IT-Sicherheitsvorfall melden

Inhalt

• Was ist ein IT-Sicherheitsvorfall?
• Was ist ein IT-Sicherheitsnotfall?
• Wem melde ich was?

Ihre Meldung sollte folgende Angaben enthalten:

1. Wer meldet (Name, E-Mail-Adresse, Telefonnummer)?
2. Wann hat sich der Vorfall ereignet (Datum, Uhrzeit)?
3. Wo hat sich der Vorfall ereignet (Gebäude, Raum)?
4. Art des Vorfalls (Schad-Software-Befall, Einbruch ins System, …)?
5. Welches System ist betroffen (Name, IP-Adresse)?

Sie können sich dazu auch unsere IT-Notfallkarte herunterladen und ausdrucken.

Was ist ein IT-Sicherheitsvorfall?

1. Sie haben versehentlich einen verdächtigen Anhang in einer E-Mail geöffnet.

2. Sie haben versehentlich auf eine verdächtige Web-Adresse (Link) in einer E-Mail geklickt.

3. Sie erhalten eine Erpresser-E-Mail.

4. Sie erhalten eine E-Mail, in der Sie aufgefordert werden, persönliche Daten (Benutzername, Passwort, Kontonummer, …) über eine Web-Seite einzugeben oder jemandem mitzuteilen.

5. Sie erhalten sehr viele unerwünschte Nachrichten in Ihr Postfach (Spam-Mail).

6. Ihr Benutzerkonto wird zum Senden von Spam-Mail missbraucht.

7. Ihr Rechner verhält sich merkwürdig (Festplatte läuft im Dauerbetrieb, Rechner reagiert nicht auf Eingaben, …), da er ggf. mit Schad-Software verseucht ist.

8. Sie werden angerufen (i. A. geben sich die Personen als Beschäftigte einer Hotline einer bestimmten Firma aus), da Ihr Rechner angeblich Probleme hat, die mit Ihrer Hilfe gelöst werden können, wenn Sie bestimmte Einstellungen vornehmen, die Ihnen jetzt telefonisch durchgegeben werden.

9. Sie werden angerufen und nach Ihrer Arbeitsumgebung gefragt (eingesetzte Produkte, Kolleginnen und Kollegen, Vorgesetzte, E-Mail-Adressen, …), damit diese Informationen später ggf. für einen Angriff auf die Rechner und/oder das Netz der Hochschule benutzt werden können (Informationsbeschaffung über Social Engineering).

10. Sie haben eine regelwidrige Benutzung laut **Kapitel 6 der IT-Sicherheitsrichtlinie der Hochschule** festgestellt.

11. Wenn Ihnen generell etwas merkwürdig oder verdächtig vorkommt, kann es sich ebenfalls um einen IT-Sicherheitsvorfall handeln.

Melden Sie den Vorfall zeitnah! Alle Hochschulangehörigen sind verpflichtet, IT-Sicherheitsvorfälle zu melden.

Seitenanfang

Was ist ein IT-Sicherheitsnotfall?

1. Ihr Endgerät wurde gestohlen oder Sie haben es verloren.

2. Ihre Dateien werden automatisch gelöscht, verändert oder verschlüsselt. Versuchen Sie, den Schaden laut Kapitel 5 im Grundschutzdokument zu begrenzen. Verwenden Sie Ihr Endgerät erst dann wieder, wenn Sie dazu vom Rechenzentrum aufgefordert werden.

3. Ihre Zugangsdaten (Benutzername/Passwort, Chipkarte, …) wurden gestohlen. Ändern Sie sofort Ihr Passwort und/oder lassen Sie ggf. Ihr Benutzerkonto sperren.

4. Sie werden akut erpresst oder bedroht, um die IT-Infrastruktur der Hochschule zu kompromittieren.

Seitenanfang

Wem melde ich was?

Wenden Sie sich bitte an die Ansprechperson Ihrer Organisationseinheit bzw. des Rechenzentrums,wenn Sie einen IT-Sicherheitsvorfall oder -notfall erkennen, einen Verstoß gegen die IT-Sicherheitsrichtlinie bemerken oder selbst Opfer eines Angriffs auf elektronischem Wege geworden sind bzw. Sie Vorgänge mit strafrechtlichen Konsequenzen bemerkt haben. Alle IT-Sicherheitsvor- und -notfälle (mit Ausnahme von Erpressungen und Bedrohungen) müssen zusätzlich an den betroffenen Systemadministrator bzw. die betroffene Systemadministratorin gemeldet werden, der bzw. die für das Endgerät, den Laborrechner, den Server oder die spezielle Software zuständig ist.

Seitenanfang

IT-Sicherheitstraining

BITS

https://it-sicherheit.hs-fulda.de/bits/

BITS, das Behörden-IT-Sicherheitstraining, dient seit Juli 2006 als OER Lernkurs und Awareness-Training der Information und Sensibilisierung der Kolleginnen und Kollegen an IT-Arbeitsplätzen in Verwaltungen hinsichtlich der relevanten IT-Sicherheitsthemen. BITS steht unter der Lizenz Creative Commons BY-SA 4.0 und wird bei uns gehostet:

Online-Selbstlernkurs Cyber- und Informationssicherheit

https://elearning.hs-fulda.de/help/course/view.php?id=1810

Dieses Lernangebot richtet sich an alle Studierenden und Lehrenden der Hochschule Fulda. Es dient der Sensibilisierung und Stärkung Ihrer IT-Kompetenzen und Ihres Sicherheitsbewusstseins im Umgang mit den Risiken der Digitalisierung und Cyberattacken. Dabei setzen wir auf ein flexibles und intuitives Online-Lernangebot, das die Teilnehmenden befähigt, sich selbstständig und in ihrem eigenen Tempo fortzubilden. Der Kurs kann auch ohne Einschreibung genutzt werden, das Zertifkat zum erfolgreichen Abschluss gibt es aber nur mit Einschreibung.

Informationssicherheit am Arbeitsplatz

https://elearning.hs-fulda.de/help/course/view.php?id=1703

Diese Lerneinheit gibt Ihnen einen Überblick über grundlegende Gefahren der Informationssicherheit an Ihrem Arbeitsplatz. Durch sorgsames Handeln und beachten weniger Regeln können Sie wesentlich zur Sicherheit der Informationssysteme an Ihrer Hochschule beitragen. Anhand hochschulspezifischer Beispiele lernen Sie, welche Folgen Ihr Handeln haben kann und wie Sie Ihre Einrichtung und Ihre Daten schützen.

Datenschutz

https://elearning.hs-fulda.de/help/course/view.php?id=1704

Diese videobasierte Lerneinheit vermittelt Grundlagenwissen zur Relevanz des Datenschutzes, den Prinzipien der Datenverarbeitung sowie rechtlichen Grundlagen. Gleichzeitig erhalten die Lernenden einen Überblick zu organisatorischen und technischen Maßnahmen und Betroffenenrechten. Sie erfahren worauf bei der Zusammenarbeit mit Dritten zu achten ist und welche Ansprechpartner:innen es im Bereich Datenschutz gibt. Orientierung bieten Beispiele und Anwendungsfälle aus der Hochschullandschaft.

Lernen und Arbeiten im Kontext der Digitalisierung

https://elearning.hs-fulda.de/help/course/view.php?id=1705

Dieses Lernangebot bietet Fach- und Führungskräften in Hochschulverwaltungen Selbstlernmaterialien zur Kompetenzentwicklung im Bereich des digitalen Lernens und Arbeiten. In drei Bereichen - Verstehen, Nutzen, Teilen - finden Sie in sich abgeschlossene Module in unterschiedlichen Schwierigkeitsgraden.

IT-Sicherheitsleitlinie der HFD

Inhalt

• Präambel
• §1 GEGENSTAND DER IT-SL
• §2 GELTUNGSBEREICH
• §3 BETEILIGTE AM IT-SICHERHEITSPROZESS
• §4 EINSETZUNG DER SICHERHEITSROLLEN
• §5 IT-SICHERHEITSDOKUMENTE
• §6 AUFGABEN DER BETEILIGTEN
• §7 VERWIRKLICHUNG DES IT-SICHERHEITSPROZESSES
• §8 UMGANG mit SICHERHEITSVORFÄLLEN
• §9 INKRAFTTRETEN

PRÄAMBEL

Die Hochschule Fulda (HFD) erkennt die zentrale Rolle, die Informationstechnologie (IT) in der akademischen und administrativen Umgebung spielt. Die Sicherheit dieser technologischen Ressourcen ist von größter Bedeutung, um die Integrität,Vertraulichkeit und Verfügbarkeit von Daten und IT-Dienstleistungen zu gewährleisten und nachhaltig sicherzustellen. Diese IT-Sicherheitsleitlinie (IT-SL) dient als Rahmenwerk, um einen umfassenden Schutz der IT-Systeme und Daten der Hochschule in einem kontinuierlichen Sicherheitsprozess zu gewährleisten. Sie basiert im Wesentlichen auf den Best-Practice-Empfehlungen zur IT-Sicherheit an Hochschulen, die durch den ZKI-Arbeitskreis IT-Sicherheit als Vorlage erstellt wurden. Die Notwendigkeit der Definition einer IT-SL leitet sich ab aus §3 Absatz (1) des Hessisches IT-Sicherheitsgesetzes (HITSiG).

Ziel dieser IT-SL ist es, einheitliche Sicherheitsstandards zur Gewährleistung eines ordnungsgemäßenIT-Betriebs zu schaffen, welche ein Gleichgewicht zwischen akademischer Freiheit und dem Bedarf an IT-Sicherheit ermöglichen. Um dieses Ziel zu erreichen, müssen sämtliche Einrichtungen der Hochschule den Schutz von Daten und Informationstechnik als gemeinsame Herausforderung begreifen.

