Internet und E-Mail
[Start]

 

Seminare zum Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

Kommunikation im Internet

Verbindung zwischen verschiedenen Netzen

Das Internet ist ja nichts anderes als eine Verbindung einer Vielzahl von einzelnen Net- zen. Innerhalb eines Netzes ist die Adressierung auf der Seite “Lokales Netz” erläutert, im Prinzip gilt das Gleiche auf für die Kommunikation zwischen den Netzen.

Hier entsteht nur ein weiteres Problem: Es ist weder möglich noch wünschenswert, dass über das Internet wahllos alle Hosts, also alle Workstations und Server, weltweit mit- einander kommunizieren.

Möglich ist dies deshalb nicht, weil die Anzahl der verfügbaren IP-Adressen dafür nicht ausreicht. Mit einer 32 Bit langen Zahl kann man zwar 232, also 4.294.967.296 unter- schiedliche Adressen bilden, was immerhin gut die Hälfte der Weltbevölkerung mit eige- nen Adressen versorgen würde. Tatsächlich reicht das aber nicht aus, weil weit mehr als 4 Mrd. IP-Adressen weltweit und damit im Internet benötigt werden.

Darum gibt es bestimmte Adressbereiche (z. B. 192.168.x.y), die nur für lokale Netze verwendet und im Internet nicht weitergeleitet (“geroutet”) werden. Die Adresse 192.168.1.4 z. B. kommt also weltweit vielfach vor, weil sie für lokale Zwecke frei ver- geben werden kann. Damit scheidet sie aber als mögliche Adresse für die Kommunikation im Internet, wo jede Adresse wie innerhalb eines lokalen Netzes eindeutig sein muss, aus.

Wünschenswert ist es nicht, weil natürlich nicht erwünscht ist, dass ein entfernter Benutzer, den man gar nicht kennt, womöglich Dienste aus dem lokalen Netz beziehen, z. B. auf Daten zugreifen kann. Es muss also einerseits eine Verbindung zwischen dem lokalen Netz (“Intranet”) und dem Internet (wird dann auch “Extranet” genannt), ande- rerseits eine Abschottung zwischen den lokalen Diensten und dem Internet stattfinden.

Router, Firewalls und Proxy-Server

Wenn Daten zwischen verschiedenen Netzsegmenten ausgetauscht werden sollen, spricht man von einer Weiterleitung, der Fachbegriff dafür lautet “Routing”. Ein Router kann so konfiguriert werden, dass er nur bestimmte Adressen weiterleitet bzw. Weiter- leitungsaufträge von bestimmten Adressen entgegennimmt.

Bei Windows-PCs, die über das Netzwerk eine Verbindung zum Internet aufnehmen sol- len, wird dies Funktion auch “Gateway” genannt und in der Konfiguration des IP - ent- weder an jedem PC einzeln, oder zentral über DHCP - eingestellt.

In den meisten Fällen übernimmt die Aufgabe, die Verbindung zum Internet herzustellen, eine Maschine, die noch weitere Funktionen erfüllt. Die Aufgabenstellung ist die:

  • Ein lokaler Host will auf einen Host zugreifen, der nicht im lokalen Netz, sondern im Internet zu finden ist. Dass dieser entfernte Host im Internet angesiedelt ist, er- kennt der lokale Host daran, dass er entweder die IP-Adresse direkt kennt oder den Namen von einem DNS auflösen lässt, der ihm die IP-Adresse mitteilt. Anhand der IP-Adresse, die eben nicht aus dem Adressraum (der sog. “Subnet-Mask”) des lokalen Netzes bzw. Netzsegmentes stammt, erkennt der lokale PC, dass er die Adresse nicht direkt selbst ansprechen kann.
  • Daraufhin wendet sich der lokale PC an den Router und teilt ihm mit, wie die ent- fernte Adresse lautet und was er von dieser Adresse will. Der Router hat zwei Ethernet-Schnittstellen: Eine, über die er mit dem lokalen Netz kommuniziert, und eine, über die er mit dem Internet Daten austauscht. Demzufolge hat er auch zwei IP-Adressen: Eine, die in das lokale Adressschema passt, und eine, die im Internet einmalig ist, und die bei der Kommunikation mit dem Internet verwendet wird.
  • Der Router leitet die Anfrage an den gewünschten Host im Internet weiter, und jetzt geschieht etwas sehr wichtiges: Er gibt seine Internet-IP-Adresse und nicht die des lokalen PC als Adresse für die Antwort an, denn die lokale IP-Adresse ist ja für das Internet nicht geeignet. Man nennt diesen Vorgang “NAT” (“Network Adress Translation”) bzw. “IP-Masquerading”.
  • Der Router erhält als Antwort die gewünschte Information vom Internet-Zielhost. Diese Information muss er an den lokalen Host, der sie ursprünglich angefordert hatte, weiterreichen.

