IT-Sicherheitsrichtlinie der HFD

VERSION 23.10.2008

Die IT-Sicherheitsrichtlinie (IT-SR) wurde am 23. Oktober 2008 vom Präsidium der Hochschule Fulda verabschiedet und ist seitdem in Kraft.

Inhalt

  1. Überblick
  2. Einleitung
  3. Förderung des Sicherheits-Bewusstseins
  4. Mindeststandards für den Betrieb eines Computers
  5. Mindeststandards für den Betrieb eines Netzes
  6. Regelwidrige Benutzung
  7. Konsequenzen bei Nichteinhaltung der IT-Sicherheitsrichtlinie

1. Überblick

Die Hochschule Fulda erwartet von den Benutzern und Benutzerinnen der Computer und der Netze der Hochschule einen verantwortungsbewussten Umgang bei deren Gebrauch. Als Reaktion auf Verstöße gegen die Sicherheitsrichtlinie oder gegen gesetzliche Bestimmungen sind die Hochschule Fulda und ihre Organisationseinheiten berechtigt, Benutzern und Benutzerinnen Zugangsberechtigungen zeitweise oder auf Dauer zu entziehen, bei Bedarf Daten von Computern der Hochschule Fulda zu löschen und Computer aus dem Netz zu entfernen. Bei Unklarheiten oder in Streitfällen entscheidet der oder die IT-Sicherheitsbeauftragte der Hochschule Fulda und in zweiter Instanz der Leiter oder die Leiterin des Rechenzentrums der Hochschule über solche Maßnahmen.

Basierend auf der Benutzungsordnung für die Rechner und Netze an der Hochschule Fulda stellt diese Richtlinie eine Detaillierung der allgemeinen Regeln für Benutzung und Betrieb der Rechner und Netze in Bezug auf die IT-Sicherheit dar. Falls Sie ein sicherheitsrelevantes Ereignis bemerken, melden Sie es bitte. Hinweise finden Sie im Dokument “IT-Sicherheitsvorfall melden”.

1.A Begründung

Die Hochschule Fulda möchte allen Nutzern und Nutzerinnen ein effizientes und ungestörtes Arbeiten ermöglichen. Daher enthält die IT-Sicherheitsrichtlinie eine Liste von nicht zulässigen Verhaltensweisen (regelwidrige Benutzung), deren Unterlassung jeder Benutzer und jede Benutzerin einfordern kann, um sich vor Belästigungen und Bedrohungen zu schützen und die Hochschule Fulda und ihre Organisationseinheiten vor Schäden und rechtlichen Konsequenzen zu bewahren. Um den einwandfreien Betrieb zu gewährleisten, werden in der IT-Sicherheitsrichtlinie Standards für die Sicherheit von Computern, Netzen und Daten festgelegt. Es handelt sich dabei um Mindestanforderungen. Die Organisationseinheiten der Hochschule Fulda können für ihren Verantwortungsbereich schriftlich strengere Regeln festlegen.

1.B Gültigkeitsbereich

Die IT-Sicherheitsrichtlinie ist verbindlich für alle Angehörigen der Hochschule Fulda sowie Personen, denen durch Vereinbarungen die Benutzung von Computern und Netzen der Hochschule Fulda möglich ist.

Darüber hinaus bildet sie die Grundlage für Reaktionen auf alle sicherheitsrelevanten Vorfälle von außerhalb.

1.C Version

Version 1.0 vom 23. September 2008

An dieser Stelle werden Überarbeitungen des Dokuments mit einer kurzen Zusammenfassung der Änderungen vermerkt. Die Richtlinie sollte regelmäßig (z. B. alle zwei Jahre) auf Aktualität überprüft werden. Schwerwiegende Veränderungen der verwendeten Technologien oder organisatorischer Art können kurzfristigere Überarbeitungen zur Folge haben.

Seitenanfang

2. Einleitung

Der Gebrauch von Computern und Netzen ist für die Angehörigen der Hochschule Fulda zur alltäglichen Routine geworden. Bei ordnungsgemäßer Benutzung erleichtert er viele Tätigkeiten und manche Arbeiten wären ohne den Einsatz von Computern gar nicht denkbar. Fahrlässige oder gar gesetzwidrige Verwendung hingegen kann die Rechte anderer Benutzer oder Benutzerinnen verletzen. Die Hochschule Fulda verlangt daher von allen Benutzern und Benutzerinnen sorgfältigen und verantwortungsvollen Umgang beim Gebrauch von Computern und Netzen.

Grundsätzlich bleibt es im Rahmen der gesetzlichen Bestimmungen dem Ermessen jedes einzelnen Benutzers bzw. jeder einzelnen Benutzerin bzw. dem Ermessen der Fachbereiche und Einrichtungen der Hochschule Fulda überlassen, in welcher Art und Weise Computer und Netze verwendet werden. Dieser praktizierte Ansatz maximaler Offenheit, hat sich über die Jahre bewährt und soll beibehalten werden. Die Erfahrung der letzten Jahre hat aber deutlich gemacht, dass es einen allgemein anerkannten Konsens geben muss, welche regelwidrige Benutzung nicht akzeptiert wird, welche Mindeststandards für den Betrieb eines Computers bzw. eines Netzes verbindlich sind und welche Konsequenzen bei Nichteinhaltung der Richtlinie gezogen werden.

Der Zweck der IT-Sicherheitsrichtlinie ist es, diese Themenkreise zu formalisieren und allen Benutzern und Benutzerinnen eine einheitliche Grundlage zu bieten, anhand der entschieden werden kann, welche Benutzung konform ist und welche Maßnahmen zu ergreifen sind.

Aufgrund einer maximalen Offenheit kann Missbrauch a priori nicht ausgeschlossen werden. Durch die IT-Sicherheitsrichtlinie soll das Erkennen von Sicherheitsproblemen beschleunigt werden, um den Schaden für jede(n) Einzelne(n) und die Hochschule Fulda gering zu halten. Sie soll als Richtschnur für das eigene Handeln, sowie zur Beurteilung des Handelns der anderen dienen. Damit verringert sich auch die Wahrscheinlichkeit, dass Verstöße ohne Konsequenzen bleiben.

