SOPHOS Whitepaper Effektive Internet-Richtlinien Erstellen

April 2008Sophos White Paper

Effektive Internet-Richtlinien:Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

Als Gegenleistung für Überstunden, die Mitnahme von Arbeit nach Hause und das

Unterbrechen von Urlaub erwarten Mitarbeiter, dass sie das Internet an ihrem Arbeitsplatz

für private Belange nutzen dürfen. Diese Handhabe bringt jedoch eine Reihe von

Problemen mit sich: Die Sicherheit und Produktivität des Unternehmens kann gefährdet,

Bandbreite übermäßig beansprucht oder aber sogar gegen geltendes Recht verstoßen

werden. Deshalb ist es für Unternehmen unerlässlich, eine Internet-Nutzungsrichtlinie

einzuführen, die mit wirksamen Web Filtering Tools ergänzt wird. In diesem White

Paper erfahren Sie, wie Sie eine Richtlinie erstellen, die sowohl das Sicherheitsbedürfnis

des Unternehmens berücksichtigt als auch auf die Belange einzelner eingeht.

1

Effektive Internet-Richtlinien: Mitarbeiter-Produktivität und Gesetzeskonformität gewährleistenSophos White Paper

Das Regulieren des Internetzugangs am Arbeitsplatz ist ein heikler Balanceakt. Über das Internet haben Mitarbeiter einerseits Zugriff auf wertvolle Informationen und Tools, die sowohl die Produktivität als auch die Konkurrenzfähigkeit erhöhen. Das schier endlose Angebot an Spielen, Downloads, webbasierten E-Mail-Programmen, Community Sites und Online-Shops kann jedoch gleichzeitig verheerende Auswirkungen auf die Produktivität eines Unternehmens haben.

Die Ausmaße von Internet-Missbrauch sind dramatisch. Über die Hälfte aller Befragten einer America Online und Salary.com Umfrage gaben an, dass das Surfen im Internet zur Ablenkung Nummer 1 am Arbeitsplatz zählt (Abbildung 1). Eine andere Umfrage deckte auf, dass der Missbrauch des Internetzugangs in Unternehmen das größte Sicherheitsproblem überhaupt darstellt (Abbildung 2).

Die RisikenZeitverschwendung und Produktivitätsverlust sind zwar die offensichtlichsten, jedoch nicht die einzigen Risiken.

Rechtliche Konsequenzen

Mitarbeiter, die an ihrem Arbeitsplatz pornografi sche Websites aufrufen, können ein feindliches und von sexueller Belästigung geprägtes Arbeitsklima erzeugen. In einigen Fällen wurde bereits aufgrund des Abrufens pornografi scher Inhalte im Internet gegen Unternehmen ermittelt und das Aufrufen pädophiler Seiten hat noch weiter reichende rechtliche Konsequenzen. Andere rechtliche Risiken können entstehen durch:

Das Herunterladen raubkopierter Inhalte und die Verwendung von KontaktportalenDen Einsatz webbasierter E-Mail-Programme oder Blogs, um heikle persönliche oder Unternehmensdaten offenzulegen bzw. den Ruf anderer Mitarbeiter zu schädigen.

Missbrauch von RessourcenDie übertriebene Nutzung von Video-Feeds, Musik-Downloads, Spielen sowie anderer hohe Bandbreite beanspruchender Anwendungen kann zweifach Einfl uss auf Unternehmen haben:

Die Netzwerk-Performance wird erheblich verringert Desktop- und Server-Festplattenspeicher werden unnötig beansprucht

•

•

•

•

Effektive Internet-Richtlinien:Mitarbeiter-Produktivität und Gesetzeskonformität gewährleisten

%

Privates Internet-Surfen 52%

Mit Kollegen kommunizieren 26.3%

Besorgungen machen 7.6%

Tagträume 6.6%

Private Telefonate 3.9%

Spät zur Arbeit kommen/früher gehen 2

Auf andere Jobs bewerben 0.7%

Abbildung 1: Welche sind Ihre größten Ablenkungen am Arbeitsplatz?

Quelle: America Online and Salary.com1.

Interner Missbrauch des Internetzugriffs 59%

Virus 52%

Diebstahl von Laptops/Handhelds 50%

Phishing 26%

Missbrauch von Instant Messaging 25%

Denial-of-Service 25%

Unerlaubter Zugriff auf Informationen 25%

Botnet im Unternehmen 21%

Diebstahl von Kunden/Mitarbeiterdaten 17%

Missbrauch des Wireless-Netzwerks 17%

Abbildung 2: Top Ten Angriffs- und Missbrauchvarianten

Quelle: Computer Security Institute2.

