Regelungen zum IT-Basisschutz für IT-Anwenderinnen und Anwender

IT-Sicherheit Regelungen zum IT-Basisschutz für IT-Anwenderinnen und Anwender www.uni-bielefeld.de/it-sicherheit

1 Impressum Herausgeber Universitätsstr. 25 33615 Bielefeld Redaktion Michael Sundermeyer Lektorat Ann-Christin Kegler Gestaltung Peter Hoffmann Stand 15.11.2011

Vorwort Sehr geehrte Mitarbeiterinnen und Mitarbeiter, erfolgreiche Forschung und Lehre sowie die Arbeit in der Verwaltung sind auf eine zuverlässige und sichere Informationstechnik (IT) angewiesen. Aus diesem Grund wird das Thema IT-Sicherheit an der Universität Bielefeld seit vielen Jahren aktiv verfolgt. So hat das Rektorat bereits im Jahr 2002 auf die sich schnell verbreitenden Computerviren reagiert und verbindliche Maßnahmen zum Schutz von Computerarbeitsplätzen verabschiedet. Im Zuge dieser Entwicklung wurde 2006 die Position des IT- Sicherheitsbeauftragten geschaffen, die sich inhaltlich und organisatorisch um die Sicherherstellung und Weiterentwicklung des Themas kümmert. Seitdem wurden erfolgreich Strukturen geschaffen und Verfahren und Maßnahmen etabliert, um Integrität, Verfügbarkeit und Vertraulichkeit von Daten und Diensten sicherstellen zu können. Mit der Verabschiedung des IT-Basisschutzes durch das Rektorat wird nun ein weiterer wichtiger Baustein für die Sicherheit der IT an der in Kraft gesetzt. Die Regelungen bieten allen Mitarbeiterinnen und Mitarbeitern einen verbindlichen Rahmen zur sicheren Nutzung der IT. Viele von Ihnen haben in den letzten Jahren auch persönlich Erfahrungen mit Spam-Mails, Viren und Phishing -Angriffen gemacht. Die konkreten Bedrohungen, die von Angriffen dieser Art ausgehen, verdeutlichen die Gefahren, die aus einer unsicheren oder sorglosen Nutzung der IT erwachsen können. Es liegt auch an Ihnen als Mitarbeiterin und Mitarbeiter, durch einen verantwortungsvollen Umgang mit der IT, entscheidend zur Sicherheit Ihrer Daten und die der beizutragen. Um diese Aufgabe erfüllen zu können ist es wichtig, bestehende Risiken zu (er)kennen und durch umsichtiges Handeln zu vermeiden. Dabei unterstützt Sie der IT-Basisschutz anhand von entsprechenden Maßnahmen und Empfehlungen. Hans-Jürgen Simm Kanzler der Prof. Dr.-Ing. Gerhard Sagerer Rektor der

3

Inhaltsverzeichnis VORWORT... 2 INHALTSVERZEICHNIS... 4 1. REGELUNGEN ZUM IT-BASISSCHUTZ FÜR IT-ANWENDERINNEN UND ANWENDER... 5 1.1 Grundsätzliches... 5 M 1.1 Information und Qualifizierung... 5 M 1.2 Ansprechpersonen... 5 M 1.3 Vorgehen bei IT-Sicherheitsvorfällen... 6 1.2 Einsatz von Hard- und Software... 6 M 1.4 Absicherung von Arbeitsplatzrechnern... 6 M 1.5 Kontrollierter Software-Einsatz... 7 M 1.6 Handhabung mobiler IT-Geräte... 7 M 1.7 Einsatz privater IT-Geräte... 8 1.3 Handhabung von Daten und Informationen... 8 M 1.8 Speicherung von Daten... 9 M 1.9 Handhabung vertraulicher Daten und Informationen... 9 M 1.10 Handhabung von Datenträgern... 10 M 1.11 Entsorgung von Daten, Datenträgern und Dokumenten... 10 1.4 Schutz vor unbefugtem Zugriff... 12 M 1.12 Zugriffsberechtigungen... 12 M 1.13 Benutzerkennungen... 12 M 1.14 Umgang mit Passwörtern... 12 M 1.15 Zugriffschutz am Computerarbeitsplatz... 13 M 1.16 Zugang zum Datennetz... 13 1.5 Schutz vor unbefugtem Zutritt... 14 M 1.17 Räumlicher Zutrittsschutz... 14 M 1.18 Schlüssel und Zutrittskarten... 14 1.6 Kommunikationssicherheit... 14 M 1.19 Nutzung von E-Mail Diensten... 14 M 1.20 Nutzung von externen Kommunikationsdiensten... 15 M 1.21 Nutzung von Filesharing-Diensten... 15 GLOSSAR... 16 IT-SICHERHEIT AM ARBEITSPLATZ: REGELUNGEN ZUSAMMENGEFASST... 20

