieller Filtersoftware und URLBlockern. „Diese Lösungen umfassen alle Technologien, die geeignet sind, das Nutzerverhalten am Arbeitsplatz oder zu Hause bei Kindern entsprechend einer vorher festgelegten Strategie zu überwachen oder zu lenken“, so José López, Sicherheitsspezialist beim Marktforschungsunternehmen Frost & Sullivan.
Basis der Programme sind Datenbanken und intelligente Software, die bestimmte Merkmale von Internet-Seiten, beispielsweise Wörter mit sexueller Bedeutung oder Hintergrundfarben (viel „Fleisch“), erkennen. Entsprechende Programmpakete nehmen eine Überprüfung des Internet-Verkehrs vor, untersuchen E-Mails auf Viren, begrenzen Surfzeiten oder Datenvolumen, sperren bestimmte Websites, und sie beinhalten Alarmfunktionen. Auch der E-Mail-Verkehr kann detailliert überprüft werden: Spezielle Mail-Kontrollprogramme analysieren die ein- und ausgehende elektronische Post bei jedem Mitarbeiter, erstellen Berichte und Auswertungen darüber, mit wem wie oft beruflich oder privat korrespondiert wurde. Die totale Kontrolle hat allerdings ihren Preis, der meist von der Anzahl der Lizenzen, dem Funktionsumfang und der Laufzeit abhängt.
So kostet die Webwasher Content Security Management Suite (CSM) beispielsweise 30 Euro pro Arbeitsplatz und Jahr - bei einer Laufzeit von drei Jahren und 1000 Nutzern.
Die „Big-Brother“-Maßnahmen sind rechtlich heikel: „Gesetzliche Regelungen, die sich ausdrücklich auf den Umgang mit Internet und E-Mail am Arbeitsplatz sowie auf die Kontrolle dieser Nutzung beziehen, gibt es nicht“, konstatiert der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom). Die Rechte und Pflichten in diesem Bereich bestimmen sich daher in erster Linie anhand von arbeitsvertraglichen Regelungen und Betriebsvereinbarungen - falls ein Betriebsrat besteht. Eventuelle Handlungsoptionen hängen deshalb davon ab, ob dem Arbeitnehmer die private Nutzung der Informations- und Kommunikationstechniken gestattet ist oder nicht.
Tipps für die Praxis
Die Bitkom-Tipps in Kürze: Will der Arbeitgeber vermeiden, dass er den weitgehenden datenschutzrechtlichen Verpflichtungen von TKG und TDDSG unterliegt, kann er die private Nutzung von Internet und E-Mail verbieten. Dies sollte er im Arbeitsvertrag beziehungsweise in internen Richtlinien regeln.
Doch es gilt: keine Regel ohne Ausnahme. Denn auch beim Verbot, Internet und E-Mail privat zu nutzen, ist die „dienstlich motivierte Privatnutzung“ regelmäßig zulässig. Es gelten hier die gleichen Grundsätze wie beim Verbot einer privaten Nutzung des Telefons. „Dienstlich motivierte Privatnutzung liegt dann vor, wenn die Notwendigkeit der Kommunikation aus Umständen resultiert, die in der Sphäre des Arbeitgebers begründet sind und deren Gestattung sich aus der Fürsorgepflicht des Arbeitgebers ableitet“, so Bitkom.
Einschränkung empfohlen
Konkret: wenn der Mitarbeiter einen privaten Termin aus geschäftlichen Gründen nicht einhalten kann und ihn deshalb per Telefon oder E-Mail absagen muss. Ebenfalls zulässig sei auch „der private Austausch am Arbeitsplatz in begrenztem Umfang“, beispielsweise die Verabredung zum Mittagessen. In beiden Fällen bleibt das Verbot der privaten Nutzung uneingeschränkt bestehen.
Erlaubt der Arbeitgeber die private Internet-Nutzung, so sollte er diese zumindest einschränken, beispielsweise in zeitlicher und inhaltlicher Hinsicht. So kann festgelegt werden, dass der Mitarbeiter in Randzeiten oder Pausen surfen darf und dass der Arbeitgeber berechtigt bleibt, bestimmte Websites oder E-Mail-Zieladressen zu sperren.
Außerdem kann er die Gestattung davon abhängig machen, dass sich die Arbeitnehmer damit einverstanden erklären, dass ihre Netzaktivitäten kontrolliert werden und über das Ergebnis ein Protokoll erstellt wird (Einwilligung, § 4a BDSG). Die Voraussetzungen, die das Gesetz an die Wirksamkeit einer Einwilligung stellt, sind allerdings umfangreich. Der Betroffene muss sein Einverständnis zeitlich vor Beginn des Verarbeitungsprozesses freiwillig erteilen, eine nachträgliche Genehmigung hat keine rechtfertigende Wirkung für die Vergangenheit. Die Einwilligungserklärung bedarf grundsätzlich der Schriftform.
Schließlich ist der Betroffene vor Abgabe der Einwilligungserklärung auf die Zwecke der Datenverarbeitung hinzuweisen; dazu gehört auch die Information über die Art der Daten, die verarbeitet werden sollen. Entsprechende Klauseln können gemäß Paragraph 94 des Betriebsverfassungsgesetzes der Mitbestimmung unterliegen. Die komplette Bitkom- Broschüre „Die Nutzung von E-Mail und Internet im Unternehmen - Rechtliche Grundlagen und Handlungsoptionen“ kann kostenlos im Internet unter www.bitkom. de als PDF-Datei heruntergeladen werden.
Seit Anfang 2002 wird bei der Deutschen Angestellten Krankenkasse gefiltert. Stefan Kraus, Mitarbeiter des DAK-Rechenzentrums und verantwortlich für die Internet-Nutzung der DAK, erklärt: „Uns war von Anfang an klar, dass das Internet nicht nur Vorteile mit sich bringt, sondern auch Risiken - vom privaten Surfen am Arbeitsplatz über schädlichen Code bis hin zur Verstopfung der Netze durch unerwünschten Datenmüll.“ Zum Einsatz bei der DAK kommt das Programmpaket Webwasher Enterprise Edition der Paderborner Webwasher AG. Gesperrt sind für die Mitarbeiter der Krankenkasse beispielsweise pornografische, Extremismus- und Hacker-Seiten. Teilweise geöffnet ist die Kategorie Reisen. So sei die URL „www. bahn.de“ erreichbar - „jeder Mitarbeiter kann seine Dienstreisen planen“, so Kraus,
„aber die Angebote von Neckermann und Alltours für den nächsten Sommerurlaub bleiben tabu.“
Video-Downloads verboten
Unerwünschte Downloads verhindert das Filtern des Content. In der Standard-Konfiguration von Webwasher, in der die Filterkriterien für den Großteil der Mitarbeiter festgelegt sind, werden alle Medientypen mit Ausnahme von PDF-Dateien gesperrt. „So haben wir gegen das unliebsame Herunterladen von Musik- oder Video- Dateien einen doppelten Schutz. Und ausführbare Programme, die ja immer auch ein Risiko für die Sicherheit des Unternehmens bedeuten, werden gleich mitgewaschen.“
Kurzen Prozess macht die DAK dank der Filtersoftware auch mit Online-Werbung. „Werbebanner dienen nicht der betrieblichen Nutzung des Internet. Sie kosten Zeit und Bandbreite und halten Mitarbeiter von der Arbeit ab“, sagt Kraus.