IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen
IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Telekommunikation |
| Ebene | Landesrecht |
| Bundesland | Thüringen |
| Rechtsakt | Untergesetzlich |
2. Zentraler Internetzugang
Die Nutzung des CN und des Übergangs vom CN zum Internet ist grundsätzlich nur für dienstliche Zwecke gestattet.
Eine private und unentgeltliche Nutzung des CN zum Abruf von Internetinhalten in geringfügigem Umfang durch Bedienstete des Freistaats Thüringen ist zulässig. Von einer geringfügigen privaten Nutzung kann dann ausgegangen werden, wenn der Umfang der privaten Nutzung die üblichen Pausenzeiten nicht übersteigt und die Erfüllung der dienstlichen Verpflichtungen nicht beeinträchtigt wird.
Die Interessen des Freistaats Thüringen oder dessen Ansehen in der Öffentlichkeit sowie die Sicherheit und Funktionsfähigkeit des CN sind in keinem Fall zu beeinträchtigen.
Unzulässig sind im Rahmen der privaten Nutzung insbesondere
das Abrufen oder Verbreiten rechtswidriger sowie ansehensschädigender Inhalte, beispielsweise
- Inhalte, die gegen urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
- beleidigende, verleumderische, verfassungsfeindliche, rassistische, sexistische, gewaltverherrlichende, terroristische, diskriminierende oder pornografische Inhalte oder Abbildungen,sowie technisch problematische oder sicherheitsrelevante Nutzung wie beispielsweise
- das Abrufen / Laden (download) von ausführbaren Programmen,
- das Abrufen / Laden kostenpflichtiger Informationen,
und das Netz stark belastende Nutzungen, wie beispielsweise
- die Nutzung von Streaming-Angeboten, wie Video-Streaming, Internet-Radio
- das Abrufen / Laden bzw. Bereitstellen (download und upload) von Dateien (Filme, Musik, Bilder)
- die Teilnahme an und das Betreiben von Netzspielen, Abstimmungen, Foren, Chats, Internetauktionen, Sozialen Netzwerken und ähnlichen interaktiven Vorgängen,
sowie die private Nutzung für gewerbliche oder geschäftsmäßige Interessen. Zulässig sind Rechtsgeschäfte des täglichen Lebens, sofern sie nicht einem der vorgenannten Punkte zuzuordnen sind. Das Speichern privat abgerufener Internetinhalte und deren Weiterleitung ist nicht zulässig.
Das Abrufen / Aufrufen des privaten E-Mail Postfachs (z.B. bei t-online.de, web.de, gmx.de) ist im Rahmen der geringfügigen privaten Mitbenutzung des CN zum Abruf von Internetinhalten zulässig. Dabei ist es grundsätzlich zu unterlassen, dienstliche Daten an oder über das private E-Mail Postfach zu versenden. Sofern begründete Ausnahmen von dieser Regel erforderlich sind, muss ein dienstlicher Bezug bestehen und Sicherheits- sowie Datenschutzanforderungen sind zu beachten. Das Speichern privater E-Mails und deren Anlagen ist nicht zulässig.
Bei Ausfällen oder Störungen des CN-Betriebs und damit Gefährdung der dienstlichen Nutzung, können entsprechende Gegenmaßnahmen ergriffen werden (Einschränkung des Zugriffs auf bestimmte Web-Seiten, dauerhafte oder vorübergehende Einschränkungen der privaten Nutzung für alle Nutzer oder zu bestimmende Nutzergruppen).
Weiterhin ist in begründeten Fällen die dauerhafte oder vorübergehende Einschränkung der privaten Nutzung für den CN-Anschluss einzelner Dienststellen für alle Nutzer oder zu bestimmende Nutzergruppen durch organisatorische oder technische Maßnahmen möglich.
Es wird daher keine ständige Verfügbarkeit der Möglichkeit der privaten Nutzung garantiert. Bei der Möglichkeit der privaten Nutzung des Internetzugangs handelt es sich um eine freiwillige, jederzeit widerrufbare Leistung ohne Rechtsanspruch der Bediensteten.