5 1. Regelungen zum IT-Basisschutz für IT-Anwenderinnen und Anwender 1.1 Grundsätzliches M 1.1 Information und Qualifizierung (der Bereiche) Verantwortlich für Umsetzung IT-Beauftragte (der Bereiche) Im Rahmen der Personalentwicklung werden für Mitarbeiterinnen und Mitarbeiter regelmäßig Fortbildungsund Schulungsangebote zur IT-Sicherheit angeboten. Entsprechende Informationen und Angebote finden Sie unter http://www.uni-bielefeld.de/fortbildung. M 1.2 Ansprechpersonen Verantwortlich für Initiierung BITS (Bereichs-IT-Sicherheitsbeauftragte) Verantwortlich für Umsetzung IT-Anwendende, IT-Personal Ansprechfall Bereiche/ Ansprechperson Durchwahl E-Mail Adresse IT-Sicherheitsvorfall Lokale IT-Betreuung Online im Personen- und Einrichtungs-verzeichnis (Menüpunkt Funktionsträger) Fragen zur zentralen IT-Sicherheit IT-Sicherheitsbeauftragte/r 3032 It-sicherheit@ uni-bielefeld.de Fragen zur lokalen IT-Sicherheit Die in dieser Richtlinie beschriebenen Regelungen sind ein verbindlicher Rahmen für alle Personen 1, die die IT-Infrastruktur der Hochschule nutzen (IT-Anwenderinnen und Anwender). Zu diesen zählen insbesondere Mitglieder, Angehörige und Gäste der sowie Beschäftigte von Dienstleistern. Die jeweiligen Maßnahmen erkennen Sie jeweils an dem vorgestellten Buchstaben M. Neben den Regelungen zum IT-Basisschutz sind mögliche ergänzende IT-Regelungen in den jeweiligen Arbeitsbereichen zu beachten. Für Beschäftigte, die Aufgaben bei der Betreuung der Informationstechnologie (IT) wahrnehmen, sind außerdem die Regelungen zum IT-Basisschutz für IT- Personal relevant. Bereichs-IT-Sicherheitsbeauftragte (BITS) Online im Personen- und Einrichtungs-verzeichnis (Menüpunkt Funktionsträger) 1 Zu diesen zählen keine Studierenden, es sei denn, sie stehen in einem Beschäftigungsverhältnis mit der Universität. Für Studierende gilt die aktuelle gültige Benutzerordnung des Hochschulrechenzentrums (HRZ).

Fragen zum Datenschutz/Personenbezogene Daten Datenschutzbeauftragte/r 5229 datenschutzbeauftragte@ uni-bielefeld.de Fragen zu lokalen IT- Diensten Lokale IT-Betreuung & lokale IT-Beauftragte Online im Personen- und Einrichtungs-verzeichnis (Menüpunkt Funktionsträger) Fragen zu zentralen IT-Diensten Beratung des HRZ (in den Fakultäten ggf. abweichend) 2398 hrz-hotline@ uni-bielefeld.de M 1.3 Vorgehen bei IT-Sicherheitsvorfällen Verantwortlich für Initiierung IT-Sicherheitsbeauftragte/r BITS (Bereichs-IT-Sicherheitsbeauftragte) Verantwortlich für Umsetzung IT-Anwendende, IT-Personal Ein IT-Sicherheitsvorfall ist gekennzeichnet durch den Verlust von Verfügbarkeit 2, Integrität 3 und Vertraulichkeit 4 bei Informationen, Daten oder IT-Systemen. Beispiele sind ein Virenbefall, Datenverlust, unbefugter Zugriff auf Daten oder auch ein Systemausfall. Bei derartigen Vorfällen ist folgende Vorgehensweise zu beachten: Verständigen Sie umgehend die für Sie zuständige IT-Betreuung. Ist die IT-Betreuung nicht erreichbar, informieren Sie Ihre Vorgesetzte oder Ihren Vorgesetzten, um das weitere Vorgehen abzustimmen. Versuchen Sie nicht, auftretende Probleme eigenmächtig zu lösen oder zu beheben! Schalten Sie das betroffene Gerät nicht aus. Trennen Sie es vom Datennetz, sofern dies möglich ist und Ihnen die entsprechenden Kabel vertraut sind. Ändern Sie bei einem Verlust oder Diebstahl von IT-Geräten umgehend alle Ihre Zugangsinformationen (Passwörter etc.). Das weitere Vorgehen wird in der IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen beschrieben. 1.2 Einsatz von Hard- und Software M 1.4 Absicherung von Arbeitsplatzrechnern Verantwortlich für Umsetzung IT-Anwendende, IT-Personal 2 Siehe Glossar im Anhang 3 Siehe Glossar im Anhang 4 Siehe Glossar im Anhang

7 Der Betrieb von Computern an der IT-Infrastruktur der Universität ist ohne angemessene Basisschutz- Maßnahmen wie Virenscanner, Firewall und aktuelle Software- und Betriebssystemversionen nicht gestattet. Eine Deaktivierung von Standard-Schutzmechanismen wie Virenscanner oder Firewall ist nicht gestattet. Sofern Ihr Computer nicht durch die IT-Betreuung betreut wird, sind IT-Anwendende verpflichtet, die installierte Software (das Betriebssystem sowie sämtliche Anwendungs- und Schutz-Software) eigenständig auf einem aktuellen Stand zu halten. Das HRZ stellt allen Beschäftigten einen Virenscanner zur Verfügung. Weitere Informationen erhalten Sie auf den Internetseiten des HRZ. M 1.5 Kontrollierter Software-Einsatz Verantwortlich für Umsetzung IT-Anwendende Um die IT der sicher zu betreiben, sind folgende Software-Regelungen maßgeblich. Bei Fragen hilft Ihnen Ihre IT-Betreuung weiter: Jede Software kann Schwachstellen aufweisen, die die Sicherheit Ihres Computers gefährden. Lassen Sie deshalb ausschließlich Software auf Ihrem dienstlichen Computer installieren, die Sie für Ihre Arbeit benötigen. Nutzen Sie ausschließlich Software, für die die Universität eine Lizenz erworben hat. Bei einem Einsatz unlizensierter Software können erhebliche Schadenersatzforderungen geltend gemacht werden. Setzen Sie Software nur aus vertrauenswürdigen Quellen ein, beispielsweise von der Internetseite des Herstellers. So schützen Sie sich zuverlässiger vor ungewollten oder schädlichen Software- Bestandteilen. Software, mit der personenbezogene Daten verarbeitet werden, unterliegt den gesetzlichen Regelungen des Datenschutzes. Ihr Einsatz ist vorab mit der oder dem Datenschutzbeauftragten abzustimmen (siehe M 1.2). M 1.6 Handhabung mobiler IT-Geräte Verantwortlich für Umsetzung IT-Anwendende Mobile IT-Geräte (Notebooks, Smartphones 5, USB-Sticks, externe Festplatten etc.) sind gegen Diebstahl und unbefugte Nutzung zu sichern. Ihre hohe Mobilität macht eine Infektion mit schädlicher Software oder einen Verlust wahrscheinlicher als bei herkömmlichen IT-Geräten. Ein damit verbundener Datenverlust oder -mißbrauch kann erhebliche Konsequenzen für die Universität haben. Sichern Sie Ihre IT-Geräte mit geeigneten Maßnahmen gegen Diebstahl, beispielsweise Notebooks mit einem Schloss (Kensington-Lock). Dieses kann über die IT-Betreuung bei der zentralen Beschaffung bestellt werden. Verwahren Sie, wenn möglich, nicht gesicherte mobile IT-Geräte bei längerer 5 Siehe Glossar im Anhang

