Internet-Sicherheitsvereinbarung
1 Ziel und Zweck
Ziel und Zweck dieser Sicherheitsvereinbarung ist es, allen (internen und externen) Mitarbeiterinnen und Mitarbeitern einen Leitfaden in die Hand zu geben, damit sie sich bei der Nutzung des Internets verantwortungsbewusst im Sinne der Evangelischen Landeskirche in Baden verhalten können.
Bitte senden Sie die beigefügte Internet-Nutzungsvereinbarung im Original unterschrieben an den/die Datenschutzbeauftragte/n bei der Evangelischen Landeskirche in Baden.
2 Geltungsbereich
Diese Internet-Sicherheitsvereinbarung gilt für alle Mitarbeiterinnen und Mitarbeiter der Evangelischen Landeskirche in Baden im Sinne von § 5 Abs. 3 Mitarbeitervertretungsgesetz, sofern sie einen Internet-Zugang nutzen. Sie ist Bestandteil der Dienstvereinbarung über die Einführung des landeskirchenweiten Intranets in der Evangelischen Landeskirche in Baden.
3 Hintergrund der Sicherheitsmaßnahmen
Das Internet ist ein rasant wachsendes Kommunikationsnetz mit allen Vor- und Nachteilen eines offenen weltweiten Netzes. Nützliche wie auch unwichtige, sogar kriminelle Informationen sind verfügbar.
Die erste Priorität der unternehmensweiten Sicherheit beim Internet hat zum Ziel, Mitarbeiterinnen und Mitarbeitern ein Höchstmaß an Transparenz für das Internet bei gleichzeitigem Schutz unternehmensinterner Systeme und Informationen zu bieten.
4 Gefahrenpotential
Es ist wichtig, sich der Tatsache bewusst zu sein, dass
* das Internet auch von Personen benutzt wird, die nicht immer das Wohl des Unternehmens im Auge haben;
* alle über das Internet (über ungeschützte Verbindungen) ausgetauschten Informationen von einer Vielzahl unbekannter Personen (Kriminelle, Spione, Saboteure, Geheimdienste etc.) gelesen und missbraucht werden können;
* die Computer-Viren, Computer-Würmer, Trojanische Pferde oder sonstige Schädlinge über das Internet unkontrolliert verbreitet und große materielle und immaterielle Schäden verursachen können
5 Sicherheitsmaßnahmen der Evangelischen Landeskirche in Baden
Ein Schutz vor den möglichen Gefahrenpotentialen in der Evangelischen Landeskirche in Baden kann nur dann gewährleistet werden, wenn alle betroffenen Mitarbeiterinnen und Mitarbeiter mit PC-Arbeitsplätzen und Internet-Zugang diese Sicherheitsvereinbarung beachten und danach handeln.
6 Verantwortlichkeit für den Computer-Arbeitsplatz
Jeder Computer-Arbeitsplatz ist einer Benutzerin bzw. einem Benutzer zugeordnet. Für jeden Arbeitsplatz gibt es mindestens eine verantwortliche Person, in der Regel ist das die Besitzerin, bzw. der Besitzer. Die Besitzerin / der Besitzer ist für die Beachtung der Vorschriften und Arbeitsanweisungen des Unternehmens verantwortlich.
7 Nutzung von zugelassener Hard- und Software
Jeder Computer-Arbeitsplatz darf grundsätzlich nur die vom Unternehmen zugelassene bzw. genehmigte Hard- und Software beinhalten. Diese sind alle offiziell erworbenen, lizenzierten, überlassenen bzw. selbstentwickelten Hard- und Softwareprodukte. Erweiterungen, die Fremdanschlüsse schaffen, sind genehmigungspflichtig (siehe Genehmigungen).
8 Schutz vor unbefugtem Zugriff
Jede/r Mitarbeiter/in hat ihren/seinen Computer-Arbeitsplatz vor unbefugtem Zugriff mittels Passwort zu schützen. Das Passwort ist vertraulich zu behandeln.
9 Internet-Zulassung
Aufgrund der schnell verändernden Internet-Technologien muss jeder neue Dienst durch die Netzwerk-Betreiber auf Sicherheitsrelevanz überprüft werden, bevor er zum Einsatz kommt.
