Lokales Netz/Intranet
[Start]

 

Seminare zum Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

E03: Mitbestimmung bei Internet- und E-Mail-Nutzung - Überwachungsmöglichkeiten, gesetzliche Regelungen, Privatnutzung

Kommunikation im lokalen Netz

Lokale Netze werden heute überwiegend in der Form betrieben, dass mehrere PCs (“Workstations”) durch ein Netzwerk miteinander verbunden sind, und ein oder mehrere Server im Netz bereitstehen, um die angeschlossenen Workstations mit Funktionen, sog. “Diensten”, zu versorgen.

Als Betriebssysteme für die Workstations - sog. “Desktop-Betriebssystem” - werden überwiegend Varianten von Windows eingesetzt, meistens Windows 2000 Professional oder Windows XP Professional. Ältere Windows-Varianten sind seltener vertreten, Linux kommt bisher als Desktop-Betriebssystem eher sporadisch vor.

Interessant unter dem Aspekt der Mitbestimmung sind natürlich vor allem die Server und die im Netz eingesetzten Dienste. Hier werden einige der gängigsten Server unter dem Aspekt der Mitbestimmung erörtert. Mit “Server” ist in diesem Zusammenhang die Soft- ware gemeint, und nicht der Rechner, auf dem die Software läuft. Es kann durchaus sein, dass auf einer Maschine, die als “Server” eingesetzt wird, mehrere der hier be- schriebenen “Server” als Programme gleichzeitig laufen und ihre Dienste anbieten.

Generelle Merkmale in einem Netz

Verbindung und Adressierung von Maschinen

Ein Netzwerk besteht aus verschiedenen Maschinen, die untereinander verbun- den sind. Heute wird als Technik für die Vernetzung üblicherweise Ethernet verwendet, eine Technik die sehr flexibel und preiswert die Verbindung vieler PCs miteinander ermöglicht.

Neben der rein technischen Vernetzung ist die Art der Kommunikation der Geräte unter- einander wichtig. Man spricht hier von einem “Protokoll” - einer Vereinbarung, wie die Kommunikation zwischen den Maschinen im Netz vonstatten geht. Normalerweise wird dafür ein Protokoll verwendet, das ursprünglich für die Verwendung im Internet vorgese- hen war, das “IP” (“Internet Protocol”),

Jede Maschine - ob Workstation oder Server (allgemein spricht man von einem “Host”) - muss im Netz eindeutig zu identifizieren sein. Das geschieht auf verschiedene Weise.

Natürlich hat jede Maschine eine Komponente, die die technische Verbindung überhaupt erst ermöglicht, die “Ethernet-Schnittstelle”. Ob die Verbindung dabei über Kabel oder per Funk (“Wireless LAN” - “WLAN”) zustande kommt, ist unerheblich. Jede Ethernet- Schnittstelle hat eine eigene 48 Bit (also 48 Nullen oder Einsen) lange Adresse, die “MAC-Adresse” (“Media Access Control”) oder auch “physikalische Adresse” genannt wird. Diese Adresse ist im Ethernet-Controller fest eingebrannt und kann normalerweise nicht geändert werden. Jeder Hersteller von Netzwerkadaptern erhält einen eigenen (24 Bit langen) Nummernkreis und muss diesen um eine 24 Bit lange Seriennummer erweitern, um die 48 Stellen zu erreichen. Demnach hat jede Ethernet-Schnittstelle der Welt eine einmalige und damit eindeutige Adresse. Mac-Adressen werden nicht als Bit-Reihe darge- stellt - das ließe sich viel zu schwer lesen. Daher werden die Zahlen im Hexadezimalen Format gezeigt. Die Adresse 100111001101011010010110110010101101001011001011 würde in der Hex-Darstellung lauten: 9C-D6-96-CA-D2-CB. Anhand dieser Mac-Adresse ist ein Host im Netz also eindeutig zu identifizieren.