Abwesenheit in abschließbaren Möbeln, die gegen einen schnellen Zugriff durch Dritte schützen.sensible Daten auf mobilen IT-Geräten sind gegen unbefugten Zugriff zu schützen, beispielsweise Notebooks durch eine Verschlüsselungsfunktion oder Smartphones durch eine PIN. Kommunikationsdienste wie W-Lan oder Bluetooth sollten bei Nichtbenutzung ausgeschaltet werden. Bei einem Verlust oder Diebstahl mobiler IT-Geräte beachten Sie das Vorgehen bei IT- Sicherheitsvorfällen (siehe M 1.3). Zum Schutz von sensiblen Daten auf mobilen IT-Geräten, beachten Sie die Hinweise zur Verschlüsselung von Daten (siehe M 1.9). Beachten Sie ebenfalls die weiteren Regelungen zur Handhabung mobiler IT-Geräte in ihrer Fakultät oder Einrichtung. M 1.7 Einsatz privater IT-Geräte Verantwortlich für Umsetzung IT-Anwendende Private IT-Geräte im Netzwerk bzw. an IT-Geräten der Universität anzuschließen, birgt Risiken. Um die IT- Anwendende und die vor den Folgen unsachgemäßer Nutzung zu schützen, ist Folgendes zu beachten: Der Einsatz privater IT-Geräte an der IT-Infrastruktur der Universität ist in der Verwaltung nicht gestattet. Dies gilt vor allem für besonders geschützte Netzwerkbereiche der Verwaltung. Fakultäten und Einrichtungen, die nicht zur Zentralverwaltung gehören, können schriftlich Regelungen zum Einsatz privater IT-Geräte treffen. Diese müssen Regelungen zum Genehmigungsprozess enthalten und dürfen nicht im Widerspruch zu den Regelungen des IT-Basisschutzes stehen. Fehlen Regelungen zum Einsatz solcher Geräte, sind ausschließlich universitätseigene IT-Geräte an der IT- Infrastruktur zu betreiben. Sondergenehmigungen, zum Beispiel im Rahmen von Schulungsveranstaltungen oder Vorträgen, müssen durch die IT-Beauftragten in Abstimmung mit den Bereichs-IT-Sicherheitsbeauftragten (BITS) schriftlich erteilt und dokumentiert werden. Sollte die Verwendung privater IT-Geräte gestattet sein, müssen diese mindestens mit Schutzmechanismen wie einem aktuellen Virenscanner und einer Firewall sowie aktuellen Software- und Betriebssystemversionen ausgestattet sein. Bei Fragen zur Sicherheit Ihrer IT-Geräte wenden Sie sich an Ihre IT-Betreuung. Die Nutzung von privaten IT-Geräten ist in öffentlichen Bereichen der Universität wie beispielsweise der Universitätsbibliothek oder dem lokalen Funknetzwerk (W-LAN) gestattet. Aus dem unsachgemäßen Einsatz privater IT-Geräte können haftungsrechtliche Konsequenzen erwachsen. 1.3 Handhabung von Daten und Informationen Dienstliche Daten und Informationen sind grundsätzlich schützenswert und nicht für Unbefugte bestimmt. Bei ihrer Verarbeitung (insbesondere dem Speichern, Versenden, Löschen und Entsorgen) tragen alle IT-

