Bundesamt für Sicherheit in der Informationstechnik

M 2.458 Richtlinie für die Internet-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Für die Internet-Nutzung in Behörden oder Unternehmen muss eine verbindliche Richtlinie festgelegt werden. Die Rechte und Pflichten aller Mitarbeiter bei der Internet-Nutzung müssen darin klar geregelt sein. Unter Umständen gibt es weitere Richtlinien für bestimmte Internet-Dienste ( z. B. E-Mail), die natürlich auch zu beachten sind. Jedem Mitarbeiter müssen diese Richtlinien bekannt gegeben und auch regelmäßig in Erinnerung gerufen werden.

Dazu ist es sinnvoll, die Richtlinie für die Internet-Nutzung, wie auch andere Richtlinien, im Intranet abrufbar zu halten. Ein Beispiel für eine Sicherheitsrichtlinie für die Internet-Nutzung findet sich auf den BSI-Webseiten unter den Hilfsmittel zum IT-Grundschutz. In einer Richtlinie für die Internet-Nutzung sollten mindestens folgende Aspekte berücksichtigt werden:

  • Die Benutzer sollen in kurzer, verständlicher Form über die Risiken informiert werden, die mit der Internet-Nutzung verbunden sind.
  • Die Benutzer müssen die erforderlichen Kenntnisse zur verantwortungsbewussten Internet-Nutzung haben. Sie sollten wissen, wie Browser und typische Internet-Dienste korrekt zu nutzen sind, um Fehlbedienungen und unsicheres Verhalten zu vermeiden. Sie sollten natürlich auch die organisationsinternen Richtlinien kennen. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden (siehe dazu auch M 3.77 Sensibilisierung zur sicheren Internet-Nutzung ).
  • In der Richtlinie sollte festgelegt werden, unter welchen Rahmenbedingungen Internet-Dienste benutzt werden dürfen. Als Beispiel könnte darin also geregelt sein, dass ein Übersetzungsdienst im Internet für öffentlich zugängliche Dokumente genutzt werden darf, nicht aber für vertrauliche Informationen. In diesem Zusammenhang ist auch festzulegen, ob Internet-Dienste ausschließlich dienstlich oder ebenfalls privat genutzt werden dürfen, z. B. in der Mittagspause.
  • Zusätzlich ist festzulegen, welche Anwendungen für den Zugriff auf Internet-Dienste genutzt werden dürfen. Es sollte geregelt sein, dass Benutzer für die Nutzung von Internet-Diensten keine nicht freigegebene Software installieren dürfen. Dazu gehören auch Browser-Erweiterungen ("Plug-Ins"). Die Browser der Benutzer müssen durch die Administratoren so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer maximale Sicherheit erreicht werden kann (siehe auch M 5.45 Sichere Nutzung von Browsern ).

Informationen, die vertraulich sind oder die Institution in einem falschen Licht erscheinen lassen können, dürfen nicht über ungeschützte Internet-Dienste weitergegeben werden. Sie dürfen also weder auf Webserver eingestellt werden, noch über Mailinglisten verbreitet werden. Umgekehrt sind Benutzer auch darauf hinzuweisen, dass sie solche Informationen nicht unberechtigt herunterladen dürfen oder sich anderweitig aktiv besorgen dürfen. Beispielsweise dürfen also keine Dateien, deren Inhalt Anstoß erregen könnte, auf Webservern nachgefragt werden. Es muss festgelegt werden, welche Inhalte als anstößig gelten. In der Richtlinie muss auch vorgegeben werden, wie mit aus dem Internet beschafften Informationen zu verfahren ist. Mitarbeiter müssen darauf hingewiesen, dass bei der Weiterverwendung fremder Informationen Urheberrechte und Nutzungsbedingungen zu beachten sind. Nicht alle Quellen sind außerdem vertrauenswürdig. Abgesehen davon, dass Daten aus nicht vertrauenswürdigen Quellen Schadsoftware enthalten könnten, können auch Falschinformationen bei ungeprüfter Verwendung Schaden anrichten. Auch gut aufbereitete Webseiten können Falschinformationen enthalten. In diesem Zusammenhang muss ebenfalls geregelt werden, unter welchen Bedingungen Daten aus dem Hausnetz über das Internet transportiert werden dürfen.

Es sind daher Kriterien zu formulieren, die es Mitarbeitern erleichtern, abzuleiten welche Informationen im Internet weitergegeben werden dürfen und welche nicht. Dazu gehören auch Regelungen, ob und wie die Daten bei der Übertragung und bei der Verarbeitung geschützt werden müssen.

Alle Mitarbeiter sollten wissen, welche Internet-Angebote und -Dienste sie benutzen dürfen, wie sie diese sicher und vertrauenswürdig benutzen können und welche Verhaltensweisen dabei empfehlenswert sind (siehe auch M 3.78 Korrektes Auftreten im Internet ).

Für die Nutzung von Internet-Angeboten ist oftmals eine Anmeldung notwendig, bei der Benutzername, E-Mail-Adresse und teilweise auch weitere Informationen, die einen Rückschluss auf die Person und die Institution geben könnten, angegeben werden müssen. Es ist zu klären, ob Verweise auf die Institution unerwünscht sind und daher z. B. keine dienstlichen E-Mail-Adressen für die Nutzung von Internet-Diensten verwendet werden dürfen. Insgesamt ist zu regeln, welche persönlichen Daten und welche Informationen über die Institution weitergegeben werden dürfen, um beispielsweise keine Werbeaktionen auszulösen oder Informationen für ein erfolgreiches Social Engineering herauszugeben (siehe auch M 2.313 Sichere Anmeldung bei Internet-Diensten ).

Weiterhin müssen die Benutzer darauf hingewiesen werden,

  • welche Daten protokolliert werden,
  • wer die Ansprechpartner bei Sicherheitsproblemen sind und
  • dass die Konfiguration der Browser und anderer Programme nicht eigenmächtig geändert werden darf.

Je nach Anwendungsfall und Einsatzumgebung müssen unter Umständen weitere Aspekte geregelt werden.

In der Internet-Sicherheitsrichtlinie sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden. Gesetzliche Vorgaben, insbesondere zum Datenschutz, müssen dabei selbstverständlich beachtet werden. Der Datenschutzbeauftragte und die Personalvertretung sollten frühzeitig beteiligt werden.

Es kann unter Umständen sinnvoll sein, die Benutzer durch Unterschrift bestätigen zu lassen, dass die Regelungen für die Internet-Nutzung zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden.

Prüffragen:

  • Existiert eine Sicherheitsrichtlinie für die Internet-Nutzung?

  • Ist die Richtlinie für die sichere Internet-Nutzung allen Mitarbeitern bekannt gemacht worden?

Stand: 12. EL Stand 2011