Damit er das kann, muss er aber wissen, welcher Host zu welchem Zeitpunkt welche Information angefordert hat, weil er ja wahrscheinlich mehrere Anfragen parallel bear- beiten muss. Das setzt aber voraus, dass der Router (oder das Gateway oder der Proxy- Server) sich zumindest vorübergehend merkt, welcher lokale Host welche Anfrage an externe Hosts gestellt hat - und das bedeutet, dass er die Anfragen protokollieren muss.

Das Protokoll ist aber nichts anderes als ein wahrnehmbar machen des Verhal- tens der Benutzer - und damit ist jede Art von Router/Gateway/Proxy-Server eine technische Einrichtung, die dazu bestimmt ist, das Verhalten der Benutzer zu dokumentieren, mithin mitbestimmungspflichtig.

Von Arbeitgeberseite hört man in diesem Zusammenhang regelmäßig das Argument, er müsse sich gegen Missbrauch durch einzelne Beschäftigte schützen, und deshalb sei eine Überwachung der Internet-Nutzung notwendig. Darüberhinaus sei er gemäß Tele- kommunikations-Überwachungsverordnung (TKÜV) dazu gezwungen, die Internet- Zugriffe zu protokollieren. Beides ist falsch.

Dass eine bloße Möglichkeit besteht, dass einzelne Arbeitnehmer sich falsch verhalten, rechtfertigt noch lange nicht, dass der Arbeitgeber das Verhalten sämtlicher Arbeit- nehmer überwacht, denn hierbei handelt es sich um einen erheblichen Eingriff in die Persönlichkeitsrechte der Beschäftigten. Im übrigen kann er das Verhalten ja auch auf andere Art steuern, indem er z. B. unerwünschte Adressen sperrt oder sperren lässt.

Und das Argument, er sei lt. TKÜV gezwungen, Einrichtungen zur Überwachung zu betreiben, ist schlicht Unsinn, denn die TKÜV gilt ausdrücklich gem. § 3 TKÜV nur für Betreiber von Telekommunikationsanlagen, die für die Öffentlichkeit und nicht lediglich geschlossene Benutzergruppen (wie z. B. die Beschäftigten eines Betriebes) angeboten werden.

Im Zusammenhang mit einer Verbindung zwischen dem lokalen Netz und dem Internet werden üblicherweise zwei Server eingesetzt (die durchaus auf der selben Maschine laufen können): Proxy-Server und Firewall.

Proxy-Server

Ein Proxy-Server erfüllt im Prinzip die oben beschriebene Funktion des Routings mit NAT. Wenn also eine Workstation einen Zugang zum Internet benötigt, wenden sie sich an den Proxy-Server. Insofern kann man sagen, dass der Proxy-Server im lokalen Netz stellvertretend für das Internet auftritt - was hinter dem Proxyserver, also auf der Internet-Seite geschieht, merken die Hosts im lokalen Netz nicht.

Andererseits vertritt der Proxy-Server das lokale Netz gegenüber dem Internet, ist also auch hier Stellvertreter für das lokale Netz - was im lokalen Netz geschieht, merken wiederum die Hosts im Internet (im Idealfall) nicht. Das englische Wort für “Stellver- treter” oder “Bevollmächtigter” lautet “Proxy” - daher der Name dieses Dienstes.