9 Anwendenden die Verantwortung für einen angemessenen Schutz. Bei personenbezogenen 6 Daten sind die gesetzlichen Regelungen des Datenschutzes zu beachten und die oder der Datenschutzbeauftragte zu beteiligen. Um Daten angemessen zu schützen, sind insbesondere folgende Maßnahmen zu beachten: M 1.8 Speicherung von Daten Verantwortlich für Umsetzung IT-Anwendende Um dienstliche Daten gegen Verlust, ungewollte Veränderungen und unbefugten Zugriff zu schützen, sind diese sicher zu speichern. Dienstliche Daten sind immer in einer aktuellen Version auf den angebotenen Speicherdiensten (Netzlaufwerk 7 ) der Hochschule abzulegen. Daten auf lokalen Festplatten sind nicht gegen Verlust geschützt. Bei einem Defekt der Festplatte gehen diese vollständig verloren. Steht ein gesicherter zentraler Speicherort nicht zur Verfügung, liegt es in der Verantwortung der Betroffenen, regelmäßig eine Sicherungskopie (Backup) der Daten anzulegen. Näheres erfahren Sie bei Ihrer zuständigen IT- Betreuung. Sicherungskopien sind gegen unbefugten Zugriff und Zerstörung zu schützen (siehe M 1.10). Bei der Speicherung von dienstlichen Daten auf mobilen IT-Geräten (Notebooks, Smartphones, mobilen Festplatten und ähnlichem) sind wegen des hohen Verlustrisikos besondere Schutzmaßnahmen wie beispielsweise eine Verschlüsselung zu treffen. Für die Ablage von dienstlichen Daten sind ausschließlich die angebotenen Speicherdienste der Fakultäten und Einrichtungen zu nutzen. Eine Speicherung dienstlicher Daten außerhalb der Universität (beispielsweise bei Web.de, Google, Dropbox etc.) ist nicht gestattet. Diese können ggf. von Unbefugten eingesehen oder verändert werden, ein Verlust der Daten oder ihre Nutzung durch den Anbieter für eigene Zwecke kann nicht ausgeschlossen werden. Ferner kann die Universität bei Problemen mit externen Diensten keine inhaltliche und technische Unterstützung leisten. Begründete Ausnahmen müssen durch die IT-Beauftragten des Bereichs in Abstimmung mit den Bereichs-IT-Sicherheitsbeauftragten (BITS) genehmigt und schriftlich dokumentiert werden. Bei personenbezogenen Daten ist die oder der Datenschutzbeauftragte zu beteiligen. Beschäftigte sind mit dem Ausscheiden aus dem Dienstverhältnis verpflichtet, mit ihrem Vorgesetzten den Verbleib ihrer dienstlichen Daten (E-Mails, Projektdaten, Konzepte und ähnliches) zu klären. Daten, die nicht mehr benötigt werden, sind unter Beachtung von Archivierungsfristen nach einer festzusetzenden Frist durch die IT-Betreuung zu löschen. Fristen die nicht gesetzlich vorgegeben sind, sind von dem IT-Beauftragten festzulegen. M 1.9 Handhabung vertraulicher Daten und Informationen Verantwortlich für Umsetzung IT-Anwendende, IT-Personal 6 Siehe Glossar im Anhang 7 Siehe Glossar im Anhang

Sensible 8 Daten können unabhängig vom Transportweg (beispielsweise per Post, per E-Mail oder auf einem USB-Stick), in unbefugte Hände gelangen. Vertrauliche Daten mit einem hohen Schutzbedarf 9 sind bei einem Versand oder Transport durch angemessene Maßnahmen vor einer unbefugten Kenntnisnahme, beispielsweise durch eine Verschlüsselung der Daten, zu schützen. Erkundigen Sie sich bei der IT-Betreuung nach geeigneten Schutz- und Verschlüsselungsmechanismen. Sollen zwischen zwei oder mehreren Personen Datenträger mit vertraulichen Informationen ausgetauscht werden, so sind besonders eine eindeutige Adressierung, die Nutzung von seriösen Versandunternehmen, die Nachverfolgbarkeit des Versandes sowie eine möglichst manipulationssichere Verpackung sicher zu stellen. Passwörter, die Zugang zu verschlüsselten Daten ermöglichen, sind an einem sicheren Ort nachvollziehbar zu hinterlegen, um die Daten gegen einen Verlust zu schützen. Gehen Passwörter verloren, kann auf die verschlüsselten Daten nicht mehr zugegriffen werden. Eine Hinterlegung von Passwörtern kann ebenfalls für einen Vertretungsfall wichtig sein. Lassen Sie vertrauliche Ausdrucke nicht in Druckern liegen und entsorgen Sie vertrauliche Fehldrucke und -kopien eigenhändig im Aktenvernichter (siehe M 1.11). Stellen Sie Ihren Monitor so auf, dass Unbefugte nach Möglichkeit keinen Einblick in vertrauliche Daten nehmen können. M 1.10 Handhabung von Datenträgern Verantwortlich für Umsetzung IT-Anwendende, IT-Personal Datenträger (CDs, DVDs, USB-Sticks, Festplatten etc.) können bei falscher Aufbewahrung z. B. durch Hitze oder Feuchtigkeit beschädigt werden. Beachten Sie folgende Regelungen, um Datenverlust zu vermeiden: Disketten, CDs, DVDs, USB-Sticks, mobile Festplatten und ähnliche Speichermedien sind keine geeigneten Datenträger für eine Langzeitsicherung oder Archivierung von Daten. Erkundigen Sie sich bei Ihrer IT-Betreuung nach geeigneten Angeboten. Um Datenträger ihrem Inhalt entsprechend sicher handhaben zu können, beschriften Sie diese eindeutig. Um die Lesbarkeit der Daten längerfristig sicherzustellen, wird empfohlen, die Daten regelmäßig auf neue Datenträger umzukopieren. Beachten Sie die Aufbewahrungshinweise der Hersteller. M 1.11 Entsorgung von Daten, Datenträgern und Dokumenten BITS (Bereichs-IT-Sicherheitsbeauftragte) Verantwortlich für Umsetzung IT-Anwendende, IT-Betreuung 8 Siehe Glossar im Anhang 9 Siehe Glossar im Anhang