Für die Internet-Zulassung muss die/der Benutzer/in die Internet-Sicherheitsvereinbarung anerkennen. Es sind sinngemäß folgende Verpflichtungserklärungen abzugeben:
* die Benutzerin /der Benutzer handelt im Sinne und im Interesse des Unternehmens,
* die Benutzung steht grundsätzlich im Zusammenhang mit dem Aufgabenumfeld,
* der Benutzerin /dem Benutzer sind die Gefahren und Risiken im Internet bekannt.
10 Berechtigung für Internet-Dienste
Zum Internet gehören verschiedene Internet-Dienste, z.B.:
* E-Mail
* WWW
* FTP
* News
* Telnet
Die Benutzerin / der Benutzer ist nach Anerkennung der Internet-Sicherheitsvereinbarung berechtigt, die zugelassenen Dienste entsprechend ihrem jeweiligen Zweck in Anspruch zunehmen.
11 Speicherung von Internet-Zugriffen
11.1 Jede Benutzeraktivität bzw. Transaktion im Internet wird gespeichert (protokolliert) und für die Zeitdauer von 6 Monaten aufbewahrt. Somit ist die Nutzung, das Speichern und Herunterladen von Software, Dateien und Internet-Seiten nachweisbar. Dieses Logging-Verfahren ist notwendig, um potentielle Angriffe (Hacking, Spionage, Sabotage, etc.) festzustellen und an die zuständigen Strafverfolgungsbehörden weiterleiten zu können (siehe Auswertung).
11.2 Die Inhalte von E-Mails und Dateien sind von der Protokollierung unberührt.
11.3 In einem Servicefall ist die EDV-Betreuung berechtigt, den jeweiligen PC zu überprüfen und ggf. Änderungen vorzunehmen.
12 Auswertung von Internet-Zugriffen
Die gespeicherten Internet-Zugriffe (Protokolldaten) dürfen laut
* Bundesdatenschutzgesetz (BDSG § 31) und kirchliches Datenschutzgesetz sowie
* Mitarbeitervertretungsgesetz (div. Mitbestimmungsrechte)
* Dienstvereinbarung über die Einführung des landeskirchenweiten Intranets
nicht zur Auswertung personenbezogener Daten verwendet werden.
Im Hinblick auf die Wahrung der Interessen der Mitarbeiterinnen und Mitarbeiter und im Sinne des Datenschutzes werden folgende Maßnahmen ergriffen:
12.1 Zugriff auf gespeicherte Daten
Es wird gewährleistet, dass nur autorisierte Personen in begründeten Fällen die gespeicherten Daten einsehen und auswerten. Die Auswertung der gespeicherten Daten erfolgt unter Einbindung der Mitarbeitervertretung und der Geschäftsleitung bzw. einer von ihr beauftragten Person. Über die Auswertung wird die/der betroffene Mitarbeiter/in informiert. Es wird ein ausführliches Protokoll über die Auswertung erstellt. Die/der betroffene Mitarbeiter/in erhält eine Kopie dieses Protokolls.
12.2 Speicherungsdauer der Daten
Die gespeicherten Daten werden vor dem Zugriff nicht autorisierter Personen geschützt aufbewahrt. Die Aufbewahrungsdauer der Daten beträgt maximal 6 Monate. (Auswertungen sind jedoch nur in den ersten 90 Tagen nach Speicherung zulässig.) Sofern aufgrund allgemeiner Vorgaben (z.B. gesetzliche Auflagen) eine längere Aufbewahrungsfrist erforderlich wird, wird diese der Mitarbeitervertretung rechtzeitig vorher unter Angabe der Gründe mitgeteilt. Nach Ablauf der Aufbewahrungsfrist werden die gespeicherten Daten im Sinne des Bundesdatenschutzgesetzes gelöscht.
12.3 Leistungs- und Verhaltenskontrolle
Eine Verhaltens- oder Leistungskontrolle der Mitarbeiterinnen und Mitarbeitern durch Auswertung der gespeicherten Daten erfolgt nur aus konkretem Anlass und in Abstimmung mit der Mitarbeitervertretung. Die betroffenen Mitarbeiterinnen und Mitarbeiter sind zu informieren. (vergl. Abschnitt 3 der Dienstvereinbarung über die Einführung des landeskirchenweiten Intranets).
