IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen
IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Landesrecht |
| Bundesland | Thüringen |
| Rechtsakt | Untergesetzlich |
2. Zentraler Internetzugang
Die Nutzung des CN und des Übergangs vom CN zum Internet ist grundsätzlich nur für dienstliche Zwecke gestattet.
Eine private und unentgeltliche Nutzung des CN zum Abruf von Internetinhalten in geringfügigem Umfang durch Bedienstete des Freistaats Thüringen ist zulässig. Von einer geringfügigen privaten Nutzung kann dann ausgegangen werden, wenn der Umfang der privaten Nutzung die üblichen Pausenzeiten nicht übersteigt und die Erfüllung der dienstlichen Verpflichtungen nicht beeinträchtigt wird.
Die Interessen des Freistaats Thüringen oder dessen Ansehen in der Öffentlichkeit sowie die Sicherheit und Funktionsfähigkeit des CN sind in keinem Fall zu beeinträchtigen.
Unzulässig sind im Rahmen der privaten Nutzung insbesondere
das Abrufen oder Verbreiten rechtswidriger sowie ansehensschädigender Inhalte, beispielsweise
- Inhalte, die gegen urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
- beleidigende, verleumderische, verfassungsfeindliche, rassistische, sexistische, gewaltverherrlichende, terroristische, diskriminierende oder pornografische Inhalte oder Abbildungen,sowie technisch problematische oder sicherheitsrelevante Nutzung wie beispielsweise
- das Abrufen / Laden (download) von ausführbaren Programmen,
- das Abrufen / Laden kostenpflichtiger Informationen,
und das Netz stark belastende Nutzungen, wie beispielsweise
- die Nutzung von Streaming-Angeboten, wie Video-Streaming, Internet-Radio
- das Abrufen / Laden bzw. Bereitstellen (download und upload) von Dateien (Filme, Musik, Bilder)
- die Teilnahme an und das Betreiben von Netzspielen, Abstimmungen, Foren, Chats, Internetauktionen, Sozialen Netzwerken und ähnlichen interaktiven Vorgängen,
sowie die private Nutzung für gewerbliche oder geschäftsmäßige Interessen. Zulässig sind Rechtsgeschäfte des täglichen Lebens, sofern sie nicht einem der vorgenannten Punkte zuzuordnen sind. Das Speichern privat abgerufener Internetinhalte und deren Weiterleitung ist nicht zulässig.
Das Abrufen / Aufrufen des privaten E-Mail Postfachs (z.B. bei t-online.de, web.de, gmx.de) ist im Rahmen der geringfügigen privaten Mitbenutzung des CN zum Abruf von Internetinhalten zulässig. Dabei ist es grundsätzlich zu unterlassen, dienstliche Daten an oder über das private E-Mail Postfach zu versenden. Sofern begründete Ausnahmen von dieser Regel erforderlich sind, muss ein dienstlicher Bezug bestehen und Sicherheits- sowie Datenschutzanforderungen sind zu beachten. Das Speichern privater E-Mails und deren Anlagen ist nicht zulässig.
Bei Ausfällen oder Störungen des CN-Betriebs und damit Gefährdung der dienstlichen Nutzung, können entsprechende Gegenmaßnahmen ergriffen werden (Einschränkung des Zugriffs auf bestimmte Web-Seiten, dauerhafte oder vorübergehende Einschränkungen der privaten Nutzung für alle Nutzer oder zu bestimmende Nutzergruppen).
Weiterhin ist in begründeten Fällen die dauerhafte oder vorübergehende Einschränkung der privaten Nutzung für den CN-Anschluss einzelner Dienststellen für alle Nutzer oder zu bestimmende Nutzergruppen durch organisatorische oder technische Maßnahmen möglich.
Es wird daher keine ständige Verfügbarkeit der Möglichkeit der privaten Nutzung garantiert. Bei der Möglichkeit der privaten Nutzung des Internetzugangs handelt es sich um eine freiwillige, jederzeit widerrufbare Leistung ohne Rechtsanspruch der Bediensteten.
