Sie sind auf Seite 1von 6

Effektive Internet-Richtlinien:

Mitarbeiter-Produktivität und
Gesetzeskonformität gewährleisten
Als Gegenleistung für Überstunden, die Mitnahme von Arbeit nach Hause und das
Unterbrechen von Urlaub erwarten Mitarbeiter, dass sie das Internet an ihrem Arbeitsplatz
für private Belange nutzen dürfen. Diese Handhabe bringt jedoch eine Reihe von
Problemen mit sich: Die Sicherheit und Produktivität des Unternehmens kann gefährdet,
Bandbreite übermäßig beansprucht oder aber sogar gegen geltendes Recht verstoßen
werden. Deshalb ist es für Unternehmen unerlässlich, eine Internet-Nutzungsrichtlinie
einzuführen, die mit wirksamen Web Filtering Tools ergänzt wird. In diesem White
Paper erfahren Sie, wie Sie eine Richtlinie erstellen, die sowohl das Sicherheitsbedürfnis
des Unternehmens berücksichtigt als auch auf die Belange einzelner eingeht.

Sophos White Paper April 2008


Sophos White Paper Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Effektive Internet-Richtlinien:
Mitarbeiter-Produktivität und Gesetzeskonformität
gewährleisten

Das Regulieren des Internetzugangs am


Privates Internet-Surfen 52%
Arbeitsplatz ist ein heikler Balanceakt. Über
Mit Kollegen kommunizieren 26.3%
das Internet haben Mitarbeiter einerseits Besorgungen machen 7.6%
Zugriff auf wertvolle Informationen und % Tagträume 6.6%
Tools, die sowohl die Produktivität als auch Private Telefonate 3.9%

die Konkurrenzfähigkeit erhöhen. Das schier Spät zur Arbeit kommen/früher gehen 2
Auf andere Jobs bewerben 0.7%
endlose Angebot an Spielen, Downloads,
webbasierten E-Mail-Programmen, Community
Quelle: America Online and Salary.com1.
Sites und Online-Shops kann jedoch gleichzeitig
verheerende Auswirkungen auf die Produktivität Abbildung 1: Welche sind Ihre größten
eines Unternehmens haben. Ablenkungen am Arbeitsplatz?

Die Ausmaße von Internet-Missbrauch sind • Das Herunterladen raubkopierter Inhalte und
die Verwendung von Kontaktportalen
dramatisch. Über die Hälfte aller Befragten
• Den Einsatz webbasierter E-Mail-Programme
einer America Online und Salary.com Umfrage
oder Blogs, um heikle persönliche oder
gaben an, dass das Surfen im Internet zur Unternehmensdaten offenzulegen bzw. den
Ablenkung Nummer 1 am Arbeitsplatz zählt Ruf anderer Mitarbeiter zu schädigen.
(Abbildung 1). Eine andere Umfrage deckte
auf, dass der Missbrauch des Internetzugangs Missbrauch von Ressourcen
in Unternehmen das größte Sicherheitsproblem Die übertriebene Nutzung von Video-Feeds,
überhaupt darstellt (Abbildung 2). Musik-Downloads, Spielen sowie anderer hohe
Bandbreite beanspruchender Anwendungen
Die Risiken kann zweifach Einfluss auf Unternehmen haben:
Zeitverschwendung und Produktivitätsverlust • Die Netzwerk-Performance wird erheblich
sind zwar die offensichtlichsten, jedoch nicht die verringert
einzigen Risiken. • Desktop- und Server-Festplattenspeicher
werden unnötig beansprucht
Rechtliche Konsequenzen
Mitarbeiter, die an ihrem Arbeitsplatz Interner Missbrauch des Internetzugriffs 59%
Virus 52%
pornografische Websites aufrufen, können Diebstahl von Laptops/Handhelds 50%
ein feindliches und von sexueller Belästigung Phishing 26%
Missbrauch von Instant Messaging 25%
geprägtes Arbeitsklima erzeugen. In einigen
Denial-of-Service 25%
Fällen wurde bereits aufgrund des Abrufens Unerlaubter Zugriff auf Informationen 25%