Seitenanfang

§1 GEGENSTAND DER IT-SL

Die IT-Sicherheitsleitlinie bestimmt die für den IT-Sicherheitsprozess der HFD erforderliche Organisationsstruktur (Aufbau- und Ablauforganisation) und definiert Aufgaben und Verantwortlichkeiten.

Seitenanfang

§2 GELTUNGSBEREICH

Die IT-SL gilt für die gesamte Informationstechnik der HFD in ihren wissenschaftlichen und nichtwissenschaftlichen Einrichtungen. Sie gilt für sämtliche Nutzerinnen, die diese einsetzen oder bereitstellen. Sie ist verbindlich für das Präsidium, alle Fachbereiche, Stabsstellen, die zentrale Verwaltung, alle zentralen oder sonstigen Einrichtungen und alle angeschlossenen Einrichtungen der Hochschule sowie sonstige Unternehmen und Personen, die für und im Auftrag der HFD mit IT-sicherheitsrelevanten Tätigkeiten beauftragt sind. Gleiches gilt für alle in vorstehender Aufzählung nicht genannten Partnerinnen der HFD, deren Handeln IT-Sicherheitsinteressen der HFD berührt.

Seitenanfang

§3 BETEILIGTE AM IT-SICHERHEITSPROZESS

Die Hauptverantwortung für den IT-Sicherheitsprozess liegt bei der Hochschulleitung. Sie setzt daher folgende Gremien und Funktionsträger*innen ein und bindet bestehende Einrichtungen in den IT-Sicherheitsprozess ein:

(1)  Präsidium

(2)  Stabsstelle Informationssicherheit (SIS)

(3)  IT-Sicherheitsmanagement-Team (SMT)

(4)  Computer Emergency Response Team (HFD-CERT)

(5)  Dezentrale IT-Sicherheitsbeauftragte* (dIT-SB)

(6)  Rechenzentrum (RZ)

(7)  Datenschutzbeauftragte* der Hochschule (DSB)

(8)  Fachbereiche, Stabsstellen, zentrale Verwaltung, Hochschullandesbibliothek,

zentrale und sonstige Einrichtungen der Hochschule und deren Nutzer*innen

Die am IT-Sicherheitsprozess Beteiligten arbeiten in allen Belangen der IT-Sicherheit zusammen, stellen die dazu erforderlichen Informationen bereit und regeln die Kommunikations- und Entscheidungswege sowohl untereinander, wie auch in Beziehung zu Dritten. Hierbei ist insbesondere der Aspekt der in Krisensituationen gebotenen Eile zu berücksichtigen.

Seitenanfang

§4 EINSETZUNG DER SICHERHEITSROLLEN

1. STABSSTELLE INFORMATIONSSICHERHEIT (SIS)

(1)  Die Hochschulleitung setzt eine Stabstelle Informationssicherheit (SIS) ein, die dem Präsidium unmittelbar berichtet.

(2)  Die SIS besteht aus einer Informationssicherheitsbeauftragten* (ISB) und einer zentralen IT-Sicherheitsbeauftragten* (zISB).

(3)  Die ISB* und die zISB* vertreten sich gegenseitig und sind in ihren fachlichen Themen weisungsfrei und unabhängig.

(4)  Organisatorisch ist die SIS im Vizepräsidium für Lehre und Digitalisierung verortet.

2. IT-SICHERHEITSMANAGEMENT-TEAM (SMT)

(1)  Das Präsidium richtet ein IT-Sicherheitsmanagement-Team (SMT) ein. Das SMT bildet für die Hochschule das zentrale Kontrollorgan in Sachen IT-Sicherheit.

(2)  Die Zusammensetzung des SMT sollte – unter Beschränkung der Anzahl der Mitglieder auf das notwendige Maß – sowohl die unterschiedlichen Aufgabenbereiche der Hochschule widerspiegeln, als auch die unterschiedlichen, für die Hochschule relevanten Aspekte der IT-Sicherheit berücksichtigen.

(3)  Das SMT ist besteht aus folgenden ständigen Mitgliedern:

i)   Vertretung des Präsidiums (VPLD)

ii)  Vertretung der Stabsstelle Informationssicherheit (SIS)

iii) Informationssicherheitsbeauftragte* der HLSB (ISB HLSB)

iv)  Vertretung der Leitung des HFD-CERT

v)   Vertretung der Leitung des Rechenzentrums

vi)  Beratend: die Datenschutzbeauftragte* der HFD

(4)  Auf Beschluss des SMT kann es bei Bedarf um beratende Expert*innen erweitert werden.

3. COMPUTER EMERGENCY RESPONSE TEAM (HFD-CERT)

(1)  Die Mitglieder des Computer Emergency Response Teams der Hochschule Fulda werden vom SMT vorgeschlagen und vom Präsidium benannt. Die Benennung der HFD-CERT-Mitglieder erfolgt ausschließlich aus dem hauptamtlichen Personal der Hochschule.

(2)  Das HFD-CERT ist organisatorisch dem Rechenzentrum zugeordnet.

(3)  Das HFD-CERT setzt sich aus folgenden entscheidungsberechtigten Mitgliedern zusammen:

• Leiter*in des HFD-CERT (Qualifikation für die im Rahmen des HFD-CERT anfallenden operativ-technischen Aufgaben erforderlich).

- Mitarbeiterinnen des HFD-CERT: Mindestens drei weitere IT-Sicherheitsexpertinnen aus z.B. den Bereichen: Netz, Identity-Management, E-Mail-Server und Gateway, kritische Infrastruktur oder Einrichtungen mit ausgeprägter IT-Infrastruktur.

- Auf Beschluss des HFD-CERT kann es bei Bedarf um Expert*innen erweitert werden, unter Beschränkung der Anzahl der Mitglieder auf das notwendige Maß.

(4)  Die Vertretung der Leitung des HFD-CERT übernimmt ein Mitglied des HFD-CERT.

(5) Das HFD-CERT arbeitet vertraulich und unmittelbar mit der SIS zusammen, stimmt sich bei zentralen Fragen ab und berichtet dem SMT in regelmäßigen Abständen, mindestens zwei mal jährlich, über seine Tätigkeit.

4. DEZENTRALE IT-SICHERHEITSBEAUFTRAGTE (dIT-SB)

(1)  Jeder Fachbereich, wissenschaftliche, zentrale und sonstige Einrichtung der Hochschule Fulda, die IT-Systeme betreiben, benennen eine dezentrale IT-Sicherheitsbeauftragte* (dIT-SB).

(2)  Eine dIT-SB* kann für mehrere Einrichtungen zuständig sein.

(3)  Die Berufungen müssen den gesamten Geltungsbereich abdecken, d.h. jedem IT-System und jeder Nutzerin ist eine dIT-SB zugeordnet.

(4)  Bei der Berufung ist auf personelle Kontinuität zu achten, d.h. die Beteiligten sollten zum hauptamtlichen Personal der Hochschule gehören.

(5)  Benennt eine Einrichtung keine dIT-SB*, kann das SMT eine kommissarische dIT-SB* bestellen.

(6)  Die Aufgaben und Befugnisse der dIT-SB werden mit dieser IT-SL bzw. den auf ihr basierenden Folge-Dokumenten beschrieben.

Seitenanfang

§5 IT-SICHERHEITSDOKUMENTE

(1)  Die IT-Sicherheitsleitlinie (IT-SL) gibt den strategisch-organisatorischen Rahmen des IT-Sicherheitsprozesses vor. Sie wird vom Präsidium verabschiedet und spätestens nach sechs Jahren in dessen Auftrag überprüft.

(2)  Der IT-SL nachgeordnet ist das IT-Sicherheitskonzept (IT-SK), welches auf Best-Practice-Empfehlungen (z.B. BSI 200-1) basiert. Das IT-SK ist die Dokumentation des IT-Sicherheitsprozesses. In ihm halten die Stabsstelle Informationssicherheit und das HFD-CERT identifizierte Risiken und die zugehörigen, verbindlichen technischen und organisatorischen Maßnahmen fest. Das Konzept zur Informationssicherheit wird regelmäßig überprüft.

(3)  Die zur Umsetzung des IT-SK notwendigen Rahmenbedingungen und Regelungen werden in der IT-Sicherheitsrichtlinie (IT-SR) dokumentiert, welche von der SIS vorgeschlagen und vom SMT verabschiedet wird. Sie enthält Beschreibungen der Ausgangssituation, der Grundschutzmaßnahmen, der Umsetzung der IT-Sicherheit als Fortschreibungsprozess und der IT-Infrastruktur als Basiskomponente des IT-Einsatzes sowie, falls erforderlich, eine Konkretisierung von Aufgaben oder Rollen der im IT-Sicherheitsprozess Beteiligten. Darüber hinaus können Anleitungen zu besonderen organisatorischen Maßnahmen und Vorgaben zum Umgang mit bestimmten Risiken und Schutzbedarfen enthalten sein. Auch sie sind verbindlich und werden regelmäßig überprüft. Initial kann die IT-SR auch vor der Fertigstellung des IT-SK verabschiedet werden, muss jedoch in enger Abstimmung mit dem IT-SK kontinuierlich weiterentwickelt werden und vom SMT verabschiedet werden.

(4)  Der IT-SR sind weitere themenspezifische Richtlinien und Arbeitsanleitungen, Ordnungen, Empfehlungen sowie Vorgaben zum Umgang mit bestimmten Risiken nachgelagert. Gleiches gilt für Notfallkonzepte und Notfallpläne. Sie werden von der SIS vorgeschlagen und durch das SMT oder, in Abhängigkeit vom Gültigkeitsbereich des jeweiligen Dokuments, durch andere Verfahrensverantwortliche bzw. Bereichsleitungen, d.h. durch die Leitungen der betroffenen Fachbereiche, der Stabsstellen, der zentralen Verwaltung, der zentralen oder sonstigen Einrichtungen sowie der angeschlossenen Einrichtungen der Universität, verabschiedet.

