Welche Webseiten und Dienste sollten Unternehmen im Firmennetz grundsätzlich sperren?

Holger Maczkowsky ·
Schweres Stahltor leicht geöffnet in modernem Serverraum-Korridor mit blauem Umgebungslicht und warmem Schimmer dahinter.

Unternehmen sollten im Firmennetz grundsätzlich Webseiten und Dienste sperren, die Schadsoftware verbreiten, sensible Daten abgreifen oder die Produktivität gefährden. Dazu zählen vor allem Kategorien wie Phishing-Seiten, illegale Download-Portale, nicht autorisierte Cloud-Dienste und Webseiten mit bekannten Sicherheitslücken. Die folgenden Abschnitte beleuchten, welche Kategorien besonders riskant sind, welche technischen Maßnahmen greifen und wo die Grenzen klassischer Filtermethoden liegen.

Welche Kategorien von Webseiten sind im Firmennetz am gefährlichsten?

Die gefährlichsten Webseiten im Firmennetz sind solche, die aktiv Schadsoftware verbreiten, Nutzer zur Eingabe von Zugangsdaten verleiten oder nicht autorisierte Verbindungen in die Unternehmensinfrastruktur ermöglichen. Besonders kritisch sind Phishing-Seiten, Malware-Distributoren, Exploit-Kits und sogenannte Drive-by-Download-Seiten, die beim bloßen Aufrufen Schadcode auf dem Rechner installieren.

Für die sichere Internetnutzung im Unternehmen lassen sich die riskantesten Kategorien wie folgt einteilen:

  • Phishing- und Credential-Harvesting-Seiten: Täuschend echte Nachbildungen legitimer Dienste, die auf die Eingabe von Passwörtern oder Bankdaten abzielen.
  • Malware- und Exploit-Seiten: Webseiten, die beim Aufruf automatisch Schadcode im Browser ausführen, oft durch ungepatchte Sicherheitslücken im Browser selbst.
  • Illegale Streaming- und Download-Portale: Häufig mit aggressiver Werbung und eingebetteten Schadskripten versehen.
  • Nicht autorisierte Remote-Access-Tools: Webbasierte Dienste, die unkontrollierte Fernzugriffe auf Arbeitsplätze ermöglichen.
  • Anonymisierungsdienste und Proxy-Seiten: Umgehen Sicherheitskontrollen und verschleiern den tatsächlichen Datenverkehr.

Besonders tückisch ist, dass viele dieser Seiten nicht dauerhaft auf Sperrlisten erscheinen, sondern kurzlebig sind und sich regelmäßig unter neuen Domains registrieren. Statische Filterlisten stoßen hier schnell an ihre Grenzen.

Welche Dienste und Plattformen sollten grundsätzlich gesperrt werden?

Neben offensichtlich schädlichen Webseiten gibt es eine Reihe von legitimen, aber im Unternehmenskontext problematischen Diensten, die den Netzwerkzugang am Arbeitsplatz absichern erfordern. Dazu zählen nicht freigegebene Cloud-Speicherdienste, Messenger-Apps ohne Ende-zu-Ende-Verschlüsselung und Plattformen, die unkontrollierte Dateiuploads ermöglichen.

Folgende Dienste und Plattformen stehen häufig auf Sperrlisten in regulierten Umgebungen:

  • Nicht autorisierte Cloud-Speicher (z. B. private Konten bei Filesharing-Diensten)
  • Webbasierte E-Mail-Dienste ohne Unternehmensgenehmigung
  • Social-Media-Plattformen, sofern nicht betrieblich erforderlich
  • Online-Gambling- und Glücksspielseiten
  • Torrent- und Peer-to-Peer-Dienste
  • Krypto-Mining-Dienste, die Rechenleistung im Browser nutzen
  • Nicht freigegebene VPN-Dienste und Anonymisierungstools

Wichtig ist dabei: Die Sperrung sollte auf einer klaren Richtlinie basieren, die mit der IT-Abteilung, der Geschäftsführung und dem Betriebsrat abgestimmt ist. Willkürliche Sperren ohne Dokumentation können rechtliche Konsequenzen haben.

Wie funktioniert URL-Filterung im Unternehmensnetzwerk technisch?

