In diesem Bereich befinden sich Information, die für Sie noch unsichtbar sind.

Bitte melden Sie sich über das Schloss-Symbol (bzw. "Login") oben rechts mit Ihrer IZ-Benutzerkennung (der Benutzername besteht aus acht Zeichen: vier Buchstaben gefolgt von vier Ziffern!) an.

Betriebsordnung

des Informationszentrums (IZ)
der Hochschule Karlsruhe – Technik und Wirtschaft
vom 10. Dezember 2012


1 Präambel

Die Hochschule Karlsruhe und ihre Einrichtungen betreiben ein kooperatives System zur Informationsversorgung und –bearbeitung. Teil dieses Systems ist die Infrastruktur für digitale Informationsverarbeitung und Kommunikation (IuK-Infrastruktur), welche in das baden-württembergische Wissenschaftsnetz BELWÜ und damit in das weltweite Internet integriert ist.


IuK-Infrastruktur im Sinne der Verwaltungs- und Benutzungsordnung sind alle IuK-Systeme, wie Datenverarbeitungsanlagen (Rechner), Kommunikationssysteme (Netze mit ihren Komponenten) sowie weitere Systeme der digitalen Informationsverarbeitung, Software und deren Kombinationen, und die zugehörigen Dienste (IuK-Dienste).


Betreiber der IuK-Infrastruktur ist nach der Verwaltungs- und Benutzungsordnung das Informationszentrum der Hochschule Karlsruhe in Verbindung mit weiteren Systembetreibern und Dienstanbietern in den übrigen Einrichtungen der Hochschule im Rahmen eines kooperativen Versorgungssystems.


Die vorliegende Betriebsordnung ergänzt die Verwaltungs- und Benutzungsordnung und regelt die Bedingungen, unter denen das Leistungsangebot dieser IuK-Infrastruktur genutzt werden kann. Sie

  • orientiert sich an den gesetzlich festgelegten Aufgaben der Hochschule (§2 LHG) sowie an ihrem Mandat zur Wahrung der akademischen Freiheit (§3 LHG);
  • stellt Grundregeln für einen ordnungsgemäßen Betrieb der IUK-Infrastruktur auf;
  • weist auf die zu wahrenden Rechte Dritter hin (z.B. bzgl. Softwarelizenzen, Auflagen der Netzbetreiber, Datenschutzaspekte);
  • verpflichtet den Benutzer zu korrektem Verhalten und zum ökonomischen Gebrauch der angebotenen Ressourcen;
  • verpflichtet den Benutzer zur Unterstützung des korrekten Systembetriebs.

2 Geltungsbereich, Benutzerkreis

  1. Diese Betriebsordnung gilt für die vom Informationszentrum (IZ) der Hochschule Karlsruhe betriebene IuK-Infrastruktur.
  2. Die IuK-Infrastruktur steht dem in der aktuellen Verwaltungs- und Benutzungsordnung des Informationszentrums geregelten Benutzerkreis zur Erfüllung ihrer Aufgaben aus Forschung, Lehre, Verwaltung, Aus- und Weiterbildung, Öffentlichkeitsarbeit und Außendarstellung der Hochschule und für sonstige im Baden-Württembergischen Hochschulgesetz beschriebene Aufgaben zur Verfügung.

3 Leitlinie zur Informationssicherheit

Die Leitung des IZs verabschiedet hiermit folgende Leitlinie zur Informationssicherheit als Bestandteil ihrer Strategie:

Stellenwert der Informationsverarbeitung

Informationsverarbeitung spielt eine Schlüsselrolle für unsere Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf die Erfüllung nicht zusammenbrechen. Somit ist der Schutz von Informationen vor unberechtigtem Zugriff und vor unerlaubter Änderung von existenzieller Bedeutung.

Übergreifende Ziele

Unsere Daten und unsere IT-Systeme in allen technikabhängigen und kaufmännischen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). Die Anforderungen an Vertraulichkeit haben ein normales, an Gesetzeskonformität orientiertes Niveau.

Die Standard-Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen. Schadensfälle mit hohen finanziellen Auswirkungen müssen verhindert werden.

Alle Benutzer halten die einschlägigen Gesetze (vergleiche §8 der Verwaltungs- und Benutzungsordnung) und vertraglichen Regelungen ein. Negative finanzielle und immaterielle Folgen für die Hochschule sowie für die Mitarbeiter durch Gesetzesverstöße sind zu vermeiden.