2


Malware

Da Unternehmen sich gegen E-Mail-Viren inzwischen besser gewappnet haben, setzen Hacker zunehmend auf Websites, um Nutzer mit Malware zu infi zieren, die vertrauliche Daten stielt oder Botnets erstellt (Netzwerke missbrauchter Computer, die zur Verbreitung von Spyware und Viren eingesetzt werden). Schätzungen von Anfang des Jahres 2008 gingen davon aus, dass täglich 6000 Webseiten (oder alle 14 Sekunden eine Webseite) infi ziert werden3.

Komplexe HerausforderungenInternetzugang am Arbeitsplatz ist sowohl ein Segen als auch ein Fluch, und das Erstellen von Richtlinien für die Nutzung des Internets ist alles andere als einfach. Mitarbeiter erwarten, dass sie das Internet für private Zwecke nutzen dürfen, während Arbeitgeber das Browsing mit gewissen Beschränkungen versehen müssen, um Missbrauch zu verhindern und die Produktivität der Mitarbeiter zu gewährleisten. Einfach eine Pauschal-Richtlinie für das gesamte Unternehmen aus Basis allgemeiner Defi nitionen und Listen verbotener Websites zu erstellen, wird vermutlich auf den Widerstand einer verärgerten Mitarbeiterschaft stoßen. Warum?

Defi nition von Missbrauch Viele Unternehmen tun sich schwer, die Grenze zwischen angemessener und unangemessener Internetnutzung zu ziehen. Was für einen Mitarbeiter in einem Unternehmen vollkommen legitim ist, kann für einen anderen vollkommen inakzeptabel sein. Marketing-Abteilungen haben in der Vergangenheit z.B. Kontaktportale wie Facebook und MySpace sehr erfolgreich genutzt, um Märkte zu beobachten und Beziehungen zu bestehenden Kunden und Interessenten aufzubauen. Zahlreiche Unternehmen wie IBM und Circuit City setzen zur erfolgreichen Umsetzung ihrer Marketingmaßnahmen sogar

virtuelle Welten wie Second Life ein. Ein Pauschalverbot solcher Websites könnte sich auf die Geschäftsinteressen genauso kontraproduktiv auswirken wie ein generelles Zulassen.

Konfl ikt zwischen Arbeits- und Privatleben

Da unsere Arbeitsumgebung immer mobiler wird, verschwimmt die Grenze zwischen Arbeits- und Privatleben zunehmend. Weil immer mehr Mitarbeiter Überstunden leisten, Arbeit nach Dienstschluss mit nach Hause nehmen und auch an Wochenenden und im Urlaub abrufbereit sind, erwarten sie im Gegenzug mehr persönliche Flexibilität am Arbeitsplatz. Tatsächlich nutzen viele Unternehmen diese Flexibilität als Einstellungs-Anreiz. Eine übertriebene Regulierung der privaten Internet-Nutzung kann sich demzufolge negativ auf die Personalbeschaffung auswirken, zu geringerer Arbeitsmoral führen und so die Wettbewerbsfähigkeit gefährden.

Erstellen praktikabler RichtlinienDas technologische Verständnis variiert genau wie das Verständnis für die Folgen von Internet-Missbrauch in vielen Unternehmen erheblich. Die meisten Mitarbeiter wissen instinktiv, dass das Ansehen von Videos auf YouTube während der Arbeitszeit Zeit vergeudet, jedoch verstehen viele nicht, dass sie hiermit auch die Sicherheit und Produktivität gefährden, Bandbreite vergeuden und eventuell gegen geltendes Recht verstoßen.

Kommunikation

Der erste Schritt auf dem Weg zu einer wirkungsvollen Internet-Richtlinie besteht darin, die Mitarbeiter auf die Folgen von Internetmissbrauch für ein Unternehmen aufmerksam zu machen. Die Personalabteilung sollte genauso mit einbezogen werden wie das Senior Management und die IT-Abteilung. Der Prozess sollte außerdem wechselseitig erfolgen, d.h. Mitarbeiter und Abteilungen sollten dazu ermutigt werden, Anwendungen oder Websites festzulegen, die sie beim Erreichen ihrer Ziele unterstützen.

Mitarbeiter erwarten im Gegenzug zu abzuleistenden Überstunden mehr persönliche Flexibilität am Arbeitsplatz.

3


Anpassen der Richtlinien an dieUnternehmensphilosophie

Eine Internet-Nutzungsrichtlinie sollte auf die Gesamtziele und die Philosophie eines Unternehmens abgestimmt werden. Unternehmen, die ihren Mitarbeitern bei der Erledigung ihrer Aufgaben einen gewissen Spielraum einräumen und eine ergebnisorientierte Unternehmenspolitik verfolgen, sind mit einer Richtlinie, die sowohl die Motivation als auch die Eigeninitiative fördert, bestens bedient. Unternehmen mit einer Top Down Management-Struktur, die es gewohnt sind, Aufgaben genauestens zu defi nieren, profi tieren hingegen von eindeutigen Regeln und Vorschriften.

