====== Richtlinie: Nutzung des Internets ====== ===== 1. Hintergrundinformationen ===== Ziel und Zweck: * Schutz der Unternehmensdaten und IT-Infrastruktur * Einhaltung gesetzlicher Vorgaben (DSGVO, BDSG, TKG, etc.) * Klare Regeln für private Internetnutzung und BYOD 2. Geltungsbereich * Diese Richtlinie gilt für alle Mitarbeiter:innen, Externe mit Zugriff auf Unternehmensnetzwerke, Führungskräfte. 3. Inkrafttreten und Überprüfung * Diese Richtlinie tritt mit Veröffentlichung in Kraft und wird mindestens einmal jährlich überprüft und bei Bedarf angepasst. ===== 2. Allgemeine Regeln zur Internetnutzung ===== ==== 2.1 Erlaubte Nutzung ==== * Primär geschäftliche Nutzung. * **Eingeschränkte private Nutzung** erlaubt, sofern: - Kein Verstoß gegen Gesetze oder diese Richtlinie. - Keine Beeinträchtigung der Produktivität. - Kein übermäßiger Ressourcenverbrauch. ==== 2.2 Verboten sind: ==== * Download/Upload urheberrechtlich geschützter Inhalte. * Besuch illegaler oder jugendgefährdender Websites. * Nutzung von Torrent-/Filesharing-Diensten. * Politische, religiöse oder diskriminierende Aktivitäten. * Umgehung von Sicherheitsmaßnahmen (z. B. VPN, Firewall). ===== 3. IT-Sicherheit ===== ==== 3.1 Zugangsschutz für genutzte Webdienste ==== * **Passwörter:** - Mindestlänge: 12 Zeichen (Buchstaben, Zahlen, Sonderzeichen). - Keine Weitergabe oder Klartextspeicherung. * **Zwei-Faktor-Authentifizierung (2FA):** Pflicht für unternehmenskritische Systeme. ==== 3.2 Netzwerksicherheit ==== * **VPN-Nutzung:** Pflicht bei externem Zugriff. * **Firewall/Proxy:** Alle Geräte müssen die Unternehmens-Firewall nutzen. * **WLAN:** Nur verschlüsselte Unternehmensnetzwerke (WPA3). ==== 3.3 Gerätesicherheit ==== * **Updates:** Betriebssysteme und Software immer aktuell halten. * **Antivirensoftware:** Pflicht, regelmäßige Scans. * **Verschlüsselung:** Festplatten und mobile Geräte (BitLocker, FileVault). ===== 4. Bring Your Own Device (BYOD) ===== ==== 4.1 Voraussetzungen ==== * Geräte müssen Sicherheitsanforderungen erfüllen (siehe 3.3). * **MDM-Software** zur Fernverwaltung. * **Containerisierung:** Trennung privater/geschäftlicher Daten (z. B. Samsung Knox). ==== 4.2 Erlaubte Nutzung ==== * Zugriff auf E-Mails, Kalender, genehmigte Cloud-Dienste. * Nutzung von Unternehmens-Apps über Container. ==== 4.3 Verboten sind: ==== * Rooten/Jailbreaken von Geräten. * Installation nicht genehmigter Apps. * Speicherung von Unternehmensdaten in privaten Clouds. ==== 4.4 Datentrennung ==== * Bei Ausscheiden: **Löschung aller Unternehmensdaten**. * Regelmäßige Compliance-Prüfungen. ===== 5. Datenschutz ===== ==== 5.1 Personenbezogene Daten ==== * **DSGVO-konform:** Nur mit Einwilligung oder gesetzlicher Grundlage. * **Zweckbindung:** Daten nur für vorgesehenen Zweck nutzen. * **Weitergabe:** Nur mit Genehmigung. ==== 5.2 E-Mail & Kommunikation ==== * **Verschlüsselung:** Pflicht bei sensiblen Daten (PGP, S/MIME). * **Anhänge:** Keine verdächtigen Anhänge/Links öffnen. ==== 5.3 Cloud-Dienste ==== * Nur **genehmigte Anbieter** mit DSGVO-konformen Rechenzentren (EU). * Keine sensiblen Daten in öffentlichen Clouds. ===== 6. Überwachung & Compliance ===== ==== 6.1 Protokollierung ==== * **Logfiles:** Internet-, E-Mail-Nutzung, Zugriffe (gemäß TKG/BDSG). * **Zweck:** Missbrauchserkennung und Forensik. ==== 6.2 Audits ==== * Regelmäßige Sicherheitsaudits und Compliance-Checks. * Schulungen (mind. 1x pro Jahr). ==== 6.3 Verstöße ==== * Disziplinarische Maßnahmen bis zur Kündigung. * Rechtliche Konsequenzen bei Gesetzesverstößen. ===== 7. Ansprechpartner & Meldung ===== * **IT-Support:** [E-Mail/Telefon] * **Datenschutzbeauftragter:** [Name/Kontakt] * **Sicherheitsvorfälle:** Sofortige Meldung an IT-Abteilung. ===== 8. Inkrafttreten ===== * Diese Richtlinie tritt am **[Datum]** in Kraft. * Änderungen werden schriftlich mitgeteilt.