Alle Benutzer sind sich ihrer Verantwortung beim Umgang mit IT bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften.

Detailziele

Verspätete oder fehlerhafte Entscheidungen der Hochschulführung können weitreichende Folgen nach sich ziehen. Daher ist für das Management bei wichtigen Entscheidungen der Zugriff auf aktuelle Steuerungsdaten wichtig. Für diese Informationen ist ein hohes Sicherheitsniveau in Bezug auf Verfügbarkeit und Integrität sicher zu stellen.

Die Datenschutzgesetze und die Interessen unserer Benutzer verlangen eine Sicherstellung der Vertraulichkeit der personenbezogenen Daten. Die Daten und die IT-Anwendungen der damit betrauten Abteilungen werden daher einem hohen Vertraulichkeitsschutz unterzogen.

Die Aufrechterhaltung der Kommunikation nach außen ist elementar. Dem entsprechend darf eine Kommunikation nicht verzögert oder gar gefährdet werden. Wenn vertraglich festgelegte Lieferfristen nicht eingehalten werden können, kann dies weitreichende negative Folgen haben. Insbesondere eine mangelhafte Verfügbarkeit der IT-Systeme und der Daten, aber auch Fehlfunktionen können zu Erlösminderungen oder sonstigen Schäden führen. Die Aufrechterhaltung der Kommunikation und der ständige Zugriff auf korrekte Daten haben somit einen hohen Schutzbedarf.

Die Daten der Forschungsbereiche können sehr hohe Vertraulichkeitsanforderungen haben. Durch deren Verlust oder Diebstahl können Wettbewerbsnachteile oder durch Kooperationsabkommen geltende externe Regressansprüche entstehen. Durch technische Maßnahmen und die hohe Aufmerksamkeit der Mitarbeiter wird die Vertraulichkeit geschützt und Manipulationen vorgebeugt.

Die Nutzung des Internets zur Informationsbeschaffung und zur Kommunikation ist für uns selbstverständlich. E-Mail dient als Ersatz oder als Ergänzung von anderen Bürokommunikationswegen. Durch entsprechende Maßnahmen wird sichergestellt, dass die Risiken der Internetnutzung möglichst gering bleiben.

Informationssicherheitsmanagement

Zur Erreichung der Informationssicherheitsziele wird eine Sicherheitsorganisation eingerichtet. In diesem Rahmen wird ein IT-Sicherheitsbeauftragter benannt, welcher in der Regel aus den Reihen des Informationszentrums gestellt wird. Der IT-Sicherheitsbeauftragte berichtet in seiner Funktion direkt an das Rektorat.

Dem IT-Sicherheitsbeauftragten und den IT-Administratoren werden von der Leitung ausreichende finanzielle und zeitliche Ressourcen zur Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren und die vom Management festgelegten Informationssicherheitsziele zu erreichen.

Die IT-Administratoren und der IT-Sicherheitsbeauftragte sind durch die IT-Benutzer ausreichend in ihrer Arbeit zu unterstützen.

Der IT-Sicherheitsbeauftragte ist frühzeitig in alle Projekte einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen. Sofern personenbezogene Daten betroffen sind, gilt gleiches für den Datenschutzbeauftragten.

Die IT-Benutzer haben sich in sicherheitsrelevanten Fragestellungen an die Anweisungen des IT-Sicherheitsbeauftragten zu halten.

Es wurde ein Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Der Datenschutzbeauftragte ist angehalten, sich regelmäßig weiterzubilden.

Sicherheitsmaßnahmen

Für alle Verfahren, Informationen, IT-Anwendungen und IT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt und Zugriffsberechtigungen vergibt.

Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und aus-reichende Dokumentationen sichergestellt werden, dass Vertreter ihre Aufgaben erfüllen können.

Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.

Computer-Viren-Schutzprogramme werden auf allen IT-Systemen eingesetzt. Alle Internetzugänge werden durch geeignete Firewalls gesichert. Alle Schutzprogramme werden so konfiguriert und administriert, dass sie einen effektiven Schutz darstellen und Manipulationen verhindert werden. Des Weiteren unterstützen die IT-Benutzer durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.

Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operati-ven Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.

Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfallvor-sorgekonzept zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.
Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, werden von uns konkrete Sicherheitsanforderungen in den Vereinbarungen vorgegeben. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit konkreten Maßnahmenvorgaben.

Die IT-Benutzer werden ermutigt, regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teilzunehmen. Die Hochschulleitung unterstützt dabei die bedarfsgerechte Fort- und Weiterbildung.

Verbesserung der Sicherheit

Das Konzept der Informationssicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob es den betroffenen Benutzern und Mitarbeitern bekannt, ob es umsetzbar und in den Betriebsablauf integrierbar ist.

Die Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Benutzer und Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.

Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.

4 Sicherheitsrichtlinie zur IT-Nutzung

 

4.1 Einleitung

In der Sicherheitsleitlinie wird die Bedeutung der Informationssicherheit für unsere Institution dargelegt und die grundsätzliche Informationssicherheitsstrategie beschrieben. Die "Sicherheitsrichtlinie zur IT-Nutzung" leitet aus den Vorgaben der Sicherheitsleitlinie konkrete organisatorische und technische Anforderungen, die unabhängig von konkreten Produkten für alle Projekte und Prozesse gelten, ab. Diese Anforderungen sind die Grundlage für die Standard-Sicherheitsmaßnahmen und legen das angestrebte Sicherheitsniveau fest.

 

4.2 Geltungsbereich

Diese Richtlinie gilt verbindlich für alle Benutzer ohne Ausnahme für die Nutzung dienstlicher IT. Verstöße gegen die Inhalte der Richtlinie können zu Konsequenzen gemäß §9 der Verwaltungs- und Benutzungsordnung führen.

Auch beim Abschluss von Verträgen mit externen Dienstleistern ist darauf zu achten, dass die Vorgaben dieser Richtlinie beachtet werden.

Für die Pflege und Weiterentwicklung der Richtlinie ist der IT-Sicherheitsbeauftragte zuständig.

4.3 Umgang mit Informationen

Für Geschäftsprozesse, Informationen, Anwendungen und IT-Systeme werden Verantwortliche („Eigentümer“) festgelegt.

Alle Informationen müssen anhand ihres Schutzbedarfs klassifiziert werden. Die Schutzbedarfskategorien werden vom IT-Sicherheitsbeauftragten zusammen mit den Abteilungsleitern definiert und von der Leitung verabschiedet.

Ziel ist es, Informationen entsprechend ihres Schutzbedarfs zu verarbeiten. Nur wenn IT-Benutzer   und Verantwortliche wissen, welche Informationen besonders schutzbedürftig sind, können sie diese auch angemessen schützen. Aus dem Schutzbedarf der Informationen leitet sich letztendlich der Schutzbedarf der IT-Systeme ab, auf denen die Informationen verarbeitet werden.

Die Verantwortlichen legen fest, wer unter welchen Bedingungen auf Informationen zugreifen bzw. Anwendungen und IT-Systeme nutzen darf.

4.4 Rechtsvorschriften

Beim Einsatz der IT sind einschlägige Gesetze, Vorschriften und (interne) Regelungen einzuhalten.

4.5 Organisation

 

4.5.1 Stellen

Die IT-Dienste sind durch die bestellten IT-Administratoren zu administrieren und zu warten.

Der IT-Sicherheitsbeauftragte ist zur Erreichung der Informationssicherheitsziele in alle IT-Projekte frühzeitig einzubeziehen. Wenn Projektziele den Sicherheitsanforderungen entgegenstehen, obliegt der IZ-Leitung die Entscheidung, welche Anforderungen eine höhere Priorität haben.

Um Sicherheitslücken zu schließen, haben sich der IT-Sicherheitsbeauftragte und die IT-Administratoren regelmäßig zu informieren.
Der IT-Sicherheitsbeauftragte und die IT-Administratoren unterstützen und beraten die IT-Benutzer.

Neue Mitarbeiter und Mitarbeiter, die in eine vertrauensvollere Position wechseln, sind auf ihre  Vertrauenswürdigkeit und Qualifikation zu überprüfen.

