M 5.45 Sicherheit von WWW-Browsern
Verantwortlich für Initiierung: Leiter IT, Planer
Verantwortlich für Umsetzung: Administrator, Benutzer
Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten. Diese können durch falsche Handhabung der benutzten Web-Browser (Programme für den Zugriff auf das WWW, meist kurz Browser genannt) durch die Benutzer bzw. durch eine unzureichende Konfiguration der Browser, aber auch durch Sicherheitslücken in den Browsern verursacht werden.
Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus, die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen Rechner ausgeführt werden (z. B. ActiveX-Programme, Java-Applets oder Ähnliches). Auch innerhalb von Dokumenten oder Animationen können Befehle enthalten sein, die automatisch beim Betrachten ausgeführt werden und zu Schäden führen können (z. B. JavaScript Code, Flash-Objekte, ActiveX Controls und andere aktive Inhalte in Webseiten, Makro-Viren in Winword- oder Excel-Dokumenten). Um solche Probleme zu vermeiden, sollten die im Folgenden beschriebenen Maßnahmen umgesetzt werden.
Laden von Dateien und/oder Programmen
Beim Laden von Dateien und/oder Programmen können eine Vielzahl von Sicherheitsproblemen auftreten. Die bekanntesten sind sicherlich Viren, Makro-Viren und trojanische Pferde. Die Benutzer dürfen sich bei der Nutzung des WWW nie darauf verlassen, dass die geladenen Dateien oder Programme aus vertrauenswürdigen Quellen stammen.
Bei der Konfiguration des Browsers ist darauf zu achten, dass bei Dateitypen, die Computer-Viren, z. B. Makro-Viren, enthalten können, die zugehörigen Anwendungen nicht automatisch gestartet werden (siehe dazu auch M 4.3 Regelmäßiger Einsatz eines Anti-Viren-Programms).
Alle Benutzer müssen darauf hingewiesen werden, dass sie selber dafür verantwortlich sind, beim Herunterladen von Dateien alle entsprechenden Vorsichtsmaßnahmen zu ergreifen. Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden, bleiben die Benutzer verantwortlich für die Schadensfreiheit von aus dem Internet geladenen Dateien oder Programmen. Bei der Installation von Programmen müssen die organisationsinternen Sicherheitsregeln beachtet werden. Insbesondere dürfen nur getestete und zugelassene Programme installiert werden. Vor der Installation sollten auf Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden. Die Berechtigung zum Installieren von Software sollte auf die Systemadministratoren beschränkt werden (siehe dazu auch M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen).
Plug-Ins und Zusatzprogramme
Viele Dateiformate werden von Browsern nicht direkt verarbeitet, sondern von zusätzlichen Programme, die häufig von Drittanbietern kommen. Oft können diese Programme als so genannte Plug-Ins direkt in den Browser integriert werden, und die Anzeige der betreffenden Datei erfolgt dann im Browser anstatt in einem anderen Anwendungsfenster.
Bei Plug-Ins handelt es sich um Bibliotheksdateien (z. B. DLL-Dateien), die von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden.
Zusatzprogramme, z. B. Viewer, sind eigenständige Programme, die in der Lage sind, bestimmte Dateiformate zu verarbeiten. Der Aufruf eines solchen Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert, in der Dateiendung und Programm verknüpft sind.
Beim Hinzufügen von Plug-Ins bzw. Zusatzprogrammen für einen Browser sind dieselben Vorsichtsmaßnahmen wie beim Herunterladen von Dateien und der Installation von Programmen zu beachten: Es dürfen keine Programme installiert werden, denen man nicht unbedingt vertrauen kann.
Alle nicht benötigten Plug-Ins sollten so weit wie möglich entfernt werden.