Die Hochschule Fulda ist darauf angewiesen, dass die Nutzer und Nutzerinnen Sicherheitsprobleme dem Rechenzentrum und ihren zuständigen IT-Sicherheitsbeauftragten (Ansprechpersonen der Organisationseinheiten melden und die Systemadministratoren bzw. Systemadministratorinnen erkannte Mängel in ihrem Verantwortungsbereich selbst beheben. Die komplette Liste der Kontaktadressen wird regelmäßig aktualisiert.

Seitenanfang

3. Förderung des Sicherheits-Bewusstseins

Die nachfolgenden Maßnahmen sollen die Sicherheit fördern.

3.A Benutzer/Benutzerinnen

  • Benutzer und Benutzerinnen sollten sich über Änderungen an der Sicherheitsrichtlinie auf dem Laufenden halten.

  • Erforderliche Aktionen auf Grund einer Änderung der Sicherheitsrichtlinie sind umgehend durchzuführen.

  • Verstöße oder vermutete Verstöße gegen die Sicherheitsrichtlinie sind umgehend dem oder der zuständigen IT-Sicherheitsbeauftragten mitzuteilen.

  • Eine regelmäßige Teilnahme an Schulungen zum Thema IT-Sicherheit wird empfohlen.

3.B Administratoren/Administratorinnen

  • Alle obigen Maßnahmen für Benutzer und Benutzerinnen und zusätzlich

  • Informieren der Benutzer und Benutzerinnen über sicherheitsrelevante Vorfälle, Bedrohungen usw.

  • Schulung der Benutzer und Benutzerinnen, insbesondere über relevante Themen zur Erhaltung und Erhöhung der IT-Sicherheit (auch für neue Benutzer und Benutzerinnen).

  • Informieren über Schwachstellen und Bedrohungen in der eingesetzten Software.

Seitenanfang

4. Mindeststandards für den Betrieb eines Computers

Um den ordnungsgemäßen Betrieb eines Computers oder einer aktiven Netzkomponente zu gewährleisten, müssen mindestens die folgenden Anforderungen erfüllt sein. Zusätzlich sind die jeweils gültigen Sicherheitsmaßnahmen des Rechenzentrums zu beachten.

  1. Das System muss fachgerecht installiert werden.
  2. . Die notwendigen Security Patches oder Upgrades müssen zeitnah installiert werden.
  3. Falls ein System nicht über geeignete Schutz-Mechanismen verfügt, muss es netzwerkseitig geschützt werden, z. B. durch eine Firewall.
  4. Nicht mehr verwendete Benutzerzugänge müssen entfernt werden.
  5. Passwörter müssen sofort geändert werden, wenn sie in fremde Hände geraten sind oder der Verdacht besteht, dass sie unautorisierten Personen bekannt geworden sind und es müssen sichere Passwörter oder stärkere Authentifizierungsmethoden (z. B. Public Key) benutzt werden.
  6. Passwörter dürfen nicht im Klartext über die Grenzen des Hochschulnetzes versendet werden und sollten auch innerhalb des Hochschulnetzes nach Möglichkeit nicht im Klartext übertragen werden.
  7. Passwörter sollten niemals auf der Festplatte gespeichert werden, um deren Eingabe in einem Programm zu umgehen.
  8. Wird ein Verfahren eingeführt oder wesentlich geändert, in dem personenbezogene Daten verarbeitet werden, ist zuvor ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO zu erstellen. Das Ergebnis ist dem bzw. der Datenschutzbeauftragten der Hochschule Fulda zuzusenden.

Falls einem Benutzer bzw. einer Benutzerin eines Computers Sicherheitsmängel auffallen, ist er bzw. sie verpflichtet, die Mängel der Person mitzuteilen, die für die Systemadministration zuständig ist oder, falls er bzw. sie die Person nicht kennt, dem oder der IT-Sicherheitsbeauftragten der Organisationseinheit. Der oder die IT-Sicherheitsbeauftragte ist verpflichtet, ihm oder ihr bekannte bzw. bekannt gemachte Informationen über Sicherheitsmängel eines Rechners an die Person weiterzuleiten, die für die Systemadministration zuständig ist. Diese wiederum ist verpflichtet, geeignete Gegenmaßnahmen zu ergreifen.

Seitenanfang

5. Mindeststandards für den Betrieb eines Netzes

Ein Netzbetrieb im Sinne dieser Richtlinie liegt dann vor, wenn dedizierte Netzwerk-Hardware (z. B. Router) betrieben wird oder auf logischer Ebene Netzwerkdienste angeboten werden, wie z. B. NAT-Gateways, DNS- oder DHCP-Server.

  1. Zu jedem Bereich (Subnetz, IP-Bereich, DNS-Domäne) ist mindestens eine verantwortliche Person zu benennen (besser mehrere Personen, sodass im Falle von Fehlern oder Sicherheitsvorfällen immer eine verantwortliche Person erreicht werden kann), die auch technisch in der Lage ist, Notmaßnahmen durchzuführen.

  2. Der Zugang zum Netz darf nicht unkontrolliert erfolgen. Der Netzzugang muss entweder physikalisch (geschlossener Raum) oder administrativ durch Zugriffslisten, VPN-Zugang o. ä. geregelt sein.

  3. Werden IP-Adressen vergeben, so muss nachvollziehbar sein, wer bzw. welches Gerät eine IP-Adresse zu einer bestimmten Zeit hatte.

  4. Die Standorte aller im Netz befindlichen Komponenten, auch die der angeschlossenen Rechner, müssen den verantwortlichen Personen bekannt sein.

  5. Die Namen und / oder Adressen der Netzwerkkomponenten (einschließlich der Rechner) sollten außen am Gerät sichtbar sein.