 

4.5.2 Schulung und Sensibilisierung

IT-Benutzer und IT-Administratoren sind vor der erstmaligen Nutzung der jeweiligen IT-Dienste zu schulen.
Schulungsinhalte sind:
· Handhabung der jeweilig verwendeten IT-Dienste
· Inhalte der Sicherheitsleitlinie und der Sicherheitsrichtlinien zu verschiedenen Themen (Notfallvorsorge,
Datensicherung etc.) sowie die umzusetzenden Sicherheitsmaßnahmen
· Sensibilisierungsmaßnahmen („Warum ist Informationssicherheit so wichtig für mich und meine Hochschule?“)
· rechtliche Rahmenbedingungen
Wesentliche Inhalte des Sicherheitskonzeptes und Verhaltensregeln sind in entsprechenden Sicherheitsrichtlinien
für IT-Benutzer (Abschnitt 8) und IT-Administratoren (Abschnitt 9) zielgruppengerecht zusammengefasst.

4.5.3 Vertretungsregeln

Für den Fall der Abwesenheit (Dienstreise, Urlaub, Krankheit) sind Vertreter zu benennen, die vom Stelleninhaber
einzuweisen und zu informieren sind.

4.6 Verwaltung und Nutzung von IT-Diensten

 

4.6.1 Beschaffung

Für die Beschaffung von Soft- und Hardware ist als Grundlage ein Anforderungsprofil zu erstellen, das neben
fachlichen und technischen Ausstattungsmerkmalen sowie ergonomischen Aspekten auch Anforderungen an
die Informationssicherheit beschreibt. Nach Möglichkeit sollten Arbeitsplätze standardisiert ausgestattet werden,
um Verwaltung und Administration zu erleichtern.
Es ist zu beachten, dass die Integration in die vorhandene oder geplante, informationstechnische Infrastruktur
gewährleistet ist. Es sind die für den jeweiligen Bereich geltenden Normen (ISO, DIN) zu berücksichtigen.
Es sind im Rahmen der Kommunikation und Archivierung bevorzugt Programme zu beschaffen, die eine Verschlüsselung
ermöglichen.

4.6.2 Einsatz

Vor dem Einsatz ist neue Soft- und Hardware zu testen. Dabei sollten nach Möglichkeit Testsystem und Produktivbetrieb
getrennt werden.
Es sind Test- und Freigabeverfahren innerhalb der IT-Abteilung und zwischen der IT-Abteilung und den Fachbereichen
abzusprechen zu beachten. Nicht freigegebene Hard- und Software ist nicht einzusetzen.
Softwareänderungen machen eine erneute Freigabe erforderlich.
Die IT-Dienste sind nur für die festgelegten Aufgaben zu nutzen. Die Nutzung für private Zwecke ist nicht zulässig.
Der Anschluss privater Hardware an dienstliche IT-Systeme und die Nutzung privater Software zu dienstlichen
Zwecken ist nur mit Genehmigung durch den IT-Sicherheitsbeauftragten zulässig.
Die Nutzung aller nicht ausdrücklich erlaubten Dienste ist technisch zu unterdrücken. Dienste und Berechtigungen,
die nicht oder nicht mehr benötigt werden, sind durch den Administrator zu deaktivieren.
Soft- und Hardware sind durch die Administratoren möglichst so zu konfigurieren, dass ohne weiteres Zutun
der IT-Benutzer optimale Sicherheit erreicht werden kann. Default-Einstellungen sind zu überprüfen und
Default-Passwörter zu ändern.
Es sind angemessene Sicherheitsprodukte einzusetzen.

4.6.3 Wartung

Die mit Pflege und Wartung verbundenen Maßnahmen sind nach Art, Inhalt und Zeitpunkt zu protokollieren.

Der Zugriff auf Daten durch Wartungstechniker ist soweit wie möglich zu vermeiden. Die eingeräumten Zutritts-,
Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten
zu widerrufen bzw. zu löschen. Bei Arbeiten an organisationsweiten IT-Diensten mit sensiblen Informationen ist
das Vier-Augen-Prinzip anzuwenden.
Arbeiten am System sind gegenüber den betroffenen Mitarbeitern rechtzeitig anzukündigen.
Im Anschluss an die Wartungs- oder Reparaturarbeiten ist die ordnungsgemäße Funktion der gewarteten ITSysteme
zu überprüfen.

