Die Sicherheit von Computernetzen
Die Security der Computernetzwerke ist ein Thema, das immer mehr in den Vordergrund rückt, nicht erst seit der Spiegel seine China-Spionage-Geschichte gebracht hat. Leider wird das Thema überwiegend rein technisch erörtert, so dass die unerlässliche zweite Komponente, nämlich wie die betroffenen Menschen damit umgehen, allzu oft außer Acht bleibt.
Dennoch tut es Not, das technische Instrumentarium zu kennen. Es reicht von Firewalls über Virenscanner und Spamfilter bis zu Intrusion Detection oder Prevention Systemen, die mit fortgeschrittenen Methoden Bösewichtern innerhalb des Netzes auf die Schliche kommen wollen.
Eine Betriebsvereinbarung ist eine gute Chance,um die Verhaltensregeln klarzulegen, ohne die jede Technik Schall und Rauch ist. Sie sollte klar stellen,
- dass Firewall, Spam Filter und Internet-Zugangsfilter,
Intrusion Detection Systeme oder ähnliche Software-Werkzeuge nur im engeren Sinne zur Gewährleistung
der Systemsicherheit eingesetzt werden dürfen und auf eine inhaltliche
Kontrolle des Netzwerkverkehrs veruichtet wird,
- dass alle mit Signaturen arbeitenden Systeme
sich ebenfalls auf bekannte Themen der Netzwerksicherheit zu beschränken
haben,
- dass keine zentralistischen Systementscheidungen den Zugriff der Benutzer auf ihre Mail Accounts reglementieren und sie
selber das letzte Sagen darüber behalten, was z.B. Spam ist und was
nicht,
- dass Auswertungen der von security systems
umfangreich protokollierten Daten in der Regel keinen Durchgriff auf einzelne
Arbeitsplätze oder Benutzer zulassen und auf die Analyse der Sicherheitsprobleme
begrenzt bleiben; Ausnahmen von diesem Grundsatz wären im einzelnen
festzulegen,
- dass das bei vielen Systemen mögliche Eskalationsmanagement nicht zu einer die Berührung der Netzwerksicherheit hinausgehenden
Verhaltenskontrolle benutzt werden darf ,
- welche Verhaltensregeln für die Mitarbeiterinnen und Mitarbeiter aufgestellt und wie diese im Unternehmen kommuniziert werden.
In Grenzfällen ist es manchmal schwierig, über jeden Zweifel erhaben zu trennen, was die Systemsicherheit berührt und was darüber hinaus gehende Verhaltenskontrolle ist. Deshalb sollte unbedingt ein Schlichtungsverfahren vereinbart werden, wie man in Konfliktfällen mit dem Thema umgehen will. Dabei hat sich eine Beteiligung der Betriebsräte bisher ausgesprochen bewährt.