pornografischer Inhalte im Internet gegen Botnet im Unternehmen 21%


Diebstahl von Kunden/Mitarbeiterdaten 17%
Unternehmen ermittelt und das Aufrufen
Missbrauch des Wireless-Netzwerks 17%
pädophiler Seiten hat noch weiter reichende
Quelle: Computer Security Institute2.
rechtliche Konsequenzen. Andere rechtliche
Risiken können entstehen durch: Abbildung 2: Top Ten Angriffs- und
Missbrauchvarianten

1
Sophos White Paper Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Malware virtuelle Welten wie Second Life ein. Ein


Da Unternehmen sich gegen E-Mail-Viren Pauschalverbot solcher Websites könnte sich auf
inzwischen besser gewappnet haben, setzen die Geschäftsinteressen genauso kontraproduktiv
Hacker zunehmend auf Websites, um Nutzer auswirken wie ein generelles Zulassen.
mit Malware zu infizieren, die vertrauliche
Daten stielt oder Botnets erstellt (Netzwerke Konflikt zwischen Arbeits- und Privatleben
missbrauchter Computer, die zur Verbreitung Da unsere Arbeitsumgebung immer mobiler
von Spyware und Viren eingesetzt werden). wird, verschwimmt die Grenze zwischen
Schätzungen von Anfang des Jahres 2008 Arbeits- und Privatleben zunehmend. Weil
gingen davon aus, dass täglich 6000 Webseiten immer mehr Mitarbeiter Überstunden leisten,
(oder alle 14 Sekunden eine Webseite) infiziert Arbeit nach Dienstschluss mit nach Hause
werden3. nehmen und auch an Wochenenden und
im Urlaub abrufbereit sind, erwarten sie
Komplexe Herausforderungen im Gegenzug mehr persönliche Flexibilität
Internetzugang am Arbeitsplatz ist sowohl ein am Arbeitsplatz. Tatsächlich nutzen viele
Segen als auch ein Fluch, und das Erstellen Unternehmen diese Flexibilität als Einstellungs-
von Richtlinien für die Nutzung des Internets ist Anreiz. Eine übertriebene Regulierung der
alles andere als einfach. Mitarbeiter erwarten, privaten Internet-Nutzung kann sich demzufolge
dass sie das Internet für private Zwecke nutzen negativ auf die Personalbeschaffung auswirken,
dürfen, während Arbeitgeber das Browsing zu geringerer Arbeitsmoral führen und so die
mit gewissen Beschränkungen versehen Wettbewerbsfähigkeit gefährden.
müssen, um Missbrauch zu verhindern und die
Produktivität der Mitarbeiter zu gewährleisten. Erstellen praktikabler Richtlinien
Einfach eine Pauschal-Richtlinie für das gesamte Das technologische Verständnis variiert genau
Unternehmen aus Basis allgemeiner Definitionen wie das Verständnis für die Folgen von Internet-
und Listen verbotener Websites zu erstellen, Missbrauch in vielen Unternehmen erheblich.
wird vermutlich auf den Widerstand einer Die meisten Mitarbeiter wissen instinktiv, dass
verärgerten Mitarbeiterschaft stoßen. Warum? das Ansehen von Videos auf YouTube während
der Arbeitszeit Zeit vergeudet, jedoch verstehen
viele nicht, dass sie hiermit auch die Sicherheit
Mitarbeiter erwarten im Gegenzug zu und Produktivität gefährden, Bandbreite
abzuleistenden Überstunden mehr vergeuden und eventuell gegen geltendes Recht
persönliche Flexibilität am Arbeitsplatz. verstoßen.