Cookies
Cookies stellen eine Möglichkeit dar, Informationen für bestimmte Websites lokal auf dem Clientrechner zu speichern. Cookies können beispielsweise von Betreibern von Webseiten genutzt werden, um Benutzereinstellungen für personalisierte Webangebote oder "Einkaufskörbe" in Webshops zu realisieren. Dabei sind die Informationen in der Regel nicht im Cookie selbst gespeichert. Vielmehr ist ein Cookie eine Art Seriennummer, die beim Webseiten-Betreiber gespeicherten benutzerspezifischen Informationen zugeordnet werden kann. Ein Cookie enthält typischerweise
- Informationen über die Webseiten, an die es zurückgeschickt werden soll (beispielsweise nur an den Server, von dem es erzeugt wurde oder an alle Server in der Domain des Servers, von dem es erzeugt wurde),
- eine Gültigkeitsdauer (beispielsweise nur für die laufende Browsersitzung oder bis zu einem vorgegebenen Ablaufdatum) und
- andere, vom Betreiber des Webservers frei vorgebbare Daten, etwa eine Benutzer-Kennung oder eine SessionId.
Neben den potentiell nützlichen Anwendungen in Webshops oder für personalisierte Webangebote können WWW-Anbieter hiermit allerdings auch Benutzerprofile erstellen, z. B. für zielgruppenorientierte Werbung. Cookies sind insofern kein Problem der Sicherheit im engeren Sinne, sondern eher ein Problem des Datenschutzes.
In den Browsereinstellungen sollte die generelle Annahme von Cookies deaktiviert werden. Die meisten Browser bieten stattdessen zumindest die Möglichkeit, den Benutzer vor der Speicherung eines Cookies zu fragen, ob dieses akzeptiert werden soll. Einige Browser erlauben eine relativ detaillierte Einstellung der Kriterien, nach denen Cookies akzeptiert oder zurückgewiesen werden. Die folgenden Punkte können als Grundlage für die Entscheidung dienen, ob ein Cookie abgelehnt werden sollte oder ob es unbedenklich ist:
- Cookies, die an Server aus einer anderen Domain zurückgeschickt werden sollen, als der Domain des Servers, von dem die aktuell besuchte Seite stammt, sollten generell abgelehnt werden. Ebenso sollten alle Cookies mit außergewöhnlich langen Lebensdauern abgelehnt werden.
- Cookies, die an alle Server in einer bestimmten Domain zurückgeschickt werden sollen, und nicht nur an den Server, von dem die aktuell besuchte Seite stammt, sollten normalerweise abgelehnt werden.
- Cookies, die zur Speicherung von Benutzereinstellungen für personalisierte Sites dienen, können akzeptiert werden. Um solche Cookies zu identifizieren ist allerdings stets die Entscheidung des Benutzers notwendig. Seriöse Anbieter zeigen oft auf den Seiten, auf denen ein Benutzer seine Einstellungen treffen kann, einen Hinweis an, dass die Einstellungen in einem Cookie gespeichert werden sollen.
- Cookies, die nur für die aktuelle Browsersitzung Gültigkeit besitzen sollen (oft auch Session-Cookies genannt) und nur an den jeweiligen Server zurück geschickt werden, können in der Regel akzeptiert werden.
Manche Browser bieten die Möglichkeit, die aktuell gespeicherten Cookies anzuzeigen und gegebenenfalls selektiv zu löschen. Zusätzlich ist es unter Umständen möglich festzulegen, dass der Cookie-Speicher beim Beenden des Browsers geleert werden soll.
Bei der Entscheidung, ob und in welchem Umfang Cookies akzeptiert werden sollen, sollte stets in Betracht gezogen werden, dass die in Cookies gespeicherte Information eventuell auch von arglistigen Webseiten-Betreibern ausgelesen werden kann. So sind in der Vergangenheit des öfteren Schwachstellen insbesondere im Microsoft Internet Explorer bekannt geworden, die es erlaubten, Cookies des Benutzers auszulesen. Dies stellt insbesondere bei Cookies, die zur Speicherung von Benutzer-Kennungen und -Einstellungen benutzt werden, ein nicht unbeträchtliches Risiko dar. Daher sollte bei der Entscheidung, ob und welche Cookies akzeptiert werden sollen, eher restriktiv vorgegangen werden.
Eventuell kann es hilfreich sein, bei Browsern, die Cookies in einer Datei speichern, das regelmäßige Löschen der Cookies über eine Batch-Datei zu steuern, die beispielsweise bei jedem Systemstart oder jeder Benutzeranmeldung die alten Cookie-Dateien löscht. Manchmal reicht es auch, die entsprechende Datei oder das Verzeichnis, in dem Cookies gespeichert werden, mit einem Schreibschutz zu versehen, so dass keine neuen Cookies angelegt werden können.