Daneben leistet der Proxy-Server noch eine weitere Funktion: Er macht von jedem Doku- ment, das er dem World Wide Web (“WWW”) beschafft und an einen lokalen Host wei- tergibt, eine Kopie und lagert sie in einem eigenen Speicher (“Cache”) ein. Wenn diese Seite später noch einmal angefragt wird, braucht er sie nicht mehr aus dem Internet zu beschaffen, sondern liefert die Kopie, die er gespeichert (“gecached” - fürchterliche Sprache, dieses Computerlatein) hat, aus. Dadurch wird Zeit und ggf. auch Datendurch- satz - mithin letztlich Geld - gespart.

Damit der Proxy-Server diese Aufgaben erfüllen kann, muss er wie oben beschrieben zu- mindest für den Zeitraum zwischen der Entgegennahme einer Anfrage von einem lokalen Host und der Lieferung der gewünschten Information an den lokalen Host die Anfrage in einem Protokoll festhalten. Insofern unterliegt jeder Proxy-Server der Mitbestim- mung durch den Betriebsrat.

Firewall

Eine Firewall dient dazu, einen Schutz zwischen dem lokalen Netz und dem Internet auf- zubauen. Dazu bedient sich die Firewall verschiedener Techniken, die meistens auf IP basieren.

Zunächst ist es grundsätzlich möglich, an der Firewall einzustellen, welche lokalen IP- Adressen überhaupt das Recht haben, auf das Internet zuzugreifen (das kann übrigens auch am Proxy-Server eingestellt werden, aber der ist ja nur für bestimmte Dienste zu- ständig, die Firewall dagegen prüft den gesamten Verkehr zwischen lokalem Netz und Internet).

Daneben arbeiten Firewalls mit der Sperrung und Freigabe einzelner Ports.

Bei den hier beschriebenen Netzwerkverfahren, die allgemein üblich sind, hat jeder Host eine IP-Adresse. Damit ist er identifizierbar, aber das reicht noch nicht. Weil ein Host das Netzwerk für unterschiedliche Zwecke benötigt - die Anmeldung am Windows-Ser- ver, den Datenaustausch unter Windows via SMB, den Zugriff auf den Mail-Server, WWW-Zugriffe mit dem Web-Browser, Filesharing-Dienste, die Kommunikation zwischen dem SMS-Client und dessen Server etc. - sendet und empfängt ein Host ununterbrochen große Mengen an Datenpaketen.

Damit diese Datenpakete dem jeweils richtigen Dienst bzw. der richtigen Anwendung zu- geordnet werden können, ist es notwendig, sie über die IP-Adresse des Absenders und Empfängers hinaus mit einer Kennzeichnung zu versehen, die darüber informiert, wozu das Paket jeweils dient. Das geschieht über sog. “Port-Adressen”. Ein PC kann bis zu 65.536 Port-Adressen verwalten (216) und so dafür sorgen, dass ein Paket immer genau einem Programm zugewiesen wird.

Viele Ports sind für bestimmte Zwecke fest belegt, z. B. der Port 20 für FTP, der Port 53 für DNS-Anfragen, die Ports 80 und 8080 für HTTP, der Port 110 für die Abholung von E-Mails von einem POP3-Server etc. Die Zuteilung der Ports darf nicth willkürlich erfol- gen, sondern wird durch die gleiche Organisation, die auch IP-Adressen vergibt, gere- gelt, die IANA (“Internet Assigned Numbers Authority”). Hier finden Sie eine Liste der vergebenen Ports.

Ein wichtiger Mechanismus von Firewalls besteht darin, nur bestimmte Ports für die Kommunikation zwischen lokalem Netz und Internet freizugeben. Alle Datenpakete, die eine andere als eine der erlaubten Portadressen verwenden, werden ausgefiltert. Damit wird z. B. sichergestellt, dass Programme, die unbemerkt auf einem Host laufen, um interne Daten nach außen zu übermitteln, an der Firewall scheitern (“Trojanische Pfer- de”). Ebenso wird dafür gesorgt, dass ein Eindringen von außen in das lokale Netz unter- bunden wird (“Intruder Detection”).

