You are on page 1of 6

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Als Gegenleistung für Überstunden, die Mitnahme von Arbeit nach Hause und das Unterbrechen von Urlaub erwarten Mitarbeiter, dass sie das Internet an ihrem Arbeitsplatz für private Belange nutzen dürfen. Diese Handhabe bringt jedoch eine Reihe von Problemen mit sich: Die Sicherheit und Produktivität des Unternehmens kann gefährdet, Bandbreite übermäßig beansprucht oder aber sogar gegen geltendes Recht verstoßen werden. Deshalb ist es für Unternehmen unerlässlich, eine Internet-Nutzungsrichtlinie einzuführen, die mit wirksamen Web Filtering Tools ergänzt wird. In diesem White Paper erfahren Sie, wie Sie eine Richtlinie erstellen, die sowohl das Sicherheitsbedürfnis des Unternehmens berücksichtigt als auch auf die Belange einzelner eingeht.

Sophos White Paper

April 2008

Sophos White Paper

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten
Das Regulieren des Internetzugangs am Arbeitsplatz ist ein heikler Balanceakt. Über das Internet haben Mitarbeiter einerseits Zugriff auf wertvolle Informationen und Tools, die sowohl die Produktivität als auch die Konkurrenzfähigkeit erhöhen. Das schier endlose Angebot an Spielen, Downloads, webbasierten E-Mail-Programmen, Community Sites und Online-Shops kann jedoch gleichzeitig verheerende Auswirkungen auf die Produktivität eines Unternehmens haben. Die Ausmaße von Internet-Missbrauch sind dramatisch. Über die Hälfte aller Befragten einer America Online und Salary.com Umfrage gaben an, dass das Surfen im Internet zur Ablenkung Nummer 1 am Arbeitsplatz zählt (Abbildung 1). Eine andere Umfrage deckte auf, dass der Missbrauch des Internetzugangs in Unternehmen das größte Sicherheitsproblem überhaupt darstellt (Abbildung 2). • •

Privates Internet-Surfen 52% Mit Kollegen kommunizieren 26.3% Besorgungen machen 7.6%

%

Tagträume 6.6% Private Telefonate 3.9% Spät zur Arbeit kommen/früher gehen 2 Auf andere Jobs bewerben 0.7%

Quelle: America Online and Salary.com1.

Abbildung 1: Welche sind Ihre größten Ablenkungen am Arbeitsplatz? Das Herunterladen raubkopierter Inhalte und die Verwendung von Kontaktportalen Den Einsatz webbasierter E-Mail-Programme oder Blogs, um heikle persönliche oder Unternehmensdaten offenzulegen bzw. den Ruf anderer Mitarbeiter zu schädigen.

Missbrauch von Ressourcen
Die übertriebene Nutzung von Video-Feeds, Musik-Downloads, Spielen sowie anderer hohe Bandbreite beanspruchender Anwendungen kann zweifach Einfluss auf Unternehmen haben: • Die Netzwerk-Performance wird erheblich verringert • Desktop- und Server-Festplattenspeicher werden unnötig beansprucht
Interner Missbrauch des Internetzugriffs 59% Virus 52% Diebstahl von Laptops/Handhelds 50% Phishing 26% Missbrauch von Instant Messaging 25% Denial-of-Service 25% Unerlaubter Zugriff auf Informationen 25% Botnet im Unternehmen 21% Diebstahl von Kunden/Mitarbeiterdaten 17% Missbrauch des Wireless-Netzwerks 17%

Die Risiken
Zeitverschwendung und Produktivitätsverlust sind zwar die offensichtlichsten, jedoch nicht die einzigen Risiken.

Rechtliche Konsequenzen
Mitarbeiter, die an ihrem Arbeitsplatz pornografische Websites aufrufen, können ein feindliches und von sexueller Belästigung geprägtes Arbeitsklima erzeugen. In einigen Fällen wurde bereits aufgrund des Abrufens pornografischer Inhalte im Internet gegen Unternehmen ermittelt und das Aufrufen pädophiler Seiten hat noch weiter reichende rechtliche Konsequenzen. Andere rechtliche Risiken können entstehen durch:

Quelle: Computer Security Institute2.

Abbildung 2: Top Ten Angriffs- und Missbrauchvarianten

1

Sophos White Paper

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Malware
Da Unternehmen sich gegen E-Mail-Viren inzwischen besser gewappnet haben, setzen Hacker zunehmend auf Websites, um Nutzer mit Malware zu infizieren, die vertrauliche Daten stielt oder Botnets erstellt (Netzwerke missbrauchter Computer, die zur Verbreitung von Spyware und Viren eingesetzt werden). Schätzungen von Anfang des Jahres 2008 gingen davon aus, dass täglich 6000 Webseiten (oder alle 14 Sekunden eine Webseite) infiziert werden3.

virtuelle Welten wie Second Life ein. Ein Pauschalverbot solcher Websites könnte sich auf die Geschäftsinteressen genauso kontraproduktiv auswirken wie ein generelles Zulassen.

