JurPC Web-Dok. /2000 - DOI 10.7328/jurpcb/200015225

Ein in der Gewerkschaft HBV organisierter Betriebsrat einer Softwarefirma mit Unterstützung der Berliner Technologieberatung des DGB:

Sicherheitsvereinbarung für die Benutzung des Internets

JurPC Web-Dok. 166/1999, Abs. 1 - 37


Zwischen der Firma XYZ, vertreten durch die Geschäftsleitung

- nachstehend Unternehmen genannt -

und dem Betriebsrat der Firma XYZ

- nachstehend Betriebsrat genannt -

wird als Anlage zur Betriebsvereinbarung DV/IT folgende
JurPC Web-Dok.
166/1999, Abs. 1
Sicherheitsvereinbarung für die Benutzung des Internets geschlossen.Abs. 2
Sie gilt gleichzeitig als Arbeitsanweisung für die Benutzung des Internets
Verteiler: alle Mitarbeiter
Abs. 3

Ziel und Zweck

Ziel und Zweck dieses Dokumentes ist es, allen (internen und externen) Mitarbeiterinnen und Mitarbeitern einen Leitfaden in die Hand zu geben,damit sie sich bei der Benutzung des Internets verantwortungsbewußt im Sinne des Unternehmens verhalten können. Bitte drucken Sie die Nutzungsvereinbarung im Anhang aus und senden Sie das Orginal unterschrieben zurück an Datenschutzbeauftrager Herr NN, Raum 4711.Abs. 4

Geltungsbereich

Diese Arbeitsanweisung gilt für alle Mitarbeiterinnen und Mitarbeiter des Unternehmens. Dazu gehören alle beschäftigte Personen (interne und externe), auszubildende Personen und Aushilfen, mit denen das Unternehmen Verträge zur Leistungserbringung vereinbart hat. Neue Versionen ersetzen die alten Versionen dieses Dokuments vollständig,sofern dies nicht anders ausgewiesen ist. Hintergrund der Sicherheitsmaßnahmen Das Internet ist ein rasant wachsendes Kommunikationsnetz mit allen Vor-und Nachteilen eines offenen weltweiten Netzes. Nützliche wie auch unwichtige, sogar kriminelle Informationen sind verfügbar. Die erste Priorität der unternehmensweiten Sicherheit beim Internet hat zum Ziel, Mitarbeitern ein Höchstmaß an Transparenz für das Internet bei gleichzeitigem Schutz unternehmensinterner Systeme und Informationen zu bieten.Abs. 5

Gefahrenpotential

Es ist wichtig, sich der Tatsache bewußt zu sein, daß das Internet auch von Personen benutzt wird, die nicht immer das Wohl des Unternehmens im Auge haben; alle über das Internet ausgetauschten Informationen von einer Vielzahl unbekannter Personen (Kriminelle, Spione, Saboteure,Geheimdienste etc.) gelesen und mißbraucht werden können; die Computer-Viren, Computer-Würmer, Trojanische Pferde oder sonstige Schädlinge über das Internet unkontrolliert verbreitet und große materielle und immaterielle Schäden verursachen können.Abs. 6

Sicherheitsmaßnahmen des Unternehmens

Ein Schutz vor den möglichen Gefahrenpotentialen in unserem Unternehmen kann nur dann gewährleistet werden, wenn alle betroffenen Mitarbeiterinnen und Mitarbeiter des Unternehmens mit PC-Arbeitsplätzen diese Arbeitsanweisung beachten und danach handeln. Abs. 7

Arbeitsanweisung

Verantwortlichkeit für den Computer-Arbeitsplatz
Jeder Computer-Arbeitsplatz ist einem Benutzer bzw. einer Benutzergruppe zugeordnet. Für jeden Arbeitsplatz gibt es mindestens einen Verantwortlichen, in der Regel ist das der Besitzer. Der Besitzer ist für die Beachtung der Vorschriften und Arbeitsanweisungen des Unternehmens verantwortlich.
Abs. 8
Nutzung von zugelassener Hard- und Software
Jeder Computer-Arbeitsplatz darf grundsätzlich nur die vom Unternehmen zugelassene bzw. genehmigte Hard- und Software beinhalten. Diese sind alle offiziell erworbenen, lizenzierten, überlassenen bzw.selbstentwickelten Hard- und Softwareprodukte. Erweiterungen, die Fremdanschlüsse schaffen, sind genehmigungspflichtig (siehe Genehmigungen).
Abs. 9
Schutz vor unbefugtem Zugriff
Jede(r) Mitarbeiterin/Mitarbeiter hat ihren/seinen Computer-Arbeitsplatz vor unbefugtem Zugriff zu schützen.
Abs. 10