Seitenanfang

6. Regelwidrige Benutzung

Die in der Sicherheitsrichtlinie festgelegten Regelverstöße sind thematisch in die folgenden vier Bereiche gegliedert. Strafrechtlich sanktioniertes Verhalten ist immer regelwidrig.

6.A Verwendung elektronischer Kommunikation für Angriffe gegen Einzelpersonen oder Gruppen von Personen

A1) Verbreitung oder In-Umlauf-Bringen von Informationen, die Personen beleidigen oder herabwürdigen (z. B. aufgrund ihrer Hautfarbe, Nationalität, Religion, ihres Geschlechtes, ihrer politischen Gesinnung oder sexuellen Ausrichtung).
A2) Unbefugte Verarbeitung personenbezogener Daten und Verbreitung von persönlichen oder anderen schützenswerten Informationen über eine Einzelperson oder eine Gruppe von Personen.
A3) Mehrfach unerwünschtes Zusenden von Nachrichten.

6.B Verwendung elektronischer Kommunikation zur Behinderung der Arbeit Dritter

B1) Behinderung der Arbeit anderer (z. B. durch Mail-Bomben und ähnliche Techniken).
B2) Aneignung von Ressourcen über das zugestandene Maß (z. B. extremer Datenverkehr).
B3) Versenden von elektronischen Massensendungen (z. B. SPAM E-Mails). Ausnahme: Verbreitung von dienstlichen Mitteilungen in Analogie zur Hauspost.
B4) Weitersenden oder In-Umlauf-Bringen von elektronischen Kettenbriefen.
B5) Unberechtigte Manipulation von elektronischen Daten anderer.
B6) Zugriff auf Daten Dritter ohne deren Erlaubnis.

6.C Vergehen gegen Lizenzvereinbarungen oder andere vertragliche Bestimmungen

C1) Die Nutzung, das Kopieren und Verbreiten von urheberrechtlich geschütztem Material im Widerspruch zum Urheberrechtsgesetz, zur Satzung der Hochschule Fulda zur Sicherung guter wissenschaftlicher Praxis, zu Lizenzvereinbarungen oder anderen Vertragsbestimmungen auf Computern der Hochschule Fulda bzw. der Transport dieser Dokumente über Netze der Hochschule Fulda.
C2) Verletzung des Urheberrechts durch Verfälschung elektronischer Dokumente.
C3) Weitergabe von Zugangsberechtigungen an Dritte (z. B. Accounts, Passwörter, Chipkarten der Hochschule Fulda)

6.D Verwendung elektronischer Kommunikation für Attacken gegen Computer, das Netz oder Services, die darauf erbracht werden

Für die nachfolgenden Verstöße besteht eine Meldepflicht an die jeweiligen IT-Sicherheitsbeauftragten der Organisationseinheit und der Hochschule Fulda!

D1) Systematisches Ausforschen von Servern und Services (z. B. Port Scans). Ausnahme: Sicherheitstests nach Absprache mit der Person, die für die Systemadministration zuständig ist.
D2) Unerlaubte Aneignung von Zugangsberechtigungen oder der Versuch einer solchen Aneignung (z. B. Cracken). Ausnahme: Sicherheitstests nach Absprache mit der Person, die für die Systemadministration zuständig ist.
D3) Beschädigung oder Störung von elektronischen Diensten (z. B. Denial-of-Service-Attacks).
D4) Vorsätzliche Verbreitung oder In-Umlauf-Bringen von schädlichen Programmen (z. B. Viren, Würmer, Trojanische Pferde).
D5) Ausspähen von Passwörtern oder auch der Versuch des Ausspähens (z. B. Password Sniffer).
D6) Unberechtigte Manipulation oder Fälschung von Identitätsinformationen (z. B. E-Mail-Header, elektronische Verzeichnisse, IP-Spoofing, etc.).
D7) Ausnutzen erkannter Sicherheitsmängel bzw. administrativer Mängel.

Seitenanfang

7. Konsequenzen bei Nichteinhaltung der Sicherheitsrichtlinie

Die meisten Verstöße resultieren erfahrungsgemäß aus Unkenntnis der Sicherheitsrichtlinie oder technischer Unzulänglichkeit. In solchen Fällen wird es ausreichen, wenn der Verursacher bzw. die Verursacherin über den Verstoß gegen die Sicherheitsrichtlinie der Hochschule Fulda aufgeklärt und die Unterlassung weiterer Verstöße gefordert wird. Bei Verstößen gegen Lizenzvereinbarungen muss gegebenenfalls die Löschung der entsprechenden Daten auf den betroffenen Rechnern verlangt werden. Wenn anzunehmen ist, dass erkannte Verstöße auch andere Fachbereiche, Einrichtungen oder Organisationen (auch außerhalb der Hochschule Fulda) betreffen könnten, sind die betreffenden Verantwortlichen und eventuell auch das Rechenzentrum der Hochschule Fulda zu informieren (z. B. Sperren eines Benutzers bzw. einer Benutzerin, der/die auch über Zugangsberechtigungen auf anderen Computern verfügt).

Falls die direkte Aufforderung ohne Erfolg bleibt oder die Identität des Verursachers bzw. der Verursacherin nicht festgestellt werden kann, ist das Rechenzentrum der Hochschule Fulda in die Lösung des Problems mit einzubeziehen. Der Kontakt mit dem Rechenzentrum sollte am besten über die dafür vorgesehene E-Mail-Adresse hergestellt werden.

Neben der Beschreibung des Problems sollte immer explizit angeführt werden, gegen welchen Punkt der Sicherheitsrichtlinie verstoßen wurde. Bei Uneinigkeit über die Richtigkeit der Beschwerde entscheidet der bzw. die IT-Sicherheitsbeauftragte der Hochschule Fulda und in zweiter Instanz der Leiter oder die Leiterin des Rechenzentrums.