(5)  In jedem der Dokumente ist der jeweilige Geltungsbereich sowie die jeweilige Verbindlichkeit ausdrücklich definiert. Die Revisionsintervalle der dieser Leitlinie nachgelagerten Dokumente werden im jeweiligen Dokument angegeben.

Seitenanfang

§6 AUFGABEN DER BETEILIGTEN

(1)  Das Präsidium der Hochschule wird dem IT-Sicherheitsprozess hinreichend Priorität einräumen, damit die mit dem Prozess verbundenen Aufgaben unverzüglich und umfassend durchgeführt werden können.

(2)  Das SMT verfasst und beschließt die einheitliche Rahmenrichtlinie der IT-Sicherheit der Hochschule Fulda und ist verantwortlich für die Fortschreibung und Überwachung des IT-Sicherheitsprozesses. Unter anderem ist dabei das Erarbeiten von Notfallplänen zu berücksichtigen. Das SMT gibt die hochschulinternen technischen Standards zur IT-Sicherheit vor. Außerdem veranlasst es die Schulung und Weiterbildung der dezentralen IT- Sicherheitsbeauftragten und die Unterstützung bei der Richtlinienumsetzung.

(3)  Die Stabsstelle Informationssicherheit ist für die Umsetzung der Rahmenrichtlinie der IT-Sicherheit an der Hochschule verantwortlich und wird darin vom SMT unterstützt. Sie ist in allen sicherheitsrelevanten Fragen Kontaktpunkt nach Außen und nach Innen. Die SIS dokumentiert sicherheitsrelevante Vorfälle, erstellt einen jährlichen IT-Sicherheitsbericht und entwickelt einen Schulungs- und Weiterbildungsplan zu Cybersicherheitsthemen für alle Mitarbeiter*innen der Hochschule Fulda.

(4)  Die dIT-SB sind für die Durchführung des IT-Sicherheitsprozesses in ihrer Einrichtung zuständig.

(5)  Trotz der Benennung der dIT-SB bleibt die Verantwortung der Leitungen der Fachbereiche, der Stabsstellen, der zentralen Verwaltung, der zentralen und sonstigen Einrichtungen sowie der angeschlossenen Einrichtungen der Hochschule für die IT-Sicherheit in ihren Bereichen unberührt. Sie sind verpflichtet, bei allen relevanten Planungen, Verfahren und Entscheidungen mit Bezug zu IT-Sicherheit die jeweils zuständigen dezentralen IT-Sicherheitsbeauftragten, sowie die SIS zu beteiligen. Die ihnen zugeordneten Nutzer*innen der IT-Infrastruktur sind an die Regelungen und Vorgaben aus den IT-Sicherheitsdokumenten (IT-SL, IT-SK, IT-SR), der Benutzungsordnung der HFD, sowie an Anweisungen durch weisungsbefugte IT-Sicherheitsrollen gebunden.

(6)  Das Hochschulrechenzentrum ist für die system-, netz- und betriebs-technischen Aspekte der IT-Sicherheit verantwortlich. Das RZ unterstützt maßgeblich die Sicherstellung von Informationssicherheit und koordiniert das IT-Notfallmanagement. Zudem unterstützt es alle IT-SB, das HFD-CERT und das SMT in technischen Fragen.

(7)  Das HFD-CERT übernimmt die übergreifende Koordinierung und auf operativer Ebene die zeitnahe Reaktion auf Sicherheitsvorfälle und Computermissbrauch im Umfeld der Nutzung von Informationsinfrastruktur. Das HFD-CERT sorgt für die Konzeption und Einführung von Maßnahmen, um Sicherheitsvorfälle präventiv zu verhindern und eintretende Schäden auf ein Minimum zu begrenzen. Das HFD-CERT unterstützt die dIT-SB und das SMT in technischen Fragen und greift zur Gefahrenabwehr im Notfall selbstständig ein. Es erstellt für das SMT regelmäßig ein Lagebild über die IT-Sicherheitssituation der Hochschule Fulda. Die Leitung des HFD-CERT berichtet regelmäßig im SMT über die operativen Maßnahmen. Ferner berichtet sie in akuten Fällen unverzüglich an die SIS. HFD-CERT-Mitglieder sind gegenüber Nutzerinnen und IT-Betreiberinnen in IT-Notfällen und IT-Stör- und Krisensituationen weisungsbefugt.

(8)  Die Beteiligung des Personalrats der Hochschule erfolgt nach Maßgabe des §69 Hessisches Personalvertretungsgesetz.

(9)  Sofern datenschutzrechtliche Belange betroffen sind, wird die behördliche Datenschutzbeauftragte* der Hochschule hinzugezogen.

Seitenanfang

§7 VERWIRKLICHUNG DES IT-SICHERHEITSPROZESSES

(1)  Die SIS konzipiert ein hochschulweites Informations- und Kommunikations-system, über das alle Beteiligten am IT-Sicherheitsprozess in Kontakt stehen und verwaltet das Informationssicherheitsmanagementsystem (ISMS).

(2)  Die dezentralen IT-Sicherheitsbeauftragten sind verpflichtet sich aktuelle sicherheitsrelevante Informationen zu beschaffen und werden darin von der SIS unterstützt. Darüber hinaus stellen die Systembetreibenden den dIT-SB alle angefragten Informationen zur Verfügung, die zur Meldung an interne und externe übergeordnete Stellen notwendig sind, und stellen diese der SIS sowie dem HFD-CERT vollständig und strukturiert zur Verfügung. Die dIT-SB veranlassen in ihrem Bereich die erforderlichen IT-Sicherheitsmaßnahmen zur Gefahrenabwehr. Hierzu müssen sie von der Leitung ihrer Einrichtung mit den notwendigen Kompetenzen ausgestattet werden.

(3)  Die am IT-Sicherheitsprozess Beteiligten informieren sich gegenseitig unver-züglich, umfassend und vollständig über sicherheitsrelevante Vorfälle. Über jeden Vorfall muss die SIS informiert werden.

(4)  Die Stabsstelle Informationssicherheit darf sämtliche Informationen, die bei der Durchführung des IT-Sicherheitsprozesses in den einzelnen Einrichtungen anfallen, einholen. Erfolgt die Einholung in Form von datenschutzrechtlich geschützten Informationen, ist dies zu dokumentieren. Wenn wiederkehrende Prozesse entstehen, in denen regelmäßig personenbezogene Daten verwendet werden, sind diese Prozesse in einem Verzeichnis von Verarbeitungstätigkeiten zu beschreiben. Ferner ist die betroffene Benutzer*in in den gesetzlich vorgeschriebenen Fällen zu benachrichtigen. Werden arbeitsplatz- und personalbezogene Daten von Hochschulbeschäftigten benötigt, ist der Personalrat darüber in Kenntnis zu setzen. Sollte, etwa im Kontext eines Notfalls, situationsbezogen schnelles Handeln erforderlich sein, ist dies im Nachgang ausreichend.

(5)  Zur kontinuierlichen Weiterentwicklung der Rahmenrichtlinie der IT-Sicherheit soll das SMT regelmäßig, aber mindestens zwei Mal im Jahr tagen. Die Beteiligten am IT-Sicherheitsprozess können hierzu, dem SMT, Vorschläge unterbreiten.

(6)  Diese IT-SL wird vom SMT nach 2 Jahren überprüft und aktualisiert, um sicherzustellen, dass sie weiterhin relevant und effektiv ist. Änderungen werden nach Genehmigung durch die Hochschulleitung wirksam.

Seitenanfang

§8 UMGANG mit SICHERHEITSVORFÄLLEN

(1)  Den Weisungen der HFD-CERT-Mitglieder und/oder der Stabsstelle Informationssicherheit ist im IT-Sicherheitsvorfall oder -notfall unverzüglich Folge zu leisten.

(2)  Bei einem Verstoß gegen die IT-SL oder deren verbindliche Folge-Dokumente (vgl. §5) können die SIS oder die Mitglieder des HFD-CERT die sofortige, vorübergehende Stilllegung des betroffenen IT-Systems anordnen sowie die verantwortlichen Nutzerinnen vorübergehend von der Nutzung der Informationstechnik ausschließen. In diesem Fall muss unverzüglich die zuständige dIT-SB über den Vorgang informiert werden.

(3)  Bei Gefahr in Verzug kann das RZ Netzanschlüsse oder Netzsegmente vorübergehend sperren. Das RZ muss unverzüglich das HFD-CERT, die SIS und die zuständige dIT-SB* über den Vorgang informieren.

(4)  Die Wiederinbetriebnahme vorübergehend stillgelegter IT-Systeme setzt deren eingehende Überprüfung und Freigabe durch die zuständige dIT-SB* voraus.

(5)  Der Ausschluss einer vorübergehend von der Nutzung der Informationstechnik gesperrten Nutzerin wird durch die sperrende Instanz wieder aufgehoben, sobald eine ordnungsgemäße Nutzung wieder gewährleistet erscheint. Eine dauerhafte Nutzungseinschränkung eines IT-Systems kommt nur bei schwerwiegenden oder wiederholten Verstößen in Betracht, wenn trotz vorheriger Mahnungen auch künftig ein ordnungsgemäßer Betrieb nicht mehr zu erwarten ist. Die Entscheidung trifft die Stabsstelle Informationssicherheit nach eingehender Beratung mit dem SMT und der zuständigen dIT-SB. Mögliche Ansprüche der Hochschule sowie des Systembetreibenden aus dem Nutzungsverhältnis bleiben unberührt.