Viele Unternehmen bewegen sich irgendwo hierzwischen und einige variieren je nach Führungsebene oder Abteilung. Eine Internet-Nutzungsrichtlinie muss auf diese Unterschiede eingehen.

Halten Sie es einfach

Unabhängig von der Unternehmensphilosophie sollte die Richtlinie präzise, einfach und leicht verständlich formuliert werden. Der Sprachgebrauch sollte unkompliziert und Themen relevant für jede der einzelnen Abteilungen sein. Sinnvoll ist außerdem, zunächst auf einige allgemeine Prinzipien einzugehen, bevor sämtliche Einzelheiten erläutert werden.

Eine wirkungsvolle Richtlinie zur Internetnutzung sollte...Eine allgemeine Defi nition für angemessene Internet-Nutzung enthalten und Beispiele hierfür aufführen, wie z.B. arbeitsbezogene Kommunikation, Bildung und berufl iche Weiterbildung. Eine allgemeine Defi nition für unangemessene Internet-Nutzung, die gegen Unternehmens-,Kommunal-, Landes-, und Bundesrechte oder gegen vom Unternehmen unterzeichnete Verträge verstößt, bzw. die Produktivität gefährdet und die Internet-Nutzung anderer behindert, enthalten.Privates Internet-Browsing auf zulässigen Websites innerhalb persönlicher Zeiten erlauben und ein annehmbares Maß an Internet-Nutzung außerhalb dieser Zeiten defi nieren, unter der Bedingung, dass dies keinen negativen Effekt auf die Produktivität der Benutzer hat. Unangemessene Websites aufl isten, auf die ein Zugriff verboten ist (außer diese werden für legitime Unternehmensbelange benötigt): z.B. Websites, die pornografi sches, gewaltverharmlosendes Material oder Material zu kriminellen Aktivitäten enthalten bzw. bewerben. Den Zugriff auf Websites und Services verbieten, die illegale Downloads anbieten. Auch legale Downloads von Websites wie iTunes können das Copyright verletzen, wenn sie auf Unternehmensnetzwerke heruntergeladen oder kopiert werden. Richtlinien zur Nutzung von Blogs, Kontaktportalen, Webmail und anderen Web 2.0 Anwendungen enthalten. Zugriff kann untersagt oder auf persönliche Zeiten beschränkt werden, so dass jeglicher Missbrauch des Internets von vornherein geächtet wird. Die Teilnahme an Peer-to-Peer Netzwerken ohne vorherige Genehmigung durch das Management verbieten. Festlegen, inwieweit Benutzer bandbreitenintensive Inhalte wie Streaming Audio und Video und Downloads großer Dateien abrufen dürfen. Mitarbeiter könnten dazu ermutigt werden, ihre eigenen Audio-Player zu ihrem Arbeitsplatz zu bringen. Einer Gruppe ausgewählter Mitarbeiter (z.B. IT-Mitarbeiter, Führungskräfte und Entwickler) das Herunterladen von Anwendungen und großen Dateitypen gewähren, falls dies für die Ausführung Ihrer Tätigkeiten nötig ist. Den Zugriff auf Websites, die als Proxys oder Übersetzer bekannt sind, einschränken oder ganz unterbinden. Diese Websites wurden speziell zum Umgehen von Web-Filtern entwickelt, indem der Zugriff über andere Websites erfolgt. Transaktionen lediglich auf legitimen, authentifi zierten Websites und mit Unternehmen, die Daten verschlüsseln, erlauben. Dies verringert das Datenverlust-Risiko und hindert Mitarbeiter daran, gesperrte Websites über legitime Websites aufzurufen.

»

»

»

»

»

»

»

»

»

»

»

4


Richtlinien-EnforcementAuch Unternehmen mit einer eher informellen Unternehmenskultur müssen ihre Internet-Nutzungsrichtlinie durchsetzen, was sie mit Web Filtering Kontrollen erledigen können. Überwachungssysteme sollten Bildschirm-Alarme einsetzen, die Mitarbeiter beim Zugriff auf eine verbotene Website oder beim Durchführen einer nicht erlaubten Handlung informieren. Gleichzeitig sollte die Management-Software vorübergehende Ausnahmen zulassen. Auditing- und Reporting-Tools mit abgestuften Enforcementlevels sind nötig, um auf jegliche Vorfälle zu reagieren: mündliche Verwarnung, Überwachung, Umschulung, schriftliche Verwarnung, Kündigung, eventuelle Einleitung rechtlicher Schritte. Eine gut formulierte Richtlinie wird jedoch normalerweise jeden Versuch ihrer Verletzung unterbinden.

