Zwischen privater und dienstlicher Internet-Nutzung sind die Grenzen in vielen Unternehmen fließend. Die Mitarbeiter verwenden geduldet oder ausdrücklich erlaubt den Web-Zugang ihres Arbeitsplatzes auch, um private Interessen zu verfolgen.
Die Folgen des privaten Surfens
Produktivitätseinbußen: Nur 20 Minuten privates Surfen je Mitarbeiter und Tag kostet ein Unternehmen mit 100 Angestellten bei einem Stundensatz von 50 Euro mehr als 8000 Euro pro Woche.
Gefahren: Dazu zählen das Einschleusen von Viren und Würmern in das Unternehmensnetz durch heruntergeladene Daten, der Aufruf von Web-Seiten mit schadhaftem Code und die Nutzung von privaten Web-basierenden E-Mail-Diensten.
Beeinträchtigungen des Netzwerks: Privates Surfen und große Downloads verschwenden wertvolle Bandbreite und erhöhen den Bedarf an Speicherplatz.
Haftungsrisiken: Unternehmer und Mitarbeiter müssen für Verstöße gegen geltendes Recht geradestehen.
Fragen an die Verantwortlichen
Existiert eine Vereinbarung zur Internet-Nutzung am Arbeitsplatz?
Wie stellen Sie sicher, dass die private Nutzung des Internet-Zugangs während der Arbeitszeit nur im geregelten Umfang erfolgt?
Mit welchen Mitteln limitieren Sie Software-Downloads?
Auf welche Weise verhindern Sie den Aufruf risikanter Internet-Seiten?
Wie stellen Sie sicher, dass kein potentiell schadhafter Code über besuchte Web-Seiten in das interne Firmennetz gelangt?
Durch welche Maßnahmen verhindern Sie die Nutzung von Streaming Media über das Internet?
Können Sie gewährleisten, dass die private Nutzung von IT-Systemen die Leistungsfähigkeit der unternehmenskritischen Anwendungen nicht beeinflusst?
Wenn das private Surfen erlaubt ist: Wie verringern Sie das unternehmerische und persönliche Haftungsrisiko?
Zehn Kriterien zur Auswahl eines Web-Filters
Ist die Lösung für jede Unternehmensgröße skalierbar?
Lässt sie sich in jede Systemumgebung integrieren?
Ist sie auf diversen Plattformen implementierbar?
Wird eine tagesaktuelle URL-Datenbank bereitgestellt und verwendet?
Lassen sich die URLs in verwaltbare Kategorien klassifizieren?
Wie viele Sprachen (Länder-URLs) können verwaltet werden?
Ist es möglich, filigrane Regelkriterien zu setzen nach Inhaltstyp, Dateityp (Download oder Streaming), zugewiesener Bandbreite, Tageszeit etc.?
Besteht die Möglichkeit einer dynamischen Filterung zum Blockieren fragwürdiger, noch nicht qualifizierter Sites?
Ist Antivirensoftware integrierbar?
Gibt es Möglichkeiten zur Nutzungsanalyse und Berichterstellung?
Der Bonner Informationsdienst "Neues Arbeitsrecht für Vorgesetzte" wertete mehrere Studien, beispielsweise von TNS Emnid, Capital und Surfcontrol, aus; er berichtete daraufhin, dass mehr als 90 Prozent aller vernetzten Arbeitnehmerinnen und Arbeitnehmer in Deutschland während der Bürozeiten privat surfen und mailen.
Nach einer aktuellen Untersuchung des Berliner Rechnungshofes erfolgen bis zu zwei Drittel aller Internet-Besuche am Arbeitsplatz aus privaten Gründen. Dadurch entsteht der deutschen Wirtschaft ein jährlicher Schaden in Höhe von rund 54 Milliarden Euro. Noch gravierender können jedoch die juristischen Konsequenzen für die Unternehmen sein.
Sieben von zehn Porno-Surfern tun es im Dienst
Häufig rufen die Mitarbeiter riskante Web-Seiten auf oder starten gar unkontrollierte Downloads. Wie eine Analyse von IDC aus dem vergangenen Jahr ergab, finden 70 Prozent aller Zugriffe auf pornografische Web-Seiten während der Geschäftszeiten statt. Zu den Anwendungen, für die die Internet-Anbindung der Unternehmen am häufigsten missbraucht wird, gehören der Studie zufolge Streaming-Media- und MP3-Dateien.
Durch privates Surfen beschwören die Mitarbeiter diverse Risiken für Unternehmen herauf. Laut IDC ist Spyware mittlerweile die zweitgrößte Bedrohung im IT-Bereich. Und der "Malware Report 2006" des Security-Anbieters Aladdin verzeichnet einen Zuwachs von 1300 Prozent an Störfällen durch Spyware und Trojaner (siehe Grafik "Steigende Bedrohung").