(6)  Das SMT bestimmt die IT-Dienste, für welche die Stabsstelle Informationssicherheit Notfallpläne erstellt. Sie enthalten Handlungs-anweisungen in Gefahrensituationen und bei Störfällen und unterteilen sich in einen allgemein zugänglichen Benachrichtigungsplan, ein Notfallkonzept für den Dienstgebrauch und ein detailliertes Notfallhandbuch, das ausgedruckt bei der SIS und in einem designierten Raum zur Krisenbewältigung hinterlegt wird.

(7)  Das HFD-CERT übernimmt gemeinsam mit der SIS die Untersuchung aller Vorfälle und Ergreifung angemessener Maßnahmen zur Behebung und Vorbeugung.

Seitenanfang

§9 INKRAFTTRETEN

Diese IT-Sicherheitsleitlinie tritt nach Beschlussfassung des Präsidiums mit ihrer Veröffentlichung in Kraft.

Seitenanfang

IT-Sicherheitsrichtlinie der HFD

Inhalt

1. Überblick
2. Einleitung
3. Förderung des Sicherheits-Bewusstseins
4. Mindeststandards für den Betrieb eines Computers
5. Mindeststandards für den Betrieb eines Netzes
6. Regelwidrige Benutzung
7. Konsequenzen bei Nichteinhaltung der IT-Sicherheitsrichtlinie

1. Überblick

Die Hochschule Fulda erwartet von den Benutzern und Benutzerinnen der Computer und der Netze der Hochschule einen verantwortungsbewussten Umgang bei deren Gebrauch. Als Reaktion auf Verstöße gegen die Sicherheitsrichtlinie oder gegen gesetzliche Bestimmungen sind die Hochschule Fulda und ihre Organisationseinheiten berechtigt, Benutzern und Benutzerinnen Zugangsberechtigungen zeitweise oder auf Dauer zu entziehen, bei Bedarf Daten von Computern der Hochschule Fulda zu löschen und Computer aus dem Netz zu entfernen. Bei Unklarheiten oder in Streitfällen entscheidet der oder die IT-Sicherheitsbeauftragte der Hochschule Fulda und in zweiter Instanz der Leiter oder die Leiterin des Rechenzentrums der Hochschule über solche Maßnahmen.

Basierend auf der Benutzungsordnung für die Rechner und Netze an der Hochschule Fulda stellt diese Richtlinie eine Detaillierung der allgemeinen Regeln für Benutzung und Betrieb der Rechner und Netze in Bezug auf die IT-Sicherheit dar. Falls Sie ein sicherheitsrelevantes Ereignis bemerken, melden Sie es bitte. Hinweise finden Sie im Dokument “IT-Sicherheitsvorfall melden”.

1.A Begründung

Die Hochschule Fulda möchte allen Nutzern und Nutzerinnen ein effizientes und ungestörtes Arbeiten ermöglichen. Daher enthält die IT-Sicherheitsrichtlinie eine Liste von nicht zulässigen Verhaltensweisen (regelwidrige Benutzung), deren Unterlassung jeder Benutzer und jede Benutzerin einfordern kann, um sich vor Belästigungen und Bedrohungen zu schützen und die Hochschule Fulda und ihre Organisationseinheiten vor Schäden und rechtlichen Konsequenzen zu bewahren. Um den einwandfreien Betrieb zu gewährleisten, werden in der IT-Sicherheitsrichtlinie Standards für die Sicherheit von Computern, Netzen und Daten festgelegt. Es handelt sich dabei um Mindestanforderungen. Die Organisationseinheiten der Hochschule Fulda können für ihren Verantwortungsbereich schriftlich strengere Regeln festlegen.

1.B Gültigkeitsbereich

Die IT-Sicherheitsrichtlinie ist verbindlich für alle Angehörigen der Hochschule Fulda sowie Personen, denen durch Vereinbarungen die Benutzung von Computern und Netzen der Hochschule Fulda möglich ist.

Darüber hinaus bildet sie die Grundlage für Reaktionen auf alle sicherheitsrelevanten Vorfälle von außerhalb.

1.C Version

Version 1.0 vom 23. September 2008

An dieser Stelle werden Überarbeitungen des Dokuments mit einer kurzen Zusammenfassung der Änderungen vermerkt. Die Richtlinie sollte regelmäßig (z. B. alle zwei Jahre) auf Aktualität überprüft werden. Schwerwiegende Veränderungen der verwendeten Technologien oder organisatorischer Art können kurzfristigere Überarbeitungen zur Folge haben.

Seitenanfang

2. Einleitung

Der Gebrauch von Computern und Netzen ist für die Angehörigen der Hochschule Fulda zur alltäglichen Routine geworden. Bei ordnungsgemäßer Benutzung erleichtert er viele Tätigkeiten und manche Arbeiten wären ohne den Einsatz von Computern gar nicht denkbar. Fahrlässige oder gar gesetzwidrige Verwendung hingegen kann die Rechte anderer Benutzer oder Benutzerinnen verletzen. Die Hochschule Fulda verlangt daher von allen Benutzern und Benutzerinnen sorgfältigen und verantwortungsvollen Umgang beim Gebrauch von Computern und Netzen.

Grundsätzlich bleibt es im Rahmen der gesetzlichen Bestimmungen dem Ermessen jedes einzelnen Benutzers bzw. jeder einzelnen Benutzerin bzw. dem Ermessen der Fachbereiche und Einrichtungen der Hochschule Fulda überlassen, in welcher Art und Weise Computer und Netze verwendet werden. Dieser praktizierte Ansatz maximaler Offenheit, hat sich über die Jahre bewährt und soll beibehalten werden. Die Erfahrung der letzten Jahre hat aber deutlich gemacht, dass es einen allgemein anerkannten Konsens geben muss, welche regelwidrige Benutzung nicht akzeptiert wird, welche Mindeststandards für den Betrieb eines Computers bzw. eines Netzes verbindlich sind und welche Konsequenzen bei Nichteinhaltung der Richtlinie gezogen werden.

Der Zweck der IT-Sicherheitsrichtlinie ist es, diese Themenkreise zu formalisieren und allen Benutzern und Benutzerinnen eine einheitliche Grundlage zu bieten, anhand der entschieden werden kann, welche Benutzung konform ist und welche Maßnahmen zu ergreifen sind.

Aufgrund einer maximalen Offenheit kann Missbrauch a priori nicht ausgeschlossen werden. Durch die IT-Sicherheitsrichtlinie soll das Erkennen von Sicherheitsproblemen beschleunigt werden, um den Schaden für jede(n) Einzelne(n) und die Hochschule Fulda gering zu halten. Sie soll als Richtschnur für das eigene Handeln, sowie zur Beurteilung des Handelns der anderen dienen. Damit verringert sich auch die Wahrscheinlichkeit, dass Verstöße ohne Konsequenzen bleiben.

Die Hochschule Fulda ist darauf angewiesen, dass die Nutzer und Nutzerinnen Sicherheitsprobleme dem Rechenzentrum und ihren zuständigen IT-Sicherheitsbeauftragten (Ansprechpersonen der Organisationseinheiten melden und die Systemadministratoren bzw. Systemadministratorinnen erkannte Mängel in ihrem Verantwortungsbereich selbst beheben. Die komplette Liste der Kontaktadressen wird regelmäßig aktualisiert.

Seitenanfang

3. Förderung des Sicherheits-Bewusstseins

Die nachfolgenden Maßnahmen sollen die Sicherheit fördern.

3.A Benutzer/Benutzerinnen

• Benutzer und Benutzerinnen sollten sich über Änderungen an der Sicherheitsrichtlinie auf dem Laufenden halten.

• Erforderliche Aktionen auf Grund einer Änderung der Sicherheitsrichtlinie sind umgehend durchzuführen.

• Verstöße oder vermutete Verstöße gegen die Sicherheitsrichtlinie sind umgehend dem oder der zuständigen IT-Sicherheitsbeauftragten mitzuteilen.

• Eine regelmäßige Teilnahme an Schulungen zum Thema IT-Sicherheit wird empfohlen.

3.B Administratoren/Administratorinnen

• Alle obigen Maßnahmen für Benutzer und Benutzerinnen und zusätzlich

• Informieren der Benutzer und Benutzerinnen über sicherheitsrelevante Vorfälle, Bedrohungen usw.

• Schulung der Benutzer und Benutzerinnen, insbesondere über relevante Themen zur Erhaltung und Erhöhung der IT-Sicherheit (auch für neue Benutzer und Benutzerinnen).

• Informieren über Schwachstellen und Bedrohungen in der eingesetzten Software.

Seitenanfang

4. Mindeststandards für den Betrieb eines Computers

Um den ordnungsgemäßen Betrieb eines Computers oder einer aktiven Netzkomponente zu gewährleisten, müssen mindestens die folgenden Anforderungen erfüllt sein. Zusätzlich sind die jeweils gültigen Sicherheitsmaßnahmen des Rechenzentrums zu beachten.

1. Das System muss fachgerecht installiert werden.
2. . Die notwendigen Security Patches oder Upgrades müssen zeitnah installiert werden.
3. Falls ein System nicht über geeignete Schutz-Mechanismen verfügt, muss es netzwerkseitig geschützt werden, z. B. durch eine Firewall.
4. Nicht mehr verwendete Benutzerzugänge müssen entfernt werden.
5. Passwörter müssen sofort geändert werden, wenn sie in fremde Hände geraten sind oder der Verdacht besteht, dass sie unautorisierten Personen bekannt geworden sind und es müssen sichere Passwörter oder stärkere Authentifizierungsmethoden (z. B. Public Key) benutzt werden.
6. Passwörter dürfen nicht im Klartext über die Grenzen des Hochschulnetzes versendet werden und sollten auch innerhalb des Hochschulnetzes nach Möglichkeit nicht im Klartext übertragen werden.
7. Passwörter sollten niemals auf der Festplatte gespeichert werden, um deren Eingabe in einem Programm zu umgehen.
8. Wird ein Verfahren eingeführt oder wesentlich geändert, in dem personenbezogene Daten verarbeitet werden, ist zuvor ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO zu erstellen. Das Ergebnis ist dem bzw. der Datenschutzbeauftragten der Hochschule Fulda zuzusenden.