11 Datenträger (Festplatten, CDs, DVDs etc.), auch in IT-Geräten (Handys, Smartphones, USB-Sticks etc.) und vertrauliche Dokumente müssen sicher entsorgt werden. Bei unsachgemäßer Entsorgung können vertrauliche Daten in falsche Hände gelangen. Das kann erhebliche negative Folgen für die Universität und ihre Beschäftigten nach sich ziehen. Bei der Entsorgung von personenbezogenen Informationen sind die Regelungen des Datenschutzgesetzes NRW (DSG NRW) zu beachten. Beachten Sie bei der Entsorgung folgende Hinweise und sprechen Sie ggf. die genannten Ansprechpersonen an: Entsorgung von Festplatten, Laptops und IT-Kleingeräten mit Datenträgern Einzelne Festplatten, Laptops und IT-Geräte wie Handys, PDAs, USB-Sticks etc. können während der Dienststunden im Dispatching des HRZ (V0-215) über Sicherheitsbehälter entsorgt werden. Die Vernichtung wird unter Beachtung des Datenschutzgesetzes NRW durchgeführt. Größere Mengen sind mit der Sachbearbeitung Abfallwirtschaft (abfallwirtschaft@uni-bielefeld.de) abzustimmen. Geräte, die aufgrund ihrer Größe nicht auf diesem Weg entsorgt werden können, sind über den im nächsten Punkt beschriebenen Entsorgungsweg einer geregelten Vernichtung zuzuführen. Entsorgung von Arbeitsplatzrechnern Sollte es nicht möglich sein die Festplatten auszubauen, können Arbeitsplatzrechner auch komplett einer Vernichtung zugeführt werden. Die Anmeldung erfolgt über ein Webformular: http://www.unibielefeld.de/abfallservice. Die Rechner werden nach einer Terminvereinbarung abgeholt und einer sicheren Entsorgung zugeführt. Entsorgung von CDs, DVDs und Disketten CDs, DVDs, Disketten etc. können während der Dienststunden beim Dispatching des HRZ (V0-215) über Sicherheitsbehälter geregelt entsorgt werden. Entsorgung von Magnet-, Videobändern etc. Magnet- oder Videobänder müssen gesondert entsorgt werden. Bei Bedarf nehmen Sie bitte Kontakt mit der Sachbearbeitung Abfallwirtschaft (abfallwirtschaft@uni-bielefeld.de) auf. Akten- und Papiervernichtung Ausdrucke und Akten können ebenso wie Datenträger vertrauliche Daten enthalten. Diese sind so zu vernichten, dass die ursprünglichen Informationen nicht wiederhergestellt werden können. Beachten Sie vor der Vernichtung von Akten der Universität unbedingt die Richtlinien über Aufbewahrung, Aussonderung, Archivierung und Vernichtung von Akten. 10 Für größere Mengen wird mehrfach jährlich nach Bedarf eine Aktenvernichtung durch die Sachbearbeitung Abfallwirtschaft (abfallwirtschaft@uni-bielefeld.de) organisiert. Für kleine Aktenmengen steht in den Dienstzeiten in der Zentralverwaltung ein Aktenvernichter zur Verfügung, der eine ausreichend hohe Sicherheitsstufe besitzt. Nähere Hinweise zur Aktenvernichtung finden sich auf den Internetseiten der Abfallwirtschaft (http://www.uni-bielefeld.de/abfall). Bei der Beschaffung eines eigenen Aktenvernichters sind die DIN 32757 bzw. mindestens die Sicherheitsstufe 3 zu beachten. 10 Bekannt gegeben am 9.12.2003 durch ein Rundschreiben des Kanzlers an die Leiterinnen und Leiter der Fakultäten und Einrichtungen. Die Regelungen können über das Universitätsarchiv bezogen werden.

1.4 Schutz vor unbefugtem Zugriff M 1.12 Zugriffsberechtigungen Verantwortlich für Umsetzung IT-Betreuung IT-Anwendende erhalten nur die für ihre Tätigkeit erforderlichen Zugriffsberechtigungen auf die Daten und Dienste der Universität. Diese werden durch die IT-Beauftragten oder die oder den Vorgesetzte/n definiert und von der verantwortlichen IT-Betreuung umgesetzt. M 1.13 Benutzerkennungen Verantwortlich für Umsetzung IT-Anwendende Das Arbeiten unter der Kennung anderer Personen oder die Weitergabe des Passworts für die Benutzerkennungen sind grundsätzlich unzulässig (siehe M 1.14). M 1.14 Umgang mit Passwörtern Verantwortlich für Umsetzung IT-Anwendende, IT-Betreuung Passwörter, die einfach zu erraten (Namen, Geburtsdaten) oder sichtbar notiert sind, gefährden die Vertraulichkeit und Integrität Ihrer Daten. Beachten Sie daher folgende Passwort-Regelungen: Verwenden Sie sofern dies technisch möglich ist in Ihren Passwörtern mindestens acht Zeichen mit Zahlen und Sonderzeichen. Passwörter sind geheim zu halten. Teilen Sie Ihr Passwort niemandem mit, auch nicht Personen in Ihrem Bereich oder in der IT-Betreuung. Sollte Sie jemand um die Herausgabe Ihres Passwortes bitten, informieren Sie umgehend die oder den IT-Sicherheitsbeauftragte/n. Auch im Vertretungsfall ist eine Weitergabe des Passwortes grundsätzlich nicht gestattet. Die Zugriffsberechtigungen der zu vertretenden Personen sind technisch auf ihre jeweilige Vertretung zu übertragen. Dabei unterstützt Sie Ihre IT-Betreuung. Ist dies in Ausnahmefällen nicht möglich, ist eine Passwortweitergabe mit den IT- Beauftragten zu klären und schriftlich zu dokumentieren. Nach Beendigung der Vertretung, ist das Passwort sofort zu wechseln. Notieren Sie Passwörter niemals sichtbar und bewahren Sie diese strikt getrennt von Ihrem Computer in einer sicheren, abgeschlossenen Umgebung auf. Wechseln Sie Ihre Passwörter regelmäßig (mindestens einmal pro Jahr).