Die Mac-Adresse wird aber nur auf der untersten Ebene der Kommunikation, also im Ethernet, verwendet. Die “höhere” Kommunikation finden auf der Ebene des Protokolls IP statt. Auch dort wird eine eindeutige Adresse benötigt. Die besteht aus nur 32 Bit, die aber üblicherweise weder im binären noch im Hexadezimal-Format, sondern als vier Dezi- malzahlen dargestellt werden. 123.104.219.29 wäre z. B. eine solche “IP-Adresse”.

Eine IP-Adresse muss ebenfalls - zumindest innerhalb eines Netz-Segmentes, also z. B. dem lokalen Netz einer Firma - eindeutig sein. Daher wird jedem Host neben der MAC- Adresse, die normalerweise unveränderlich ist, eine IP-Adresse zugewiesen. Die ist aller- dings nicht fest eingebrannt, sondern wird durch Software bestimmt. Bei der Konfigu- ration des PCs kann die IP-Adresse fest vergeben werden

Weil es leicht geschieht, dass der Administrator eines lokalen Netzes den Überblick über die von ihm vergebenen IP-Adressen verliert, und dann die Gefahr besteht, dass eine Adresse doppelt vergeben wird, kann man auch eine andere Technik verwenden. Bei der übernimmt ein Server im Netz die Aufgabe, IP-Adressen nach Bedarf zu “verleihen”. Da- durch würde erreicht, dass der Server sich automatisch darum kümmert, dass Adressen nicht doppelt vergeben werden. Man nennt solch einen Server einen “DHCP-Server” (“Dynamic Host Configuration Protocol”). Aus Sicht des Betriebsrats ist das insofern nicht uninteressant, weil durch den Einsatz eines DHCP-Servers vermieden wird, eine Maschine eindeutig zu identifizieren - sie bekommt ja theoretisch beim Start jedesmal eine andere IP-Adresse, so dass die Identität verschleiert wird.

Tatsächlich ist das allerdings aus zwei Gründen nicht so: Ein DHCP-Server kann so konfi- guriert werden, dass er die Vergabe der Adressen protokolliert, indem er z. B. festhält, zu welchem Zeitpunkt und für wie lange welche MAC-Adresse mit welcher IP-Adresse ausgestattet wurde - damit ist eine eindeutige Identifikation eines Hosts und damit letztlich auch des Benutzers wieder möglich.

Außerdem kann man einen DHCP-Server so konfigurieren, dass er anhand der Identifi- kation durch die MAC-Adressen immer die gleiche IP-Adressen an den jeweiligen Host verleiht. Damit wäre die IP-Adresse wieder fest an die Maschine gebunden, nur dass der Administrator das nicht lokal an der einzelnen Maschine machen muss, sondern zentral (und damit viel komfortabler) an einem zentralen Server steuern kann.

Nahezu alle Aktivitäten, die in einem lokalen Netz stattfinden, werden auf der Softwareebene anhand der IP-Adresse identifiziert. Insofern ist die IP-Adresse eines PC ein wichtiges Instrument zur Überwachung.

Nun ist die reine IP-Adresse aber immer etwas unleserlich und schwer zu behalten. Daher ist es üblich, diese Adressen durch Namen zu “kaschieren”, die leichter zu behalten sind. Der Server, auf dem diese Web-Site liegt, hat z. B. die IP-Adresse 212.227.118.67. Einfacher zu behalten ist natürlich “www.jes-beratung.de”. Die Aufgabe, die Verbindung zwischen einem Namen wie “www.jes-beratung.de” und der IP-Adresse, die damit ge- meint ist, herzustellen, übernimmt - sozusagen als “Telefonbuch” im Netz - ein Namens- server, der das Kürzel “DNS” (“Domain Name Server”) hat. Alternativ zur IP-Adresse kann ein Host also auch über den Namen angesprochen werden, wobei in dem Fall vorher der DNS angerufen wird, um den Namen in die eigentliche IP-Adresse “aufzulösen”.

