Firewall – nicht nur ein Internet-Gateway, sondern ein Compliance-Tool

BacksteinmauerIn der heutigen Zeit ist das Internet aus der Arbeitswelt nicht mehr wegzudenken. Zugänge zum Netz der Netze sind allerorten verfügbar. Das technische Equipment wird in vielen Fällen direkt durch den Internet-Provider beim Abschluss eines Vertrages mit geliefert. Die Konfiguration gestaltet sich i.d.R. für den Endanwender recht einfach, da die meisten Geräte über nicht sehr viele Einstellungen verfügen. Oft wird dem Anwender durch die Aufschrift „Firewall enthalten“ suggeriert, dass er sich sicher fühlen kann und „Bösewichte“  im Internet nicht auf seinen PC gelangen können. Das mag für bestimme Angriffe gelten, aber eben nicht für alle Arten von Angriffen.

In diesem Artikel wollen wir auch nicht über Angriffsarten aus dem Internet oder derer Gefahren schreiben, sondern darauf hinweisen, dass ein Firewall nicht nur die Verbindung zum Netz herstellt, sondern die modernen dedizierten Systeme am Markt längst noch andere wichtige Aufgaben übernehmen, als nur den Zugang herzustellen.

Proxy- bzw. Content-Filter

Wir möchten hier einen Bereich beleuchten, der in den letzten Jahren rasant an Bedeutung gewonnen hat – nicht nur in Unternehmen, sondern auch in Schulen und bei Bildungsträgern. Gemeint sind sogenannte Proxy-Filter, auch bekannt als Content-Filter, die bei vielen Herstellern als Modul auf den Firewalls installiert werden und dann den Content aus dem Netz filtern oder auch reglementieren.

Unternehmer haben längst erkannt, dass der PC am Arbeitsplatz des Angestellten nicht nur für die Verrichtung der Arbeit verwendet wird. Oft wird der Webbrowser auf einem PC schnell minimiert, wenn der Chef oder Abteilungsleiter um die Ecke kommt oder der Lautsprecher ausgeschaltet, welcher doch gerade den Live-Stream eines bekannten Radiosenders wiedergibt. Letzteres ist vielleicht nicht gefährlich und wahrscheinlich geht die Arbeit besser von der Hand, aber war da nicht mal was mit der GEZ?

Internet-Content ist längst nicht mehr auf bunte Webseiten beschränkt. Chats, Musik, Video, TV und Newsticker werden überall angeboten und versierte Anwender wissen genau, wie man diese auf dem PC installiert und beherrschen die Anwendung perfekt. Nur muss das auch während der Arbeitszeit sein?

Generell ist hier anzumerken, dass die Filterung und Protokollierung des Internetdatenverkehrs nicht ohne Wissen des Mitarbeiters geschehen darf. Genauer gesagt muss der Arbeitgeber jedem Mitarbeiter die Richtlinie zur Nutzung des Internet am Arbeitsplatz ausgehändigt haben. Der Mitarbeiter muss diese zur Kenntnis nehmen und mit seiner Unterschrift bestätigen. Erst hiermit ist die Grundlage geschaffen, dass entsprechende Filterprogramme im Unternehmen verwendet werden und die Kontrolle über die Einhaltung der Richtlinie entsprechend angewendet werden darf. Das ist insbesondere wichtig, sollten sich arbeitsrechtliche Streitigkeiten aus einer Missachtung der Richtlinie ergeben.

Wenn wir über Internet-Content sprechen, ist die Rede von verschiedenen Diensten des Internet, die auf jeweils unterschiedlichen, aber standardisierten Ports arbeiten. Somit ist es möglich, dienstabhängig den Content zu filtern. Über gruppenabhängige Filtereinstellungen können für unterschiedliche Benutzer Inhalte erlaubt oder gesperrt werden.

 

Internetdienste und ihre Risiken

Kommen wir nun zu den verschiedenen Diensten und ihren Risiken für ein Unternehmen:

  • Chats wie IRC, ICQ, MSN oder AOL

Mitarbeiter könnten hierüber Informationen mit Außenstehenden austauschen, wie Dateien und Programme laden oder versenden, oder einfach während der Arbeitszeit kostbare Zeit mit privaten Dingen vertun. In einer Vielzahl von kapitalmarktorientierten Unternehmen sind Chats vor dem Hintergrund des Insider-Tradings spätestens seit SoX verboten. Gute Content-Filter protokollieren jede Art von Chat klartextlich, falls Chats in den Unternehmen zur besseren Kommunikation verwendet werden, damit im Falle eines Verdachts auch entsprechende Beweise zu Verfügung stehen.