13 Ändern Sie Ihre Passwörter sofort, wenn Sie den Verdacht haben, dass sie anderen Personen bekannt sein könnten. Verwenden Sie verschiedene Passwörter für unterschiedliche Bereiche (Internet, internes Netz etc.) und setzen Sie dienstliche Passwörter nicht für private Zwecke ein. Hinweis: Mit Hilfe von Passwort-Phrasen können Sie sich sichere Passwörter einfach merken. Beispiel- Phrase: Montag ist mein Lieblingstag und der erste Tag der Woche. Die Anfangsbuchstaben des Satzes ergeben das Passwort: MimL&d1TdW. In diesem Fall werden die Worte und sowie erste durch ein Sonderzeichen und eine Zahl ersetzt. M 1.15 Zugriffschutz am Computerarbeitsplatz Verantwortlich für Umsetzung IT-Anwendende, IT-Betreuung Zum Schutz vor unbefugtem Zugriff sind folgende Maßnahmen an den genutzten Systemen zu beachten: Aktivieren Sie einen Bildschirmschoner mit einem Passwortschutz, welcher nach einer definierten Zeit automatisch gestartet wird. Alternativ können Sie Ihren Computer sperren, wenn Sie nicht am Platz sind. Sofern Ihr Computer nicht dauerhaft eingeschaltet bleiben muss, schalten Sie ihn nach Beendigung der Arbeit aus. M 1.16 Zugang zum Datennetz Verantwortlich für Umsetzung IT-Anwendende, IT-Betreuung Der Anschluss von Systemen an das Datennetz der darf ausschließlich über die dafür vorgesehene Infrastruktur erfolgen. Maßnahmen und Eingriffe, die den Betrieb der Datennetz-Infrastruktur stören, sind zu unterlassen. Eine Nutzung von zusätzlichen Verbindungsmöglichkeiten ist nicht gestattet. Dazu zählen auch: Einrichtung und Betrieb von eigenen Wireless-LAN Access Points am Netz der Universität Einrichtung und Betrieb eigener DSL-Anschlüsse, eines Modems oder anderer Zugangsmechanismen, die an das Netz der Universität angeschlossen werden und so eine Verbindung zwischen zwei Netzen herstellen können. Begründete Ausnahmen müssen durch die IT-Beauftragten des Bereichs in Abstimmung mit Hochschulrechenzentrum genehmigt und schriftlich dokumentiert werden. Maßnahmen oder Geräte, die Störungen des Betriebs verursachen, sind nach Aufforderung unverzüglich zu beseitigen.

1.5 Schutz vor unbefugtem Zutritt M 1.17 Räumlicher Zutrittsschutz Verantwortlich für Umsetzung IT-Anwendende Verschließen Sie Ihren Dienstraum, wenn Sie Ihren Arbeitsplatz verlassen, sofern dies möglich ist. So wird Unbefugten der Zugriff auf vertrauliche Informationen erschwert und die Zahl von Diebstählen reduziert. M 1.18 Schlüssel und Zutrittskarten Verantwortlich für Umsetzung IT-Anwendende Lassen Sie grundsätzlich keine dienstlichen Schlüssel, Ausweise oder Zutrittskarten im Auto liegen und nehmen Sie diese nicht in der Freizeit mit. Informieren Sie bei einem Verlust von Schlüsseln und Zutrittskarten umgehend die verantwortliche Ausgabestelle bzw. Ihre Vorgesetzten. 1.6 Kommunikationssicherheit M 1.19 Nutzung von E-Mail Diensten Verantwortlich für Umsetzung IT-Anwendende Für den dienstlichen E-Mail-Verkehr, ist ausschließlich die Nutzung eines E-Maildienstes und einer E-Mail- Adresse der (person@uni-bielefeld.de bzw. person@bereich.uni-bielefeld.de) gestattet. Eine Speicherung von dienstlichen E-Mails außerhalb der Hochschule (z. B. bei Webdiensten wie Web.de, Google, Hotmail etc.) ist nicht gestattet, da Informationen von Unbefugten eingesehen oder verändert werden können. Ein Verlust der Daten oder ein unbefugter Zugriff Dritter kann somit nicht ausgeschlossen werden. Bei Problemen mit externen Diensten kann die Universität keine Unterstützung leisten.

15 M 1.20 Nutzung von externen Kommunikationsdiensten Verantwortlich für Umsetzung IT-Anwendende Die dienstliche Nutzung von externen Kommunikationsdiensten, die nicht durch die Universität betrieben und angeboten werden, ist grundsätzlich nicht gestattet. Zu diesen zählen beispielsweise Chat, Sprach- und Video-Telefonie wie Skype, Windows Live Messenger etc. Sollte ihr Einsatz zu dienstlichen oder wissenschaftlichen Zwecken ausnahmsweise erforderlich sein, ist dies schriftlich durch die IT-Beauftragten der Bereiche zu genehmigen und zu dokumentieren. Vorhandene IT-Sicherheitsrichtlinien sind bei der Nutzung zu beachten. M 1.21 Nutzung von Filesharing-Diensten Verantwortlich für Umsetzung IT-Anwendende Der Einsatz von sogenannten Filesharing-Diensten zum Laden oder Tauschen von Daten wie emule, BitTorrent etc. birgt erhebliche Sicherheitsrisiken. Die Nutzung dieser oder vergleichbarer Dienste ist nur in Abstimmung mit den IT-Beauftragten bzw. mit dem Hochschulrechenzentrum gestattet. Entsprechende Ansprechpersonen finden Sie im Anhang. Bei der Nutzung ist geltendes Recht, insbesondere das Urheberrecht, zu beachten. Beachten Sie auch die Hinweise unter M 1.9 zur Handhabung vertraulicher Daten.