Die Pflicht zur Verkehrssicherung
Die Unternehmen müssen sich darüber im Klaren sein, welche Vorgänge im Firmennetz in der Mitverantwortung des Arbeitgebers, der Geschäftsleitung oder der IT-Verantwortlichen stehen und welche Konsequenzen daraus erwachsen. In diesem Kontext ist vor allem das Thema Verkehrssicherungspflicht von Bedeutung.
Der Bundesgerichtshof formuliert die Verkehrssicherungspflichten folgendermaßen: "Wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen." Damit lässt sich zweierlei begründen: eine Rechtspflicht im Falle von Unterlassungen und eine Rechtswidrigkeit des Handelns bei mittelbaren Verletzungen.
Indem der Arbeitgeber den Mitarbeitern Zugang zum Internet gewährt, unterliegt deren Web-Kommunikation den Verkehrssicherungspflichten des Unternehmens. Allerdings ist zur Erfüllung dieser Pflichten keine hundertprozentige Sicherheit notwendig; maßgeblich ist vielmehr das Verhältnis der IT-Sicherheit zur wirtschaftlichen Zumutbarkeit.
Alternativen zum Pauschalverbot
Wer jetzt das private Surfen generell verbieten will, sollte wissen, dass es Lösungsalternativen gibt. Maßnahmen für eine geregelte Nutzung des Internets am Arbeitsplatz setzen sich aus drei Komponenten zusammen: aus organisatorischen Vorkehrungen, definierten Richtlinien und geeigneten technischen Mitteln.
Zunächst sollte das Unternehmen Vereinbarungen zur Web-Nutzung treffen. Dabei gilt es,
den Grund und die Ziele der Nutzung zu definieren,
die Vereinbarung als einen gemeinsamen, unternehmensweiten Prozess voranzutreiben,
eine klare, allgemein verständliche Ausdrucksweise zu benutzen: Was ist erlaubt und was nicht?
die Mitarbeiter aufzuklären und zu sensibilisieren, indem ihnen die Chancen und Risiken der Internet-Nutzung aufgezeigt werden,
die Zulässigkeit und den Umfang der privaten Nutzung zu definieren,
zu klären, wofür der Arbeitnehmer verantwortlich ist und was unter die Aufsichtspflicht des Arbeitgebers fällt,
(in Absprache mit dem Betriebsrat) die möglichen Kontrollmechanismen zu evaluieren sowie
die Implementierung von unterstützenden Maßnahmen zu beschreiben.
Die Unternehmens- und IT-Verantwortlichen sollten diese Vereinbarung in schriftlicher Form hinterlegen und öffentlich zugänglich machen sowie an alle Mitarbeiter im Unternehmen verbreiten. Am besten bestätigen die Mitarbeiter per Unterschrift, dass sie von der Vereinbarung Kenntnis genommen haben und sie akzeptieren. Der Arbeitgeber kann die Vereinbarung auch zum Bestandteil des Arbeitsvertrags machen.
Aber solche Vereinbarungen nutzen nur dann, wenn sie den Mitarbeitern im Bewusstsein bleiben. Deshalb sollte die Belegschaft fortlaufend begleitende Informationen erhalten, beispielsweise immer dann, wenn akute Sicherheitsbedrohungen auftreten oder sich Richtlinien ändern.
In der Form von "Content-Security"- Lösungen bietet der IT-Markt technische Hilfsmittel an als reine Software- oder auch als Appliance-Modelle. Es gibt sie in verschiedenen Spielarten: von kombinierten Lösungen aus Web-Filter und integrierter Virenschutz-Software bis zu UTM-Lösungen (Unified-Threat-Management), die bis zu fünf Sicherheits-Features in einer Box bieten: Firewall-, Spam- und Virenschutz sowie Intrusion-Detection-System und Web-Filter. Die Qualität der UTM-Pakete erreicht im Allgemeinen nicht das Niveau der Einzellösungen. Zu den führenden Anbietern hochwertiger datenbankbasierender Web-Filter gehören Websense, Surfcontrol und Cobion (IBM).
Die technischen Lösungen wirken unterstützend
Die Unternehmen sind gefordert, die Internet-Nutzung klar zu regeln, um rechtlichen Konsequenzen vorzubeugen und Grauzonen zu vermeiden. So wahren sie die Interessen der Arbeitgeber und schützen die Persönlichkeitsrechte der Mitarbeiter. Gleichzeitig verringern sie die beiderseitigen Haftungsrisiken. Darüber hinaus erhöht eine geregelte Web-Nutzung die Verfügbarkeit der eingesetzten IT-Systeme.
Die technischen Lösungen wirken unterstützend: Sie filtern den Zugriff auf risikante Internet-Seiten und Downloads. Regelmäßige Datenbank-Updates sogen für den jeweils aktuellen Stand. Außerdem lässt sich mit Hilfe von Web-Filtern zum einen das heruntergeladene Volumen begrenzen zum anderen die private Nutzung spezieller Kategorien von Websites in die arbeitsfreie Zeit verlegen. (qua)