Pornos, Malware & Co.
09.02.2017, 06:57 Uhr
Abfangjäger gegen unerwünschte Inhalte
Freier Internetzugriff und BYOD können Unternehmen vor neue Probleme stellen. Ein Content-Filter schützt vor Missbrauch, rechtlichen Risiken und Schäden an der IT-Infrastruktur.
In vielen Unternehmen gibt es Mitarbeiter, die das firmeneigene Netzwerk mehr oder weniger als ihr eigenes ansehen und den betrieblichen Internetzugang nutzen, wie sie es zu Hause auch tun: Sie shoppen online oder rufen irgendwelche dubiosen Webseiten auf. Damit vergeuden sie nicht nur ihre Arbeitszeit mit privaten Dingen – unter Umständen schleusen sie dabei auch Malware oder illegale Inhalte in das Firmennetz ein.
Hinzu kommen private Smartphones und Tablets, die sich häufig ins Firmen-WLAN einklinken – Stichwort Bring Your Own Device (BYOD) – und zum Beispiel für Messenger-Dienste wie WhatsApp genutzt werden.
IT-Verantwortliche suchen daher nach Wegen, wie sie die Internetnutzung im Unternehmen reglementieren und dem unkontrollierten Gebrauch einen Riegel vorschieben können.
Die einfachste Methode ist, ein Verbot für die private Internetnutzung auszusprechen. Das ist aber für die Mitarbeiter nicht besonders motivierend, ausserdem muss man darauf vertrauen, dass sich die Mitarbeiter an das Verbot halten.
Zur Regelung der Internetnutzung besser geeignet sind sogenannte Content-Filter. Sie legen fest, wer von der Firma aus wann auf welche Internetinhalte zugreifen darf. Während Content-Filter in vielen Grossunternehmen zum Standard gehören, setzen Mittelständler diese Technik bislang noch zögerlich ein.
Rechtliche Risiken
Die meisten Unternehmen dürften über eine Internet-Flatrate verfügen, sodass es kostenmässig keine Rolle spielt, wie viel Datenvolumen auf die private Nutzung der Mitarbeiter entfällt. Aber auch bei einer Abrechnung nach Datenvolumen dürfte der Datenverkehr für die private Nutzung nicht sonderlich ins Gewicht fallen. Wieso sollte man also die private Internetnutzung einschränken? Zumal sich zum Beispiel etwaige Sicherheitsrisiken wie das Einschleusen von digitalen Schädlingen mit geeigneten Antiviren-Tools recht zuverlässig unterbinden lassen.
Was bei der unkontrollierten privaten Internetnutzung häufig übersehen wird, sind die rechtlichen Risiken. Zum einen können Mitarbeiter etwa illegale Vervielfältigungen von urheberrechtlich relevantem Material auf den Unternehmens-Servern ablegen, zum anderen kann pornografisches Material auf die Server gelangen – was strafrechtlich brisanter ist. So macht man sich nach § 184 Strafgesetzbuch strafbar, wenn man pornografisches Material „einer Person unter 18 Jahren anbietet, überlässt oder zugänglich macht“ oder „an einem Ort, der Personen unter 18 Jahren zugänglich ist oder von ihnen eingesehen werden kann, zugänglich macht“. Und das kann schnell passieren: Ein Mitarbeiter legt schlüpfriges Bildmaterial auf dem Server ab – und ein Auszubildender hat Zugriff darauf.
Wer sich nicht vorstellen kann, dass Kollegen sich während der Arbeitszeit Schmuddelkram ansehen, den belehrt eine Studie aus dem vergangenen Jahr eines Besseren. Laut den Sicherheitsspezialisten von Blue Coat sehen sich immerhin 2 Prozent der deutschen Arbeitnehmer während der Arbeitszeit „Erwachseneninhalte“ im Internet an. In China sollen es sogar 19 Prozent sein. Auch Online-Shops sollen ihren Hauptumsatz übrigens nicht etwa abends machen, sondern tagsüber während der üblichen Bürozeiten.
So arbeiten Content-Filter
Das Durchsetzen von Regeln für die Internetnutzung ist alles andere als trivial. Das gilt vor allem dann, wenn man nicht alle Mitarbeiter und Abteilungen über einen Kamm scheren will. So benötigen zum Beispiel die Mitarbeiter im Marketing zu Werbezwecken Zugriff auf das soziale Netzwerk Facebook. Für diejenigen in der Entwicklungsabteilung trifft das wahrscheinlich nicht zu.