4. Sicherheits- und Kontrollmaßnahmen
Die Sicherstellung der Integrität und Vertraulichkeit des Datenverkehrs im CN wird durch verschiedene technische und organisatorische Maßnahmen gewährleistet. So ist der Datenverkehr innerhalb des CN verschlüsselt und an zentralen Stellen sind Firewallsysteme installiert. Die Einzelheiten sind in der jeweils aktuellen Fassung des Sicherheitskonzepts des CN geregelt. Das CN ist daher grundsätzlich als sicheres Transportmedium für Daten anzusehen.
Die Verantwortlichkeit für die übermittelten bzw. auszutauschenden Daten, die lokalen Netzwerke und der darin betriebenen Hard- und Software verbleibt weiterhin in der fachlichen Zuständigkeit des jeweiligen Ressorts. So ist bspw. durch die Ressorts sicherzustellen, dass auf dafür genutzten Endgeräten grundsätzlich ein lokaler Virenschutz mit aktuellen Virendefinitionen installiert ist.
Grundsätzlich werden E-Mail-Inhalte nicht protokolliert oder ausgewertet. Zur Sicherstellung der technischen Funktionsfähigkeit können jedoch an zentraler Stelle E-Mail-Verkehrsdaten protokolliert werden. Dabei können folgende personalisierte Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Absender
- Adressat
- Zustellstatus.
Weiterhin können zur Sicherstellung der technischen Funktionsfähigkeit an zentraler Stelle pseudonymisierte Verbindungsdaten (IP-Adresse als Pseudonym) des Kommunikationsverkehrs mit dem Internet protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Zieladresse, bestehend aus der kompletten URL
- Absenderadresse (pseudonymisierte Rechneridentifikation).
Zur Sicherstellung der technischen Funktionsfähigkeit der zentralen IP-TK-Vermittlung können Verbindungsdaten der IP-Telefonie protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Nummer der Anrufers
- Zielrufnummer.
Es erfolgt keine Protokollierung der Gesprächsinhalte. Die besonderen Anforderungen der Personalvertretungen an die Vertraulichkeit werden gewährleistet. Beim Einsatz von FreeCall-Calling Cards im Rahmen von Privatgesprächen erfolgt grundsätzlich keine Speicherung der PIN oder der Zielrufnummer.
Die Überprüfungen erfolgen grundsätzlich stichprobenartig und zeitbegrenzt. Protokollierte Daten werden ausschließlich zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk gespeichert und ausschließlich für diese Zwecke verwendet. Für eine Verwertung zur Verhaltens- und Leistungskontrolle der Bediensteten dürfen sie nicht genutzt werden (§ 33 Abs. 4 ThürDSG).
Alle im Rahmen der stichprobenartigen Überprüfungen erfassten E-Mail-Verkehrsdaten, Verbindungsdaten des Kommunikationsverkehrs mit dem Internet und Verbindungsdaten der IP-Telefonie werden nur im erforderlichen Umfang zur Erfüllung der beschriebenen Zwecke, jedoch maximal 21 Tage gespeichert und danach regelmäßig unumkehrbar gelöscht.
Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle erstrecken sich deshalb auch auf den Bereich der privaten Nutzung des Internetzugangs und der IP-Telefonie.
Der Zugriff auf die Protokolldaten ist grundsätzlich auf die Bediensteten begrenzt, die für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Dienste zuständig sind. Diese Personen sind verpflichtet, sich an die beschriebene Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben. Weiterhin sind die mit der CN-Administration beauftragten Bediensteten hinsichtlich der Sicherheitsmaßnahmen und -anforderungen sowie der einzuhaltenden datenschutzrechtlichen Vorschriften geschult und belehrt.