4.6.4 Revision

Alle Maßnahmen an IT-Diensten sind revisionssicher zu dokumentieren. Administratortätigkeiten sind zu protokollieren.
Es ist eine regelmäßige Kontrolle der Funktionalität der IT-Dienste, der Informationssicherheit und der Einhaltung
der Richtlinien durchzuführen.
Sicherheitsrelevante Ereignisse und Zugriffe auf kritische Bereiche sind automatisch zu protokollieren und
durch Administratoren regelmäßig zu überprüfen.
Bei der Protokollierung sind Datenschutzaspekte zu beachten. Ermöglicht die Auswertung der Daten eine Verhaltens-
und Leistungskontrolle, ist sie mitbestimmungspflichtig.

4.6.5 Weitergaberegelungen

Bei der Weitergabe von Informationen ist ihr Schutzbedarf zu beachten und eine geeignete Versandart zu wählen.
Vertrauliche Informationen oder Datenträger (Diskette, CD-ROM etc.) mit vertraulichen Informationen
dürfen erst dann versendet werden, wenn die Vertraulichkeit beim Versand gewährleistet ist. Der Empfänger
der Informationen ist zur vertraulichen Behandlung zu verpflichten.
Wird Hardware außer Haus gegeben, sind, sofern dies möglich ist, alle vertraulichen Informationen, die sich in
Datenspeichern befinden, vorher sicher zu löschen. Ist dies nicht möglich, so ist der Vertragspartner auf Geheimhaltung
zu verpflichten. Die Übergabe bzw. der Transport ist sicher zu gestalten.

4.6.6 Entsorgung

Belege und Druckausgaben, die vertrauliche Informationen beinhalten, müssen getrennt vom übrigen Abfall
entsorgt werden.
Elektronische Datenträger mit vertraulichen Informationen, die nicht weiter benötigt werden, sind vor der
Entsorgung sicher zu löschen.
Sofern keine sichere Entsorgung durchgeführt werden kann, ist mit der Entsorgung ein externes Unternehmen
zu beauftragen.

4.7 Sicherheitsmaßnahmen

 

4.7.1 Allgemeines

Durch wirksame Maßnahmen ist zu gewährleisten, dass die Sicherungsziele realisiert werden und ihre Einhaltung
kontrolliert werden können.
Alle IT-Systeme und Anwendungen sind sorgfältig zu konfigurieren und zu sichern. Wesentliche Punkte sind
nachvollziehbar zu dokumentieren.
Die Gebäude und Räume sind gegen fahrlässig, vorsätzlich oder durch höhere Gewalt herbeigeführte Störungen
zu schützen (z. B. Brandschutz).
Für Tele(heim)arbeit und mobile Arbeit sind Regelungen zu erstellen.

4.7.2 Zutritts- und Zugangsregelungen

Der Zutritt zu den Räumlichkeiten bzw. der Zugang zu den IT-Diensten ist gegen Unbefugte zu schützen und zu
kontrollieren. Hierbei sind verschiedene Rollen festzulegen.

Für jeden Mitarbeiter sind Berechtigungen für den Zutritt zu Räumlichkeiten, den Zugang zu IT-Diensten und
den Zugriff auf Informationen festzulegen. Alle Rechte sind restriktiv zu vergeben und zu dokumentieren. Hierbei
sind die zwingenden dienstlichen Erfordernisse zugrunde zu legen.
Die Authentisierung der Zugangsberechtigung ist durch Passwörter sicherzustellen. Es sind Passwortregeln zu
erstellen. Diese werden allen Betroffenen durch Sicherheitshinweise für Benutzer mitgeteilt.
Der Zugang der Administratoren ist speziell zu sichern. Die Passwörter der Administratoren sind sicher zu verwahren.
Den Stellvertretern ist eine eigene Administratoren-Kennung zuzuteilen.
Besucher, Handwerker und andere fremde Personen dürfen sich nicht frei und unkontrolliert im Gebäude bewegen.
Bereiche, in denen hoch vertrauliche Informationen verarbeitet werden, sind besonders zu sichern. Nur berechtigte,
namentlich benannte Personen haben Zutritt zu diesen Bereichen.
IT-Systeme im Eingangs- und Empfangsbereich sind so zu sichern, dass Unbefugte keinen unbeobachteten Zugriff
nehmen und Informationen nicht eingesehen werden können.