URL-Filterung im Unternehmensnetzwerk funktioniert, indem ausgehende HTTP- und HTTPS-Anfragen gegen eine Datenbank bekannter Kategorien und gesperrter Adressen geprüft werden, bevor die Verbindung aufgebaut wird. Dies geschieht in der Regel über einen Proxy-Server, eine Next-Generation-Firewall oder einen dedizierten Web-Filter-Dienst.

Der technische Ablauf umfasst mehrere Schritte:

  1. Der Arbeitsplatzrechner sendet eine Anfrage an eine Webseite.
  2. Der Proxy oder die Firewall fängt diese Anfrage ab.
  3. Die angeforderte URL wird gegen Kategoriedatenbanken und Sperrlisten geprüft.
  4. Bei einem Treffer wird die Anfrage blockiert und der Nutzer erhält eine Hinweisseite.
  5. Erlaubte Anfragen werden weitergeleitet, bei verschlüsseltem HTTPS-Verkehr nach SSL-Inspektion.

Moderne Systeme arbeiten mit cloudbasierten Reputationsdatenbanken, die in Echtzeit aktualisiert werden. Ergänzend kommen DNS-basierte Filter zum Einsatz, die bereits auf Ebene der Namensauflösung eingreifen und so auch mobile Endgeräte im Firmennetz schützen können. Wer tiefer in technische Schutzarchitekturen einsteigen möchte, findet bei der Website-Sicherheitsanalyse weiterführende Informationen zu Prüfmethoden.

Was ist der Unterschied zwischen Blacklisting und Whitelisting im Firmennetz?

Blacklisting sperrt bekannte schädliche oder unerwünschte Webseiten, während Whitelisting nur explizit freigegebene Seiten zulässt und alles andere blockiert. Blacklisting ist flexibler im Alltag, bietet aber weniger Schutz vor unbekannten Bedrohungen. Whitelisting ist restriktiver, schützt jedoch zuverlässiger in hochsensiblen Umgebungen.

Blacklisting: Flexibel, aber reaktiv

Beim Blacklisting-Ansatz wird eine Liste bekannter schädlicher oder unerwünschter Domains gepflegt. Neue, noch unbekannte Bedrohungen passieren den Filter zunächst ungehindert. Dieser Ansatz eignet sich für Umgebungen, in denen Mitarbeitende flexiblen Internetzugang benötigen, etwa im Marketing oder Vertrieb.

Whitelisting: Restriktiv, aber präventiv

Beim Whitelisting-Ansatz sind nur vorab genehmigte Webseiten und Dienste erreichbar. Alles andere wird standardmäßig geblockt. Dieser Ansatz ist besonders für Behörden, kritische Infrastrukturen und Finanzinstitute geeignet, wo ein unkontrollierter Internetzugang inakzeptable Risiken birgt. Der administrative Aufwand ist höher, der Schutz jedoch deutlich umfassender.

Wann reicht URL-Filterung allein nicht mehr aus?

URL-Filterung allein reicht nicht mehr aus, wenn Angriffe über legitime, nicht gesperrte Webseiten erfolgen, verschlüsselter Datenverkehr nicht inspiziert wird oder Schadcode direkt im Browser ausgeführt wird. In diesen Szenarien muss die Filterung durch tiefergehende Sicherheitsmaßnahmen ergänzt werden.

Konkrete Situationen, in denen klassische URL-Filter versagen:

  • Kompromittierte legitime Webseiten: Seriöse Nachrichtenportale oder Unternehmensseiten können temporär mit Schadcode infiziert sein und stehen nicht auf Sperrlisten.
  • Zero-Day-Exploits im Browser: Sicherheitslücken, die noch nicht öffentlich bekannt sind, können über jede beliebige Webseite ausgenutzt werden.
  • Verschlüsselter Schadverkehr: Ohne SSL-Inspektion bleibt HTTPS-Datenverkehr weitgehend blind für klassische Filter.
  • Dateidownloads von erlaubten Domains: Wenn Nutzer Dateien von freigegebenen Cloud-Diensten herunterladen, prüft der URL-Filter nicht den Dateiinhalt.