Regelmäßige ÜberprüfungUnternehmen müssen ihre Internet-Nutzungsrichtlinien in regelmäßigen Abständen überprüfen und so gewährleisten, dass diese die legitime Internet-Nutzung nicht beeinträchtigen und die Unternehmensziele effektiv unterstützen. Einige Nutzer benötigen vorübergehend Zugriff auf eine verbotene Website, und die Richtlinie muss fl exibel genug sein, um dies zu erlauben.

Richtlinien sollten je nach Kategorie, Website, Tageszeit, Benutzer oder Gruppe geändert

werden können. Solche Ausnahmen sollten automatisch nach einem vordefi nierten Zeitraum aufgehoben werden, damit vorübergehende Privilegien vorübergehend bleiben und manuelle Bereinigungen vermieden werden, die zeitaufwändig und fehleranfällig sind.

Diese regelmäßigen Überprüfungen geben Unternehmen die Möglichkeit, auf die sich ständig im Umbruch befi ndende Internet-Umgebung zu reagieren. Anwendungen, die heute noch inakzeptabel sind, können schon morgen legitim sein. Internet-Nutzungsrichtlinien müssen diesen stetigen Weiterentwicklungsprozess berücksichtigen, damit Mitarbeiter nicht an der effektiven Erledigung ihrer Arbeit gehindert werden.

ZusammenfassungDas Implementieren einer Internet-Nutzungsrichtlinie ist ein Balanceakt, da diese einerseits dem Bedürfnis des Unternehmens nach Sicherheit gerecht werden und andererseits verhindern muss, dass Mitarbeiter daran gehindert werden, legitime Aufgaben durchzuführen. Eine Richtlinie sollte nicht nur darauf ausgelegt sein, Benutzer zu überwachen und zu bestrafen, sondern sollte diese erziehen und aktiv in ihre Weiterentwicklung einbeziehen. So müssen Unternehmen keine drastischen Maßnahmen treffen und haben die Möglichkeit, auf den stetigen Wandel von Internet-Technologien und -Services einzugehen.

Sophos Lösung

Die Sophos Web Appliance, Teil von Web Security and Control, kontrolliert Ihren Web-Traffi c bis ins jede Detail und stellt so sicher, dass dieser unschädlich und konform mit der Unternehmensrichtlinie ist. Sie schützt vor Spyware, Adware, Viren, schädlichem Code, unerwünschten Anwendungen und Inhalten. Mit einer innovativen und umfassenden Scanning Engine, die sämtliche Bedrohungen durch eine einzigartige Kombination aus reputationsbasierter Filterung, proaktiver Echtzeitfi lterung und inhaltsbasierter Filterung erkennt. Ihre bedienerfreundliche Management-Konsole und ihre leistungsstarken Reporting-Tools liefern schnellen Einblick in Internet-Traffi c, Bedrohungen und Nutzerverhalten und ermöglichen so sicheres Internet-Browsing ohne komplizierte Webfi lter traditioneller Art. Als Managed Appliance bietet die Sophos Web Appliance Funktionsüberwachung und Remote-Unterstützung im Bedarfsfall, wodurch unübertroffener Schutz geboten wird.


Über Sophos

Sophos bietet Security and Control-Lösungen für die IT-Infrastruktur in Unternehmensumgebungen. Unsere Lösungen rund um Network Access Control, Endpoints, Internet und E-Mail sorgen für umfassende Sicherheit. Sie bieten kombinierte Mechanismen zum Schutz vor Malware, Spyware, Hackerangriffen, unerwünschten Anwendungen, Spam, Missbrauch und Abweichung von Richtlinien sowie vor Datenverlust. Seit mehr als 20 Jahren schützen wir mit unseren zuverlässigen, ausgeklügelten Lösungen und Services über 100 Millionen Benutzer in nahezu 150 Ländern. Wir sind für unseren hohen Grad an Kundenzufriedenheit bekannt und können eine beachtliche Reihe von Branchenauszeichnungen, Tests und Zertifi katen aufweisen. Sophos verfügt über Hauptsitze in Oxford, UK, und in Boston, USA.

Boston, USA • Mainz, Deutschland • Mailand, Italien • Oxford, UK • Paris, Frankreich

Singapur • Sydney, Australien • Vancouver, Kanada • Yokohama, Japan

© Copyright 2008. Sophos Plc

Alle eingetragenen Marken und Urheberrechte werden von Sophos anerkannt.No part of this publication may be reproduced, stored in a retrieval system, or transmitted by any form or by any means without the prior written permission of the publishers.

Quellenwww.salary.com/careers/layouthtmls/crel_display_nocat_Ser374_Par555.html

www.gocsi.com

www.sophos.com/pressoffi ce/news/articles/2008/01/security-report.html

1.

2.

3.

SOPHOS Whitepaper Effektive Internet-Richtlinien Erstellen

Documents

Transcript of SOPHOS Whitepaper Effektive Internet-Richtlinien Erstellen