Firewalls protokollieren unerlaubte Aktivitäten. Solange dieses Protokoll sich auf die In- truder Detection beschränkt, unterliegt es nicht der Mitbestimmung - schließlich handelt es sich nicht um Aktivitäten der Arbeitnehmer, sondern potenzieller Eindringlinge. Erst dann, wenn die Firewall auch unerlaubte Aktivitäten aus dem lokalen Netz heraus proto- kolliert (was sie üblicherweise tut), wird sie zum Gegenstand der Mitbestimmung durch den Betriebsrat, weil damit wieder das Verhalten der Beschäftigten festgehalten wird.

Microsoft Windows ISA Server

Der ISA Server von Microsoft (“Internet Security and Acceleration”) erfüllt beide Aufga- ben: Er ist Firewall und Proxy-Server. Daneben bietet er Funktionen wie Negativ- Listen für unerlaubte Wörter, Integration von Viren-Scanner-Programmen, Zeitregeln für die Nutzung des Internet-Zugangs und anderes an.

Ob und in welchem Umfang er das Verhalten der Benutzer protokolliert, ist Sache der Konfiguration. Dass er es überhaupt protokollieren kann, bedeutet, dass er auch dazu bestimmt ist, das Verhalten zu überwachen. Mithin ist die Benutzung des ISA Servers mitbestimmungspflichtig. Wenn protokolliert wird, hält der ISA-Server nicht nur die IP- oder NETBIOS-Adresse der betreffenden Workstation fest, sondern auch den Namen des Benutzers, der an dieser Workstation aktiv ist.

Linux Squid (Proxy-Server)

In vielen Firmen wird der Proxy-Server unter Linux bevorzugt. Meistens wird hier das Programm “Squid” eingesetzt.

Der Linux-Proxy bietet zwar weniger Funktionen als der ISA von Microsoft, hat aber auch seine Vorzüge. Auch hier gilt: Je nach Konfiguration wird das Verhalten der Benutzer mehr oder minder detailliert protokolliert. Daher unterliegt natürlich auch ein Proxy- Server unter Linux der Mitbestimmung durch den Betriebsrat.

Ein Beispiel dafür, wie ein Proxy-Protokoll aussieht, bei dem die IP-Adresse des anfor- dernden Hosts nicht aufgezeichnet wird, finden Sie hier.

Eine denkbare Regelung in einer Betriebsvereinbarung könnte darin bestehen, im norma- len Betrieb zwar den Verkehr, der über den Proxy-Server läuft, zu protokollieren, dabei aber auf die Information über die lokale IP-Adresse (und beim Windows Proxy über den Benutzer) zu verzichten. Erst dann, wenn ein begründeter Verdacht auf Missbrauch besteht, wird - natürlich unter Beteiligung des Betriebsrats - die zusätzliche Information über die Hosts bzw. Benutzer ins Protokoll aufgenommen. Es kann dann Sache des Be- triebsrats sein, die Beschäftigten über diesen Umstand ggf. zu informieren, um so darauf hinzuwirken, das missbräuchliche Verhalten abzustellen.

Microsoft Exchange Server

Der Exchange Server von Microsoft ist das E-Mail-System, das in der Microsoft-Ser- ver-Familie eingesetzt wird. Es setzt auf das Active Directory auf und bietet aus Sicht des Administrators den Vorteil einer mit Windows 2000 Server integrierten Administra- tion. Die Benutzer verwenden in der Regel Microsoft Outlook als Client.

Ein wichtiges Merkmal der Client-Server-Konstruktion mit Outlook und Exchange Server besteht darin, dass in der normalen Konstellation sämtliche Daten - also nicht nur E- Mails, sondern auch die Kontakte, die Termine etc. - auf dem Server liegen. Zumindest aber passieren die Daten den Server, weil er für die Verteilung der Mails zuständig ist.

Das bedeutet, dass ein Administrator jederzeit die Möglichkeit hat, die persönlichen Postfächer aller Benutzer einzusehen, Mails zu lesen, Termine und andere Daten zu lesen etc. Darüber hinaus ist es möglich, für jeden Benutzer einen alternativen Mail- Empfänger einzurichten. Das Ergebnis ist, dass ein Mail automatisch nicht nur dem ei- gentlich vorgesehenen Empfänger, sondern einem weiteren Benutzer zugestellt wird - ohne dass der eigentliche Empfänger davon etwas erfährt.