Internet-Zulassung

Aufgrund der schnell verändernden Internet-Technologien muß jeder neue Dienst durch die Netzwerk-Betreiber auf Sicherheitsrelevanz überprüft werden, bevor er zum Einsatz kommt. Für die Internet-Zulassung muß der Benutzer die Internet-Nutzungsvereinbarung anerkennen.
Es sind sinngemäß folgende Verpflichtungserklärungen abzugeben:
- der Benutzer handelt im Sinne und im Interesse des Unternehmens,
- die Benutzung steht grundsätzlich im Zusammenhang mit dem Aufgabenumfeld,
- der Benutzer ist sich über die Gefahren und Risiken im Internet bewußt.
Abs. 11

Berechtigung für Internet-Dienste

Zum Internet gehören verschiedene Internet-Dienste, z.B.:
eMail
WWW
FTP
News
Telnet
Der Benutzer ist nach Annerkennung der Internet-Nutzungsvereinbarung berechtigt, die zugelassenen Dienste entsprechend in Anspruch zunehmen.
Abs. 12

Speicherung von Internet-Zugriffen

Jede Benutzeraktivität bzw. Transaktion im Internet wird gespeichert (protokolliert) und für eine bestimmte Zeitdauer aufbewahrt. Der Umfang der gespeicherten Daten wird in Anlage 3 der Betriebsvereinbarung DV/IT abschließend dokumentiert. Somit ist eine Nutzung, das Speichern/Herunterladen von Software, Dateien und Internet-Seiten nachweisbar.Abs. 13
Dieses Logging-Verfahren ist notwendig, um potentielle Angriffe (Hacking,Spionage, Sabotage, etc.) festzustellen und an die zuständigen Strafverfolgungsbehörden weiterleiten zu können (siehe Auswertung). Die Inhalte von eMails und Dateien sind von der Protokollierung unberührt. In einem Servicefall sind die zuständigen Stellen im Unternehmen berechtigt,den jeweiligen PC zu überprüfen und ggf. Änderungen vorzunehmen.Abs. 14

Auswertung von Internet-Zugriffen

Die gespeicherten Internet-Zugriffe (Protokolldaten) dürfen laut
- Bundesdatenschutzgesetz (BDSG § 31) sowie
- Betriebsverfassungsgesetz (div. Mitbestimmungsrechte)
- Betriebsvereinbarung über Einführung, Einsatz und Weiterentwicklung von DV-/IT-Systemen des Unternehmens nicht zur Auswertung personenbezogener/personenbeziehbarer Daten verwendet werden.
Abs. 15
Im Hinblick auf die Wahrung der Interessen der Mitarbeiterinnen und Mitarbeiter und im Sinne des Datenschutzes werden folgende Maßnahmen ergriffen: Abs. 16

Zugriff auf gespeicherte Daten

Es wird gewährleistet, daß nur autorisierte Personen in begründeten Fällen die gespeicherten Daten einsehen und auswerten. Die Auswertung der gespeicherten Daten erfolgt unter Einbindung der EDV-Revision, des Betriebsrats und der Geschäftsleitung bzw. einer von ihr beauftragten Person. Über die Auswertung wird der betroffene Mitarbeiter(in)informiert. Es wird ein ausführliches Protokoll über die Auswertung erstellt. Der betroffene Mitarbeiter(in) erhält eine Kopie dieses Protokolls.Abs. 17

Speicherungsdauer der Daten

Die gespeicherten Daten werden vor dem Zugriff nicht autorisierter Personen geschützt aufbewahrt. Die Aufbewahrungsdauer der Daten beträgt maximal 12 Monate. (Auswertungen sind jedoch nur in den ersten 90 Tagen nach Speicherung zulässig.) Sofern aufgrund allgemeiner Vorgaben (z.B.gesetzliche Auflagen) eine längere Aufbewahrungsfrist erforderlich wird,wird diese dem Betriebsrat rechtzeitig vorher unter Angabe der Gründe mitgeteilt. Nach Ablauf der Aufbewahrungsfrist werden die gespeicherten Daten im Sinne des Bundesdatenschutzgesetzes gelöscht.Abs. 18

Leistungs- und Verhaltenskontrolle

Eine Verhaltens- oder Leistungskontrolle der Mitarbeiterinnen und Mitarbeiter durch Auswertung der gespeicherten Daten erfolgt nicht (siehe auch §11 der Betriebsvereinbarung über Einführung, Einsatz und Weiterentwicklung von DV-/IT-Systemen des Unternehmens).Abs. 19