Falls einem Benutzer bzw. einer Benutzerin eines Computers Sicherheitsmängel auffallen, ist er bzw. sie verpflichtet, die Mängel der Person mitzuteilen, die für die Systemadministration zuständig ist oder, falls er bzw. sie die Person nicht kennt, dem oder der IT-Sicherheitsbeauftragten der Organisationseinheit. Der oder die IT-Sicherheitsbeauftragte ist verpflichtet, ihm oder ihr bekannte bzw. bekannt gemachte Informationen über Sicherheitsmängel eines Rechners an die Person weiterzuleiten, die für die Systemadministration zuständig ist. Diese wiederum ist verpflichtet, geeignete Gegenmaßnahmen zu ergreifen.

Seitenanfang

5. Mindeststandards für den Betrieb eines Netzes

Ein Netzbetrieb im Sinne dieser Richtlinie liegt dann vor, wenn dedizierte Netzwerk-Hardware (z. B. Router) betrieben wird oder auf logischer Ebene Netzwerkdienste angeboten werden, wie z. B. NAT-Gateways, DNS- oder DHCP-Server.

1. Zu jedem Bereich (Subnetz, IP-Bereich, DNS-Domäne) ist mindestens eine verantwortliche Person zu benennen (besser mehrere Personen, sodass im Falle von Fehlern oder Sicherheitsvorfällen immer eine verantwortliche Person erreicht werden kann), die auch technisch in der Lage ist, Notmaßnahmen durchzuführen.

2. Der Zugang zum Netz darf nicht unkontrolliert erfolgen. Der Netzzugang muss entweder physikalisch (geschlossener Raum) oder administrativ durch Zugriffslisten, VPN-Zugang o. ä. geregelt sein.

3. Werden IP-Adressen vergeben, so muss nachvollziehbar sein, wer bzw. welches Gerät eine IP-Adresse zu einer bestimmten Zeit hatte.

4. Die Standorte aller im Netz befindlichen Komponenten, auch die der angeschlossenen Rechner, müssen den verantwortlichen Personen bekannt sein.

5. Die Namen und / oder Adressen der Netzwerkkomponenten (einschließlich der Rechner) sollten außen am Gerät sichtbar sein.

Seitenanfang

6. Regelwidrige Benutzung

Die in der Sicherheitsrichtlinie festgelegten Regelverstöße sind thematisch in die folgenden vier Bereiche gegliedert. Strafrechtlich sanktioniertes Verhalten ist immer regelwidrig.

6.A Verwendung elektronischer Kommunikation für Angriffe gegen Einzelpersonen oder Gruppen von Personen

6.B Verwendung elektronischer Kommunikation zur Behinderung der Arbeit Dritter

6.C Vergehen gegen Lizenzvereinbarungen oder andere vertragliche Bestimmungen

6.D Verwendung elektronischer Kommunikation für Attacken gegen Computer, das Netz oder Services, die darauf erbracht werden

Für die nachfolgenden Verstöße besteht eine Meldepflicht an die jeweiligen IT-Sicherheitsbeauftragten der Organisationseinheit und der Hochschule Fulda!

Seitenanfang

7. Konsequenzen bei Nichteinhaltung der Sicherheitsrichtlinie

Die meisten Verstöße resultieren erfahrungsgemäß aus Unkenntnis der Sicherheitsrichtlinie oder technischer Unzulänglichkeit. In solchen Fällen wird es ausreichen, wenn der Verursacher bzw. die Verursacherin über den Verstoß gegen die Sicherheitsrichtlinie der Hochschule Fulda aufgeklärt und die Unterlassung weiterer Verstöße gefordert wird. Bei Verstößen gegen Lizenzvereinbarungen muss gegebenenfalls die Löschung der entsprechenden Daten auf den betroffenen Rechnern verlangt werden. Wenn anzunehmen ist, dass erkannte Verstöße auch andere Fachbereiche, Einrichtungen oder Organisationen (auch außerhalb der Hochschule Fulda) betreffen könnten, sind die betreffenden Verantwortlichen und eventuell auch das Rechenzentrum der Hochschule Fulda zu informieren (z. B. Sperren eines Benutzers bzw. einer Benutzerin, der/die auch über Zugangsberechtigungen auf anderen Computern verfügt).

Falls die direkte Aufforderung ohne Erfolg bleibt oder die Identität des Verursachers bzw. der Verursacherin nicht festgestellt werden kann, ist das Rechenzentrum der Hochschule Fulda in die Lösung des Problems mit einzubeziehen. Der Kontakt mit dem Rechenzentrum sollte am besten über die dafür vorgesehene E-Mail-Adresse hergestellt werden.

Neben der Beschreibung des Problems sollte immer explizit angeführt werden, gegen welchen Punkt der Sicherheitsrichtlinie verstoßen wurde. Bei Uneinigkeit über die Richtigkeit der Beschwerde entscheidet der bzw. die IT-Sicherheitsbeauftragte der Hochschule Fulda und in zweiter Instanz der Leiter oder die Leiterin des Rechenzentrums.

7.A Maßnahmen durch das Rechenzentrum

1. Das Rechenzentrum wird den für das Netz oder den Rechner Verantwortlichen auffordern, Regelverstöße zu unterbinden, gegebenenfalls die Zugangsberechtigung des Verursachers bzw. der Verursacherin zu sperren sowie bei Verstößen gegen Lizenzvereinbarungen die betreffenden Informationen von den Rechnern zu löschen.

2. Das Rechenzentrum führt regelmäßige Kontrollen zu Aspekten der IT-Sicherheitsrichtlinie durch. Werden Verstöße gegen die Richtlinie festgestellt (z. B. aufgrund von Aktivitäten installierter Schadsoftware), behält sich das Rechenzentrum vor, den Benutzer oder die Benutzerin telefonisch zu kontaktieren und den Benutzeraccount zu deaktivieren. Eine Freischaltung des Accounts ist nur vor Ort nach vorheriger Rücksprache möglich.

3. Ist der bzw. die jeweilige Verantwortliche nicht erreichbar oder nicht imstande bzw. nicht bereit, solche Verstöße zu verhindern, so ist das Rechenzentrum verpflichtet, die nächst höhere Instanz (z. B. den Dekan oder die Dekanin) von den Missständen zu informieren und ihn bzw. sie zur Behebung derselben aufzufordern.

4. Bleibt auch die Maßnahme in Punkt 2 ohne Erfolg, so ist das Rechenzentrum berechtigt, den betreffenden Rechner aus dem Netz zu entfernen bzw. die betreffenden Services oder ggf. ein ganzes Subnetz zu sperren.

5. Wenn die Umstände es verlangen (Gefahr in Verzug), können Sperren vom Rechenzentrum auch ohne Rücksprache mit dem bzw. der jeweiligen Verantwortlichen vollzogen werden. Das Rechenzentrum ist in solchen Fällen verpflichtet, die Betroffenen (soweit dies möglich ist) und die nächst höhere Instanz unmittelbar danach über die getroffenen Maßnahmen zu informieren.

6. Strafrechtlich relevante Vorfälle sind, z. B. wegen eventueller Schadensersatzforderungen für Schäden, grundsätzlich an die Präsidentin oder den Präsidenten der Hochschule Fulda weiterzuleiten.

7. Zusätzlich kann vom Verursacher bzw. der Verursacherin die schriftliche Kenntnisnahme der IT-Sicherheitsrichtlinie verlangt werden.

7.B Maßnahmen durch die Hochschul-, Landes- und Stadtbibliothek (HLSB)

Die Maßnahmen der Hochschul-, Landes- und Stadtbibliothek sind in der “Benutzungsordnung der Hochschule Fulda - University of Applied Sciences für die Hochschul-, Landes- und Stadtbibliothek (HLB) vom 28. März 2019” im "§ 22 Ausschluss von der Benutzung" geregelt.

Seitenanfang

Gesetze / Datenschutz

Inhalt

1. Überblick
2. Hessisches Hochschulgesetz
3. Hessische Immatrikulationsverordnung
4. Hessisches Datenschutz- und Informationsfreiheitsgesetz
5. Strafgesetzbuch
6. Telekommunikationsgesetz
7. Digitale-Dienste-Gesetz
8. Urheberrechtsgesetz

1.  Überblick

Die Gesetzestexte sind beim Bundesministerium der Justiz (https://www.gesetze-im-internet.de), auf Hessen Recht (https://www.rv.hessenrecht.hessen.de) bzw. beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (https://datenschutz.hessen.de/infothek/gesetze) veröffentlicht und können dort gelesen bzw. als PDF-Datei heruntergeladen werden.

Seitenanfang

Im Folgenden gibt es eine Auswahl von Paragrafen einiger Gesetze, die für Forschung und Lehre bzw. IT-Sicherheit relevant sind.

2.  Hessisches Hochschulgesetz

Seitenanfang

3.  Hessische Immatrikulationsverordnung

Seitenanfang

4.  Hessisches Datenschutz- und Informationsfreiheitsgesetz

Seitenanfang

5.  Strafgesetzbuch

Seitenanfang

6.  Telekommunikationsgesetz

Seitenanfang

7.  Digitale-Dienste-Gesetz

Seitenanfang

8.  Urheberrechtsgesetz

Seitenanfang

Grundschutz

Inhalt

1. Überblick
2. Notwendige und hilfreiche Programme (technischer Schutz)
3. Passwörter und Zwei-Faktor-Authentisierungen
4. Persönliche Verhaltensweise
5. Maßnahmen bei Virenbefall
6. Systemadministration
7. Funknetze (WLAN) / Server
8. Datenverschlüsselung
9. Aussonderung von Rechnern, Druckern und Datenträgern
10. Weitere Hinweise

1. Überblick

In diesem Dokument wird beschrieben, welche Programme auf den Rechnern der Hochschule Fulda mindestens installiert sein sollten und wie diese Programme konfiguriert werden müssen, damit eine gewisse “Basissicherheit” vorhanden ist. Da auch die beste Sicherheitsmaßnahme keinen Schutz bietet, wenn die Benutzer und Benutzerinnen den Schutz umgehen oder die Maßnahmen nicht ernst nehmen, gibt es auch einige Hinweise zur Verhaltensweise der Benutzer und Benutzerinnen.