Glossar Begriff Applikationsbetreuende Audit Bereichs-IT-Sicherheitsbeauftragte (BITS) Datenschutzbeauftragte Filesharing Integrität IT IT- Verfahrensverantwortliche IT-Anwenderinnen und Anwender IT-Beauftragte Erläuterung Die Applikationsbetreuerin oder der Applikationsbetreuer sind die für den technischen Betrieb einer Software-Anwendung verantwortlichen Ansprechpersonen. Sie oder er ist mit der Konfiguration der Applikation vertraut und in der Lage, Änderungen an ihr vorzunehmen. Ein Audit ( Anhörung ) ist ein systematisches Untersuchungsverfahren, das sicherstellen soll, dass Anforderungen und Richtlinien, beispielsweise bei einem IT-System, entsprechend umgesetzt worden sind und eingehalten werden. Die Bereichs-IT-Sicherheitsbeauftragten (BITS) sind in ihrer Organisationseinheit Ansprechpersonen für die IT-Sicherheit und tragen Sorge für die Umsetzung der im IT-Sicherheitsprozess erarbeiteten Vorgaben. Sie arbeiten eng mit der oder dem zentralen IT-Sicherheitsbeauftragten zusammen. Die oder der Datenschutzbeauftragte überwacht die Einhaltung datenschutzrechtlicher Bestimmungen. Sie oder er ist der Leitung der Universität unterstellt, nicht weisungsgebunden, wird von der Landesbeauftragten für den Datenschutz kontrolliert und kann sich in Zweifelsfällen an diese wenden. Unter dem Begriff Filesharing wird ein Datenaustausch zwischen Nutzerinnen und Nutzern über das Internet verstanden. Dies geschieht meist unter zuhilfenahme von sogenannten Peer-to-Peer - Diensten wie beispielsweise Bittorrent, die Daten der Nutzenden verteilen und gleichzeitig von anderen herunterladen. Integrität ist gewährleistet, wenn IT-Systeme und die durch sie verarbeiteten Informationen nicht unbefugt bzw. unzulässig verändert werden können. Informationstechnik IT-Verfahrensverantwortliche sind Personen, die für den Betrieb eines IT-Verfahrens Verantwortung tragen und Auskunft über die technische und organisatorische Umsetzung geben können. IT-Anwenderinnen und Anwender sind Personen, die IT für ihre Aufgabenerfüllung nutzen, jedoch keine administrativen Berechtigungen haben wie beispielsweise das mit besonderen Berechtigungen ausgestattete IT-Personal. Der oder die IT-Beauftragte ist für die inhaltliche und strategische Planung einer Fakultät bzw. Einrichtung verantwortlich. Er oder sie stellt sicher, dass eine permanente bedarfsorientierte Versorgung der Fakultät bzw. Einrichtung mit IT-Dienstleistungen erreicht wird.

17 IT-Betreuung IT-Dienstleistende IT-Geräte IT-Kleingeräte IT-Personal Die IT-Betreuung steht den Beschäftigen der Fakultäten und Einrichtung als primäre Ansprechperson bei allen Fragen zur Informationstechnik und Datenverarbeitung zur Verfügung. Dies beinhaltet insbesondere die Hard- und Softwarebetreuung, die Ersteinrichtung, Wartung und Entsorgung von Arbeitsplatzrechnern. IT-Dienstleistende wird als Oberbegriff für die IT-Betreuung und die Systemadministration verwendet. Dienstleistende an der Universität Bielefeld sind beispielsweise das Computerlabor der Mathematik, die Rechnerbetriebsgruppe (RBG) der Technischen Fakultät oder das Hochschulrechenzentrum (HRZ). Elektronische Geräte wie Arbeitsplatzrechner, Notebooks, Server etc., die für die Verarbeitung von Daten genutzt werden. Elektronische Kleingeräte, die Daten verarbeiten und speichern können. Zu diesen zählen beispielsweise Handys, Smartphones oder USB-Sticks. Zum IT-Personal zählen Beschäftigte der Universität, die im Rahmen ihrer Tätigkeiten insbesondere mit der Installation, Konfiguration und Pflege von IT-Geräten und -Systemen betraut sind (siehe auch Systemadministration). IT-Sicherheitsbeauftragter Die oder der IT-Sicherheitsbeauftragte ist unter Anderem verantwortlich für die Entwicklung des Regelwerks der IT-Sicherheit, dessen Veröffentlichung und Fortschreibung und die Sicherstellung, dass dieses in den Fakultäten und Einrichtungen umgesetzt wird. Des Weiteren berät er oder sie die Fakultäten und Einrichtungen und führt Schulungs- und Sensibilisierungsmaßnahmen durch. IT- Sicherheitsmanagement- Team (SMT) IT-Sicherheitsprozess IT-Verfahren Das Sicherheitsmanagement-Team (SMT) berät und unterstützt den IT-Sicherheitsbeauftragten oder die IT-Sicherheitsbeauftragte bei der Umsetzung und Steuerung des IT-Sicherheitsprozesses. Dem SMT fällt keine operative Kompetenz zu. Das SMT besteht aus 11 Mitgliedern der. Den Vorsitz führt der oder die IT- Sicherheitsbeauftragte. Um ein angemessenes Sicherheitsniveau für den Betrieb von Informationstechnik und die in diesem Zusammenhang verarbeiteten Daten herzustellen, ist ein organisiertes Vorgehen notwendig. Dies wird als IT-Sicherheitsprozess bezeichnet. In diesem Zusammenhang werden strategische Leitaussagen zur IT-Sicherheit formuliert, konzeptionelle Vorgaben erarbeitet und die organisatorischen Rahmenbedingungen geschaffen, welche die Risiken für die Integrität, Verfügbarkeit und Vertraulichkeit auf ein angemessenes Maß reduzieren. Eine regelmäßige Prüfung und Fortschreibung der Regelungen und Maßnahmen stellt sicher, dass auf neue Bedrohungen adäquat reagiert werden kann. Unter IT-Verfahren werden alle Arbeitsabläufe (Prozesse) verstanden, die auf Informationstechnik basieren. Ein IT-Verfahren bildet aus