Konflikt zwischen Arbeits- und Privatleben
Da unsere Arbeitsumgebung immer mobiler wird, verschwimmt die Grenze zwischen Arbeits- und Privatleben zunehmend. Weil immer mehr Mitarbeiter Überstunden leisten, Arbeit nach Dienstschluss mit nach Hause nehmen und auch an Wochenenden und im Urlaub abrufbereit sind, erwarten sie im Gegenzug mehr persönliche Flexibilität am Arbeitsplatz. Tatsächlich nutzen viele Unternehmen diese Flexibilität als EinstellungsAnreiz. Eine übertriebene Regulierung der privaten Internet-Nutzung kann sich demzufolge negativ auf die Personalbeschaffung auswirken, zu geringerer Arbeitsmoral führen und so die Wettbewerbsfähigkeit gefährden.

Komplexe Herausforderungen
Internetzugang am Arbeitsplatz ist sowohl ein Segen als auch ein Fluch, und das Erstellen von Richtlinien für die Nutzung des Internets ist alles andere als einfach. Mitarbeiter erwarten, dass sie das Internet für private Zwecke nutzen dürfen, während Arbeitgeber das Browsing mit gewissen Beschränkungen versehen müssen, um Missbrauch zu verhindern und die Produktivität der Mitarbeiter zu gewährleisten. Einfach eine Pauschal-Richtlinie für das gesamte Unternehmen aus Basis allgemeiner Definitionen und Listen verbotener Websites zu erstellen, wird vermutlich auf den Widerstand einer verärgerten Mitarbeiterschaft stoßen. Warum?

Erstellen praktikabler Richtlinien
Das technologische Verständnis variiert genau wie das Verständnis für die Folgen von InternetMissbrauch in vielen Unternehmen erheblich. Die meisten Mitarbeiter wissen instinktiv, dass das Ansehen von Videos auf YouTube während der Arbeitszeit Zeit vergeudet, jedoch verstehen viele nicht, dass sie hiermit auch die Sicherheit und Produktivität gefährden, Bandbreite vergeuden und eventuell gegen geltendes Recht verstoßen.

Mitarbeiter erwarten im Gegenzug zu abzuleistenden Überstunden mehr persönliche Flexibilität am Arbeitsplatz.
Definition von Missbrauch
Viele Unternehmen tun sich schwer, die Grenze zwischen angemessener und unangemessener Internetnutzung zu ziehen. Was für einen Mitarbeiter in einem Unternehmen vollkommen legitim ist, kann für einen anderen vollkommen inakzeptabel sein. Marketing-Abteilungen haben in der Vergangenheit z.B. Kontaktportale wie Facebook und MySpace sehr erfolgreich genutzt, um Märkte zu beobachten und Beziehungen zu bestehenden Kunden und Interessenten aufzubauen. Zahlreiche Unternehmen wie IBM und Circuit City setzen zur erfolgreichen Umsetzung ihrer Marketingmaßnahmen sogar

Kommunikation
Der erste Schritt auf dem Weg zu einer wirkungsvollen Internet-Richtlinie besteht darin, die Mitarbeiter auf die Folgen von Internetmissbrauch für ein Unternehmen aufmerksam zu machen. Die Personalabteilung sollte genauso mit einbezogen werden wie das Senior Management und die IT-Abteilung. Der Prozess sollte außerdem wechselseitig erfolgen, d.h. Mitarbeiter und Abteilungen sollten dazu ermutigt werden, Anwendungen oder Websites festzulegen, die sie beim Erreichen ihrer Ziele unterstützen.

2

Sophos White Paper

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Anpassen der Richtlinien an die Unternehmensphilosophie
Eine Internet-Nutzungsrichtlinie sollte auf die Gesamtziele und die Philosophie eines Unternehmens abgestimmt werden. Unternehmen, die ihren Mitarbeitern bei der Erledigung ihrer Aufgaben einen gewissen Spielraum einräumen und eine ergebnisorientierte Unternehmenspolitik verfolgen, sind mit einer Richtlinie, die sowohl die Motivation als auch die Eigeninitiative fördert, bestens bedient. Unternehmen mit einer Top Down Management-Struktur, die es gewohnt sind, Aufgaben genauestens zu definieren, profitieren hingegen von eindeutigen Regeln und Vorschriften.