Definition von Missbrauch Kommunikation


Viele Unternehmen tun sich schwer, die Grenze Der erste Schritt auf dem Weg zu einer
zwischen angemessener und unangemessener wirkungsvollen Internet-Richtlinie besteht
Internetnutzung zu ziehen. Was für einen darin, die Mitarbeiter auf die Folgen von
Mitarbeiter in einem Unternehmen vollkommen Internetmissbrauch für ein Unternehmen
legitim ist, kann für einen anderen vollkommen aufmerksam zu machen. Die Personalabteilung
inakzeptabel sein. Marketing-Abteilungen haben sollte genauso mit einbezogen werden wie das
in der Vergangenheit z.B. Kontaktportale wie Senior Management und die IT-Abteilung. Der
Facebook und MySpace sehr erfolgreich genutzt, Prozess sollte außerdem wechselseitig erfolgen,
um Märkte zu beobachten und Beziehungen d.h. Mitarbeiter und Abteilungen sollten dazu
zu bestehenden Kunden und Interessenten ermutigt werden, Anwendungen oder Websites
aufzubauen. Zahlreiche Unternehmen wie festzulegen, die sie beim Erreichen ihrer Ziele
IBM und Circuit City setzen zur erfolgreichen unterstützen.
Umsetzung ihrer Marketingmaßnahmen sogar

2
Sophos White Paper Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Anpassen der Richtlinien an die Viele Unternehmen bewegen sich irgendwo


Unternehmensphilosophie hierzwischen und einige variieren je nach
Eine Internet-Nutzungsrichtlinie sollte Führungsebene oder Abteilung. Eine Internet-
auf die Gesamtziele und die Philosophie Nutzungsrichtlinie muss auf diese Unterschiede
eines Unternehmens abgestimmt werden. eingehen.
Unternehmen, die ihren Mitarbeitern
bei der Erledigung ihrer Aufgaben einen Halten Sie es einfach
gewissen Spielraum einräumen und eine Unabhängig von der Unternehmensphilosophie
ergebnisorientierte Unternehmenspolitik sollte die Richtlinie präzise, einfach und
verfolgen, sind mit einer Richtlinie, die sowohl leicht verständlich formuliert werden. Der
die Motivation als auch die Eigeninitiative Sprachgebrauch sollte unkompliziert und
fördert, bestens bedient. Unternehmen mit einer Themen relevant für jede der einzelnen
Top Down Management-Struktur, die es gewohnt Abteilungen sein. Sinnvoll ist außerdem,
sind, Aufgaben genauestens zu definieren, zunächst auf einige allgemeine Prinzipien
profitieren hingegen von eindeutigen Regeln und einzugehen, bevor sämtliche Einzelheiten
Vorschriften. erläutert werden.

Eine wirkungsvolle Richtlinie zur Internetnutzung sollte...