7.A Maßnahmen durch das Rechenzentrum

  1. Das Rechenzentrum wird den für das Netz oder den Rechner Verantwortlichen auffordern, Regelverstöße zu unterbinden, gegebenenfalls die Zugangsberechtigung des Verursachers bzw. der Verursacherin zu sperren sowie bei Verstößen gegen Lizenzvereinbarungen die betreffenden Informationen von den Rechnern zu löschen.

  2. Das Rechenzentrum führt regelmäßige Kontrollen zu Aspekten der IT-Sicherheitsrichtlinie durch. Werden Verstöße gegen die Richtlinie festgestellt (z. B. aufgrund von Aktivitäten installierter Schadsoftware), behält sich das Rechenzentrum vor, den Benutzer oder die Benutzerin telefonisch zu kontaktieren und den Benutzeraccount zu deaktivieren. Eine Freischaltung des Accounts ist nur vor Ort nach vorheriger Rücksprache möglich.

  3. Ist der bzw. die jeweilige Verantwortliche nicht erreichbar oder nicht imstande bzw. nicht bereit, solche Verstöße zu verhindern, so ist das Rechenzentrum verpflichtet, die nächst höhere Instanz (z. B. den Dekan oder die Dekanin) von den Missständen zu informieren und ihn bzw. sie zur Behebung derselben aufzufordern.

  4. Bleibt auch die Maßnahme in Punkt 2 ohne Erfolg, so ist das Rechenzentrum berechtigt, den betreffenden Rechner aus dem Netz zu entfernen bzw. die betreffenden Services oder ggf. ein ganzes Subnetz zu sperren.

  5. Wenn die Umstände es verlangen (Gefahr in Verzug), können Sperren vom Rechenzentrum auch ohne Rücksprache mit dem bzw. der jeweiligen Verantwortlichen vollzogen werden. Das Rechenzentrum ist in solchen Fällen verpflichtet, die Betroffenen (soweit dies möglich ist) und die nächst höhere Instanz unmittelbar danach über die getroffenen Maßnahmen zu informieren.

  6. Strafrechtlich relevante Vorfälle sind, z. B. wegen eventueller Schadensersatzforderungen für Schäden, grundsätzlich an die Präsidentin oder den Präsidenten der Hochschule Fulda weiterzuleiten.

  7. Zusätzlich kann vom Verursacher bzw. der Verursacherin die schriftliche Kenntnisnahme der IT-Sicherheitsrichtlinie verlangt werden.

7.B Maßnahmen durch die Hochschul-, Landes- und Stadtbibliothek (HLSB)

Die Maßnahmen der Hochschul-, Landes- und Stadtbibliothek sind in der “Benutzungsordnung der Hochschule Fulda - University of Applied Sciences für die Hochschul-, Landes- und Stadtbibliothek (HLB) vom 28. März 2019” im "§ 22 Ausschluss von der Benutzung" geregelt.

Seitenanfang

23.10.2025

Unterabschnitte von IT-Sicherheitsrichtlinie (IT-SR)

Benutzungsordnung

VERSION 26.11.2021

Die Benutzungsordnung für die Rechner und Netze an der Hochschule Fulda wurde am 23. Oktober 2008 vom Präsidium der Hochschule Fulda verabschiedet und am 29. Mai 2013 und am 25. November 2021 ergänzt. Die erweiterte Benutzungsordnung tritt am 26. November 2021 in Kraft.

Inhalt

Präambel

Die Hochschule Fulda, ihre Fachbereiche und Einrichtungen betreiben eine Informationsverarbeitungs- und Kommunikations-Infrastruktur (IT-Infrastruktur), bestehend aus Informationsverarbeitungssystemen (Rechenanlagen) und einem Multiservice-Kommunikationsnetz zur Übertragung von Daten, Bildern und Sprache. Die IT-Infrastruktur ist in das weltweite Internet integriert.

Die vorliegende Benutzungsordnung regelt die Bedingungen, unter denen das Leistungsangebot dieser Infrastruktur genutzt werden kann. Sie

  • orientiert sich an den gesetzlich festgelegten Aufgaben der Hochschule Fulda sowie an ihrem Mandat zur Wahrung der akademischen Freiheit;

  • stellt Grundregeln für einen ordnungsgemäßen Betrieb der IT-Infrastruktur auf;

  • weist auf die zu wahrenden Rechte Dritter hin (z. B. bzgl. Software-Lizenzen, Auflagen der Netzbetreiber, Datenschutzaspekte);

  • verpflichtet die Benutzer und Benutzerinnen zu korrektem Verhalten und zum ökonomischen Gebrauch der angebotenen Ressourcen;

  • verpflichtet die Betreiber zum korrekten Systembetrieb;

  • klärt über eventuelle Maßnahmen bei Verstößen gegen diese Benutzungsordnung auf;

  • regelt die Details der Benutzerregistrierung und des Rechnerbetriebs.

Die einzelnen Organisationseinheiten der Hochschule Fulda können zusätzliche Regelungen zur Benutzerregistrierung und zum Rechnerbetrieb festlegen.

Seitenanfang

§ 1 Geltungsbereich

Diese Benutzungsordnung gilt für die von der Hochschule Fulda betriebene IT-Infrastruktur, bestehend aus Informationsverarbeitungssystemen, Kommunikationssystemen und weiteren Hilfseinrichtungen.

Seitenanfang

§ 2 Benutzerkreis und Aufgaben

  • Die im § 1 genannten IT-Ressourcen stehen den Mitgliedern und Angehörigen der Hochschule Fulda zur Erfüllung ihrer Aufgaben aus Forschung, Lehre, Verwaltung, Aus- und Weiterbildung und Öffentlichkeitsarbeit der Hochschule zur Verfügung.

  • Anderen Personen und Institutionen kann die Nutzung gestattet werden.

Seitenanfang

§ 3 Benutzungsberechtigungen

  1. Zur Nutzung der IT-Ressourcen nach § 1 bedarf es einer formalen Benutzungsberechtigung (z. B. Benutzerkennung, Netzanschluss, Netzzugang) des zuständigen Systembetreibers.

