IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen
IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Landesrecht |
| Bundesland | Thüringen |
| Rechtsakt | Untergesetzlich |
2. Zentraler Internetzugang
Die Nutzung des CN und des Übergangs vom CN zum Internet ist grundsätzlich nur für dienstliche Zwecke gestattet.
Eine private und unentgeltliche Nutzung des CN zum Abruf von Internetinhalten in geringfügigem Umfang durch Bedienstete des Freistaats Thüringen ist zulässig. Von einer geringfügigen privaten Nutzung kann dann ausgegangen werden, wenn der Umfang der privaten Nutzung die üblichen Pausenzeiten nicht übersteigt und die Erfüllung der dienstlichen Verpflichtungen nicht beeinträchtigt wird.
Die Interessen des Freistaats Thüringen oder dessen Ansehen in der Öffentlichkeit sowie die Sicherheit und Funktionsfähigkeit des CN sind in keinem Fall zu beeinträchtigen.
Unzulässig sind im Rahmen der privaten Nutzung insbesondere
das Abrufen oder Verbreiten rechtswidriger sowie ansehensschädigender Inhalte, beispielsweise
- Inhalte, die gegen urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
- beleidigende, verleumderische, verfassungsfeindliche, rassistische, sexistische, gewaltverherrlichende, terroristische, diskriminierende oder pornografische Inhalte oder Abbildungen,sowie technisch problematische oder sicherheitsrelevante Nutzung wie beispielsweise
- das Abrufen / Laden (download) von ausführbaren Programmen,
- das Abrufen / Laden kostenpflichtiger Informationen,
und das Netz stark belastende Nutzungen, wie beispielsweise
- die Nutzung von Streaming-Angeboten, wie Video-Streaming, Internet-Radio
- das Abrufen / Laden bzw. Bereitstellen (download und upload) von Dateien (Filme, Musik, Bilder)
- die Teilnahme an und das Betreiben von Netzspielen, Abstimmungen, Foren, Chats, Internetauktionen, Sozialen Netzwerken und ähnlichen interaktiven Vorgängen,
sowie die private Nutzung für gewerbliche oder geschäftsmäßige Interessen. Zulässig sind Rechtsgeschäfte des täglichen Lebens, sofern sie nicht einem der vorgenannten Punkte zuzuordnen sind. Das Speichern privat abgerufener Internetinhalte und deren Weiterleitung ist nicht zulässig.
Das Abrufen / Aufrufen des privaten E-Mail Postfachs (z.B. bei t-online.de, web.de, gmx.de) ist im Rahmen der geringfügigen privaten Mitbenutzung des CN zum Abruf von Internetinhalten zulässig. Dabei ist es grundsätzlich zu unterlassen, dienstliche Daten an oder über das private E-Mail Postfach zu versenden. Sofern begründete Ausnahmen von dieser Regel erforderlich sind, muss ein dienstlicher Bezug bestehen und Sicherheits- sowie Datenschutzanforderungen sind zu beachten. Das Speichern privater E-Mails und deren Anlagen ist nicht zulässig.
Bei Ausfällen oder Störungen des CN-Betriebs und damit Gefährdung der dienstlichen Nutzung, können entsprechende Gegenmaßnahmen ergriffen werden (Einschränkung des Zugriffs auf bestimmte Web-Seiten, dauerhafte oder vorübergehende Einschränkungen der privaten Nutzung für alle Nutzer oder zu bestimmende Nutzergruppen).
Weiterhin ist in begründeten Fällen die dauerhafte oder vorübergehende Einschränkung der privaten Nutzung für den CN-Anschluss einzelner Dienststellen für alle Nutzer oder zu bestimmende Nutzergruppen durch organisatorische oder technische Maßnahmen möglich.
Es wird daher keine ständige Verfügbarkeit der Möglichkeit der privaten Nutzung garantiert. Bei der Möglichkeit der privaten Nutzung des Internetzugangs handelt es sich um eine freiwillige, jederzeit widerrufbare Leistung ohne Rechtsanspruch der Bediensteten.
