Überwachung der Internet-Nutzung

Technische Beschreibung

Architektur des Internet-Zugangs in einem Unternehmen

Man muß zunächst die technische Realisierung des Internet-Zugangs in einem Unternehmen betrachten. Diese unterscheidet sich meist grundlegend von einem privaten Zugang. Bei letzterem ist in der Regel der PC des Benutzers über ein Modem mit der Telefonleitung verbunden. Will man ins Internet, so muß man den nächsten Knotenrechner eines Providers (z.B. T-Online, AOL oder CompuServe) anwählen. Von dieser mautpflichtigen Auffahrt auf die Datenautobahn gelangt man dann ins Internet.

Bei einem (größeren) Unternehmen ist in der Regel ein besonderer Rechner im Unternehmensnetzwerk, ein sog. Proxy-Server, mit irgendeinem Knotenrechner des Internet verbunden. Diese Verbindung ist keine Wählverbindung wie bei der privaten Nutzung, sondern besteht aus festen Leitungen, deren Kapazität sich am Nutzungsbedarf orientiert. Die folgende Abbildung zeigt eine solche Konstruktion:

Das unternehmensinterne Netz (Local Area Network - LAN) ist durch den Proxy-Server (bzw. ein Firewall-System) von der über das Internet erreichbaren Außenwelt abgetrennt.

Über je einen Router auf der Seite des Unternehmens und eines Providers oder eines beliebigen bereits im Internet befindlichen Rechners wird der Kontakt zum Internet hergestellt. Auch der WWW-Server des Unternehmens, der die Präsentation des Unternehmens enthält, befindet sich außerhalb des firmeninternen Netzes, damit eventuelle Angriffe von außen nicht ins firmeninterne Netz hineingelangen. Dieser Schutz kann durch sog. Firewalls noch verstärkt werden. Auch spezieller Schutz für das Mail-System lässt sich einrichten.

Der Proxy-Server muß für jeden Kontakt zwischen Unternehmen und Außenwelt oder umgekehrt durchlaufen werden und stellt eine Art Zwischenspeicher dar. An dieser Stelle setzen die Schutztechniken an. Sie laufen (weitestgehend) automatisch ab.

Ein Name Server dient lediglich zur Übersetzung der numerischen Internet-Adressen (z.B. IP-Adresse 194.229.32.1) in die veröffentlichten Web-Adressen (z.B. www.tse-hamburg.de).

Realisierung des Zugangs zum Internet

Es gibt unterschiedlichen Arten, wie der Internet-Zugang für die Mitarbeiterinnen und Mitarbeiter in einem Unternehmen realisiert werden kann. Hier einige Möglichkeiten:

Eine restriktive, aber relativ sichere Methode besteht darin, den Benutzern überhaupt keinen direkten Zugriff ins Internet zu gewähren. Alle betrachtbaren Seiten befinden sich auf einem Proxy-Server. Nur was dort gespeichert ist, können die Benutzer sehen.
Die vorgenannte Methode ist natürlich wenig aktuell. Man kann sie daher etwas "liberalisieren". Wenn ein Benutzer eine neue Seite haben will, lädt der Proxy-Server diese zuerst aus dem Internet, schleust sie eventuell noch durch diverse Filter- und Virenprüfprogramme und gibt dann dem Benutzer den Zugriff frei. Dies ist die am häufigsten angewandte Methode.
Man verzichtet auf die Speicherung der von den Benutzern angeforderten Seiten in einem Zwischenspeicher des Proxy-Servers. Dieser stellt direkt die Verbindung der Benutzer zu ihren Zielorten im Internet her.

Protokollierung der Benutzeraktivitäten

Die Proxy-Server sind in der Lage, verschiedenste Aktivitäten der Benutzer zu protokollieren. Die meisten Server lassen sich konfigurieren, d.h. man kann einstellen, welche Informationen protokolliert werden sollen:

In diesem Beispiel sind für die Protokollierung Datum und Uhrzeit, Fehlercode (Result), der Rechnername, die angeforderte Internet-Adresse (URL), die Zahl der übertragenen Bytes und die Transferzeit ausgewählt. Das linke Rollfeld zeigt einen Ausschnitt über wesentlich weitergehende Möglichkeiten der Protokollierung. PATH_ARGS und SEARCH_ARGS z.B. erlauben auch eine Kontrolle über Eingaben des Benutzers, z.B. bei dem Aufruf einer Bahnauskunft (von wo nach wo wollte der Benutzer fahren?) oder beim Gebrauch einer Suchmaschine (nach welchen Begriffen hat der Benutzer gesucht?).

Ein mit dieser Einstellung erzeugtes Protokoll weist dann für jedes Objekt, das in den Browser eines Benutzers geladen wird, eine Protokollzeile auf. So entstehen in einem größeren Unternehmen schnell Dateien mit Millionen von Protokollzeilen, für die es dann besondere Auswertungsprogramme gibt.

Proxy-Server verfügen über die Möglichkeit, zwischen Benutzer und Internet Filter zu setzen. Hier ein einfaches Beispiel:

Das Verfahren funktioniert folgendermaßen: wenn in der vom Benutzer angeforderten URL die im Match-String-Fenster eingetragenen Zeichenketten vorkommen, wird der Zugriff nicht freigegeben. Die angeforderten Internet-Adressen http://www.sexlife.com oder http://bahn.hafas.de würden nicht freigegeben, weil in der ersten Adresse die Zeichenkette sex, in der zweiten Adresse bahn vorkommt (letzteres ist die Adresse des von der Deutschen Bahn AG betriebenen Fahrplan-Auskunft-Servers).

Das Beispiel beschrieb eine einfache access control list. Geprüft wird dabei nur die Adresse. Inzwischen gibt es aber weitere Zensurprogramme, die auch die Inhalte der angeforderten Seiten checken.

Weitere Techniken verstecken sich hinter Firewall-Lösungen, z.B. Smartfilter von Biodata/Lichtenfels und Cobion/Kassel. Verdächtige Symbole, Objekte, Bilder, Texte usw. werden in eine Schwarze Liste geschrieben; die Zugriffe können dann gesperrt werden. Ende 2000 als AddOn zu Biodatas Firewall BIG Application und Sphinx erhältlich.

Weitere Informationen zu

Technik des Internet-Zugangs
Staatliche Zensurbestrebungen im Internet
Betriebsvereinbarungsentwürfe zur Regelung des Internet-Zugangs (Vereinbarung mit Protokollierung und Vereinbarung ohne Protokollierung)
Betriebsvereinbarung mit einem Regelungsvorschlag für den Internet-Zugang im Rahmen einer Intranet-Lösung