Das ist auch bei lokalen Netzen üblich, wobei als letzter Teil des Namens (sog. “Top- Level-Domain”) hier meistens “.local” oder “.loc” verwendet wird, um Verwechslungen mit Namen aus dem Internet zu vermeiden.

In Windows-Netzwerken kommt eine weitere Art der Identifikation hinzu. Dort erhält jeder Host noch einen “NETBIOS”-Namen, der meistens mit dem ersten Teil des “DNS- Namens” übereinstimmt. Der Windows-PC, auf dem ich diese Seite schreibe, hat z. B. die IP-Adresse 192.168.1.4, den DNS-Namen “win-wks1.jes.local” und den NETBIOS-Namen “WIN-WKS1”. Der NETBIOS-Name wird vor allem für Windows-interne Zwecke, z. B. die Nutzung von Freigaben im Windows-Netzwerk, die Ereignisanzeige und andere Instru- mente zur Überwachung eingesetzt.

Microsoft Windows 2000 Server bzw. 2003 Server

In den meisten Betrieben wird Windows nach wie vor als Basis für die Software der Ver- netzung verwendet. Windows-Server werden im lokalen Netz normalerweise so konfigu- riert, dass sie eine Domäne bilden, und die Informationen, die aus Netzwerksicht interes- sant sind, mit einer Technik, die “Active Directory” genannt wird, auf allen Windows- Servern der Domäne parallel verwalten.

Diese Informationen sind vor allem die Benutzerkonten, aber auch Informationen über die Server und Workstations, die zur Domäne gehören, die Dienste, die in der Domäne angeboten werden und mehr. Mit Benutzerkonto ist die Definition der Daten eines Benut- zers gemeint, der sich an den Workstations und - je nach Zugriffsrecht - auch den Ser- vern der Domäne anmelden darf. In einer Domäne sind die Benutzerkonten immer “global” angelegt, was bedeutet, dass jeder Benutzer auf allen Maschinen, die zur Domäne gehören - den Workstations und den Servern - bekannt ist.

Nähere Informationen über die Verwaltung von Benutzern erhalten Sie in einem PDF- Dokument, das die Möglichkeiten einer Absicherung von PCs im Betriebsratsbüro gegen Zugriffe über das Netz beschreibt.

Windows-Server haben im Hinblick auf das Dateisystem die gleichen Eigenschaften wie sie auf der Seite “PCs” dargestellt wurden. Insofern unterliegt Windows 2000 auch in der Server-Version natürlich ohnehin der Mitbestimmungspflicht.

Außerdem kann der Administrator über ein Windows-Netzwerk in einer Domäne auf jede Workstation administrierend zugreifen, um z. B. die Ereignisanzeige einer Workstation zu konfigurieren, das Ereignisprotokoll abzurufen, auf sämtliche Datenträger in beliebiger Art zuzugreifen, die Zugriffsberechtigungen zu ändern, lokale Dienste auf dem PC zu starten etc. - ohne dass der Benutzer etwas davon merkt. Der Benutzer kann also in all seinen Aktivitäten vom Administrator umfassend kontrolliert und gesteuert werden - auch dieser Umstand erfüllt den § 87 Abs. 1 Nr. 6 und begründet schon allein für sich eine Mitbestimmungspflichtigkeit.

Hervorzuheben ist, dass ein normaler Benutzer weder merkt, dass so etwas geschieht, noch Einfluss darauf nehmen kann. Üblicherweise wird der Benutzer, der an einer Work- station arbeitet, mit weniger Zugriffsrechten ausgestattet als der Administrator.