4. Sicherheits- und Kontrollmaßnahmen
Die Sicherstellung der Integrität und Vertraulichkeit des Datenverkehrs im CN wird durch verschiedene technische und organisatorische Maßnahmen gewährleistet. So ist der Datenverkehr innerhalb des CN verschlüsselt und an zentralen Stellen sind Firewallsysteme installiert. Die Einzelheiten sind in der jeweils aktuellen Fassung des Sicherheitskonzepts des CN geregelt. Das CN ist daher grundsätzlich als sicheres Transportmedium für Daten anzusehen.
Die Verantwortlichkeit für die übermittelten bzw. auszutauschenden Daten, die lokalen Netzwerke und der darin betriebenen Hard- und Software verbleibt weiterhin in der fachlichen Zuständigkeit des jeweiligen Ressorts. So ist bspw. durch die Ressorts sicherzustellen, dass auf dafür genutzten Endgeräten grundsätzlich ein lokaler Virenschutz mit aktuellen Virendefinitionen installiert ist.
Grundsätzlich werden E-Mail-Inhalte nicht protokolliert oder ausgewertet. Zur Sicherstellung der technischen Funktionsfähigkeit können jedoch an zentraler Stelle E-Mail-Verkehrsdaten protokolliert werden. Dabei können folgende personalisierte Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Absender
- Adressat
- Zustellstatus.
Weiterhin können zur Sicherstellung der technischen Funktionsfähigkeit an zentraler Stelle pseudonymisierte Verbindungsdaten (IP-Adresse als Pseudonym) des Kommunikationsverkehrs mit dem Internet protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Zieladresse, bestehend aus der kompletten URL
- Absenderadresse (pseudonymisierte Rechneridentifikation).
Zur Sicherstellung der technischen Funktionsfähigkeit der zentralen IP-TK-Vermittlung können Verbindungsdaten der IP-Telefonie protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Nummer der Anrufers
- Zielrufnummer.
Es erfolgt keine Protokollierung der Gesprächsinhalte. Die besonderen Anforderungen der Personalvertretungen an die Vertraulichkeit werden gewährleistet. Beim Einsatz von FreeCall-Calling Cards im Rahmen von Privatgesprächen erfolgt grundsätzlich keine Speicherung der PIN oder der Zielrufnummer.
Die Überprüfungen erfolgen grundsätzlich stichprobenartig und zeitbegrenzt. Protokollierte Daten werden ausschließlich zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk gespeichert und ausschließlich für diese Zwecke verwendet. Für eine Verwertung zur Verhaltens- und Leistungskontrolle der Bediensteten dürfen sie nicht genutzt werden (§ 33 Abs. 4 ThürDSG).
Alle im Rahmen der stichprobenartigen Überprüfungen erfassten E-Mail-Verkehrsdaten, Verbindungsdaten des Kommunikationsverkehrs mit dem Internet und Verbindungsdaten der IP-Telefonie werden nur im erforderlichen Umfang zur Erfüllung der beschriebenen Zwecke, jedoch maximal 21 Tage gespeichert und danach regelmäßig unumkehrbar gelöscht.
Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle erstrecken sich deshalb auch auf den Bereich der privaten Nutzung des Internetzugangs und der IP-Telefonie.
Der Zugriff auf die Protokolldaten ist grundsätzlich auf die Bediensteten begrenzt, die für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Dienste zuständig sind. Diese Personen sind verpflichtet, sich an die beschriebene Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben. Weiterhin sind die mit der CN-Administration beauftragten Bediensteten hinsichtlich der Sicherheitsmaßnahmen und -anforderungen sowie der einzuhaltenden datenschutzrechtlichen Vorschriften geschult und belehrt.