4. Sicherheits- und Kontrollmaßnahmen
Die Sicherstellung der Integrität und Vertraulichkeit des Datenverkehrs im CN wird durch verschiedene technische und organisatorische Maßnahmen gewährleistet. So ist der Datenverkehr innerhalb des CN verschlüsselt und an zentralen Stellen sind Firewallsysteme installiert. Die Einzelheiten sind in der jeweils aktuellen Fassung des Sicherheitskonzepts des CN geregelt. Das CN ist daher grundsätzlich als sicheres Transportmedium für Daten anzusehen.
Die Verantwortlichkeit für die übermittelten bzw. auszutauschenden Daten, die lokalen Netzwerke und der darin betriebenen Hard- und Software verbleibt weiterhin in der fachlichen Zuständigkeit des jeweiligen Ressorts. So ist bspw. durch die Ressorts sicherzustellen, dass auf dafür genutzten Endgeräten grundsätzlich ein lokaler Virenschutz mit aktuellen Virendefinitionen installiert ist.
Grundsätzlich werden E-Mail-Inhalte nicht protokolliert oder ausgewertet. Zur Sicherstellung der technischen Funktionsfähigkeit können jedoch an zentraler Stelle E-Mail-Verkehrsdaten protokolliert werden. Dabei können folgende personalisierte Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Absender
- Adressat
- Zustellstatus.
Weiterhin können zur Sicherstellung der technischen Funktionsfähigkeit an zentraler Stelle pseudonymisierte Verbindungsdaten (IP-Adresse als Pseudonym) des Kommunikationsverkehrs mit dem Internet protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Zieladresse, bestehend aus der kompletten URL
- Absenderadresse (pseudonymisierte Rechneridentifikation).
Zur Sicherstellung der technischen Funktionsfähigkeit der zentralen IP-TK-Vermittlung können Verbindungsdaten der IP-Telefonie protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Nummer der Anrufers
- Zielrufnummer.
Es erfolgt keine Protokollierung der Gesprächsinhalte. Die besonderen Anforderungen der Personalvertretungen an die Vertraulichkeit werden gewährleistet. Beim Einsatz von FreeCall-Calling Cards im Rahmen von Privatgesprächen erfolgt grundsätzlich keine Speicherung der PIN oder der Zielrufnummer.
Die Überprüfungen erfolgen grundsätzlich stichprobenartig und zeitbegrenzt. Protokollierte Daten werden ausschließlich zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk gespeichert und ausschließlich für diese Zwecke verwendet. Für eine Verwertung zur Verhaltens- und Leistungskontrolle der Bediensteten dürfen sie nicht genutzt werden (§ 33 Abs. 4 ThürDSG).
Alle im Rahmen der stichprobenartigen Überprüfungen erfassten E-Mail-Verkehrsdaten, Verbindungsdaten des Kommunikationsverkehrs mit dem Internet und Verbindungsdaten der IP-Telefonie werden nur im erforderlichen Umfang zur Erfüllung der beschriebenen Zwecke, jedoch maximal 21 Tage gespeichert und danach regelmäßig unumkehrbar gelöscht.
Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle erstrecken sich deshalb auch auf den Bereich der privaten Nutzung des Internetzugangs und der IP-Telefonie.
Der Zugriff auf die Protokolldaten ist grundsätzlich auf die Bediensteten begrenzt, die für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Dienste zuständig sind. Diese Personen sind verpflichtet, sich an die beschriebene Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben. Weiterhin sind die mit der CN-Administration beauftragten Bediensteten hinsichtlich der Sicherheitsmaßnahmen und -anforderungen sowie der einzuhaltenden datenschutzrechtlichen Vorschriften geschult und belehrt.