  • Internet-News (Usenet)

Das Usenet ist älter als das World-Wide-Web. Ursprünglich diente es zum offenen Informationsaustausch. Die Funktionsweise des Usenet wird oft mit Schwarzen Brettern verglichen, wie es sie zum Beispiel auch im Supermarkt gibt: Jemand schreibt eine Nachricht und heftet diese an das Schwarze Brett, wo sie für jeden Interessierten sichtbar ist. Dieser Vergleich gibt jedoch nur einen Teilaspekt des Usenet wieder, da die Kommunikation über Schwarze Bretter in der Regel nur in eine Richtung läuft: Eine Nachricht wird dort nämlich für gewöhnlich nicht durch jemanden beantwortet, indem dieser wiederum eine (Antwort-)Nachricht an das Schwarze Brett heftet. Die weitere Kommunikation findet auf einem anderen Weg (z. B. per Telefon) statt. Beim Usenet ist die Beantwortung einer Nachricht durch eine weitere Nachricht innerhalb desselben Mediums allerdings der übliche Weg. Mittlerweile ist das Usenet durch eine Vielzahl von Newsgroups erweitert worden, deren Inhalte eher einer Tauschbörse dienen, in denen urheberrechtlich geschütztes Material angeboten wird. Letztlich könnte auch hier einem Unternehmen ein Schaden dadurch entstehen, dass ein Mitarbeiter etwas Geschütztes vomFirmen-PC hinein stellt oder auf selbigen herunterlädt.

  • World-Web-Web

Das WWW ist wohl der bekannteste Dienst des Internet – oftmals auch als DAS INTERNET bezeichnet, was aber faktisch falsch ist. Das Surfen über Webseiten und die Vielzahl an Informationen ist privat und natürlich auch geschäftlich kaum mehr wegzudenken. Lediglich die Inhalte mancher Webseiten haben oft nichts mit dem Geschäftsleben zu tun und dienen vielmehr dem Zeitvertreib und das womöglich während der Arbeit. Denken wir an ein großes Internet-Auktionshaus, stellen wir fest, dass eine Vielzahl von Auktionen tagsüber enden. Folglich wurde die Auktion auch Tage vorher um die gleiche Zeit reingestellt – meistens an einem Werktag und während der Arbeitszeit. Dieser Produktivitätsverlust in den Unternehmen geht zusammengerechnet in die Millionen Euros.

Auch machen Webseiten mit gewaltverherrlichendem oder pornografischem Inhalt des Öfteren von sich reden, da sie auch der ideale Ort für versteckte Viren und Trojaner sein können. Diese könnten z.B. in Bildern oder Videos eingebettet sein und ein nicht aktualisierter Player oder Picture-Viewer könnte den Code ausführen und der PC ist kompromittiert, was ebenfalls zu einem Produktivitätsverlust durch den nicht zur Verfügung stehenden Arbeitsplatz führen könnte. Schlimmer noch: Die Bereinigung erfordert nicht selten den Einsatz eines externen Dienstleisters. Bilder mit erotischem Inhalt könnten eine Belästigung am Arbeitsplatz mit sich bringen. Arbeitsrichter haben davon eine sehr klare Auffassung und der Unternehmer trägt oft die Kosten des Streits.

 

Fazit

Der Zugang zum Netz der Netze muss auf Inhaltsebene durch eine Firmenrichtlinie reglementiert werden. Die Regeln müssen durch geeignetes Equipment im Unternehmen umgesetzt werden. Aufzeichnungen in Form von Protokollen geben dem Verantwortlichen eine Aussage über die Einhaltung der Firmenrichtlinie. Nur so lässt sich sicherstellen, dass die Produktivität nicht leidet, Gesetze eingehalten werden und Schäden, sei es materiell oder ein Imageschaden, vom Unternehmen ferngehalten werden.

Wenn auch Sie sich mit dem Thema näher beschäftigen möchten, fragen Sie uns.