  2. Die Nutzung von rechnerbasierten Diensten (z. B.: E-Mail-Adresse, Internet-Zugang, umfangreiche Rechenzeit oder Speicherkapazität, Nutzung von PC-Pools) wird bei Bedarf in den jeweiligen Benutzungsordnungen der zentralen Einrichtungen und Fachbereiche geregelt.

  3. Der Anschluss von Rechnern an das Hochschulnetz kann nur von Hochschulbediensteten (Professoren und Profesorinnen, Mitarbeiter und Mitarbeiterinnen) über ihre jeweiligen Systemadministratoren bzw. Systemadministratorinnen beantragt werden. Diese informieren über Rechte und Pflichten und nehmen die benötigten Daten auf.

  4. Systembetreiber ist

    1. für das Hochschulnetz, zentrale Systeme und Dienste das Rechenzentrum,

    2. für dezentrale Systeme eine Organisationseinheit der Hochschule Fulda (Fachbereich, Institut, Arbeitsgruppe, Einrichtung oder andere Untereinheit der Hochschule).

  5. Der Antrag auf eine formale Benutzungsberechtigung soll folgende Angaben enthalten:

    1. Systembetreiber, bei dem die Benutzungsberechtigung beantragt wird;

    2. Systeme, für die die Benutzungsberechtigung beantragt wird;

    3. Antragsteller bzw. Antragstellerin: Name, Adresse, Telefonnummer und, falls vorhanden, E-Mail-Adresse (bei Studierenden zusätzlich die Matrikelnummer) sowie Zugehörigkeit zu einer Organisationseinheit der Hochschule;

    4. Angaben zum Zweck der Nutzung, z. B. Ausbildung/Lehre, Forschung, Verwaltung;

    5. die Angabe, ob personenbezogene Daten verarbeitet werden;

    6. die Erklärung, dass der Antragsteller bzw. die Antragstellerin die Benutzungsordnung in der jeweils aktuellen Version anerkennt und in die Erhebung, Verarbeitung und Nutzung der eigenen personenbezogenen Daten zum Zwecke der Benutzerverwaltung einwilligt, insbesondere gemäß § 6 Ziffer 5, 6 und 7 dieser Benutzungsordnung. Der Antragsteller bzw. die Antragstellerin ist verpflichtet, sich über Änderungen der Benutzungsordnung zu informieren und seine bzw. ihre Benutzungsberechtigung zurückzugeben, wenn er bzw. sie mit den Änderungen nicht einverstanden ist.

Weitere Angaben darf der Systembetreiber nur verlangen, wenn sie zur Entscheidung über den Antrag erforderlich sind.

  1. Über den Antrag entscheidet der zuständige Systembetreiber. Er kann die Erteilung der Benutzungsberechtigung vom Nachweis bestimmter Kenntnisse über die Benutzung des Systems abhängig machen.

  2. Die Benutzungsberechtigung ist zu erteilen, wenn

    1. das Vorhaben mit den Zwecken gemäß § 2 Ziffer 1 dieser Benutzungsordnung vereinbar ist;

    2. gewährleistet erscheint, dass der Antragsteller bzw. die Antragstellerin seinen bzw. ihren Pflichten als Nutzer bzw. Nutzerin nachkommen wird;

    3. das System für die beabsichtigte Nutzung geeignet und nicht für spezielle Zwecke reserviert ist;

    4. die Kapazität des Systems, dessen Benutzung beantragt wird, trotz einer bereits bestehenden Auslastung für die beabsichtigten Arbeiten ausreicht;

    5. nicht zu erwarten ist, dass durch die beantragte Nutzung andere berechtigte Nutzungen in unangemessener Weise gestört werden.

  3. Die Benutzungsberechtigung berechtigt nur zu Arbeiten, die im Zusammenhang mit der beantragten Nutzung stehen.

  4. Die Benutzungsberechtigung endet aufgrund einer entsprechenden Mitteilung des Benutzers bzw. der Benutzerin oder wenn er/sie aus dem berechtigten Personenkreis ausscheidet. Das Student Service Center (SSC) informiert das Rechenzentrum über jede Exmatrikulation und die Personalabteilung teilt ihm jedes Ausscheiden von Bediensteten mit, damit die entsprechenden Benutzungsberechtigungen gesperrt werden können. Das Rechenzentrum informiert die Systembetreiber der anderen Organisationseinheiten der Hochschule Fulda.

Seitenanfang

§ 4 Gesetzliche Einbindung

Die IT-Infrastruktur darf nur in rechtlich korrekter Weise genutzt werden. Benutzer, Benutzerinnen und Betreiber müssen sich über die einschlägigen Bestimmungen des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) und weiterer Gesetze (siehe auch Gesetze/Datenschutz) informieren. Es wird ausdrücklich darauf hingewiesen, dass unter anderem folgende Tätigkeiten strafbar sind:

  1. Ausspähen (§ 202a StGB) und Abfangen (§ 202b StGB) von Daten;

  2. Vorbereitung des Ausspähens und Abfangens von Daten (§ 202c StGB).
    Hinweis: Die Tätigkeiten der Systemadministratoren und Systemadministratorinnen gemäß § 6 Ziffern 5 bis 7 dieses Dokuments verstoßen nicht gegen § 202c, da sich die Benutzer und Benutzerinnen mit der Beantragung der Benutzerberechtigung mit diesen Aktivitäten einverstanden erklärt haben;

  3. unbefugtes Verändern, Löschen, Unterdrücken oder Unbrauchbarmachen von Daten (§ 303a StGB);

  4. Computersabotage (§ 303b StGB) und Computerbetrug (§ 263a StGB);

  5. die Verbreitung von Propagandamitteln verfassungswidriger Organisationen (§ 86 StGB) oder rassistischem Gedankengut (§ 130 StGB);

  6. die Verbreitung und der Besitz gewisser Formen von Pornographie im Netz (§§ 184, 184a, 184b StGB);

  7. Ehrdelikte wie Beleidigung oder Verleumdung (§ 185ff StGB), Beschimpfungen von Bekenntnissen, Religionen oder Weltanschauungen (§ 166 StGB);

  8. Urheberrechtsverletzungen, z. B. durch urheberrechtswidrige Vervielfältigung von Software oder die Eingabe geschützter Werke und deren Verbreitung über die IT-Infrastruktur (§§ 106ff UrhG).