» Eine allgemeine Definition für angemessene Internet-Nutzung enthalten und Beispiele hierfür
aufführen, wie z.B. arbeitsbezogene Kommunikation, Bildung und berufliche Weiterbildung.
» Eine allgemeine Definition für unangemessene Internet-Nutzung, die gegen Unternehmens-,
Kommunal-, Landes-, und Bundesrechte oder gegen vom Unternehmen unterzeichnete
Verträge verstößt, bzw. die Produktivität gefährdet und die Internet-Nutzung anderer behindert,
enthalten.
» Privates Internet-Browsing auf zulässigen Websites innerhalb persönlicher Zeiten erlauben
und ein annehmbares Maß an Internet-Nutzung außerhalb dieser Zeiten definieren, unter der
Bedingung, dass dies keinen negativen Effekt auf die Produktivität der Benutzer hat.
» Unangemessene Websites auflisten, auf die ein Zugriff verboten ist (außer diese werden
für legitime Unternehmensbelange benötigt): z.B. Websites, die pornografisches,
gewaltverharmlosendes Material oder Material zu kriminellen Aktivitäten enthalten bzw.
bewerben.
» Den Zugriff auf Websites und Services verbieten, die illegale Downloads anbieten. Auch
legale Downloads von Websites wie iTunes können das Copyright verletzen, wenn sie auf
Unternehmensnetzwerke heruntergeladen oder kopiert werden.
» Richtlinien zur Nutzung von Blogs, Kontaktportalen, Webmail und anderen Web 2.0
Anwendungen enthalten. Zugriff kann untersagt oder auf persönliche Zeiten beschränkt
werden, so dass jeglicher Missbrauch des Internets von vornherein geächtet wird.
» Die Teilnahme an Peer-to-Peer Netzwerken ohne vorherige Genehmigung durch das
Management verbieten.
» Festlegen, inwieweit Benutzer bandbreitenintensive Inhalte wie Streaming Audio und Video
und Downloads großer Dateien abrufen dürfen. Mitarbeiter könnten dazu ermutigt werden,
ihre eigenen Audio-Player zu ihrem Arbeitsplatz zu bringen.
» Einer Gruppe ausgewählter Mitarbeiter (z.B. IT-Mitarbeiter, Führungskräfte und Entwickler)
das Herunterladen von Anwendungen und großen Dateitypen gewähren, falls dies für die
Ausführung Ihrer Tätigkeiten nötig ist.
» Den Zugriff auf Websites, die als Proxys oder Übersetzer bekannt sind, einschränken oder
ganz unterbinden. Diese Websites wurden speziell zum Umgehen von Web-Filtern entwickelt,
indem der Zugriff über andere Websites erfolgt.
» Transaktionen lediglich auf legitimen, authentifizierten Websites und mit Unternehmen,
die Daten verschlüsseln, erlauben. Dies verringert das Datenverlust-Risiko und hindert
Mitarbeiter daran, gesperrte Websites über legitime Websites aufzurufen.

3
Sophos White Paper Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Richtlinien-Enforcement werden können. Solche Ausnahmen sollten


Auch Unternehmen mit einer eher informellen automatisch nach einem vordefinierten Zeitraum
Unternehmenskultur müssen ihre Internet- aufgehoben werden, damit vorübergehende
Nutzungsrichtlinie durchsetzen, was sie mit Privilegien vorübergehend bleiben und
Web Filtering Kontrollen erledigen können. manuelle Bereinigungen vermieden werden, die
Überwachungssysteme sollten Bildschirm- zeitaufwändig und fehleranfällig sind.
Alarme einsetzen, die Mitarbeiter beim
Zugriff auf eine verbotene Website oder beim Diese regelmäßigen Überprüfungen geben
Durchführen einer nicht erlaubten Handlung Unternehmen die Möglichkeit, auf die sich
informieren. Gleichzeitig sollte die Management- ständig im Umbruch befindende Internet-
Software vorübergehende Ausnahmen zulassen. Umgebung zu reagieren. Anwendungen,
Auditing- und Reporting-Tools mit abgestuften die heute noch inakzeptabel sind, können
Enforcementlevels sind nötig, um auf jegliche schon morgen legitim sein. Internet-
Vorfälle zu reagieren: mündliche Verwarnung, Nutzungsrichtlinien müssen diesen stetigen
Überwachung, Umschulung, schriftliche Weiterentwicklungsprozess berücksichtigen,
Verwarnung, Kündigung, eventuelle Einleitung damit Mitarbeiter nicht an der effektiven
rechtlicher Schritte. Eine gut formulierte Erledigung ihrer Arbeit gehindert werden.
Richtlinie wird jedoch normalerweise jeden
Versuch ihrer Verletzung unterbinden. Zusammenfassung
Das Implementieren einer Internet-
Regelmäßige Überprüfung Nutzungsrichtlinie ist ein Balanceakt, da diese
Unternehmen müssen ihre Internet- einerseits dem Bedürfnis des Unternehmens
Nutzungsrichtlinien in regelmäßigen Abständen nach Sicherheit gerecht werden und
überprüfen und so gewährleisten, dass andererseits verhindern muss, dass Mitarbeiter
diese die legitime Internet-Nutzung nicht daran gehindert werden, legitime Aufgaben
beeinträchtigen und die Unternehmensziele durchzuführen. Eine Richtlinie sollte nicht nur
effektiv unterstützen. Einige Nutzer benötigen darauf ausgelegt sein, Benutzer zu überwachen
vorübergehend Zugriff auf eine verbotene und zu bestrafen, sondern sollte diese erziehen
Website, und die Richtlinie muss flexibel genug und aktiv in ihre Weiterentwicklung einbeziehen.
sein, um dies zu erlauben. So müssen Unternehmen keine drastischen
Maßnahmen treffen und haben die Möglichkeit,
Richtlinien sollten je nach Kategorie, Website, auf den stetigen Wandel von Internet-
Tageszeit, Benutzer oder Gruppe geändert Technologien und -Services einzugehen.