Eine automatisierte Vollkontrolle ist hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Dazu wird auf Anforderung durch das jeweilige Ressort eine Protokollierung der personalisierten E-Mail-Verkehrsdaten und der pseudonymisierten Verbindungsdaten des Kommunikationsverkehrs mit dem Internet durch die die Fachaufsicht über das TLRZ ausübende Behörde angeordnet. Die betreffenden pseudonymisierten Verbindungsdaten übersendet das TLRZ zur weiteren Veranlassung direkt an das jeweilige Ressort. Eine eindeutige Identifizierung eines Einzelnen liegt ausschließlich im Verantwortungsbereich des jeweiligen Ressorts und setzt ggf. weitere Protokollierungen und Auswertungen unter Einbindung des behördlichen Datenschutzbeauftragten und der zuständigen Personalvertretung in Zuständigkeit des jeweiligen Ressorts voraus.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 421
DIN EN 419251-3:2013-06
Deutsch: Sicherheitsanforderungen für Geräte zur Authentisierung - Teil 3: Zusätzliche Funktionalitäten für Sicherheitsziele; Deutsche Fassung EN 419251-3:2013
Englisch: Security requirements for device for authentication - Part 3: Additional functionality for security targets; German version EN 419251-3:2013
Ergebnis 422
DIN CEN TS 419261, DIN SPEC 16586:2015-06
Deutsch: Sicherheitsanforderungen für vertrauenswürdige Systeme zur Verwaltung von Zertifikaten für elektronische Signaturen und Zeitstempel; Deutsche Fassung CEN/TS 419261:2015
Englisch: Security requirements for trustworthy systems managing certificates and time-stamps; German version CEN/TS 419261:2015
Ergebnis 423
IEC 60950-1:2005-12
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 1: Allgemeine Anforderungen
Englisch: Information technology equipment - Safety - Part 1: General requirements
Ergebnis 424
DIN EN 60950-21:2003-12
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 21: Fernspeisung (IEC 60950-21:2002); Deutsche Fassung EN 60950-21:2003
Englisch: Information technology equipment - Safety - Part 21: Remote power feeding (IEC 60950-21:2002); German version EN 60950-21:2003
Ergebnis 425
DIN EN 60950-22 VDE 0805-22:2017-10
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 22: Einrichtungen für den Außenbereich (IEC 60950-22:2016); Deutsche Fassung EN 60950-22:2017
Englisch: Information technology equipment - Safety - Part 22: Equipment to be installed outdoors (IEC 60950-22:2016); German version EN 60950-22:2017
Ergebnis 426
DIN EN 60950-23 VDE 0805-23 :2006-09
Deutsch: Einrichtungen der Informationstechnik - Sicherheit - Teil 23: Große Einrichtungen zur Datenspeicherung (IEC 60950-23:2005); Deutsche Fassung EN 60950-23:2006
Englisch: Information technology equipment - Safety - Part 23: Large data storage equipment (IEC 60950-23:2005); German version EN 60950-23:2006
Ergebnis 427
DIN EN 62056-1-0 VDE 0418-6-1-0:2015-12
Deutsch: Datenkommunikation der elektrischen Energiemessung - DLMS/COSEM - Teil 1-0: Normungsrahmen für die intelligente Messung
Englisch: Electricity metering data exchange - The DLMS/COSEM suite - Part 1-0: Smart metering standardization framework
Ergebnis 428
DIN IEC TS 62351-100-1, VDE V 0112-351-100-1:2020-02
Deutsch: Datenmodelle, Schnittstellen und Informationsaustausch für Planung und Betrieb von Energieversorgungsunternehmen - Daten- und Kommunikationssicherheit - Teil 100-1: Konformitätsprüffälle für IEC TS 62351-5 und IEC TS 60870-5-7 (IEC TS 62351-100-1:2018)
Englisch: Power systems management and associated information exchange - Data and communications security - Part 100-1: Conformance test cases for IEC TS 62351-5 and IEC TS 60870-5-7 (IEC TS 62351-100-1:2018)
Ergebnis 429
DIN EN 62351-7, VDE 0112-351-7:2019-09
Deutsch: Datenmodelle, Schnittstellen und Informationsaustausch für Planung und Betrieb von Energieversorgungsunternehmen - Daten- und Kommunikationssicherheit - Teil 7: Datenobjektmodelle für Netzwerk- und Systemmanagement (NSM) (IEC 62351-7:2017); Deutsche Fassung EN 62351-7:2017
Englisch: Power systems management and associated information exchange - Data and communications security - Part 7: Network and System Management (NSM) data object models (IEC 62351-7:2017); German version EN 62351-7:2017
Ergebnis 430
IEC 62368-1:2018-10
Deutsch: Einrichtungen für Audio/Video, Informations- und Kommunikationstechnik - Teil 1: Sicherheitsanforderungen
Englisch: Audio/video, information and communication technology equipment - Part 1: Safety requirements