Maßnahmen bei Verstößen gegen die Arbeitsanweisung

Die Zugangsberechtigung erlischt, wenn das Internet fahrlässig und unzulässig für solche Zwecke eingesetzt wird, die das Unternehmen materiell bzw. immateriell schädigen, und damit gegen diese Arbeitsanweisung verstoßen wird. Bei schweren Verstößen oder Mißbrauchsfällen können neben dem Internet-Zulassungsentzug weitere disziplinäre und arbeitsrechtliche Maßnahmen eingeleitet werden. Zum schweren Verstoß gehört die grobe Fahrlässigkeit bzw. Mißbrauch bezogen auf die Nutzung, die Speicherung und die Weitergabe der folgenden Daten:Abs. 20
- sittenwidrige, obszöne und respektlose Angebote,
- menschensverachtende und rassistische Propagandadaten,
- Sekten-Propaganda bzw.
- Mitgliederwerbung jeder Art,
- unbefugtes Software-Herunterladen für Privatzwecke, wenn dadurch grob fahrlässig Lizenzrechte verletzt werden.
Abs. 21

Kontrolle über die Einhaltung von Arbeitsanweisung

Die EDV-Revision ist zuständig für die Überprüfung/Kontrolle der Einhaltung von Arbeitsanweisungen zum Thema Internet. Ansprechpartner bei Rückfragen Herr NN Telefon: 0815 Fax: 007 eMail: NN@xyz.atAbs. 22

Definitionen der Begriffe

Autorisierte Personen
Die "autorisierten Personen" für die Auswertung im Sinne dieser Arbeitsanweisung sind die Internet-Systemadministratoren der Netzwerkbetreiber.
Abs. 23
Auswertung
Eine Auswertung im Sinne dieser Arbeitsanweisung ist notwendig, sofern die gespeicherten Internet-Zugriffe zur Feststellung der potentiellen Angriffe (z.B. Hacking, Spionage, Sabotage) bzw. der schweren Verstöße gegen diese Arbeitsanweisung es erforderlich machen, grobe Fahrlässigkeit bzw. den Mißbrauchsfall unter Einbindung der zuständigen EDV-Revision,des zuständigen Betriebsrats und der Geschäftsleitung bzw. einer von ihr beauftragten Person zu überprüfen bzw. nachzuweisen.
Abs. 24
Besitzer
Besitzer eines Computer-Arbeitsplatzes ist in der Regel ein Mitarbeiter /eine Mitarbeiterin.
Abs. 25
Computer-Arbeitsplatz
Computer-Arbeitsplätze sind Systeme im Sinne dieser Arbeitsanweisung, wenn sie in festen bzw. mobilen Arbeitsumgebungen Zugriff auf das Internet haben (PC, Notebook, Laptop, NC, usw.)
Abs. 26
Computer-Viren
Computer-Viren gehören zu den Programmen mit Schadensfunktionen.Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Ein Virus infiziert andere Programme mit einer Kopie von sich selbst. Bösartige Viren beschädigen andere Programme oder Daten, löschen die Plattenverzeichnisstruktur oder richten andere Schäden an.
Abs. 27
Die verschiedene Virentypen sind:
- Programm-Viren: fügen sich bestehende Programmdateien auf Speichermedien ein und werden beim Aufruf des Wirtsprogramms ausgeführt.
- System-Viren: befallen Systembereiche (Bootsektor, Master-Boot-Sektor,Partitionstabelle) von Disketten oder Festplatten.
- Direct-Action-Viren: infizieren bei der Ausführung des infizierten Programms sofort weitere Programmdateien, führen sofort eine Schadensroutine aus und geben dann wieder die Kontrolle an das Gast-Programm ab.
- Stealth-Viren: versuchen ihr Vorhandensein im System zu verbergen. Dazu überwachen sie die Systemaktivitäten und verschleiern ihre Existenz.
- Polymorphe-Viren: verschlüsseln infizierte Programmteile um zu verhindern, daß Antiviren-Programme die Virus-typische Merkmale entdecken. Manche Viren verwenden eine Technik heißt "Tunneling" um die Antiviren-Überwachungsprogramme zu umgehen.
- Slow-Viren: führen erst nach einem längeren Zeitraum ihre Schadensroutine aus.
- Makro-Viren: werden auf der Basis der in vielen Software-Produkte integrierten Makro-Sprachen entwickelt. Sie "klinken" sich z.B. in Formatvorlagen von Textverarbeitungs-systemen (z.B. WinWord-Dokument)ein. Sie sind nicht in der Lage, ohne eine spezifische Makro-Ausführungumgebung zu laufen.
- Computer-Würmer Bei Computer-Würmern handelt es sich um Störprogramme, die sich selbständig in einem Computer-Netzwerk ausbreiten. Diese Störprogramme können sich reproduzieren und mit Hilfe von Netzwerkfunktionen sich selbst auf andere Computer kopieren. Die Programm-Kopien können sogar andere Funktionen übernehmen als das Ursprungsprogramm.