In einigen Fällen ist bereits der Versuch strafbar.

Seitenanfang

§ 5 Rechte und Pflichten der Benutzer und Benutzerinnen

  1. Die IT-Ressourcen nach § 1 dürfen nur zu den in § 2 Ziffer 1 dieser Benutzungsordnung genannten Zwecken genutzt werden. Eine hiervon abweichende Nutzung kann zugelassen werden, wenn sie geringfügig ist und die Zweckbestimmung des Hochschulrechenzentrums sowie die Belange der anderen Nutzer bzw. Nutzerinnen nicht beeinträchtigt werden.

  2. Zentrale Systeme und Dienste des Rechenzentrums können von allen Mitgliedern und Angehörigen der Hochschule, dezentrale Systeme in der Regel nur von Mitgliedern und Angehörigen der entsprechenden Organisationseinheit genutzt werden.

  3. Benutzer und Benutzerinnen sind verpflichtet, darauf zu achten, dass vorhandene Betriebsmittel (z. B. Arbeitsplätze, CPU-Kapazität, Plattenspeicherplatz, Leitungskapazitäten, Peripheriegeräte und Verbrauchsmaterial) verantwortungsvoll und ökonomisch sinnvoll genutzt werden. Benutzer und Benutzerinnen sind weiterhin verpflichtet, Beeinträchtigungen des Betriebes, soweit sie vorhersehbar sind, zu unterlassen und nach bestem Wissen alles zu vermeiden, was Schaden an der IT-Infrastruktur oder bei anderen Benutzern oder Benutzerinnen verursachen kann. Zuwiderhandlungen können Schadensersatzansprüche begründen und zum Nutzungsausschluss führen (siehe auch § 8 dieser Benutzungsordnung). Benutzer und Benutzerinnen sind außerdem verpflichtet, die IT-Sicherheitsrichtlinie der Hochschule Fulda zu beachten und alle erforderlichen Maßnahmen zum Grundschutz der IT-Infrastruktur der Hochschule Fulda umzusetzen.

  4. Benutzer und Benutzerinnen haben jegliche Art der missbräuchlichen Benutzung der IT-Infrastruktur zu unterlassen. Sie sind insbesondere dazu verpflichtet:

    1. ausschließlich mit Benutzungsberechtigungen zu arbeiten, deren Nutzung ihnen gestattet wurde; die Weitergabe von Benutzerkennungen (Benutzername/Passwort) ist grundsätzlich nicht gestattet;

    2. den zweiten Faktor für eine Zwei-Faktor-Authentisierung zu schützen und nur die Faktoren zu benutzen, die Ihnen vom Rechenzentrum zur Verfügung gestellt worden sind; die Weitergabe des zweiten Faktors ist grundsätzlich nicht gestattet; im Dokument zum “Grundschutz” finden Sie weitere Informationen zur Zwei-Faktor-Authentisierung;

    3. den Zugang zu den IT-Ressourcen soweit wie möglich zu schützen, z. B. durch ein geheim zu haltendes Passwort oder ein gleichwertiges Verfahren;

    4. Vorkehrungen zu treffen, damit unberechtigten Dritten der Zugang zu den IT-Ressourcen verwehrt wird; dazu gehört insbesondere, naheliegende Passwörter zu meiden, Passwörter sofort zu ändern, wenn sie in fremde Hände geraten sind oder der Verdacht besteht, dass sie unautorisierten Personen bekannt geworden sind und die Systemabmeldung (Logout) vor dem Verlassen des Raumes nicht zu vergessen;

    5. fremde Benutzerkennungen und Passwörter weder zu ermitteln noch zu nutzen;

    6. keinen unberechtigten Zugriff auf Informationen anderer Nutzer bzw. Nutzerinnen zu nehmen und bekannt gewordene Informationen anderer Nutzer bzw. Nutzerinnen nicht ohne Genehmigung weiterzugeben, selbst zu nutzen oder zu verändern;

    7. bei der Benutzung von Software (Quellen, Objekte), Dokumentationen und anderen Daten die gesetzlichen Regelungen (Urheberrechtsschutz, Copyright u. ä.) einzuhalten;

    8. sich über die Bedingungen, unter denen die zum Teil im Rahmen von Lizenzverträgen erworbenen Programme, Dokumentationen oder Daten zur Verfügung gestellt werden, zu informieren und diese Bedingungen zu beachten;

    9. Software, Dokumentationen und Daten, soweit nicht ausdrücklich erlaubt, weder zu kopieren noch weiterzugeben noch zu anderen als den erlaubten, insbesondere nicht zu gewerblichen Zwecken zu nutzen. Zuwiderhandlungen können Schadensersatzansprüche begründen (§ 5, Ziffer 9) und eine Einschränkung der Benutzungsberechtigung zur Folge haben (§ 8).

Benutzer und Benutzerinnen tragen die volle Verantwortung für alle Aktionen, die unter ihrer Benutzerkennung vorgenommen werden, und zwar auch dann, wenn diese Aktionen durch Dritte vorgenommen werden, denen sie zumindest fahrlässig den Zugang ermöglicht haben.

  1. Benutzern und Benutzerinnen ist es untersagt, ohne Einwilligung des zuständigen Systembetreibers

    1. Eingriffe in die Hardware-Installation vorzunehmen;

    2. die Konfiguration der Betriebssysteme, Programme oder des Netzwerks zu verändern.