13 Maßnahmen bei Verstößen gegen die Arbeitsanweisung
13.1 Die Zugangsberechtigung erlischt, wenn das Internet fahrlässig und unzulässig für solche Zwecke eingesetzt wird, die das Unternehmen materiell bzw. immateriell schädigen, und damit gegen diese Internet-Sicherheitsvereinbarung verstoßen wird.
13.2 Bei schweren Verstößen oder Missbrauchsfällen können neben dem Internet-Zulassungsentzug disziplinarrechtliche oder arbeitsrechtliche Maßnahmen eingeleitet werden. Zum schweren Verstoß gehört die grobe Fahrlässigkeit bzw. Missbrauch bezogen auf die Nutzung, die Speicherung und die Weitergabe der folgenden Daten:
* sittenwidrige, obszöne und respektlose Angebote,
* menschenverachtende und rassistische Propagandadaten,
* Sekten-Propaganda bzw. -Mitgliederwerbung jeder Art,
* unbefugtes Software-Herunterladen für Privatzwecke, wenn dadurch grob fahrlässig Lizenzrechte verletzt werden (widerrechtliche Nutzung gebührenpflichtiger Software).
14 Definitionen der Begriffe
Autorisierte Personen
Die "autorisierten Personen" für die Auswertung im Sinne dieser Internet-Sicherheitsvereinbarung sind die Systemadministrator/innen der Evangelischen Landeskirche in Baden.
Auswertung
Eine Auswertung im Sinne dieser Internet-Sicherheitsvereinbarung ist notwendig, sofern die gespeicherten Internet-Zugriffe zur Feststellung der potentiellen Angriffe (z.B. Hacking, Spionage, Sabotage) bzw. der schweren Verstöße gegen diese Internet-Nutzungsvereinbarung es erforderlich machen, grobe Fahrlässigkeit bzw. den Missbrauchsfall unter Einbindung der Mitarbeitervertretung und der Geschäftsleitung bzw. einer von ihr beauftragten Person zu überprüfen bzw. nachzuweisen.
Besitzer/in
Besitzer/in eines Computer-Arbeitsplatzes ist in der Regel ein Mitarbeiter oder eine Mitarbeiterin.
Computer-Arbeitsplatz
Computer-Arbeitsplätze sind Systeme im Sinne dieser Internet-Nutzungsvereinbarung, wenn sie in festen bzw. mobilen Arbeitsumgebungen Zugriff auf das Internet haben (PC, Notebook, Laptop, NC, usw.).
Computer-Viren
Computer-Viren gehören zu den Programmen mit Schadensfunktionen. Ein Computer-Virus ist eine nicht selbstständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender/von der Anwenderin nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Ein Virus infiziert andere Programme mit einer Kopie von sich selbst. Bösartige Viren beschädigen andere Programme oder Daten, löschen die Plattenverzeichnisstruktur oder richten andere Schäden an. Die verschiedenen Virentypen sind:
* Programm-Viren: Fügen sich als bestehende Programmdateien auf Speichermedien ein und werden beim Aufruf des Wirtsprogramms ausgeführt.
* System-Viren: Befallen Systembereiche (Bootsektor, Master-Boot-Sektor, Partitions-tabelle) von Disketten oder Festplatten.
* Direct-Action-Viren: Infizieren bei der Ausführung des infizierten Programms sofort weitere Programmdateien, führen sofort eine Schadensroutine aus und geben dann wieder die Kontrolle an das Gast-Programm ab.
* Stealth-Viren: Versuchen ihr Vorhandensein im System zu verbergen. Dazu überwachen sie die Systemaktivitäten und verschleiern ihre Existenz.
* Polymorphe-Viren: Verschlüsseln infizierte Programmteile, um zu verhindern, dass Antiviren-Programme die Virus-typischen Merkmale entdecken. Manche Viren verwenden eine Technik ("Tunneling") um die Antiviren-Überwachungsprogramme zu umgehen.
* Slow-Viren: Führen erst nach einem längeren Zeitraum ihre Schadensroutine aus.