In den Einstellungshinweisen ab Kapitel 2 bedeutet “Start > … > …”, dass Sie mit dem Eintrag Start in der Menüzeile (im Allgemeinen am linken unteren Rand des Bildschirms) beginnen und dann mit einem Eintrag des Menüs, einem Karteikartenreiter oder einem anderen Element weitermachen, das die entsprechende Beschriftung aufweist.

Seitenanfang

2. Notwendige und hilfreiche Programme

(technischer Schutz)

Damit Sie mit dem Rechner überhaupt arbeiten können, benötigt er ein Betriebssystem. Das Betriebssystem muss immer auf dem aktuellen Stand sein, damit alle bekannten Sicherheitslöcher" gestopft" werden. Falls das Betriebssystem ein “Automatisches Update” zur Verfügung stellt, sollte diese Eigenschaft aktiviert werden, da die Sicherheitslöcher dann so schnell wie möglich geschlossen werden. Die aktuellen Windows-Betriebssysteme von Microsoft bieten diese Funktion. Bei Windows 10 können Sie die automatische Aktualisierung des Systems eigentlich nicht verhindern, sodass Sie nichts machen müssen. Falls Sie trotzdem manuell eine Suche nach Updates starten wollen, klicken Sie bei Windows 10 mit der rechten Maustaste auf “Start” und danach auf “Einstellungen”. Klicken Sie dann auf “Updates und Sicherheit” und anschließend auf “Nach Updates suchen”, um eine Suche nach aktuellen Versionen zu starten.

Der Zugriff auf den Rechner aus dem Internet bzw. von Programmen des Rechners auf das Internet sollte überwacht und gesteuert werden. Diese Aufgabe übernimmt eine Firewall. Obwohl alle Rechner der Hochschule Fulda durch eine zentrale Firewall geschützt werden, sollte trotzdem auf jedem Rechner eine lokale Firewall eingerichtet werden, um auch einen Schutz vor Rechnern innerhalb des Hochschulnetzes (Intranet) zu gewährleisten, die vielleicht schlecht gepflegt werden und deshalb mit Schad-Software (Viren, Würmern, Trojanern, usw.) verseucht sind. Außerdem kann die lokale Firewall unter Umständen verhindern, dass sich Schad-Software von einem verseuchten Rechner auf andere Rechner der Hochschule ausbreitet. Unter Windows können Sie beispielsweise die Windows-Firewall verwenden, die standardmäßig in den neueren Windows-Betriebssystemen enthalten ist. Klicken Sie mit der linken Maustaste auf “Start” und wählen Sie dann “Windows-Sicherheit” (am Ende der Programmliste), wenn Sie Windows 10 benutzen. Dort sollte für “Firewall & Netzwerkschutz” der Satz “Keine Aktion erforderlich.” stehen. Falls Aktionen erforderlich sein sollten, klicken Sie auf “Firewall & Netzwerkschutz” und dann nacheinander auf “Domänennetzwerk”, “Privates Netzwerk” und “Öffentliches Netzwerk” und schalten dort den Schalter “Windows Defender Firewall” auf “Ein”. Auf portablen Rechnern (Notebooks) muss unbedingt eine Firewall eingerichtet werden!

Jeder Rechner muss vor Schad-Software (Viren, Würmern, Trojanern, usw.) durch ein Antiviren-Programm geschützt werden. Die Hochschule Fulda benutzt hierfür das Programm Sophos Intercept, das auf allen Hochschulrechnern eingesetzt werden muss. Überprüfen Sie alle formatierten Anhänge (Word, Excel, PDF, …) von E-Mails auf Schad-Software, bevor Sie die Anhänge mit den entsprechenden Programmen öffnen. Weitere Hinweise (auch für private Rechner) finden Sie auf der Seite Virenschutz (Sophos) des Rechenzentrums.

Natürlich wollen Sie Ihren Rechner nicht nur schützen sondern auch nutzen. Die erforderlichen Sicherheitseinstellungen für Ihr E-Mail-Programm können Sie dem separaten Dokument E-Mail und die Einstellungen für Ihren Web-Browser dem Dokument Web-Browser entnehmen, da die Anzahl der verschiedenen Produkte den Rahmen dieses Dokuments sprengen würde. Sie können diese Dokumente auch über die Navigationsleiste öffnen. Die Sicherheitseinstellungen für Ihre anderen Programme sollten Sie in der Hilfe des Programms oder im Internet recherchieren.

Denken Sie daran, alle Programme automatisch oder zumindest regelmäßig zu aktualisieren, damit Sie Schad-Software und Hackern die Arbeit so schwer wie möglich machen.

Seitenanfang

3. Passwörter und Zwei-Faktor-Authentisierungen

Wählen Sie ein gutes Passwort und halten Sie es geheim. Im Dokument Passwörter wird beschrieben, wie Sie ein gutes Passwort bilden und wie Sie es ändern können. Beachten Sie bitte unbedingt die folgenden Hinweise.

1. Geben Sie Ihr Passwort niemals an andere Personen weiter, da Sie ggf. dafür verantwortlich gemacht werden, wenn Ihr Benutzerkonto (Account) von anderen Personen missbraucht wird.

2. Schreiben Sie Ihr Passwort nicht auf oder bewahren Sie es zumindest weit weg von Ihrem Computer und ohne erkennbaren Bezug zu Ihrem Benutzerkonto auf (niemals im selben Raum).

3. Speichern Sie Ihre Passwörter niemals in Dateien oder Programmen, um sich die Arbeit “zu erleichtern”, da sie sonst von Schad-Software gelesen und missbraucht werden können.

4. Ändern Sie sofort Ihr Passwort, wenn es in fremde Hände geraten ist oder Sie den Verdacht haben, dass es unautorisierten Personen bekannt geworden ist.

5. Benutzen Sie verschiedene Passwörter für verschiedene Rechner oder Tätigkeiten.

6. Verwenden Sie Ihren Benutzernamen und Ihr Passwort niemals für Preisausschreiben oder Ähnliches.

7. Verwenden Sie niemals ein Passwort auf irgendeiner Internet-Seite, das Ihrem eigenen Passwort ähnelt oder sogar entspricht, da Sie damit einem potenziellen “Hacker” eine Einbruchsmöglichkeit in Ihren Rechner bieten, wenn diese Angaben im Klartext gespeichert werden.

8. Wenn Sie Ihr Passwort vergessen haben sollten, können Sie sich im Rechenzentrum ein neues Passwort aushändigen lassen. Die Überprüfung Ihrer Identität kann vor Ort mithilfe eines Lichtbildausweises oder über eine Videokonferenz erfolgen.

9. Schützen Sie das Hochfahren Ihres Rechners (den sogenannten Boot-Vorgang) durch ein Passwort (das sogenannte “BIOS-Passwort”, siehe Abschnitte “Funktionen” und “Sicherheit” in der deutschen Erklärung zum BIOS oder besser erklärt im Abschnitt “Configuration” in der englischen Erklärung zum BIOS), wenn Sie auf dem Rechner personenbezogene oder andere sensitive Daten speichern. Dieser Schutz muss auch dann wirksam sein, wenn ein Eindringling den Rechner mit einer eigenen CDROM, DVD, einem Memory Stick oder etwas Ähnlichem starten will. Falls der Rechner nicht über einen derartigen BIOS-Kennwortschutz verfügt, dürfen personenbezogene Daten nur verschlüsselt auf der Festplatte gespeichert werden.

Der Zugriff auf einige Funktionen einiger Anwendungen (z. B. im Hochschul-Organisations-System für Studium und Lehre (“horstl”)) wird für einige Personen (z. B. Beschäftigte und Lehrbeauftragte) durch eine Zwei-Faktor-Authentisierung (oft auch “Zwei-Faktor-Authentifizierung” genannt) geschützt, sodass sich diese Personen neben dem Passwort durch einen zweiten Faktor rechtsgültig identifizieren müssen. Das System kann die Identität der Personen dann über die beiden Faktoren überprüfen (authentifizieren) und ihnen die Privilegien (Rechte) gewähren, die der nachgewiesenen Identität zustehen (Autorisierung). Die Web-Seite zur Zwei-Faktor-Authentifizierung des Rechenzentrums beschreibt, welche Verfahren unterstützt werden und wie sie ggf. eingerichtet werden können. Weitere Informationen zur Zwei-Faktor-Authentisierung finden Sie auch bei Wikipedia. Beachten Sie bitte unbedingt die folgenden Hinweise.

1. Geben Sie Ihren zweiten Faktor (Smartphone mit registrierter App oder Hardware-Token zur Erzeugung eines Einmal-Passworts) niemals an andere Personen weiter, da Sie ggf. dafür verantwortlich gemacht werden, wenn Ihr Benutzerkonto (Account) von anderen Personen missbraucht wird.

2. Falls Sie ein Hardware-Token benutzen, ist es verboten, den Hardware-Token zusammen mit dem Endgerät (z. B. Notebook) in derselben Tasche zu transportieren.

3. Der Verlust des zweiten Faktors oder ein Verdacht auf Missbrauch des zweiten Faktors muss unverzüglich dem oder der IT-Sicherheitsbeauftragten des Rechenzentrums gemeldet werden.