Ein Content-Filter sollte daher in der Lage sein, bei der Filterung von Inhalten zwischen Mitarbeitern und Abteilungen zu unterscheiden. Auch das Definieren fester Zeiten ist praktisch. So lässt sich beispielsweise festlegen, dass sich die Mitarbeiter während der Mittagspause auf Online-Shopping-Tour begeben dürfen.
Black- und Whitelist: Content-Filter arbeiten in den meisten Fällen mit einer Datenbank als Blacklist. Sie besteht aus einer Reihe unerlaubter Webseiten, die beim Öffnen gesperrt werden, oder einer Liste mit Dateiendungen, die sich nicht herunterladen oder als E-Mail-Anhänge öffnen lassen, etwa EXE oder MP3. Alternativ sperrt man die Internetnutzung komplett – mit Ausnahme einzelner Internetinhalte, die über eine Whitelist erlaubt werden.
Möglichkeiten der Sperrung: Man unterscheidet zwischen einer weichen und einer harten Sperrung. Bei der sogenannten weichen Sperrung wird dem Nutzer beim Öffnen einer gesperrten Webseite eine Hinweisseite angezeigt, anschliessend lässt sich die gesperrte Seite aufrufen. Der Content-Filter protokolliert jedoch den Aufruf der Seite. Bei einer harten Sperrung wird der gesperrte Internetinhalt grundsätzlich blockiert.
In jedem Fall sollte ein zusätzlicher IP-Filter zum Einsatz kommen. So verhindert man, dass Mitarbeiter einen Adressfilter umgehen, indem sie anstatt der URL die IP-Adresse eines Servers eingeben. Auch eine Untersuchung von SSL- beziehungsweise TLS-verschlüsselten Verbindungen sollte erfolgen. Damit Mitarbeiter nicht auf alternative Internetprotokolle wie FTP ausweichen, sollte der Content-Filter zudem alle offenen Ports und Protokolle belauschen, die die Unternehmens-Firewall erlaubt.
Einige Content-Filter verfügen über einen Scanner, der Webinhalte auf bestimmte Stichwörter durchsucht und das Laden bei Bedarf unterbindet. Dabei ist wichtig, dass der Filter beachtet, in welcher Sprache eine Webseite mit einem Stichwort verfasst ist. So bedeutet etwa im Englischen das Wort „Sex“ auch einfach nur „Geschlecht“.
Bilderkennung: Moderne Content-Filter beschränken sich nicht auf festgelegte Black- und Whitelists und auf Stichwörter, sondern sie analysieren ausserdem abgerufene Webinhalte. Auf diese Weise lassen sich auch dem Filter bislang unbekannte Inhalte sperren, wenn diese gegen die Richtlinien des Unternehmens verstossen. Ein Beispiel sind Bilder von nackten Personen. Die im Content-Filter integrierte Bilderkennung prüft die Bilder einer Webseite auf spärlich bekleidete oder komplett nackte Personen. Die Technik hat allerdings noch ihre Grenzen: Die automatische Erkennung von pornografischen Bildern funktioniert nicht immer besonders gut, zudem können heikle Bilder durch den Filter rutschen. Auch können eigentlich harmlose Bilder ohne sexuellen Inhalt blockiert werden, nur weil sie viel Hautfarbe aufweisen.
Problem Datenschutz
Beim Einsatz von Content-Filtern darf die Unternehmensleitung das Thema Datenschutz nicht ausser Acht lassen. Um den Datenverkehr der Mitarbeiter filtern zu dürfen, müssen für die Internetnutzung genaue Regelungen getroffen werden. Über die Kontrollmassnahmen sind die Mitarbeiter in jedem Fall vorab zu informieren.
Vor allem wenn die private Nutzung des firmeneigenen Internetzugangs geduldet wird, kommen strenge Datenschutzvorgaben zum Tragen. Das Problem dabei: Insgesamt herrscht in diesem Bereich mangels klarer gesetzlicher Vorgaben eine grosse Rechtsunsicherheit.
Vor diesem Hintergrund ist es wichtig, dass es im Unternehmen eindeutige Bestimmungen zum Umgang mit Daten gibt. Es empfiehlt sich eine eindeutige interne Firmenregelung, in der die Mitarbeiter darauf hingewiesen werden, dass ein Content-Filter im Einsatz ist, der die Internetnutzung automatisiert kontrolliert.
Allerdings gibt es kaum eine Rechtsprechung, was man zulässigerweise in einer solchen Regelung vereinbaren kann und was nicht. Man sollte hierfür also in jedem Fall juristischen Rat einholen.