Daneben bietet ein Windows-Server mit dem Terminaldienst ein immer häufiger einge- setztes Instrument an, das noch weitergehende Kontrollmöglichkeiten erlaubt. Der Ter- minalserver ist ein Dienst, der auf einem Windows-Server läuft. Ein Benutzer einer Win- dows-Workstation kann den Terminal-Client starten und so eine Terminalsitzung starten, was bedeutet, dass er zwar nach wie vor physisch an seiner Workstation arbeitet, der Terminal-Client aber einen Desktop abbildet, der auf dem Terminal-Server läuft - so, als würde der Benutzer am Terminal-Server arbeiten. Wenn er also z. B. im Terminal-Client Word startet, dann arbeitet er nicht mit einem ggf. auf der eigenen Workstation instal- lierten Word, sondern mit einem Word, das auf dem Terminal-Server installiert ist.

Aus Arbeitgebersicht entstehen bei dieser Konstellation einige Vorteile: Die Workstations brauchen weniger leistungsfähig zu sein, weil sie ja nur den Terminal-Client ausführen und nicht die eigentlichen Anwendungsprogramme (um so höher ist natürlich der Bedarf an Leistung des Terminal-Servers, weil er ja gleich mehrere Clients mit Rechenleistung versorgen muss). Es ist nicht notwendig, Software wie MS-Office etc. auf mehreren Workstations parallel zu installieren und auf dem aktuellen Stand zu halten - die Work- stations sind ja nur Clients, die Anwendungsprogramme liegen auf dem Terminal-Server.

Und nicht zuletzt hat der Arbeitgeber eine viel größere Kontrolle darüber, was auf den Workstations geschieht: Es ist möglich, mit Windows-Server-eigenen Mitteln die Sitzun- gen auf dem Terminal-Server weitgehend zu kontrollieren, das Instrument “Remote- überwachung” z. B. erlaubt einen Einblick und Eingriff in die laufende Sitzung eines Benutzers etc.

Selbstverständlich sind auch hier die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt: Es handelt sich um eine technische Einrichtung, die Benutzer der Clients sind Ar- beitnehmer, durch z. B. die Remoteüberwachung kann man nachvollziehen, was der Be- nutzer am Client gerade tut, und genau das ist auch die Bestimmung dieser Software.

Aus all diesen Zusammenhängen folgt: Die Nutzung von Windows-Servern in einem Netzwerk unterliegt der Mitbestimmungspflicht durch den Betriebsrat.

Ein Problem, das immer wieder auftaucht, ist der Umstand, dass auch auf den PC im Be- triebsratsbüro und seine Datenbestände über das lokale Netz zugegriffen werden kann. Wir haben hier ein PDF-Dokument bereitgestellt, in dem erläutert wird, wie sich das verhindern lässt, ohne den PC gleich vom Firmennetz zu trennen.

Microsoft Internet Information Server (IIS)

Ohne den IIS sind viele Funktionen auf einem Windows-Server nicht verfügbar - der Exchange-Server z. B. aber auch etliche andere Dienste setzen den Einsatz des IIS voraus. Der IIS ist im Umfang der Server-Versionen von Windows 2000 bzw. 2003 enthalten.

Aufgabe des IIS ist die Bereitstellung von HTTP- und FTP-Diensten. Diese Dienste sind zum einen die Basis des World Wide Web im Internet - diese Seite z. B. wird auf einem HTTP-Server (allerdings Apache unter Linux) im Internet bereitgestellt. Solche Dienste können aber auch für eine Vielzahl von Zwecken innerhalb eines lokalen Netzes nützlich sein:

  • Die Kantine veröffentlicht ihren wöchentlichen Speiseplan im Intranet.
  • Die Dokumente, die im Zusammenhang mit der Zertifizierung z. B. nach ISO 9001 ff benötigt werden, stehen im Intranet zum Download bereit - viel einfacher, als die Dokumente in Papierform bereitzustellen.
  • Eine Datenbank mit Informationen, die für einen großen Kreis von Anwendern wich- tig sind, steht im Intranet bereit und kann per Web-Browser abgefragt werden - zuverlässiger, sicherer und meistens schneller, jedenfalls einfacher in der Handha- bung als z. B. auf jedem PC MS Access zu installieren und die Benutzer damit auf zentral abgelegte Datenbestände zugreifen zu lassen.
  • Nicht zuletzt kann natürlich auch der Betriebsrat Informationen im Intranet veröf- fentlichen, auf die die Beschäftigten per Web-Browser zugreifen können.

