Leitung des Forums: Günter Wassermann Arbeitskreis
Protokollführung: Günther Hermann Arbeitskreis
Referent: Andrew Jones MVV, Mannheim

Das zunächst als “Open Space” geplante Forum 4 (am 2. Konferenztag von 14.00 bis17.00 Uhr) wird aufgrund des starken Interesses an einer Vertiefung der im Referat des Vortages aufgeworfenen Thematik “Wozu sind Firewalls und VPN gut” verändert.

Im Forum 4 treffen sich 17 Betriebsräteund vertiefen gemeinsam mit dem Referenten des Vortages, Andrew Jones, das vielschichtige Thema “IT-Sicherheit”und diskutieren mögliche Handlungsmöglichkeiten für die BR-Arbeit. Das Forum wird moderiert von den SAP/NT-Arbeitskreismitgliedern Günther Hermann und Günter Wassermann.

Nach einer kurzen Einführung zu Beginn der Diskussion berichten die BR-KollegInnen von ihren betrieblichen Erfahrungen und stellen Fragen zum Umgang mit der “IT-Sicherheit” an den Referenten Andrew:

  • Wer bestimmt im Unternehmen die IT-Sicherheit?
  • Wie kann bzw. wird IT-Sicherheit “implementiert”?
  • Sind externe Zugriffe auf das Firmennetz sicher?
  • Wie problematisch sind Remote-Zugriffe?
  • Wie sicher sind e-mails?
  • Wie kann e-mail geregelt werden – auch für die private Nutzung?
  • Wie können Zugriffe von außen durch nicht autorisierte Dritte verhindert werden?
  • Wie sicher ist der Datenaustausch innerhalb des Unternehmens?
  • Sind Netzwerke generell sicher?
  • Wie sieht es in diesem Zusammenhang mit Telearbeitsplätzen aus?
  • Ist IT-Sicherheit eigentlich ein klassisches BR-Thema?
  • Wie “gläsern” ist der Mitarbeiter im Kontext der systemtechnischen Maßnahmen zur “IT-Sicherheit”?

Entlang der aufgeworfenen Fragestellungen können folgende Diskussionsergebnisse zusammengefasst werden:

Grundsätzliches:

  • IT-Sicherheit ist immer auch ein Thema für die BR-Arbeit, denn Datenmissbrauch, Diebstahl, Veränderungen usw., hat finanzielle Auswirkungen und eben auch auf die Mitarbeiterinnen.
  • Generell kann festgehalten werden, dass die IT-Sicherheit ein Thema für die Geschäftsleitung ist im Rahmen ihrer Haftung. Wie dies wahrgenommen wird, hängt stark von den konkreten Personen im Management ab. In immer mehr Unternehmen werden Richtlinien und Prozesse zur ständigen Entwicklung und Überprüfung von IT-Sicherheit (bis hin zu personellen Zuständigkeiten eines “IT-Sicherheitsbeauftragten”) erlassen; im Zuge weiterer Konzernbildung sollten diese “konzernweit” gelten.
  • Eine wichtige “personelle” Voraussetzung für eine funktionierende IT-Sicherheit ist die soziale Kompetenz und das fachliche Spezialwissen der zuständigen Systembetreuer in der IT bzw. im Unternehmen.

 

Regeln / Vereinbarungen:

  • Es sollten immer Regeln zu Protokollauswertungen vereinbart werden, sei es speziell oder im Rahmen von Betriebsvereinbarungen (z. B. bei der eMail-/Internetnutzung, Firewall-Administration etc.). Hier ist auch zu vereinbaren, wer wie und mit welchem Zweck auf die Protokolle zugreifen darf
  • für den begründeten Verdacht auf Missbrauch sollten eindeutige Regeln festgelegt werden und nur über Arbeitsdirektor und BR genehmigt werden. Wichtig ist auch die Vereinbarung über Archivierungsdaten und ihrer Dauer der Verfügbarkeiten. Aufgrund der prinzipiellen Personenbeziehbarkeit kann der BR Mitbestimmungsrechte einfordern.
  • Von BR-Seite aus sollte grundsätzlich die Stellung des betrieblichen DSB festgelegt werden. Denkbar ist, dass bei Vereinbarungen und schon im Vorfeld im Rahmen der Informationsrechte der betriebliche DSB mit einbezogen wird.
  • Eine aktuelle Wichtigkeit stellt die e-mail-/Internetnutzung da – hier sollte die private Nutzung geregelt werden (Betriebsvereinbarung), da im praktischen Anwenden kaum eine deutliche Trennung zwischen dienstlich und privat zu ziehen ist.

 

Spezielles:

  • Wichtige Daten (personeller oder finanzieller Natur) sollten grundsätzlich verschlüsselt werden – nicht nur gegenüber den externen Netzzugängen, sondern auch durchaus im internen Firmennetz.
  • Eine Steuerung von IT-Systemen “von außen” über so genannte “Remote-Verbindungen” sind wenig zweckmäßig, da die Gefahren des Missbrauchs zu groß sind. Falls “Remote” notwendig wird, dann sollte die Freigabe “von innen” überwacht erfolgen.
  • Der betriebliche Datenverkehr in so genannten virtuellen Netzen und per Mobile-Computing sollte ausschließlich verschlüsselt betrieben werden.
  • Die IT-Unterstützung von Telearbeitsformen sollten im Rahmen von VPNs (Virtuellen Privaten Netzen) und Verschlüsselung umgesetzt werden.

Abschließend tauschen die BR-KollegInnen untereinander verschiedene Inhalte und Varianten von Betriebsvereinbarungen zur Problematik aus. Ein besondere Herausforderung stellt immer noch die dienstliche und private Nutzung von Internet und e-mail am Arbeitsplatz dar.
Der SAP/NT-Arbeitskreis wird aufgefordert, bestehende Betriebvereinbarungen rund um das Thema “IT-Sicherheit” im Internet zu veröffentlichen.