Eine wirksame Ergänzung ist die physische Trennung der Browserausführung vom Arbeitsplatzrechner, wie sie etwa durch Remote-Browser-Technologien realisiert wird. Dabei wird der Browser auf einem isolierten Server ausgeführt, sodass Schadcode den eigentlichen Arbeitsplatz gar nicht erst erreicht. Mehr zu diesem Ansatz finden Sie unter TightGate-Pro.

Welche rechtlichen und betrieblichen Aspekte gelten bei der Websperrung?

Bei der Sperrung von Webseiten im Firmennetz müssen Unternehmen in Deutschland sowohl arbeitsrechtliche als auch datenschutzrechtliche Vorgaben einhalten. Insbesondere die Mitbestimmungsrechte des Betriebsrats, die Anforderungen der DSGVO und die klare Trennung zwischen privater und dienstlicher Internetnutzung sind zu beachten.

Die wichtigsten rechtlichen und betrieblichen Punkte im Überblick:

  • Betriebsrat: Technische Einrichtungen zur Überwachung von Mitarbeitenden unterliegen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. URL-Filter können als Überwachungsmaßnahme eingestuft werden.
  • DSGVO: Die Protokollierung von Internetzugriffen ist eine Verarbeitung personenbezogener Daten und bedarf einer Rechtsgrundlage sowie einer Datenschutz-Folgenabschätzung bei hohem Risiko.
  • Nutzungsrichtlinie: Eine schriftliche IT-Nutzungsrichtlinie, die erlaubte und gesperrte Inhalte klar definiert, ist die Grundlage für jede Sperrmaßnahme und schützt das Unternehmen rechtlich.
  • Private Internetnutzung: Wenn private Nutzung am Arbeitsplatz erlaubt ist, gelten für das Unternehmen strengere Anforderungen, da es dann als Telekommunikationsanbieter eingestuft werden kann.
  • Transparenz gegenüber Mitarbeitenden: Mitarbeitende müssen über bestehende Filter und Protokollierungen informiert werden, idealerweise in der Nutzungsrichtlinie und im Rahmen von Schulungen.

Eine sorgfältige Dokumentation aller Sperrentscheidungen und regelmäßige Überprüfung der Filterregeln sind nicht nur rechtlich sinnvoll, sondern auch betrieblich notwendig, um veraltete Sperren zu entfernen und neue Risiken zeitnah zu adressieren.

Wie m-privacy GmbH Sie beim sicheren Netzwerkzugang unterstützt

Die Absicherung des Internetzugangs am Arbeitsplatz erfordert mehr als eine einfache Sperrliste. Wir bei m-privacy GmbH bieten Ihnen ein ganzheitliches Konzept, das technische Schutzmaßnahmen, rechtssichere Beratung und praxisnahe Schulungen verbindet:

  • TightGate-Pro: Unsere BSI-zertifizierte Remote-Browser-Lösung (Common Criteria EAL3+) trennt die Browserausführung physisch vom Arbeitsplatzrechner und verhindert so zuverlässig, dass Schadcode aus dem Internet in Ihr internes Netzwerk gelangt, unabhängig davon, ob eine Webseite auf einer Sperrliste steht oder nicht.
  • Security Audits nach ISO 27001: Wir analysieren Ihre bestehende Netzwerkarchitektur und identifizieren Schwachstellen in Ihrer aktuellen Filterstrategie.
  • Risikoanalysen und Informationsschutzberatung: Wir helfen Ihnen, eine fundierte und rechtssichere IT-Nutzungsrichtlinie zu entwickeln, die Betriebsrat, DSGVO und betriebliche Anforderungen berücksichtigt.
  • Mitarbeiterschulungen: Wir sensibilisieren Ihre Belegschaft für sichere Internetnutzung im Unternehmen und vermitteln praxisnahes Wissen zu Phishing, Social Engineering und dem sicheren Umgang mit Webanwendungen.
  • Externer Datenschutzbeauftragter: Als externe Datenschutzbeauftragte begleiten wir Sie bei der DSGVO-konformen Umsetzung von Protokollierungs- und Filtermaßnahmen.

Sie möchten den Netzwerkzugang in Ihrem Unternehmen nachhaltig absichern und dabei rechtlich auf der sicheren Seite bleiben? Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch. Wir freuen uns darauf, gemeinsam mit Ihnen eine Lösung zu entwickeln, die zu Ihrer Infrastruktur und Ihren Anforderungen passt.