Datensammlungen
Nicht nur extern werden Daten über die Internet-Nutzung der verschiedenen Benutzer gesammelt, sondern auch lokal. Hier muss sichergestellt werden, dass nur Befugte darauf Zugriff haben können. Dies gilt insbesondere für die von Browsern angelegten Dateien über History, Hotlists und Cache. Die Benutzer müssen informiert werden, wo auf ihren lokalen Rechner solche Daten gespeichert werden und wie sie diese löschen können. Bei einigen Browsern ist es möglich, alle Daten und Dateien, die auf das persönliche Surfverhalten zurückschließen lassen, per Mausklick zu löschen.
Die Dateien auf Proxy-Servern sind besonders sensibel, da auf einem Proxy-Server alle externen WWW-Zugriffe aller Mitarbeiter protokolliert werden, inklusive der IP-Nummer des Clients, der die Anfrage gestartet hat, und der nachgefragten URL. Mit Hilfe der IP-Nummer des Clients ist es in der Regel möglich, auf einen konkreten Mitarbeiter zurückzuschließen. Ein schlecht administrierter Proxy-Server kann daher massive Datenschutzverletzungen nach sich ziehen.
Von den meisten Browsern werden viele Informationen über den Benutzer und sein Nutzerverhalten gesammelt, von denen dieser vielleicht nicht will, dass sie weitergegeben werden. Zu diesen Informationen gehören:
- Favoriten,
- abgerufene WWW-Seiten bzw. Informationen im Cache,
- News-Server Visiten,
- History-Datenbank bzw. URL-Liste,
- Cookie-Liste,
- Informationen über Benutzer, die im Browser gespeichert und eventuell auch weitergegeben werden.
Informationen über News-Server Visiten
Aus den meisten Browsern heraus kann direkt auf News-Server zugegriffen werden.
Unabhängig vom verwendeten Browser bzw. Newsreader wird immer gespeichert, welche Newsgroups abonniert werden und welche Artikel gelesen wurden. Damit kann für ein Benutzerprofil festgestellt werden, welche Newsgruppen und welche News ein Benutzer gelesen hat.
Das im Microsoft Internet Explorer als Newsreader verwendete Outlook Express geht noch einen Schritt weiter und speichert den vollständigen Inhalt aller gelesenen News für einen bestimmten Zeitraum.
History-Datenbank / Verlaufsanzeige
Praktisch alle Browser führen ein Protokoll über die URLs, die der Benutzer innerhalb eines bestimmten Zeitraums abgerufen hat (History bei Mozilla bzw. Netscape, Verlauf beim Microsoft Internet Explorer). Ein solches Protokoll kann sich entweder nur über die aktuelle Sitzung erstrecken oder auch Informationen über vergangene Sitzungen enthalten.
Diese Datenbank enthält Informationen über besuchte Webseiten und abgerufene Seiten (URL und Titel). Auch interne Dokumente, die im Browser geöffnet werden, werden mit diesen Informationen in der Datenbank verzeichnet. Dadurch können eventuell sensitive vertrauliche Informationen preisgegeben werden.
Die History-Datenbank sollte regelmäßig aufgeräumt werden. Die meisten Browser bieten in ihren Konfigurationsdialogen die Möglichkeit, die History-Datenbank komplett zu leeren. Außerdem kann meist festgelegt werden, welcher Zeitraum von der History-Datenbank abgedeckt werden soll, ältere Informationen werden automatisch gelöscht.
Informationen über Benutzer
In einem Browser können diverse Informationen über Benutzer gespeichert und eventuell auch weitergegeben werden, z. B. Realname, E-Mail-Adresse, Organisation. Beispielsweise kann bei Mozilla bzw. Netscape eine E-Mail-Adresse angegeben werden, die bei der Verwendung von Anonymous-Ftp an den ftp-Server übermittelt werden soll. Um nicht mit Werbe-E-Mail überflutet zu werden, empfiehlt es sich, hierfür einen Alias zu verwenden.