Eine automatisierte Vollkontrolle ist hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Dazu wird auf Anforderung durch das jeweilige Ressort eine Protokollierung der personalisierten E-Mail-Verkehrsdaten und der pseudonymisierten Verbindungsdaten des Kommunikationsverkehrs mit dem Internet durch die die Fachaufsicht über das TLRZ ausübende Behörde angeordnet. Die betreffenden pseudonymisierten Verbindungsdaten übersendet das TLRZ zur weiteren Veranlassung direkt an das jeweilige Ressort. Eine eindeutige Identifizierung eines Einzelnen liegt ausschließlich im Verantwortungsbereich des jeweiligen Ressorts und setzt ggf. weitere Protokollierungen und Auswertungen unter Einbindung des behördlichen Datenschutzbeauftragten und der zuständigen Personalvertretung in Zuständigkeit des jeweiligen Ressorts voraus.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 371
ISO/IEC 27050-2:2018-09
Deutsch: Informationstechnik - Sicherheitsverfahren - - Elektronische Erkennung - Teil 2: Leitlinien für die Kontrolle und das Management zur elektronischen Erkennung
Englisch: Information technology - Electronic discovery - Part 2: Guidance for governance and management of electronic discovery
Ergebnis 372
ISO/IEC 27050-3:2020-01
Deutsch: Informationstechnik - IT Sicherheitsverfahren - Elektronische Erkennung - Teil 3: Code of Practice für E-Discovery
Englisch: Information technology - Security techniques - Electronic discovery - Part 3: Code of practice for electronic discovery
Ergebnis 373
DIN SPEC 27099:2016-07
Deutsch: Informationstechnik - Sicherheitsverfahren - Hochsichere Netzwerk-Architektur zur Verwahrung hoch schutzbedürftiger Daten
Englisch: Information technology - Safety procedures - High-security network architecture for storage of highly vulnerable data
Ergebnis 374
ETSI ETR 277:1996-03
Deutsch: —
Englisch: Security Algorithms Group of Experts (SAGE) - Requirements specification for an encryption algorithm for use in audio visual systems
Ergebnis 375
IEEE 2790-2020
Deutsch: —
Englisch: IEEE Standard for Biometric Liveness Detection
Ergebnis 376
VdS 2847-24:2016-09
Deutsch: Der digitale Mensch - Nutzen und Gefahren personenbezogener Kenngrößen - XXXI. Sicherheitswissenschaftliches Symposion der GfS (Mai 2016, AUVA, Congress Innsbruck)
Englisch: —
Ergebnis 377
VdS 2847-26:2017-07
Deutsch: Sicherheit in einer vernetzten Welt: Entwicklung, Anwendungen und Ausblick - XXXII. Sicherheitswissenschaftliches Symposion (Mai 2017, AUVA, Wiener Hofburg)
Englisch: —
Ergebnis 378
VDE AR-E 2849-1:2018-02
Deutsch: Elektrische Systemtechnik in Heim und Gebäude - IT-Sicherheit und Datenschutz - Allgemeine Anforderungen
Englisch: —
Ergebnis 379
ISO/IEC 29145-1:2014-03
Deutsch: Informationstechnik - Wireless Beacon-enabled Energy Efficient Mesh network (WiBEEM) für nicht-drahtgebundene Dienste im Heim-Netzwerk - Teil 1: PHY-Ebene
Englisch: Information technology - Wireless Beacon-enabled Energy Efficient Mesh network (WiBEEM) for wireless home network services - Part 1: PHY Layer
Ergebnis 380
ISO/IEC 29145-2:2014-03
Deutsch: Informationstechnik - Wireless Beacon-enabled Energy Efficient Mesh network (WiBEEM) für nicht-drahtgebundene Dienste im Heim-Netzwerk - Teil 2: Spezifikation der MAC-Ebene
Englisch: Information Technology - Wireless Beacon-enabled Energy Efficient Mesh network (WiBEEM) for wireless home network services - Part 2: MAC Layer