Viele Unternehmen bewegen sich irgendwo hierzwischen und einige variieren je nach Führungsebene oder Abteilung. Eine InternetNutzungsrichtlinie muss auf diese Unterschiede eingehen.

Halten Sie es einfach
Unabhängig von der Unternehmensphilosophie sollte die Richtlinie präzise, einfach und leicht verständlich formuliert werden. Der Sprachgebrauch sollte unkompliziert und Themen relevant für jede der einzelnen Abteilungen sein. Sinnvoll ist außerdem, zunächst auf einige allgemeine Prinzipien einzugehen, bevor sämtliche Einzelheiten erläutert werden.

Eine wirkungsvolle Richtlinie zur Internetnutzung sollte...
» Eine allgemeine Definition für angemessene Internet-Nutzung enthalten und Beispiele hierfür aufführen, wie z.B. arbeitsbezogene Kommunikation, Bildung und berufliche Weiterbildung. » Eine allgemeine Definition für unangemessene Internet-Nutzung, die gegen Unternehmens-, Kommunal-, Landes-, und Bundesrechte oder gegen vom Unternehmen unterzeichnete Verträge verstößt, bzw. die Produktivität gefährdet und die Internet-Nutzung anderer behindert, enthalten. » Privates Internet-Browsing auf zulässigen Websites innerhalb persönlicher Zeiten erlauben und ein annehmbares Maß an Internet-Nutzung außerhalb dieser Zeiten definieren, unter der Bedingung, dass dies keinen negativen Effekt auf die Produktivität der Benutzer hat. » Unangemessene Websites auflisten, auf die ein Zugriff verboten ist (außer diese werden für legitime Unternehmensbelange benötigt): z.B. Websites, die pornografisches, gewaltverharmlosendes Material oder Material zu kriminellen Aktivitäten enthalten bzw. bewerben. » Den Zugriff auf Websites und Services verbieten, die illegale Downloads anbieten. Auch legale Downloads von Websites wie iTunes können das Copyright verletzen, wenn sie auf Unternehmensnetzwerke heruntergeladen oder kopiert werden. » Richtlinien zur Nutzung von Blogs, Kontaktportalen, Webmail und anderen Web 2.0 Anwendungen enthalten. Zugriff kann untersagt oder auf persönliche Zeiten beschränkt werden, so dass jeglicher Missbrauch des Internets von vornherein geächtet wird. » Die Teilnahme an Peer-to-Peer Netzwerken ohne vorherige Genehmigung durch das Management verbieten. » Festlegen, inwieweit Benutzer bandbreitenintensive Inhalte wie Streaming Audio und Video und Downloads großer Dateien abrufen dürfen. Mitarbeiter könnten dazu ermutigt werden, ihre eigenen Audio-Player zu ihrem Arbeitsplatz zu bringen. » Einer Gruppe ausgewählter Mitarbeiter (z.B. IT-Mitarbeiter, Führungskräfte und Entwickler) das Herunterladen von Anwendungen und großen Dateitypen gewähren, falls dies für die Ausführung Ihrer Tätigkeiten nötig ist. » Den Zugriff auf Websites, die als Proxys oder Übersetzer bekannt sind, einschränken oder ganz unterbinden. Diese Websites wurden speziell zum Umgehen von Web-Filtern entwickelt, indem der Zugriff über andere Websites erfolgt. » Transaktionen lediglich auf legitimen, authentifizierten Websites und mit Unternehmen, die Daten verschlüsseln, erlauben. Dies verringert das Datenverlust-Risiko und hindert Mitarbeiter daran, gesperrte Websites über legitime Websites aufzurufen.

3

Sophos White Paper

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Richtlinien-Enforcement
Auch Unternehmen mit einer eher informellen Unternehmenskultur müssen ihre InternetNutzungsrichtlinie durchsetzen, was sie mit Web Filtering Kontrollen erledigen können. Überwachungssysteme sollten BildschirmAlarme einsetzen, die Mitarbeiter beim Zugriff auf eine verbotene Website oder beim Durchführen einer nicht erlaubten Handlung informieren. Gleichzeitig sollte die ManagementSoftware vorübergehende Ausnahmen zulassen. Auditing- und Reporting-Tools mit abgestuften Enforcementlevels sind nötig, um auf jegliche Vorfälle zu reagieren: mündliche Verwarnung, Überwachung, Umschulung, schriftliche Verwarnung, Kündigung, eventuelle Einleitung rechtlicher Schritte. Eine gut formulierte Richtlinie wird jedoch normalerweise jeden Versuch ihrer Verletzung unterbinden.

werden können. Solche Ausnahmen sollten automatisch nach einem vordefinierten Zeitraum aufgehoben werden, damit vorübergehende Privilegien vorübergehend bleiben und manuelle Bereinigungen vermieden werden, die zeitaufwändig und fehleranfällig sind. Diese regelmäßigen Überprüfungen geben Unternehmen die Möglichkeit, auf die sich ständig im Umbruch befindende InternetUmgebung zu reagieren. Anwendungen, die heute noch inakzeptabel sind, können schon morgen legitim sein. InternetNutzungsrichtlinien müssen diesen stetigen Weiterentwicklungsprozess berücksichtigen, damit Mitarbeiter nicht an der effektiven Erledigung ihrer Arbeit gehindert werden.