Viele Browser bieten die Möglichkeit, die Eingaben des Benutzers für bestimmte Web-Formulare zu speichern und beim nächsten Aufruf der entsprechenden Seite automatisch einzufügen. Von dieser Option sollte allenfalls in Ausnahmefällen Gebrauch gemacht werden. In keinem Fall sollten Zugangspasswörter auf diese Weise gespeichert werden. Sofern die Möglichkeit besteht, die Daten verschlüsselt abzuspeichern, sollte diese unbedingt genutzt werden.
Informationen im Browser-Cache
Praktisch alle Browser legen in einem eigenen Cache-Verzeichnis große Mengen an Dateien ab, die den Text und die Bilder aller besichtigten Web-Seiten enthalten, seit der Cache das letzte Mal gelöscht wurde.
Der Cache dient dazu, das mehrfache Laden von Dateien zu verhindern, und dadurch unnötige Übertragungen zu vermeiden. Die Dateien im Browser-Cache können, ähnlich wie die History Datenbank, dazu verwendet werden, die vom Benutzer abgerufenen Informationen zu rekonstruieren. Dies kann zum Erstellen von Benutzerprofilen missbraucht werden, aber im Extremfall sogar dazu führen, dass vertrauliche Informationen an die Öffentlichkeit gelangen, wenn beispielsweise ein Notebook gestohlen wird, das auch im Intranet benutzt wurde.
Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht werden, vor allem, wenn ein am Arbeitsplatz im Intranet genutztes Notebook außerhalb der Behörde oder des Betriebes benutzt wird. In einem solchen Fall ist es daher empfehlenswert, die Größe des Caches auf 0 MByte zu setzen, um ein Zwischenspeichern von Dateien zu verhindern. Wenn auf mit SSL gesicherte WWW-Seiten zugegriffen wird, dient dies oft dazu, sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen. Solche Seiten sollten daher von vorneherein nicht im Cache abgelegt werden, sofern diese Einstellungsoption verfügbar ist.
Sicherheitslücken
In der Vergangenheit sind in praktisch allen Browsern immer wieder gravierende Sicherheitslücken aufgetaucht. Die Auswirkungen dieser Sicherheitslücken reichten vom Absturz des Browsers bis hin zu einer potentiellen Kompromittierung des gesamten Rechners, indem ein arglistiger Webseiten-Betreiber Programme auf dem Client-Rechner mit den Rechten des jeweils angemeldeten Benutzers ausführen konnte.
Aktive Inhalte und Zugriff auf lokale Ressourcen
Die meisten dieser Sicherheitslücken tauchten im Zusammenhang mit aktiven Inhalten wie JavaScript, ActiveX, Flash oder Java, aber auch im Zusammenhang mit anderen Plug-Ins auf. Aktive Inhalte werden über den Browser auf dem Client ausgeführt anstatt auf dem Server. Dies kann zu Sicherheitsproblemen auf dem Client führen. Zwar sind in Java, JavaScript und ActiveX verschiedene Sicherheitsmechanismen eingebaut, um einen möglichen Missbrauch zu verhindern oder zumindest zu erschweren, allerdings werden regelmäßig Sicherheitslücken entdeckt, die Angreifern eine Umgehung der Sicherheitsmechanismen ermöglichen.
Bei einigen Browsern (wie z. B. Netscape oder Microsoft Internet Explorer) wird WWW-Servern die Möglichkeit gegeben, über aktive Inhalte auf die Festplatte des Clients zuzugreifen. ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. Bei Java ist ein solcher Zugriff ebenfalls möglich, jedoch nur wenn der Anwender dies explizit gestattet. Das Sicherheitskonzept von ActiveX basiert darauf, dass der Anwender dem Anbieter und einer authentisierten dritten Stelle vertraut. Dieses Vertrauen ist problematisch, wenn Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden.
Aus diesen Gründen sollten ActiveX, JavaScript und Java deaktiviert werden, und die Menge der installierten Plug-Ins sollte auf das unbedingt notwendige beschränkt werden.
Falls die Benutzung von ActiveX, Java und JavaScript unbedingt notwendig ist, sollten diese nur auf Rechnern zugelassen sein, die gegenüber anderen internen Rechnern so abgeschottet sind, dass die Verfügbarkeit, Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können.