Seitenanfang

4. Persönliche Verhaltensweise

Geben Sie niemals persönliche Daten im Internet an, wenn es nicht unbedingt sein muss. Erfinden Sie ggf. Namen und Adressen, wenn Sie sich bei Web-Anbietern registrieren, in Foren diskutieren oder in Chat-Räumen unterhalten wollen. Beachten Sie bitte außerdem die folgenden Hinweise.

1. Ändern Sie niemals Ihr Passwort, die Konfiguration des Betriebssystems oder eines Programms auf Wunsch einer anderen (unbekannten) Person, die sich telefonisch bei Ihnen meldet. Laden Sie auch niemals auf Wunsch einer anderen Person Software aus dem Internet herunter, um sie dann zu installieren. Rufen Sie niemals bestimmte Web-Seiten auf und geben Sie auch niemals irgendwelche Kommandos ein, wenn Ihnen eine unbekannte Person dazu rät.

2. Geben Sie niemals sensible oder interne Informationen per Telefon weiter.

3. Kennzeichnen Sie portable Datenträger (CDROM, DVD, Memory-Stick, usw.) mit sensiblen Daten und verschließen Sie sie, wenn Sie den Raum verlassen.

4. Sorgen Sie für eine geeignete Entsorgung sensibler Dokumente und Datenträger, die zurzeit vertrauliche Daten enthalten oder in der Vergangenheit enthalten haben.

5. Benutzen Sie niemals CDROMs, DVDs usw. aus unbekannten Quellen (liegen einfach irgendwo öffentlich “herum”) auf einem Rechner der Hochschule, da durch die Autostart-Funktion automatisch Schad-Software auf dem Rechner installiert werden könnte.

6. Öffnen Sie niemals E-Mail-Anhänge, wenn Sie die E-Mail nicht erwartet haben und bevor Sie den Anhang auf Schad-Software untersucht haben. Denken Sie daran, dass der Absender gefälscht sein kann.

7. Leiten Sie niemals eine E-Mail nur deshalb weiter, weil es in der E-Mail verlangt wird. Tragen Sie nicht zur Verbreitung von Schad-Software oder Spam-E-Mail bei.

8. Verschicken Sie sensible Informationen nicht per E-Mail oder nur in verschlüsselter Form.

9. Schützen Sie Ihren Rechner durch einen passwort-geschützten Bildschirmschoner oder melden Sie sich ab, wenn Sie den Raum verlassen.

10. Sorgen Sie dafür, dass auf Ihrem Rechner immer die aktuelle Antiviren- und Anti-Spy-Software installiert ist und benutzen Sie eine aktuelle Firewall.

11. Deaktivieren oder entfernen Sie auf keinen Fall die Antiviren-Software oder die Firewall ohne Erlaubnis des Rechenzentrums.

12. Niemand darf Software herunterladen oder benutzen, die die Umgehung von Schutzmechanismen ermöglicht. Ausnahme: Systemadministratoren und Systemadministratorinnen zur Überprüfung und Wahrung der Sicherheit der Systeme.

13. Niemand darf an seinen Arbeitsplatzrechner ohne Zustimmung des Rechenzentrums eigene Netzwerkzugänge anschließen.

14. Studierende haben keinen Anspruch auf Datensicherung und -wiederherstellung, sodass sie wichtige Daten ggf. selbst sichern müssen.

15. Achten Sie auf sicherheitsrelevante Vorfälle und melden Sie sie.

Seitenanfang

5. Maßnahmen bei Virenbefall

Falls Sie vermuten oder sogar wissen, dass Ihr Rechner von einem oder mehreren Schad-Programmen (Viren, Würmern, Trojanern, …) befallen ist, sollten Sie folgende Maßnahmen treffen.

1. Trennen Sie den infizierten Rechner so schnell wie möglich vom Hochschulnetz, um weitere Schäden durch Verbreitung der Schad-Software auf andere Systeme zu vermeiden. Das betroffene System sollte möglichst nicht vom Stromnetz getrennt und auch nicht heruntergefahren werden, damit ggf. später forensische Analysen durchgeführt werden können, um die Schad-Software und die verursachten Schäden zu untersuchen und damit Maßnahmen zur Eindämmung von Folgeschäden getroffen werden können.

• Wenn der Rechner mit einem Netzwerkkabel mit dem Hochschulnetz verbunden ist, sollte das Kabel abgezogen werden. Das Kabel ist mit einem Häkchen versehen, das manchmal unter einer Plastikabdeckung versteckt ist und vor dem Abziehen heruntergedrückt werden muss.

• Wenn der Rechner über das Funknetz (WLAN) mit dem Hochschulnetz verbunden ist, sollten Sie versuchen, das Netz über den WLAN-Schalter oder den berührungssensitiven Bildschirm (Touchscreen) auszuschalten. Falls die Schad-Software dies verhindert, sollten Sie versuchen, das Gerät auszuschalten, indem Sie den Ein-/Ausschaltknopf mehrere Sekunden herunterdrücken. Trennen Sie in diesem Fall das Gerät auch vom Stromnetz, falls es damit verbunden ist und entfernen Sie die Batterie, falls dies möglich ist.

Informieren Sie danach bitte sofort den Helpdesk des Rechenzentrums und die Person, die für die Administration des Rechners zuständig ist.

2. Melden Sie den Vorfall auch an Ihren IT-Sicherheitsbeauftragten bzw. Ihre IT-Sicherheitsbeauftragte, der bzw. die Ihnen ggf. bei der Säuberung Ihres Rechners behilflich ist bzw. Ihnen mitteilt, wer Ihnen helfen kann, die Schad-Software von Ihrem Rechner zu entfernen. Abhängig von der Art der Infektion ist es unter Umständen notwendig, den Rechner neu zu installieren und die Daten von einer Datensicherung zurückzuspielen, da nur so sichergestellt werden kann, dass die Schad-Software vollständig entfernt worden ist.

3. Falls eine Neuinstallation nicht notwendig ist und Sie die Schad-Software selbst entfernen wollen, benötigen Sie eine sogenannte Rettungs-CD, die ein boot-fähiges Betriebssystem und eine Antiviren-Software enthält (z. B. Desinfec’t). Sie müssen die CD/DVD bzw. den Memory-Stick auf einem anderen Rechner erstellen und Ihren Rechner dann von diesem Medium starten, damit Sie eine “virenfreie” Umgebung haben. Anschließend können Sie Ihre Festplatte mit dem Antiviren-Programm untersuchen und die Schad-Software entfernen. Falls kein Virus gefunden wird, kann Ihr Rechner trotzdem mit Schad-Software verseucht sein, die das Antiviren-Programm nur nicht findet. Kontaktieren Sie in diesem Fall unbedingt das Rechenzentrum, bevor Sie Ihren Rechner wieder an das Hochschulnetz anschließen.

4. Damit Ihr Rechner nicht sofort erneut mit Schad-Software verseucht wird, sollten Sie unbedingt die Software Ihres Rechners aktualisieren und sofern noch nicht geschehen, ein Antiviren-Programm und eine lokale Firewall installieren. Hinweise hierzu finden Sie im Kapitel 2 dieses Dokuments.

5. Das Rechenzentrum und die lokalen Systemadministratoren und Systemadministratorinnen sind verpflichtet, den Betrieb und die Sicherheit des Hochschulnetzes zu gewährleisten und führen ggf. folgende Aktionen durch, wenn Gefahr im Verzug ist:

• Falls es erforderlich ist, sperren sie die IP-Adresse an der nächstmöglichen Stelle.

• Falls der befallene Rechner über das Funknetz (WLAN) im Hochschulnetz ist, sperren sie das Benutzerkonto und unterbrechen die Verbindung.

• Sie benachrichtigen den Benutzer bzw. die Benutzerin oder den zuständigen Administrator bzw. die zuständige Administratorin über den Fehler.

Seitenanfang

6. Systemadministration

Systemadministratoren und Systemadministratorinnen haben eine besondere Verantwortung und sollten dafür sorgen, dass in ihrem Verantwortungsbereich die IT-Sicherheitsrichtlinie umgesetzt und eingehalten wird. Zusätzlich sollten sie folgende Hinweise beachten.

1. Die Benutzerkonten sollten so angelegt werden, dass nur gute Passwörter benutzt werden können und dass das Benutzerkonto gesperrt wird, falls ein Passwort mehrfach falsch eingegeben wird (wenn das System diese Möglichkeiten bietet).

2. Ändern Sie Standard-Passwörter von Telefonanlagen, Rechnern, Netzkomponenten usw. und sperren Sie ggf. Standard-Benutzer (Gast-Accounts), um die Systeme zu schützen.

3. Es sollten regelmäßige Datensicherungen durchgeführt werden und die Datensicherungsmedien sollten ggf. in feuer- und einbruchsicheren Schränken aufbewahrt werden, soweit es für den Datenbestand erforderlich ist. Falls personenbezogene oder andere sensible Daten extern gelagert werden, sollten sie verschlüsselt gespeichert werden.

4. Ändern oder sperren Sie die Rechnerzugangsberechtigung, wenn eine Person die Hochschule verlässt oder einen neuen Aufgabenbereich erhält. Die erforderlichen Daten müssen vom Student Service Center (SSC) für Studierende und von der Personalabteilung für Bedienstete an das Rechenzentrum gemeldet werden, das die Daten umgehend an alle Systemadministratoren und Systemadministratorinnen weiterleitet.

5. Falls ein Systemadministrator oder eine Systemadministratorin die Hochschule verlässt, müssen sofort alle System-Passwörter geändert werden und ggf. müssen die Passwort-Dateien bzw. -Datenbanken nach neuen Accounts mit Privilegien durchsucht werden, um die Sicherheit der Systeme zu gewährleisten. Unter UNIX-ähnlichen Betriebssystemen muss ggf. auch nach Programmen mit Privilegien (SUID- oder SGID-Bit gesetzt) gesucht werden, die nicht zum normalen Betriebssystem gehören.