Zusammenfassung
Das Implementieren einer InternetNutzungsrichtlinie ist ein Balanceakt, da diese einerseits dem Bedürfnis des Unternehmens nach Sicherheit gerecht werden und andererseits verhindern muss, dass Mitarbeiter daran gehindert werden, legitime Aufgaben durchzuführen. Eine Richtlinie sollte nicht nur darauf ausgelegt sein, Benutzer zu überwachen und zu bestrafen, sondern sollte diese erziehen und aktiv in ihre Weiterentwicklung einbeziehen. So müssen Unternehmen keine drastischen Maßnahmen treffen und haben die Möglichkeit, auf den stetigen Wandel von InternetTechnologien und -Services einzugehen.

Regelmäßige Überprüfung
Unternehmen müssen ihre InternetNutzungsrichtlinien in regelmäßigen Abständen überprüfen und so gewährleisten, dass diese die legitime Internet-Nutzung nicht beeinträchtigen und die Unternehmensziele effektiv unterstützen. Einige Nutzer benötigen vorübergehend Zugriff auf eine verbotene Website, und die Richtlinie muss flexibel genug sein, um dies zu erlauben. Richtlinien sollten je nach Kategorie, Website, Tageszeit, Benutzer oder Gruppe geändert

Sophos Lösung
Die Sophos Web Appliance, Teil von Web Security and Control, kontrolliert Ihren Web-Traffic bis ins jede Detail und stellt so sicher, dass dieser unschädlich und konform mit der Unternehmensrichtlinie ist. Sie schützt vor Spyware, Adware, Viren, schädlichem Code, unerwünschten Anwendungen und Inhalten. Mit einer innovativen und umfassenden Scanning Engine, die sämtliche Bedrohungen durch eine einzigartige Kombination aus reputationsbasierter Filterung, proaktiver Echtzeitfilterung und inhaltsbasierter Filterung erkennt. Ihre bedienerfreundliche Management-Konsole und ihre leistungsstarken Reporting-Tools liefern schnellen Einblick in Internet-Traffic, Bedrohungen und Nutzerverhalten und ermöglichen so sicheres Internet-Browsing ohne komplizierte Webfilter traditioneller Art. Als Managed Appliance bietet die Sophos Web Appliance Funktionsüberwachung und Remote-Unterstützung im Bedarfsfall, wodurch unübertroffener Schutz geboten wird.

4

Sophos White Paper

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Quellen
1. www.salary.com/careers/layouthtmls/crel_display_nocat_Ser374_Par555.html 2. www.gocsi.com 3. www.sophos.com/pressoffice/news/articles/2008/01/security-report.html

Über Sophos Sophos bietet Security and Control-Lösungen für die IT-Infrastruktur in Unternehmensumgebungen. Unsere Lösungen rund um Network Access Control, Endpoints, Internet und E-Mail sorgen für umfassende Sicherheit. Sie bieten kombinierte Mechanismen zum Schutz vor Malware, Spyware, Hackerangriffen, unerwünschten Anwendungen, Spam, Missbrauch und Abweichung von Richtlinien sowie vor Datenverlust. Seit mehr als 20 Jahren schützen wir mit unseren zuverlässigen, ausgeklügelten Lösungen und Services über 100 Millionen Benutzer in nahezu 150 Ländern. Wir sind für unseren hohen Grad an Kundenzufriedenheit bekannt und können eine beachtliche Reihe von Branchenauszeichnungen, Tests und Zertifikaten aufweisen. Sophos verfügt über Hauptsitze in Oxford, UK, und in Boston, USA.

Boston, USA • Mainz, Deutschland • Mailand, Italien • Oxford, UK • Paris, Frankreich Singapur • Sydney, Australien • Vancouver, Kanada • Yokohama, Japan

© Copyright 2008. Sophos Plc

Alle eingetragenen Marken und Urheberrechte werden von Sophos anerkannt. No part of this publication may be reproduced, stored in a retrieval system, or transmitted by any form or by any means without the prior written permission of the publishers.