Wer kennt die Situation nicht: Ein Besucher im Unternehmen möchte in einer Konferenzpause gerne seine E-Mails lesen oder mit seinem Notebook ans Netz angebunden werden. "Geht das? Darf ich das?", fragt sich der Mitarbeiter, der mit dieser Situation konfrontiert wird.
In den Sicherheitsrichtlinien eines Unternehmens sollte diese Frage beantwortet sein. Jedoch haben nicht alle Unternehmen eine solche formuliert, und wenn doch, kennen die Mitarbeiter sie oft nicht oder nur teilweise.
Für einen IT-Verantwortlichen hat das Thema zwei Aspekte: Der eine betrifft die rechtlichen Rahmenbedingungen, die es dabei zu berücksichtigen gilt. Der andere behandelt die Regelung, ob, wie und in welchem Umfang ein Gast auf das Netz zugreifen darf und wie sichergestellt werden kann, dass der Computer und sein Benutzer keinen Schaden im Netz anrichten kann.
Rechtlich bieten die Vorschriften des Telekommunikationsgesetzes (TKG), des Telemediengesetzes (TMG) sowie des Bundesdatenschutzgesetzes (BDSG) den wichtigsten Rahmen, sofern das Unternehmen den Zugriff Dritter, gleich ob Mitarbeiter, freier Mitarbeiter oder Gast, "zu anderen, als den vom Unternehmen verfolgten Zwecken auf die Telekommunikationsinfrastruktur" zulässt. Es kommt also darauf an, ob das Unternehmen einen Zugang zu einer Telekommunikationsdienstleistung eröffnet und ob der "Gast" ausschließlich im Interesse des Unternehmens, also "dienstlich", für das Fremdunternehmen unterwegs ist. Erlaubt der Arbeitgeber beispielsweise seinen Mitarbeitern und somit auch dem Gast die Nutzung privater E-Mails, so wird er zum geschäftsmäßigen Anbieter von Telekommunikationsdiensten, da er den Internet-Zugang für fremde Zwecke zur Verfügung stellt. Dies ist zwar kein spezieller Fall für den Gastzugang, betrifft diesen aber dennoch und sollte daher im Unternehmen generell geregelt werden. Denn bei Erlaubnis der privaten Nutzung unterliegt der Arbeitgeber erheblichen Verpflichtungen wie der Wahrung des Fernmeldegeheimnisses, die jegliche Überwachung der Inhalte sowie der Verbindungsdaten der Internet- und E-Mail-Nutzung unterbindet.
Doch damit nicht genug: Neben der Wahrung des Fernmeldegeheimnisses ist der Arbeitgeber als "Erbringer geschäftsmäßiger Telekommunikationsdienste zu angemessenen technischen Vorkehrungen und sonstigen Maßnahmen zum Schutz des Fernmeldegeheimnisses verpflichtet". Das bedeutet: Alle Inhalts- und Verbindungsdaten, die Auskunft über die an der Internet-Nutzung oder am E-Mail-Verkehr Beteiligten geben könnten, sind durch angemessene technische Vorkehrungen und sonstige Maßnahmen vor Kenntnisnahme zu schützen.
Allerdings wird die Anwendbarkeit vom Gesetzgeber eingeschränkt. "Lässt ein Mitarbeiter einen Auftraggeber beispielsweise privat über den Internet-Anschluss des Unternehmens surfen, stellt dies kein 'Anbieten' im Sinne des TMG dar."
Rechtlich zu berücksichtigen ist neben dem TMG das Bundesdatenschutzgesetz (BDSG). Wenn der Administrator dem Gast einen Zugang gewährt, greift er eine MAC-Adresse und personenbezogene Nutzerdaten sowie Passwörter ab. Das BDSG sieht vor, dass personenbezogene Daten nur unter Mitwirkung des Betroffenen erfolgen dürfen. Somit muss sichergestellt sein, dass der Betroffene darüber informiert wird und seine Einwilligung dazu gibt. Außerdem sind die Daten danach unverzüglich zu löschen.
Zugriffsrechte standardisieren
Aus sicherheitstechnischen Gesichtspunkten heraus gilt es, eine klare Regelung für die Nutzung zu treffen. Dem Gast muss mitgeteilt werden, welche Anwendungen er im Netz nutzen darf, welche Maßnahmen dafür nötig sind und was mit seinen personenbezogenen Daten geschieht. Einem Kunden als häufigem Gast will man mehr Rechte zuweisen als einem einmaligen Besucher. Insofern ist es sinnvoll, eine Art Rollenkonzept mit fest definierten und standardisierten Zugriffsrechten festzulegen. (mb)