Eine automatisierte Vollkontrolle ist hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Dazu wird auf Anforderung durch das jeweilige Ressort eine Protokollierung der personalisierten E-Mail-Verkehrsdaten und der pseudonymisierten Verbindungsdaten des Kommunikationsverkehrs mit dem Internet durch die die Fachaufsicht über das TLRZ ausübende Behörde angeordnet. Die betreffenden pseudonymisierten Verbindungsdaten übersendet das TLRZ zur weiteren Veranlassung direkt an das jeweilige Ressort. Eine eindeutige Identifizierung eines Einzelnen liegt ausschließlich im Verantwortungsbereich des jeweiligen Ressorts und setzt ggf. weitere Protokollierungen und Auswertungen unter Einbindung des behördlichen Datenschutzbeauftragten und der zuständigen Personalvertretung in Zuständigkeit des jeweiligen Ressorts voraus.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Arning/Moos, DB 2013, 2607 (BYOD)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- BT-Drs. 18/5121+A96:A144
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit)
- Bergmann/Schaper, MMR 2013, 230 (Notruf über VoIP, Pflichten von VoIP-Anbietern)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Websitesicherheit, Telemediendienst, IT-Sicherheitsgesetz)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt/Schmitz, DuD 2010, 390 (Informationspflichten, data breach)
- Ernst, DuD 2010, 472 (Datenverlust, Pflicht zur Öffentlichkeit)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Telemediendienste, Sicherheitsanforderungen)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hornung, NJW 2015, 3334 (IT-Sicherheitsgesetz, neue Betreiberpflichten von KRITIS)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Karger, ITRB 2010, 161 (Informationspflichten, data breach)
- Kort, DB 2011, 2092 (IT-Sicherheitsmaßnahmen, Arbeitsrecht, Anwendung Telekommunikationsgesetz)
- Kramarz-von Kohout, DuD 2014, 768 (technische und rechtliche Anforderungen an Notrufsysteme)
- Kramer, DSB 2016, 9 (Entschlüsselung)
- Kremer, CR 2017, 367 (Neues BDSG)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mantz, K&R 2013, 7 (Standortdatenverwertung, Telekommunikationsanbieter)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsgesetz, Änderungen des § 13 VII TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roos, MMR 2015, 636 (IT-SiG, Pflichten für TK-Anbieter)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, DVBl 2015, 1206 (IT-Sicherheitsgesetz, "kleine" Vorratsdatenspeicherung VDS)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt-Bens/Suhren, K&R 2013,1 (Haftung und Schutz von WLAN-Netzwerken)
- Schreibauer/Spittka, ITRB 2015, 240 (neue Anforderungen aus dem IT-SiG für Unternehmen)
- Schürmann, DSB 2016, 32 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen im Bereich Web & App)
- Selk/Gierschmann, CR 2015, 273 (IT-SiG, Pflichten für TK-Anbieter)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Werkmeister/Görlich, K&R 2014, 632 (Benachrichtigungspflichten bei Datenpannen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 101
ITU-T X.1152:2008-05
Deutsch: —
Englisch: Secure end-to-end data communication techniques using trusted third party services
Ergebnis 102
ITU-T X.1153:2011-02
Deutsch: —
Englisch: Management framework of a one time password-based authentication service
Ergebnis 103
ITU-T X.1154:2013-04
Deutsch: —
Englisch: General framework of combined authentication on multiple identity service provider environments
Ergebnis 104
ITU-T X.1155:2015-10
Deutsch: —
Englisch: Guidelines on local linkable anonymous authentication for electronic services
Ergebnis 105
ITU-T X.1156:2013-06
Deutsch: —
Englisch: Non-repudiation framework based on a one-time password
Ergebnis 106
ITU-T X.1158:2014-11
Deutsch: —
Englisch: Multi-factor authentication mechanisms using a mobile device
Ergebnis 107
ITU-T X.1161:2008-05
Deutsch: —
Englisch: Framework for secure peer-to-peer communications
Ergebnis 108
ITU-T X.1164:2012-10
Deutsch: —
Englisch: Use of service providers' user authentication infrastructure to implement public key infrastructure for peer-to-peer networks
Ergebnis 109
ITU-T X.1171:2009-02
Deutsch: —
Englisch: Threats and requirements for protection of personally identifiable information in applications using tag-based identification
Ergebnis 110
ITU-T X.1194:2012-04
Deutsch: —
Englisch: Algorithm selection scheme for service and content protection descrambling