  2. Benutzer und Benutzerinnen sind verpflichtet, vor der Einführung und vor wesentlichen Änderungen eines Verfahrens, in dem personenbezogene Daten verarbeitet werden, ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DS-GVO zu erstellen. Das Ergebnis ist dem bzw. der Datenschutzbeauftragten der Hochschule Fulda zuzusenden. Das Vorhaben ist außerdem mit dem jeweiligen Systembetreiber abzustimmen. Dabei sind die von dem bzw. der Datenschutzbeauftragten und dem Systembetreiber vorgeschlagenen Datensicherungsvorkehrungen zu nutzen.

  3. Benutzer und Benutzerinnen sind verpflichtet,

    1. die vom Systembetreiber zur Verfügung gestellten Leitfäden zur Benutzung zu beachten;

    2. dem Systemverantwortlichen auf Verlangen in begründeten Einzelfällen (insbesondere bei begründetem Missbrauchsverdacht und zur Störungsbeseitigung) zu Kontrollzwecken Auskünfte über Programme und benutzte Methoden zu gewähren. Von dieser Regelung werden nicht die Nutzerdaten erfasst, die durch das Telekommunikationsgeheimnis oder das Datengeheimnis geschützt sind, z. B. persönliche Dateien oder personenbezogene Daten Dritter;

    3. vor einer Installation von Software sich über die jeweiligen örtlichen und systemtechnischen Gegebenheiten und Regelungen zu informieren und diese zu befolgen. Studierende dürfen keine Software auf den Rechnern der Hochschule Fulda installieren und auch keine Binärdateien (vorübersetzte Programme, Bibliotheken, usw.) aus dem Internet laden und dann auf den Rechnern der Hochschule Fulda ausführen.

  4. Benutzer und Benutzerinnen als Anbieter von WWW-Informationen:

    1. tragen die Verantwortung für die Inhalte ihrer Web-Seiten;

    2. müssen auf jeder Web-Seite die Impressums-Angabe kenntlich machen.

  5. Haftung der Benutzer und Benutzerinnen

    1. Benutzer und Benutzerinnen haften für alle Nachteile, die der Hochschule Fulda durch missbräuchliche oder rechtswidrige Verwendung der IT-Infrastruktur und Nutzungsberechtigung oder dadurch entstehen, dass sie schuldhaft ihren Pflichten aus dieser Benutzungsordnung nicht nachkommen. Die Hochschule kann verlangen, dass missbräuchlich genutzte Ressourcen und weitere Kosten nach Maßgabe der Entgeltordnung von solchen Nutzern und Nutzerinnen zu erstatten sind.

    2. Benutzer und Benutzerinnen haften auch für Schäden, die im Rahmen der ihnen zur Verfügung gestellten Zugriffs- und Nutzungsmöglichkeiten durch Drittnutzung entstanden sind, wenn sie diese Drittnutzung zu vertreten haben, insbesondere im Falle einer Weitergabe ihrer Benutzerkennung an Dritte. In diesem Fall kann die Hochschule von diesen Nutzern und Nutzerinnen nach Maßgabe der Entgeltordnung ein Nutzungsentgelt für die Drittnutzung verlangen.

    3. Benutzer und Benutzerinnen haben die Hochschule von allen Ansprüchen freizustellen, wenn Dritte die Hochschule wegen eines missbräuchlichen oder rechtswidrigen Verhaltens des Nutzers oder der Nutzerin auf Schadensersatz, Unterlassung oder in sonstiger Weise in Anspruch nehmen.

Seitenanfang

§ 5a Nutzungsverpflichtung für Studierende

Mit der Immatrikulation erhalten die Studierenden der Hochschule eine Benutzerkennung (fd-Nummer) und eine E-Mail-Adresse. Die Hochschule nutzt ausschließlich diese zur Versendung von Informationen an ihre Studierenden. Die Studierenden sind verpflichtet, diese E-Mails regelmäßig abzurufen bzw. ihr E-Mail-Konto regelmäßig auf Eingänge zu überprüfen. Bei der Antragstellung auf Erteilung der Benutzerkennung werden die Studierenden auf ihre Verpflichtung zur Nutzung dieser E-Mail-Adresse hingewiesen.

Seitenanfang

§ 6 Aufgaben, Rechte und Pflichten der Systembetreiber

  1. Der Systembetreiber darf über die erteilten Benutzungsberechtigungen eine Nutzerdatei mit den persönlichen Daten der Benutzer und Benutzerinnen führen. Eine Übersicht über die Art der gespeicherten Informationen muss dabei für jeden Benutzer bzw. jede Benutzerin einsehbar sein. Die Antragsunterlagen zur Erteilung der Benutzerberechtigungen sind nach Auslaufen der Berechtigung mindestens zwei Jahre aufzubewahren.

  2. Der Systembetreiber ist berechtigt, die Identität einer Person zu überprüfen, bevor er eine Benutzungsberechtigung ausgibt. Die Überprüfung kann vor Ort mithilfe eines Lichtbildausweises oder über eine Videokonferenz erfolgen.

  3. Der Systembetreiber gibt die Systemverantwortlichen für die Betreuung seiner Systeme bekannt. Der Systembetreiber und die Systemverantwortlichen sind zur Vertraulichkeit verpflichtet.

  4. Der Systembetreiber kann die Nutzung seiner Ressourcen vorübergehend einschränken oder einzelne Nutzerkennungen vorübergehend sperren, soweit es zur Störungsbeseitigung, zur Systemadministration und -erweiterung oder aus Gründen der Systemsicherheit sowie zum Schutz der Nutzerdaten erforderlich ist. Sofern möglich, sind die betroffenen Nutzer bzw. Nutzerinnen hierüber unverzüglich zu unterrichten.

  5. Sofern begründete Anhaltspunkte dafür vorliegen, dass ein Nutzer bzw. eine Nutzerin auf den Servern des Systembetreibers rechtswidrige Inhalte zur Nutzung bereithält, kann der Systembetreiber die weitere Nutzung verhindern, bis die Rechtslage hinreichend geklärt ist.