4.7.3 Verschlüsselung

Vertrauliche und andere sicherheitsrelevante Daten sind verschlüsselt zu speichern. Sofern im Klartext gespeichert
wird, ist beim Netzzugriff die Übertragung zu verschlüsseln.
Zur Verschlüsselung ist IT-Benutzern auf Antrag ein Programm zur Verfügung zu stellen. Berechtigten ITBenutzern
sind ein öffentlicher und ein geheimer Schlüssel zur Verfügung zu stellen.

4.7.4 Schadsoftware

Es ist ein Viren-Schutzprogramm zu installieren. Es sind regelmäßig Updates durchzuführen und die Viren-
Signaturen zu aktualisieren. Dazu ist ein Virenschutzkonzept zu erstellen.

4.7.5 Datensicherung/ Archivierung

Es sind regelmäßig Datensicherungen durchzuführen. Die IT-Benutzer sind dabei zu unterstützen. Hierzu ist ein
Datensicherungskonzept zu erstellen.
Informationen sind einheitlich und dokumentiert aufzubewahren, so dass sie problemlos wieder aufgefunden
werden können.
Sicherungskopien sind in gesicherten Behältnissen in einem anderen Brandabschnitt aufzubewahren. Die Datenträger
sind eindeutig zu kennzeichnen.
Die Archivierung ist ein Teil des Dokumentenmanagement-Prozesses und dient der dauerhaften und unveränderbaren
Speicherung von elektronischen Dokumenten und anderen Daten. Innerhalb eines Archivierungssystems
aufbewahrte Daten sind konsistent so zu indizieren, dass sie eindeutig und schnell gefunden werden können.
Die Speicherressourcen sind zu überwachen. Durch regelmäßig Funktions- und Recovery-Tests ist einem
Datenverlust auf den Datenträgern entgegen zu wirken. Es ist ein Archivierungskonzept zu erstellen.

4.7.6 Notfallvorsorge

Alle Probleme, die IT-Dienste betreffen, müssen dem IT-Sicherheitsbeauftragten und den Administratoren
gemeldet werden.
Es sind Verhaltensregeln und Handlungsanweisungen für relevante Schadensereignisse zu definieren und den
Mitarbeitern mitzuteilen.
Es ist ein Notfallvorsorgekonzept zu erstellen und Notfall-Übungen durchzuführen.

 

4.8 Regelungen für spezifische IT-Dienste

 

4.8.1 Kommunikationsspezifische Regelungen

Informationen, die elektronisch übermittelt werden (Fax, Telefonanlage, Internet etc.), sind zu schützen. Hierbei
sind die technikspezifischen Sicherheitsprobleme zu berücksichtigen. Hierzu wird auf die "Sicherheitsrichtlinie
für die Internetnutzung" (Abschnitt 7) verwiesen.

4.8.2 Fernzugriff auf das interne Netz

Generell ist der „Zugriff vor Ort“ dem „Fernzugriff“ vorzuziehen.
Eine externe Anbindung an das interne Netz ist speziell zu regeln. Sofern möglich, ist der Fernzugriff auf ein
isoliertes Netz zu beschränken. Der Fernzugriff ist sicher zu konfigurieren.
Für besonders sensible Bereiche ist entweder ein Fernzugriff auszuschließen oder auf Notfälle zu beschränken.
Der Notfall und die Verfahrensweise während des Notfalls sind genau zu definieren.

5 Datensicherungskonzept

5.1 Sensibilisierung

5.1.1 Einleitung
5.1.1.1 Gefährdungslage
Der Verlust von Daten kann erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Sind Anwendungsdaten oder Kundenstammdaten verloren oder verfälscht, kann dies für ein Unternehmen Existenz bedrohend sein.

Darüber hinaus existieren gesetzlich verpflichtende Regelungen (Handels- und Steuerrecht etc.), die einzuhalten sind. So schreiben z. B. die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) Datensicherungsmaßnahmen vor, „die Risiken für die gesicherten Programme/Datenbestände hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl“ vermeiden.
Dabei können die Gründe für den Verlust gespeicherter Daten vielfältiger Art sein, wie z. B.:

  • Zerstörung von Datenträgern durch höhere Gewalt wie z. B. Feuer
  • versehentliches Löschen oder Überschreiben von Dateien
  • vorsätzliches oder versehentliches Setzen von Löschmarkierungen in Archivsystemen
  • fehlerhafte Datenträger
  • unkontrollierte Veränderungen gespeicherter Daten
  • Datenzerstörung durch Computer-Viren

5.1.1.1 Zielsetzung
Ein kompletter Ausschluss der Risiken ist nahezu unmöglich, so dass Maßnahmen ergriffen werden müssen, die die Folgen eines Datenverlusts mindern. Eine Datensicherung soll gewährleisten, dass durch einen redundanten Datenbestand der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen.