Verschlüsselung
Das normalerweise im WWW benutzte Übertragungsprotokoll HTTP (Hypertext Transfer Protocol) überträgt alle Informationen im Klartext. Bei normalen Webseiten gibt es keine Gewähr dafür, dass die Vertraulichkeit der übertragenen Informationen gewahrt bleibt. Ebenso werden die Authentisierungsdaten beim Zugriff auf passwortgeschützte Webangebote unverschlüsselt übertragen, es besteht daher die Gefahr, dass diese ausgelesen werden können.
Falls bei einem Webangebot die Angabe sensitiver Informationen (etwa der Kreditkartennummer oder Bankverbindung, aber auch nur personenbezogener Daten) erforderlich ist, so sollten diese Daten nur dann übermittelt werden, wenn das Angebot nicht über eine normale HTTP-Verbindung, sondern über eine mit Hilfe des HTTPS-Protokolls verschlüsselte Verbindung zugänglich ist.
Entsprechende URLs sind meist daran erkennbar, dass sie mit dem Präfix https:// beginnen. Leider gibt es auch hier Ausnahmen, zum Beispiel:
- Das meist für die Verschlüsselung verwendete Protokoll SSL v3 sieht auch einen Betriebsmodus vor, in dem gar nicht verschlüsselt wird (authentication only). In diesem Fall besteht die Gefahr, dass der Benutzer fälschlicherweise davon ausgeht, dass die Informationen ausreichend geschützt werden.
- Falls die zu verschlüsselnden Informationen in einem so genannten Frame untergebracht sind, wird unter Umständen im Browser nur http:// angezeigt, obwohl alle relevanten Daten verschlüsselt werden.
Wenn eine verschlüsselte Verbindung zu einem Server besteht, zeigen dies die meisten Browser durch ein entsprechendes Symbol an, Netscape und Mozilla beispielsweise durch ein geschlossenes Schlosssymbol in der rechten unteren Ecke des Browserfensters, der Microsoft Internet Explorer durch ein ähnliches Symbol in der Statuszeile.
Um sensitive Informationen und sicherheitskritische Transaktionen zu schützen, sollten folgende Empfehlungen beachtet werden:
- Es sollte regelmäßig geprüft werden, ob die jeweilige Webseite mit einer ausreichenden Schlüssellänge verschlüsselt ist. Informationen über die HTTPS-Verschlüsselung der aktuellen Webseite und die Schlüssellängen lassen sich in den meisten Browsern durch einen (Doppel-)Klick auf das oben erwähnte Schlosssymbol abfragen. Stand der Technik ist eine Schlüssellänge von 128 Bit.
- Soweit dies im benutzten Browser möglich ist, sollten alle unsicheren Betriebsmodi des HTTPS-Protokolls im Browser deaktiviert werden. Dies betrifft insbesondere die veraltete SSL-Version 2 und Betriebsmodi mit Schlüssellängen von weniger als 80 Bit.
Nutzung vorhandener Sicherheitsfunktionalitäten
Die vorhandenen Sicherheitsfunktionalitäten der Browser (insbesondere die Rückfrage vor dem Ausführen von Programmen) sollten auf jeden Fall genutzt werden.
Beim Surfen im Internet sollte die automatische Ausführung von Programmen verhindert und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden. Beim Microsoft Internet Explorer sollte unter Extras | Internetoptionen | Sicherheit in den Abschnitten ActiveX Steuerelemente und Plugins und Scripting die Optionen Deaktivieren oder Eingabeaufforderung gewählt werden. Bei Netscape bzw. Mozilla sollten die Optionen Enable Java und Enable JavaScript deaktiviert werden.
Die Deaktivierung von ActiveX-Steuerelementen im Internet Explorer bewirkt in der Regel, dass PDF-Dateien nicht mehr direkt im Browser angezeigt werden können. Diese Funktionseinschränkung ist jedoch in der Praxis meist nicht gravierend, da die üblichen separaten PDF-Viewer ohnehin mehr Bedienungskomfort als das Browser-Plug-In bieten.
News-Reader und Mail-Clients bieten häufig die Möglichkeit, beliebige Daten im MIME-Format zu lesen. Auch in diesen Daten können Befehle enthalten sein, die zu einem automatischen Starten von Programmen auf dem lokalen Rechner führen. Die entsprechenden Möglichkeiten sollten daher in den Konfigurationsdateien entfernt werden bzw. nur nach Rückfrage gestartet werden können.