6. Temporäre Benutzerkonten sollten deaktiviert werden, wenn das Projekt beendet wurde, für das sie eingerichtet worden sind.

7. Benutzer und Benutzerinnen dürfen ihr Benutzerkonto nicht telefonisch deaktivieren oder aktivieren lassen. Eine Deaktivierung oder Aktivierung kann nur schriftlich oder persönlich veranlasst werden. Soweit die Person nicht bekannt ist, muss die Identität vorher überprüft werden. Die Überprüfung kann vor Ort mithilfe eines Lichtbildausweises oder über eine Videokonferenz erfolgen. Bei schriftlichen Anträgen sollte auch geklärt werden, ob der Antrag tatsächlich von der Person gestellt worden ist.

8. Systemadministratoren und Systemadministratorinnen sollten Software herunterladen und benutzen, die die Überprüfung und Wahrung der Sicherheit der Systeme ermöglicht (z. B. Password Cracker zur Überprüfung von guten und schlechten Passwörtern, falls das System einen Zugriff auf die Passwörter zulässt).

Seitenanfang

7. Funknetze (WLAN) / Server

Für den Betrieb von Funknetzen (WLAN) und Server gelten die folgenden Bestimmungen.

1. Die Fachbereiche und zentralen Einrichtungen dürfen eigene Funknetze, die einen Zugang auf die allgemeine Rechnerinfrastruktur erlauben, nur mit Zustimmung des Rechenzentrums betreiben. Isolierte Funknetze für die Ausbildung dürfen nach Bedarf eingerichtet und betrieben werden.

2. Der Netzzugang zu produktiven Funknetzen darf nur über eine Benutzerauthentifizierung erfolgen. Ein Zugang über Hardware- oder IP-Adressen ist nicht erlaubt.

3. Der Datenverkehr in Funknetzen muss verschlüsselt sein. Passwörter dürfen auf keinen Fall im Klartext in einem Funknetz übertragen werden. Hinweise zur Einrichtung des WLANs finden Sie auf der Web-Seite WLAN (eduroam) des Rechenzentrums.

4. Die Zugangsdaten (IP-Adresse, Benutzerkonto, Zeit) zu produktiven Funknetzen müssen protokolliert werden.

5. Die Fachbereiche und zentralen Einrichtungen dürfen eigene Server, die mit dem Hochschulnetz verbunden sind, nur mit Zustimmung des Rechenzentrums betreiben. Isolierte Server in abgeschlossenen Labornetzen für die Ausbildung dürfen nach Bedarf eingerichtet und betrieben werden.

6. In Funknetzen dürfen keine Server betrieben werden.

7. Über externe Zugänge dürfen Server nur über eine gesicherte VPN-Verbindung verwaltet werden. Hinweise zur Einrichtung der VPN-Software finden Sie auf der Web-Seite VPN Zugang des Rechenzentrums.

8. Die VPN-Zugangs-Software, die Konfigurationsdatei für die VPN-Software sowie die Benutzerkennung und das Passwort für die Einwahl in das Funknetz der Hochschule Fulda dürfen nicht an andere Personen weitergegeben werden.

Seitenanfang

8. Datenverschlüsselung

Es gibt sehr viele Produkte, die die Verschlüsselung von Daten unterstützen. Wenn Sie sensitive Daten als Anlage einer E-Mail verschicken wollen, können Sie die Datei oder Dateien beispielsweise mit dem Programm 7-zip komprimieren und verschlüsseln. Das Passwort zum Entschlüsseln können Sie dem Empfänger dann z. B. telefonisch mitteilen. “7-zip” unterstützt auch die Verschlüsselung des Archiv-Verzeichnisses (header encryption), sodass eine unbefugte Person noch nicht einmal die Namen der Dateien im Archiv herausfinden kann.

Wenn Sie im täglichen Betrieb auf Ihrer Festplatte arbeiten, wollen Sie die Dateien nicht manuell ver- und entschlüsseln, zumal die Dateien dann für den Zeitraum der Bearbeitung unverschlüsselt auf der Festplatte gespeichert wären. Hierfür benötigen Sie ein Produkt, das die Daten automatisch und für Sie transparent (on-the-fly) ver- und entschlüsselt. Diese Produkte lassen sich in zwei Klassen einteilen:

1. Produkte, die Dateien oder alle Dateien in einem Dateiverzeichnis verschlüsseln. In diese Kategorie fällt beispielsweise das Produkt Encrypting File System (EFS), das eine Erweiterung des NTFS-Dateisystems von Microsoft ist und damit in jedem modernen Windows-Betriebssystem zur Verfügung steht. Da temporäre Dateien in der Windows-Welt häufig in anderen Verzeichnissen oder sogar in anderen Partitionen gespeichert werden, kann es passieren, dass die temporären Dateien nach der Bearbeitung unverschlüsselt zur Verfügung stehen (die temporäre Datei wird zwar gelöscht, aber ihr Inhalt wird nicht zerstört, sodass er später wiederhergestellt werden könnte).

2. Produkte, die eine verschlüsselte Partition in einer Datei anlegen (ein sogenannter Container) oder eine vollständige Partition der Festplatte verschlüsseln. Sie werden dann noch in Produkte unterschieden, die nur Daten-Partitionen verschlüsseln können und solche, die auch System-Partitionen verschlüsseln können. Falls ein Produkt sowohl Daten- als auch System-Partitionen verschlüsseln kann, kann die gesamte Festplatte verschlüsselt werden. In diese Gruppe gehören z. B. das kommerzielle Produkt SecurStar DriveCrypt sowie das freie Produkt VeraCrypt. Wikipedia stellt in dem Artikel “Comparison of disk encryption software” Eigenschaften, Verfügbarkeit, Aktualität usw. von vielen Festplattenverschlüsselungsprogrammen dar. Microsoft Windows bietet für einige Betriebssystemversionen das Programm BitLocker an.

Eine detaillierte Beschreibung zum Einsatz dieser Programme würde den Rahmen dieser Dokumentation sprengen. Weitere Informationen finden Sie z. B. bei Wikipedia 7-zip, Encrypting_File_System, VeraCrypt, BitLocker.

Seitenanfang

9. Aussonderung von Rechnern, Druckern und Datenträgern

Bei der Aussonderung von Rechnern und Datenträgern sollte man daran denken, dass die Daten physikalisch nicht zerstört bzw. überschrieben werden, wenn man die Dateien löscht, sodass sie später unter Umständen wiederhergestellt werden können. Beachten Sie deshalb unbedingt die folgenden Hinweise.

1. Sorgen Sie dafür, dass sensible Dokumente bzw. Datenträger (Festplatte, CDROM, DVD, Memory-Stick, usw.) mit personenbezogenen oder anderen sensiblen Daten nicht wiederherstellbar zerstört werden (z. B. mithilfe eines Schredders, soweit dies möglich ist), bevor sie ausgesondert werden.

2. Sorgen Sie dafür, dass Festplatten ggf. vollständig magnetisiert oder so zerstört werden, dass sie nicht wiederhergestellt werden können, wenn sie personenbezogene oder andere sensible Daten enthalten haben.

3. Denken Sie daran, dass (Netzwerk)-Drucker häufig mit Festplatten ausgestattet sind, auf denen Dateien vor dem Ausdruck zwischengespeichert werden und vergessen Sie deshalb nicht, die Daten auf diesen Festplatten ebenfalls zu zerstören, bevor der Drucker ausgesondert wird.

4. Viele Geräte speichern Konfigurationen in Flash-Speichern. Denken Sie daran, die Konfigurationen zu löschen, bevor Sie das Gerät aussondern, da die Kenntnis der Konfiguration unter Umständen einen Angriff auf die IT-Infrastruktur erleichtert.

5. Denken Sie daran, dass unter Umständen auch Multi-Funktionsgeräte, Scanner, Fax-Geräte usw. mit Festplatten oder Flash-Speichern ausgestattet sind, auf denen Daten zwischengespeichert werden. Löschen Sie diese Daten, bevor Sie das Gerät aussondern.

Seitenanfang

10. Weitere Hinweise

Moderne Kopierer sind im Allgemeinen mit Festplatten ausgestattet, auf denen die Kopien vor dem Ausdruck zwischengespeichert werden. Vergessen Sie nicht die Daten auf den Festplatten zu vernichten, bevor der Kopierer ausgesondert wird. Falls auf dem Kopierer auch personenbezogene oder andere sensible Daten kopiert werden sollen, sollte der Kopierer unbedingt in einem verschlossenen Raum aufgestellt werden und nicht an das Hochschulnetz angeschlossen werden. Die Daten der Festplatte können gelesen werden, wenn ein Rechner mit dem Kopierer verbunden werden kann und das Administrator-Passwort bekannt ist (für viele Kopierer steht das Standard-Passwort zusammen mit der Bedienungsanleitung im Internet). Einige Kopierer können mit einem Modul zum sicheren Löschen der Festplatte ausgestattet werden.

Seitenanfang

Impressum

Impressum

Ich widerspreche jeder kommerziellen Verwendung und Weitergabe meiner Daten.

Journalistisch-redaktionelle Verantwortung:
Der/Die IT-Sicherheitsbeauftragte der Hochschule Fulda
Leipziger Str. 123
D-36037 Fulda
Telefon: +49 (0)661 / 9640 - 1073
E-Mail: isb(at)hs-fulda.de

Haftungsausschluss

Trotz sorgfältiger inhaltlicher Kontrolle übernehme ich keine Haftung für die Inhalte externer Links. Sie stellen kein Angebot der Hochschule Fulda dar. Für den Inhalt dieser Seiten sind ausschließlich deren Betreiber verantwortlich.