Meistens wird der IIS deshalb bei der Installation einer Server-Version von Windows gleich mitinstalliert. Doch auch diese Software ist mitbestimmungspflichtig:

Die Zugriffe, die auf die Datenbestände, die der HTTP-Server und der FTP-Server des IIS anbieten, werden protokolliert. Was und in welchem Umfang protokolliert wird, ist eine Frage der Konfiguration. Möglich ist z. B., festzuhalten, welcher Benutzer von wel- chem PC aus zu welchem Zeitpunkt welche Dokumente abgerufen hat. Ist zusätzlich eine Datenbank im Einsatz, kann auch protokolliert werden, welche Datensätze von welchem Anwender angelegt, geändert oder gelöscht wurden.

Auch hier sind also die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt, der Einsatz des IIS ist also Gegenstand der Mitbestimmung durch den Betriebsrat.

Linux Apache (Intranet-Server)

Statt eines Windows-Servers wird gerade als HTTP-Server sehr gern ein Server einge- setzt, der unter Linux läuft. Linux hat gegenüber Windows einige Vor- und Nachteile, die zu diskutieren hier der Platz fehlt. Vorteile sind in jedem Fall, dass Linux in der Anschaf- fung wesentlich preiswerter (im Idealfall kostenlos) ist, dass es im reinen Serverbetrieb unerreicht stabil läuft, weniger Ressourcen benötigt und damit schneller ist bzw. einen weniger schnellen (und damit teuren) Server benötigt, einfach zu administrieren und zu handhaben ist (jedenfalls für jemanden, der sich damit auskennt). Der am häufigsten unter Linux eingesetzte HTTP-Server heißt “Apache”.

Das, was für den Windows IIS gesagt wurde, gilt entsprechend für Apache: Auch hier können die Zugriffe protokolliert werden. Aus Betriebsrats-Sicht etwas symphatischer: Weil der Apache-Server üblicherweise nicht die globalen Benutzer von Windows kennt, werden die Zugriffe nicht mit dem Benutzernamen protokolliert, sondern normalerweise mit der IP-Adresse der Workstation, die auf den Datenbestand zugegriffen hat.

Weil aber die IP-Adresse üblicherweise bekannt ist (entweder fest an der Workstation eingerichtet, fest vom DHCP-Server vergeben oder vom DHCP-Server protokolliert - s. o.), lässt sich - ggf. im Zusammenspiel mit der Ereignisanzeige unter Windows - mit etwas erhöhtem Aufwand durchaus herausfinden, welcher Benutzer zu welchem Zeitpunkt auf welche Datenbestände des HTTP-Servers zugegriffen hat.

Wie beim Windows-IIS lässt sich auch beim Apache-Server konfigurieren, ob überhaupt, und wenn ja, welche Informationen protokolliert werden sollen. Es kann also z. B. in einer Betriebsvereinbarung geregelt werden, dass keine Protokollierung stattfindet.

Linux Samba (File Server)

Windows benutzt ein besonderes Protokoll, um Freigaben in einem Netzwerk zu ermög- lichen. Freigaben bedeuten, dass bestimmte Ressourcen eines Hosts im Netz für andere Hosts zur Mitbenutzung zur Verfügung gestellt werden. Dieses Protokoll wird SMB (“Ser- ver Message Block”) genannt. Geschickten Programmierern ist es gelungen, dieses Pro- tokoll für ein Programm unter Linux zu nutzen. Dieses Programm (“Samba”) ermöglicht es, dass ein Linux-Server sich wie ein File-Server unter Windows verhält. Man kann also in einem Netzwerk mit Windows-Clients auch Linux als File-Server verwenden. Das hat eine Reihe von Vorteilen.