Sophos Lösung
Die Sophos Web Appliance, Teil von Web Security and Control, kontrolliert Ihren Web-Traffic bis ins
jede Detail und stellt so sicher, dass dieser unschädlich und konform mit der Unternehmensrichtlinie
ist. Sie schützt vor Spyware, Adware, Viren, schädlichem Code, unerwünschten Anwendungen und
Inhalten. Mit einer innovativen und umfassenden Scanning Engine, die sämtliche Bedrohungen
durch eine einzigartige Kombination aus reputationsbasierter Filterung, proaktiver Echtzeitfilterung
und inhaltsbasierter Filterung erkennt. Ihre bedienerfreundliche Management-Konsole und ihre
leistungsstarken Reporting-Tools liefern schnellen Einblick in Internet-Traffic, Bedrohungen und
Nutzerverhalten und ermöglichen so sicheres Internet-Browsing ohne komplizierte Webfilter
traditioneller Art. Als Managed Appliance bietet die Sophos Web Appliance Funktionsüberwachung
und Remote-Unterstützung im Bedarfsfall, wodurch unübertroffener Schutz geboten wird.

4
Sophos White Paper Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Quellen
1. www.salary.com/careers/layouthtmls/crel_display_nocat_Ser374_Par555.html
2. www.gocsi.com
3. www.sophos.com/pressoffice/news/articles/2008/01/security-report.html

Über Sophos

Sophos bietet Security and Control-Lösungen für die IT-Infrastruktur in Unternehmensumgebungen. Unsere Lösungen rund
um Network Access Control, Endpoints, Internet und E-Mail sorgen für umfassende Sicherheit. Sie bieten kombinierte
Mechanismen zum Schutz vor Malware, Spyware, Hackerangriffen, unerwünschten Anwendungen, Spam, Missbrauch
und Abweichung von Richtlinien sowie vor Datenverlust. Seit mehr als 20 Jahren schützen wir mit unseren zuverlässigen,
ausgeklügelten Lösungen und Services über 100 Millionen Benutzer in nahezu 150 Ländern. Wir sind für unseren hohen
Grad an Kundenzufriedenheit bekannt und können eine beachtliche Reihe von Branchenauszeichnungen, Tests und
Zertifikaten aufweisen. Sophos verfügt über Hauptsitze in Oxford, UK, und in Boston, USA.

Boston, USA • Mainz, Deutschland • Mailand, Italien • Oxford, UK • Paris, Frankreich


Singapur • Sydney, Australien • Vancouver, Kanada • Yokohama, Japan

© Copyright 2008. Sophos Plc

Alle eingetragenen Marken und Urheberrechte werden von Sophos anerkannt.


No part of this publication may be reproduced, stored in a retrieval system, or transmitted by any
form or by any means without the prior written permission of the publishers.