Abs. 28
Datenträgermedium und -laufwerk
Datentragermedium ist das Speichermedium für die Daten und Programme (Festplatte, Floppy-, Diskette, PCMCIA, CD, Zip-Medium, Jaz-Medium,Streamer-Cassette, Magneto-Optische Platte usw.). Datenträgerlaufwerk ist das jeweilige Steuerungsinstrument des Datenträgers zum Lesen und Speichern von Daten und Programmen.
Abs. 29
Firewall
Eine Firewall als zentraler Übergang zum Internet ist eine Kombination von Hardware-und Software-Komponenten, der eine sichere Verbindung zwischen dem Netzwerk des Unternehmens und Netzwerken erlaubt, die nicht unter der Kontrolle des Unternehmens sind. Die Systemkonfiguration und die Filterregeln müssen gewährleisten, daß nur die erlaubten Verbindungen zugelassen werden.
Abs. 30
Es gibt folgende Möglichkeiten der Filterung:
Packet-Filter benutzen die Informationen z.B. Rechnernummer und Dienst
Application-Gateway benutzen die Informationen der Anwendungsschicht, um Verbindungen aufzubauen oder abzubauen.
Abs.31
Fremdanschlüsse
Möglichkeit, über definierte Kommunikationsschnittstellen (z.B. externe/interne Modems und ISDN-Geräte) externe DV-Einrichtungen (z.B.Rechnersysteme, Internet) zu erreichen bzw. von ihnen erreicht zu werden. Fremdanschlüsse sind alle nicht Primär- oder Sekundär-Datennetze zu den Benutzern des Unternehmens und Partnern des Kooperationsverbundes Genehmigungen für Fremdanschlüsse: Firma XYZ, Beauftragter für die IT-Infrastruktur (Ansprechpartner)
Abs. 32
Internet-Dienste
WWW
(World Wide Web) - Leicht bedienbare Anwenderprogramme, die den Zugriff auf Informationen mit Hilfe des Protokolls HTTP (HyperText Transfer Protocol) ermöglicht
eMail
(Electronic Mail) - Ein Internet-Dienst zum Versenden und Empfangen von elektronischen Nachrichten.
FTP
(File Transfer Protocol) - Ein Internet-Dienst zur Übertragung von Dateien von und zu entfernten Rechnern.
News
Ein Internet-Dienst als Diskussionsforum zu verschiedenen Themen, an denen jeder Internet-Benutzer teilnehmen kann.
Telnet
Ein Internet-Dienst zum Einloggen und Arbeiten auf einem entfernten Rechner.
Abs. 33
Modem und ISDN-Gerät
Modems (Modulator-Demodulator) und ISDN-Geräte (Integrated Services Digital Network) sind Datenübertragungsgeräte.
Abs. 34
Protokollierung
Die Protokollierung im Sinne dieser Arbeitsanweisung liegt vor, sofern die Daten über die Internet-Zugriffe gespeichert und verwendet werden, um diese später auswerten zu können.
Abs. 35
Trojanische Pferde
Trojanische Pferde sind Sabotage-Programme, die unter falschem Namen bzw.falscher Identität ins Computersystem gelangen. Der Name eines "Trojanischen Pferdes" suggeriert häufig eine nützliche Funktion oder ist sogar identisch mit dem Namen eines bekannten Software-Programms. Den wahren Charakter zeigen die Trojanischen Pferde bei der Ausführung, indem sie die zerstörerische Funktionen ausführen.
Abs. 36

Anlage: Internet-Nutzungsvereinbarung

Internet-Nutzungsvereinbarung
Vom Antragsteller auszufüllen
Hiermit bestätige ich Erhalt und Kenntnisnahme der "Arbeitsanweisung für die Benutzung des Internets" der Firma XYZ. Mir ist bewußt, daß bei Verstößen gegen diese Arbeitsanweisung Maßnahmen entsprechend dieser Arbeitsanweisung eingeleitet werden können.
Name: _________________________________
Personal-Nr: ____________________________
Firma: _________________________________
Abteilung: ______________________________
erklärt folgendes:
1. Die Arbeitsanweisung für die Benutzung des Internets wird eingehalten
2. Der Benutzer handelt im Sinne und Interesse des Unternehmens
3. Die Internet-Benutzung steht grundsätzlich im Zusammenhang mit dem Aufgabenumfeld
4. Der Benutzer ist sich über die Gefahren und Risiken im Internet bewußt
Datum: ________________________________
Unterschrift: ____________________________
JurPC Web-Dok.
166/1999, Abs. 37
[online seit: 04.10.99]
Zitiervorschlag: Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: , Sicherheitsvereinbarung für die Benutzung des Internets - JurPC-Web-Dok. /2000