  6. Der Systembetreiber ist berechtigt, die Sicherheit der Benutzerpasswörter und der Nutzerdaten durch regelmäßige manuelle oder automatisierte Maßnahmen zu überprüfen und notwendige Schutzmaßnahmen, z. B. Änderungen leicht zu erratender oder veralteter Passwörter, durchzuführen, um die IT-Ressourcen und Benutzerdaten vor unberechtigten Zugriffen Dritter zu schützen. Bei erforderlichen Änderungen der Benutzerpasswörter, der Zugriffsberechtigungen auf Nutzerdateien und sonstigen nutzungsrelevanten Schutzmaßnahmen ist der Nutzer bzw. die Nutzerin, soweit es möglich ist, unverzüglich in Kenntnis zu setzen.

  7. Der Systembetreiber ist berechtigt, für die nachfolgenden Zwecke die Inanspruchnahme der Datenverarbeitungssysteme durch die einzelnen Nutzer bzw. Nutzerinnen zu dokumentieren und auszuwerten:

    1. zur Gewährleistung eines ordnungsgemäßen Systembetriebs,

    2. zur Ressourcenplanung und Systemadministration,

    3. zum Schutz der personenbezogenen Daten anderer Nutzer bzw. Nutzerinnen,

    4. zu Abrechnungszwecken,

    5. für das Erkennen und Beseitigen von Störungen sowie

    6. zur Aufklärung und Unterbindung rechtswidriger oder missbräuchlicher Nutzung.

Der Systembetreiber führt eine für jeden Benutzer bzw. jede Benutzerin einsehbare Übersicht über die zu diesen Zwecken gesammelten Daten.

  1. Für die unter Ziffer 6 aufgeführten Zwecke ist der Systembetreiber auch berechtigt, Einsicht in die Benutzerdateien zu nehmen, soweit dies zur Beseitigung aktueller Störungen oder zur Aufklärung und Unterbindung von Verstößen gegen die Benutzungsordnung erforderlich ist und hierfür tatsächlich Anhaltspunkte vorliegen. Das Datengeheimnis und das Vieraugenprinzip sind dabei zu beachten.

    Eine Einsichtnahme in die Nachrichten- und E-Mail-Postfächer ist jedoch nur zulässig, soweit dies zur Behebung aktueller Störungen im Nachrichtendienst unerlässlich ist. In jedem Fall ist die Einsichtnahme zu dokumentieren, und die betroffene Person ist nach Zweckerreichung unverzüglich zu benachrichtigen. Bei begründeten Hinweisen auf Straftaten handelt der Systembetreiber nach Abstimmung mit der Hochschulleitung in Absprache mit den zuständigen Behörden und wird, falls dies erforderlich ist, beweissichernde Maßnahmen einsetzen.

  2. Systembetreiber, die den Benutzern bzw. Benutzerinnen eigenständige Homepages auf dem WWW-Server zur Veröffentlichung im Internet anbieten, sind berechtigt, automatisch ein Impressum auf diesen Seiten zu erzeugen, das den vollständigen Namen und die E-Mail-Adresse des Autors bzw. der Autorin enthält.

    Das Protokollieren von Verbindungsdaten (z. B. Zugriffe auf den Datenbestand eines WWW-Servers) darf keine personenbezogenen Daten enthalten.

  3. Nach Maßgabe der gesetzlichen Bestimmungen ist der Systembetreiber zur Wahrung des Telekommunikations- und Datengeheimnisses verpflichtet.

Seitenanfang

§ 7 Haftung des Systembetreibers/Haftungsausschluss

  1. Der Systembetreiber übernimmt keine Garantie dafür, dass die Systemfunktionen den speziellen Anforderungen des Nutzers bzw. der Nutzerin entsprechen oder dass das System fehlerfrei und ohne Unterbrechung läuft. Der Systembetreiber kann die Unversehrtheit (bzgl. Zerstörung, Manipulation) und Vertraulichkeit der bei ihm gespeicherten Daten nicht garantieren.

  2. Der Systembetreiber haftet nicht für Schäden gleich welcher Art, die Benutzern bzw. Benutzerinnen aus der Inanspruchnahme der IT-Ressourcen gemäß § 1 dieser Benutzungsordnung entstehen, soweit sich nicht aus den gesetzlichen Bestimmungen zwingend etwas anderes ergibt.

Seitenanfang

§ 8 Folgen einer missbräuchlichen oder gesetzeswidrigen Benutzung

Bei Verstößen gegen gesetzliche Vorschriften oder gegen die Bestimmungen dieser Benutzungsordnung, insbesondere des § 5 (Rechte und Pflichten der Benutzer und Benutzerinnen), kann der Systembetreiber die Benutzungsberechtigung einschränken. Es ist dabei unerheblich, ob der Verstoß einen materiellen Schaden zur Folge hatte oder nicht. Maßnahmen zum Entzug oder zur Einschränkung der Nutzungsberechtigung, über die der Leiter oder die Leiterin der Einrichtung entscheidet, sollen erst nach vorheriger erfolgloser Abmahnung erfolgen. Dem oder der Betroffenen ist Gelegenheit zur Stellungnahme zu geben.

Seitenanfang

§ 9 Sonstige Regelungen

  1. Für die Nutzung von IT-Ressourcen können Entgelte oder Gebühren festgelegt werden. Es gilt dabei die Entgeltordnung des jeweiligen Systembetreibers.

  2. Für einzelne Systeme können bei Bedarf ergänzende oder abweichende Nutzungsregeln festgelegt werden.

  3. Über Änderungen dieser Benutzungsordnung entscheidet das zuständige Hochschulorgan. Zuvor muss dem Rechenzentrum und den anderen Systembetreibern eine Gelegenheit zur Stellungnahme gegeben werden.

Seitenanfang