Wir haben schon Fälle erlebt, in denen der Exchange Server so konfiguriert war, dass von jedem E-Mail, das der Betriebsrat erhielt, automatisch eine Kopie an das Personal- büro ging.

In jedem Fall ist die Einführung und Nutzung des Exchange Servers Gegenstand der Mit- bestimmung, denn auch hier werden die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt - es handelt sich um eine technische Einrichtung, die von Arbeitnehmern genutzt wird, der Exchange Server dokumentiert, wer wann welche Mails an wen ver- schickt hat, ob und wann er Mails gelesen hat etc. und tut dies, weil er dazu bestimmt ist, das zu tun.

Ein wenig diffiziler ist die Frage, ob Mails vom Arbeitgeber gelesen werden dürfen. Es gilt zwar im Prinzip das Fernmelde- und Postgeheimnis. Ein eingehendes Mail an die Firma ist jedoch an die Firma gerichtet - vergleichbar mit einem Brief. Und genauso wie ein Brief, der zwar vielleicht an einen bestimmten Empfänger, aber im Prinzip an die Firma gerichtet ist, vom Arbeitgeber geöffnet und gelesen werden darf, verhält es sich bei einem Mail - es sei denn, es ist offensichtlich oder wird beim Lesen deutlich, dass es sich um ein Mail mit privatem Inhalt handelt (oder auch nur handeln könnte).

Hier sollte unbedingt eine Regelung in Form einer Betriebsvereinbarung getroffen wer- den, die verhindert, dass Beschäftigte in unangemessener Weise Nachteile erleiden.

Linux Mail-Server

Das zum Exchange Server Gesagte gilt in ähnlicher Form für alle Mail-Systeme in Netz- werken. Grundsätzlich ist es eine Eigenschaft der meisten Mail-Systeme, dass sie die Mails auf dem Server halten - einzige Ausnahme sind Mail-Systeme, die die Mails zum Abruf via POP3 bereithalten. Dort bleiben die Mails nur so lange auf dem Server, bis sie vom Client abgerufen werden.

Eine Umleitung bzw. das Anfertigen einer Kopie an einen bestimmten Benutzer ist jedoch bei den meisten Mail-Systemen möglich. Insofern unterliegt jedes Mail-System der Mitbestimmungspflicht, und ein Betriebsrat ist dringend aufgefordert, diese Pflicht auch zu erfüllen.

Lotus Domino Server

Der Domino Server von Lotus (im Besitz von IBM) ist ein bedeutendes Konkurrenzprodukt zum Exchange Server von Microsoft. Der Client, der dann auf den Workstations verwen- det wird, ist normalerweise Lotus Notes. Es gilt hier im Prinzip das gleiche wie beim Ex- change Server: Die Mails und anderen Daten (einzige Ausnahme: die Daten, die der Benutzer in seinem persönlichen Adressbuch abgelegt hat) werden auf dem Server be- reitgehalten, der Administrator kann jederzeit andere Postfächer zugänglich machen, Mails an andere Benutzer umleiten etc.

Eine Besonderheit des Domino Servers ist die Möglichkeit, sog. “Agents” zu program- mieren. Ein Agent ist ein Programm, das in einer Lotus-eigenen Programmiersprache (“LotusScript”) geschrieben ist, und auf dem Server läuft, um selbsttätig bestimmte Aufgaben zu erledigen. Das kann z. B. auch die automatische Weiterleitung von Kopien aller Mails für einen Benutzer an einen anderen Benutzer gehören.

Der Domino Server Administrator ist ein Programm, mit dem sehr weit gehende Auswer- tungen des Benutzerverhaltens möglich sind: Die Größe seines Postfachs, der Zeitpunkt des letzten Zugriffs, der Datendurchsatz etc. sind da noch die harmlosesten Auskünfte über das Verhalten des Benutzers.

Es bedarf keiner besonderen Erwähnung, dass natürlich auch Lotus Domino mitbestim- mungspflichtig ist.

Lokale Web-Browser

Unter dem Aspekt der Mitbestimmung wird gelegentlich übersehen, dass normalerweise auch die auf den Workstations eingesetzten Web-Browser bedacht werden müssen. In den meisten Firmen wird heute der Internet Explorer von Microsoft verwendet, Konkur- renzprodukte sind z. B. Firefox, die Mozilla Suite, Opera oder der Netscape Navigator.