* Makro-Viren: Werden auf der Basis der in vielen Software-Produkten integrierten Makro-Sprachen entwickelt. Sie "klinken" sich z.B. in Formatvorlagen von Textverarbeitungssystemen (z.B. WinWord-Dokument) ein. Sie sind nicht in der Lage, ohne eine spezifische Makro-Ausführungumgebung zu laufen.
* Computer-Würmer: Bei Computer-Würmern handelt es sich um Störprogramme, die sich selbstständig in einem Computer-Netzwerk ausbreiten. Diese Störprogramme können sich reproduzieren und mit Hilfe von Netzwerkfunktionen sich selbst auf andere Computer kopieren. Die Programm-Kopien können sogar andere Funktionen übernehmen als das Ursprungsprogramm.
Datenträgermedium und -laufwerk
Datenträgermedium ist das Speichermedium für die Daten und Programme (Festplatte, Floppy-, Diskette, PCMCIA, CD, Zip-Medium, Jaz-Medium, Streamer-Cassette, Magneto-Optische Platte usw.). Datenträgerlaufwerk ist das jeweilige Steuerungsinstrument des Datenträgers zum Lesen und Speichern von Daten und Programmen.
Firewall
Ein Firewall als zentraler Übergang zum Internet ist eine Kombination von Hardware- und Software-Komponenten, der eine sichere Verbindung zwischen einem Netzwerk und anderen Netzwerken erlaubt. Die Systemkonfiguration und die Filterregeln müssen gewährleisten, dass nur die erlaubten Verbindungen zugelassen werden.
Fremdanschlüsse
Möglichkeit, über definierte Kommunikationsschnittstellen (z.B. externe/interne Modems und ISDN-Geräte) externe DV-Einrichtungen (z.B. Rechnersysteme, Internet) zu erreichen bzw. von ihnen erreicht zu werden. Fremdanschlüsse sind alle nicht Primär- oder Sekundär-Datennetze zu den Benutzer/innen der Evangelischen Landeskirche in Baden. Fremdanschlüsse sind von der Evangelischen Landeskirche in Baden zu genehmigen.
Internet-Dienste
* WWW (World Wide Web) - Leicht bedienbare Anwenderprogramme, die den Zugriff auf Informationen mit Hilfe des Protokolls HTTP (HyperText Transfer Protocol) ermöglicht
* E-Mail (Electronic Mail) - Ein Internet-Dienst zum Versenden und Empfangen von e-lektronischen Nachrichten
* FTP (File Transfer Protocol) - Ein Internet-Dienst zur Übertragung von Dateien von und zu entfernten Rechnern
* News - Ein Internet-Dienst als Diskussionsforum zu verschiedenen Themen, an denen jede/r Internet-Benutzer/in teilnehmen kann
* Telnet - Ein Internet-Dienst zum Einloggen und Arbeiten auf einem entfernten Rechner
Modem und ISDN-Gerät
Modems (Modulator-Demodulator) und ISDN-Geräte (Integrated Services Digital Network) sind Datenübertragungsgeräte. Sie ermöglichen die Übertragung von Dateien über die Telefonleitung, indem sie diese mit dem PC verbinden.
Nettikette
Das Internet ist kein anonymes Medium, auch wenn der Eindruck entstehen mag. Die "Nettikette" ist ein Verhaltenskodex für die Nutzung des Internets und erinnert daran, dass das Internet öffentlich ist. Daneben beschreibt und erläutert sie gebräuchliche Abkürzungen und Symbole, die in Newsgroups verwendet werden.
Newsgroup
Newsgroup ist die englische Bezeichnung für Diskussionsforen bzw "Schwarze Bretter" im Internet. Diese Diskussionsforen sind ein spezieller Internet-Dienst, der neben dem World Wide Web der Diskussion und Information bestimmter Themen dient. Inzwischen finden sich im Netz mehrere Zig-Tausend Newsgroups zu allen erdenklichen Themen.
Protokollierung
Die Protokollierung im Sinne dieser Internet-Sicherheitsvereinbarung liegt vor, sofern die Daten über die Internet-Zugriffe gespeichert und verwendet werden, um diese später auswerten zu können.
Trojanische Pferde
Trojanische Pferde sind Sabotage-Programme, die unter falschem Namen bzw. falscher Identität ins Computersystem gelangen. Somit ermöglichen sie einer unberechtigten Person den Zugriff auf Daten im Netz oder auf einem PC.