Unter Linux gibt es zwar auch eine Protokollierung von Ereignissen (nennt sich hier “Log- ging”). Zugriffe auf Dateien etc., wie sie unter Windows in der Ereignisanzeige festge- halten werden können, werden unter Linux aber normalerweise nicht protokolliert. Aus Sicht des Betriebsrats hat ein Samba-Server also gewisse Vorteile.

Weil zum Samba-Server aber auch eine Benutzerverwaltung gehört, und es zumindest möglich ist, nachzuvollziehen, welcher Benutzer welche Datei zu welchem Zeitpunkt ge- speichert hat, sind auch hier die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt - es besteht also eine Mitbestimmungspflicht.

Microsoft SMS

Dieses Produkt (“Systems Management Server”) dient der Administration und Steue- rung von Netzwerk-Ressourcen. Es leistet vor allem vier Dienste: Es inventarisiert die Hardware, inventarisiert die Software (das ist in größeren Netzwerken wichtig, um die benötigten Lizenzen zu ermitteln), installiert und verteilt Software über das Netz (wenn z. B. eine neue Version von Office auf 1000 Workstations installiert werden soll, spart es natürlich erheblich Arbeit, das über das Netz zu erledigen und die Software nicht auf jedem Rechner einzeln installieren zu müssen) und erlaubt per Remote-Zugriff die Beseitigung von Problemen auf einzelnen Workstations.

Auch hier gilt: SMS erfüllt die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG und unterliegt der Mitbestimmung. Aus Sicht des Betriebsrats problematisch ist vor allem die Möglichkeit, mit Hilfe von SMS sämtliche Datenbestände und Programme aller Worksta- tions zu kontrollieren. Das ist einem Administrator zwar auch sonst unter Windows mög- lich - er kann sich ja einfach eine Freigabe für die Festplatte einer jeden Workstations verschaffen und die Inhalte anschauen. Die Unterschied, den SMS ausmacht, besteht jedoch darin, dass SMS das immer und automatisch tut und damit eine sehr viel weiter- gehende Kontrolle mit sich bringt.

Mitbestimmung

Der beste Weg, seine Mitbestimmungsaufgaben als Betriebsrat wahrzunehmen, besteht darin, die zu regelnden Sachverhalte in einer Betriebsvereinbarung festzulegen. Vor- schläge für Muster-Betriebsvereinbarungen finden Sie auf der Seite “Muster-Betriebsvereinbarungen”.

Das können wir für Sie tun:

  • Wir prüfen als Sachverständige in Ihrem Auftrag, welche technischen Einrichtun- gen, die der Mitbestimmung unterliegen, in Ihrem Betrieb eingesetzt werden.
  • Wir unterstützen Sie bei der Erarbeitung von Betriebsvereinbarungen, die sicherstellen, dass Sie Ihre Mitbestimmungspflichten ordnungsgemäß wahrnehmen.*
  • Wir schulen Sie und Ihre KollegInnen darin, die Funktionen der technischen Ein- richtungen zu kontrollieren.
  • Wir überprüfen als Sachverständige, ob die Betriebsvereinbarungen und die ande- ren, z. B. gesetzlichen, Vorschriften in Ihrem Betrieb eingehalten werden.
  • * Ggf. erforderliche Rechtsberatung wird durch Rechtsanwälte erbracht, mit denen wir zusammenarbeiten.

Hier finden Sie Seminare zu dem Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

E03: Mitbestimmung bei Internet- und E-Mail-Nutzung - Überwachungsmöglichkeiten, gesetzliche Regelungen, Privatnutzung

 

© Axel Janssen, JES Janssen EDV Schulung und Beratung GmbH, Berlin 2001-2010 - Alle Angaben, Inhalte etc. ohne Gewähr

Telefon: 030-305 24 25, Fax: 030-305 24 22


Seminare für alle Betriebsräte und Personalräte

Zum Seminarprogramm