Diese Web-Browser, deren Aufgabe ist, Dokumente, die im World Wide Web zu finden sind, aus dem Internet zu beschaffen (ggf. unter Einsatz des Proxy-Servers), zu inter- pretieren und anzuzeigen, dokumentieren das Verhalten eines Benutzers in dreierlei Hinsicht:

So wie ein Proxy-Server legen auch Web-Browser von jeder Seite, die sie angezeigt haben, eine Kopie in einem speziellen Speicher (“Cache”) ab. Das dient der Beschleu- nigung beim Surfen im Internet, weil Seiten ggf. nicht mehr neu aus dem Netz bezogen werden müssen, sondern aus dem eigenen Cache geliefert werden. Dieser Cache lässt demzufolge Rückschlüsse auf die besuchten Seiten zu.

Außerdem erzeugt jeder gängige Browser eine “History” oder “Verlauf” genannt Liste der in letzter Zeit aufgesuchten Adressen bzw. Dokumente im Internet. Diese History kann mit der Tastenkombination <Strg><h> aufgerufen werden. Auch daran kann man natürlich die besuchten Seiten erkennen.

Zusätzlich bieten die Browser in der Adressleiste die Funktion an, zumindest die zuletzt manuell eingegebenen Adressen erneut aufzurufen. Beim Netscape Navigator und Mozilla erscheinen sämtliche zuletzt aufgerufenen Adressen in einer Pull-Down-Liste, die man mit dem Pfeil ganz rechts in der Adressleiste öffnen kann.

Das Problem der Cookies, die ebenfalls das Verhalten des Benutzers dokumentieren kön- nen, sei hier nur am Rande erwähnt. Dies ist eher ein Problem, dass datenschutzrechtlich von Bedeutung ist, und zwar mit dem Anbieter der Web-Seite als verantwortlicher Stelle.

Ein Benutzer kann die Einstellungen hinsichtlich des Verhaltens des Web-Browsers ändern - wenn der Administrator ihm dies erlaubt hat. Beim Internet-Explorer gibt man dazu den Befehl “Extras - Internetoptionen”, beim Netscape Navigator und bei Mozilla den Befehl “Bearbeiten - Einstellungen”. Man findet in der Dialogbox, die auf diesen Befehl erscheint, jeweils Funktionen, um den Cache und die History zu leeren, und um zu definieren, ob und wie lange der Cache und die History Daten aufbewahren sollen.

Mitbestimmung

Der beste Weg, seine Mitbestimmungsaufgaben als Betriebsrat wahrzunehmen, besteht darin, die zu regelnden Sachverhalte in einer Betriebsvereinbarung festzulegen. Vor- schläge für Muster-Betriebsvereinbarungen finden Sie auf der Seite “Muster-Betriebsvereinbarungen”.

Das können wir für Sie tun:

  • Wir prüfen als Sachverständige in Ihrem Auftrag, welche technischen Einrichtun- gen, die der Mitbestimmung unterliegen, in Ihrem Betrieb eingesetzt werden.
  • Wir unterstützen Sie bei der Erarbeitung von Betriebsvereinbarungen, die sicherstellen, dass Sie Ihre Mitbestimmungspflichten ordnungsgemäß wahrnehmen.*
  • Wir schulen Sie und Ihre KollegInnen darin, die Funktionen der technischen Ein- richtungen zu kontrollieren.
  • Wir überprüfen als Sachverständige, ob die Betriebsvereinbarungen und die ande- ren, z. B. gesetzlichen, Vorschriften in Ihrem Betrieb eingehalten werden.
  • * Ggf. erforderliche Rechtsberatung wird durch Rechtsanwälte erbracht, mit denen wir zusammenarbeiten.

Hier finden Sie Seminare zu dem Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

 

© Axel Janssen, JES Janssen EDV Schulung und Beratung GmbH, Berlin 2001-2010 - Alle Angaben, Inhalte etc. ohne Gewähr

Telefon: 030-305 24 25, Fax: 030-305 24 22


Seminare für alle Betriebsräte und Personalräte

Zum Seminarprogramm