Einsatz von Application-Level-Gateways bzw. Filter-Proxies
Um einen zuverlässigen Schutz vor der Gefährdung durch bösartige aktive Inhalte zu erzielen sind die beschriebenen client-seitigen Schutzmaßnahmen eventuell nicht ausreichend. Es sollte daher in Betracht gezogen werden, den Zugriff auf das Internet nur über einen Application-Level-Gateway zuzulassen. Auf diesem Filter-Proxy-Server sollten aktive Inhalte grundsätzlich erst einmal ausgefiltert werden, so dass sie die Arbeitsplatzrechner gar nicht erst erreichen. Nur in Einzelfällen kann dann die Filterung für bestimmte URLs deaktiviert werden. Die technische Realisierung solcher Filterfunktionen ist in der Praxis allerdings mit einem gewissen Aufwand verbunden. Daher sollte anhand des vorliegenden Schutzbedarfs entschieden werden, ob der Einsatz eines Filter-Proxy-Servers zweckmäßig ist.
Dies kann jedoch eine sichere Konfiguration der Arbeitsplatzrechner nicht ersetzen, sondern nur ergänzen, so dass in jedem Fall auch die entsprechenden Maßnahmen ergriffen werden sollten.
Informationsbeschaffung über Sicherheitslücken
Da immer wieder neue Sicherheitslücken in Browsern bekannt werden, ist eine regelmäßige Informationsbeschaffung über solche Sicherheitslücken und deren Beseitigung erforderlich. Hierbei braucht nicht unbedingt die Beschaffung der aktuellsten Version des Produkts im Vordergrund zu stehen, da durch neue Programmteile auch neue Sicherheitsprobleme auftreten können. In jedem Fall sollte jedoch durch das Einspielen von Patches sichergestellt werden, dass bekannte Sicherheitslücken beseitigt werden (siehe auch M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates).
Wenn mit Hilfe des Browsers wichtige Anwendungen des Unternehmens bzw. der Behörde bedient werden oder wenn ein erhöhter Schutzbedarf in Bezug auf Verfügbarkeit vorliegt, sollten die Patches auf jeden Fall vorher auf einem Testsystem getestet werden. Dabei sollte geprüft werden, ob keine unerwünschten Seiteneffekte auftreten, die den sicheren und reibungslosen Betrieb stören.
Regelungen
Ein Teil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer, da deren Umsetzung, wie beispielsweise die Aktivierung bestimmter Optionen, nicht ständig durch die Systemadministration überprüft werden kann. Wenn möglich, sollten jedoch administrationsseitig Maßnahmen ergriffen werden, die die Veränderung bestimmter Einstellungen durch Benutzer erschweren oder ganz unterbinden. Beispielsweise können bei einigen Produkten bestimmte Konfigurationsdateien schreibgeschützt werden.
In jedem Fall muss aber die Systemadministration durch die Vorgabe sicherer Grundeinstellungen dafür sorgen, dass ohne Benutzereingriff ein größtmögliches Maß an Sicherheit erzielt wird.
Außerdem sollte jeder Benutzer über die möglichen Risiken informiert sein und vor der Nutzung von Internet-Diensten durch entsprechende Anweisungen verpflichtet werden, die aufgeführten Sicherheitsrichtlinien zu beachten. Es empfiehlt sich vor der Zulassung von Benutzern zu Internet-Diensten diese auf eine Benutzerordnung zu verpflichten. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind in einer Schulung den Benutzern darzulegen.
Weiterhin müssen die Benutzer darauf hingewiesen werden,
- welche Daten protokolliert werden,
- wer die Ansprechpartner bei Sicherheitsproblemen sind und
- dass die Konfiguration der WWW-Programme nicht eigenmächtig geändert werden darf.
In der Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden. Jeder Benutzer sollte durch Unterschrift bestätigen, dass die dargestellten Regelungen zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden.
Bei der Festlegung der Benutzerordnung sollte auch eine Regelung über die private Internet-Nutzung am Arbeitsplatz getroffen werden. Gesetzliche Vorgaben, insbesondere zum Datenschutz, müssen dabei selbstverständlich beachtet werden. Der Datenschutzbeauftragte und die Personalvertretung sollten frühzeitig beteiligt werden.