arbeitsorganisatorischer Sicht eine abgeschlossene Einheit. Hierzu zählen Beispielsweise der Betrieb eines E-Mail-, Content- Management- oder Backup-Systems. Ein einzelner Arbeitsplatzrechner stellt kein IT-Verfahren dar. Netzlaufwerk Notfall Personenbezogene Daten Revision Schutzbedarf Ein Netzlaufwerk ist ein reservierter Speicherbereich auf einem zentralen Speichersystem, der wie ein echtes Laufwerk (z. B. Laufwerk C: oder D: ) auf dem Arbeitsplatzrechner eingebunden wird. Solche Netzlaufwerke bietet beispielsweise das HRZ als zentrale IT- Dienstleistung an. Diese bieten durch eine Reihe von Maßnahmen (Spiegelung und regelmäßiges Backup der Daten) einen hohen Schutz gegen Ausfall und Datenverlust. Einen Notfall bezeichnet eine Situation, in der beispielsweise durch eine Betriebsstörung die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten nicht mehr gegeben ist und ein verhältnismäßig hoher Schaden doht. Der Begriff wird im Datenschutzrecht (Bundesdatenschutz- und Landesdatenschutz-Gesetze) definiert und bezieht sich auf alle Daten bzw. Informationen, die einer natürlichen Person zugeordnet werden können. Eine Revision ist ähnlich wie ein Audit eine regelmäßige Überprüfung von Maßnahmen auf ihre Angemessenheit und Wirksamkeit, die beispielsweise zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit umgesetzt worden sind. Grundsätzlich sind alle Daten schützenswert. Der tatsächliche Schutzbedarf von Daten wird durch eine Schutzbedarfsanalyse ermittelt. Abhängig von dem Ergebnis müssen entsprechende Maßnahmen ergriffen werden, um die Daten angemessen zu schützen. Die Vorlage zur Durchführung einer Schutzbedarfsanalyse ist bei dem oder der IT-Sicherheitsbeauftragten erhältlich. Schutzbedarfsanalyse Eine Schutzbedarfsanalyse wird im Rahmen des IT- Sicherheitsprozesses durchgeführt, um anhand von sechs vorgegebenen Kategorien den Schutzbedarf von Daten oder Systemen zu ermitteln. Im Ergebnis werden die Schutzbedarfsstufen Normal, Hoch und sehr Hoch unterschieden. Abhängig von dem Ergebnis werden entsprechende Maßnahmen ergriffen, um die Daten angemessen zu schützen. Bei einem hohen oder sehr hohen Schutzbedarf wird ergänzend eine Risikoanalyse durchgeführt. Schützenswerte Daten Smartphones Grundsätzlich sind alle Daten schützenswert. Der tatsächliche Schutzbedarf von Daten wird durch eine Schutzbedarfsanalyse ermittelt. Abhängig von dem Ergebnis werden Maßnahmen ergriffen, um die Daten angemessen zu schützen. Smartphones vereinen den Leistungsumfang eines Mobiltelefons mit einer elektronischen Terminplanung, E-Mail-, Internet-Zugang und ähnlichen Diensten. Sie gehören zu der Kategorie IT-Kleingeräte.

19 Systemadministration Verfahrensverzeichnis Verfügbarkeit Vertrauliche Daten Vertraulichkeit Die Systemadministration ist für die Verwaltung von IT-Systemen verantwortlich. Zu ihren Aufgaben zählen insbesondere die Installation, Konfiguration und Pflege der betreuten Systeme. Für diesen Zweck sind diese mit entsprechenden Zugriffsberechtigungen ausgestattet. Der Begriff Verfahrensverzeichnis stammt aus dem Datenschutz und beschreibt unter anderem die Dokumentation der im Rahmen eines IT-Verfahrens verarbeitenden Daten. Im IT-Sicherheitsprozess werden alle IT-Verfahren der Universität dokumentiert unabhängig davon, ob Sie personenbezogene Daten enthalten oder nicht. Verfügbarkeit ist gewährleistet, wenn IT-Systeme, ihre Komponenten und die auf ihnen gespeicherte Informationen zu jedem Zeitpunkt, an welchem diese gebraucht werden, zur Verfügung stehen. Vertrauliche Daten sind Informationen, die nicht für die Öffentlichkeit, sondern ausschließlich für einen eingeschränkten Personenkreis bestimmt sind. Beispiele sind Personaldaten, Finanzdaten, allgemein Daten mit Personenbezug (personenbezogene Daten) und Forschungsdaten die nicht bzw. noch nicht publiziert worden sind (siehe auch Schutzbedarf). Vertraulichkeit ist gewährleistet, wenn Informationen ausschließlich durch die dafür autorisierten Personen eingesehen bzw. abgerufen werden können.