Von der Datensicherung zu unterscheiden ist die Archivierung von Daten. Richtlinien für die Archivierung sind in einem separaten Archivierungskonzept beschrieben. Darüber hinaus gilt das Notfallvorsorgekonzept, in dem Verhaltensregeln für den Notfall zusammengestellt sind.

5.2 Allgemeine Regelungen

5.2.1 Verpflichtung der Benutzer auf Datensicherung
Alle Mitarbeiter sind zur Einhaltung des Datensicherungskonzepts verpflichtet und aufgefordert, an seiner
stetigen Verbesserung mitzuarbeiten.
5.2.2 Regelung der Verantwortlichkeiten
Alle Informationseigentümer bzw. Vorgesetzte oder Projektleiter entscheiden für ihren Verantwortungsbereich über Regeln zur Dateiablage und legen in Zusammenarbeit mit den Administratoren die Modalitäten der Datensicherung fest. Alle Regelungen werden in einem Datensicherungsplan festgehalten.


Es ist zu entscheiden und schriftlich zu fixieren, wer für die Durchführung der Datensicherung verantwortlich ist. Es gibt folgende Verantwortlichkeitsgruppen:

  1. IT-Benutzer bzw. Informationseigentümer selbst,
  2. Administrator/Systemverwalter oder
  3. für die Datensicherung speziell ausgebildete Mitarbeiter

Darüber hinaus sind die Entscheidungsträger zu benennen, die eine Datenrekonstruierung veranlassen können. Auch ist festzulegen, wer berechtigt ist, eine Datenrekonstruierung des Gesamtdatenbestandes oder ausgewählter, einzelner Dateien operativ durchzuführen.

Es ist klar festzulegen und zu dokumentieren, wer auf den/die Datensicherungsträger zugriffsberechtigt ist. Es muss sichergestellt sein, dass nur Berechtigte Zugriff auf die Datensicherungen erhalten.


Bei der Festlegung der Verantwortlichkeit ist insbesondere der Vertraulichkeits-, Integritätsbedarf der Daten und die Vertrauenswürdigkeit der zuständigen Mitarbeiter zu betrachten. Es muss sichergestellt werden, dass der Verantwortliche erreichbar ist und ein Vertreter benannt und eingearbeitet wird.

Darüber hinaus ist ein Verantwortlicher für die Datenrekonstruktionsübung festzulegen. Dies ist mit dem Notfallvorsorgekonzept abzustimmen.
5.2.3 Allgemeine Grundsätze
Es ist eine zentrale Datenhaltung anzustreben, so dass Daten automatisch über das Netz gesichert werden können. Ausnahmen für mobil eingesetzte IT-Systeme oder IT-Systeme, mit denen geheime Daten verarbeitet werden, sind zugelassen.

Komplexe Systeme sind nur durch entsprechend kompetente Mitarbeiter zu sichern. IT-Benutzer sollten die Daten nur selbst sichern, wenn die Sicherung durch einen ausgebildeten Administrator nicht möglich oder nicht
sinnvoll ist (z. B. bei Tele(heim)arbeit, mobiler Nutzung des IT-Systems).
Die Pflicht zur Datensicherung darf aber nur auf die IT-Benutzer übertragen werden, wenn diese ausreichend
qualifiziert und der Aufgabe gewachsen sind!
Datensicherungen sollten möglichst automatisiert ablaufen, um Fehler zu vermeiden. Wenn IT-Benutzer mit
der Datensicherung betraut wurden, sind ihnen entsprechende IT-Anwendungen zur Verfügung zu stellen und
Aufbewahrungsorte für die Verwahrung der Datensicherungen bereitzustellen (abschließbarer Schrank, Tresor,
Büroräume etc.).
Wird die Datensicherung nicht von den IT-Benutzern selbst durchgeführt, sind die Verantwortlichen zur Verschwiegenheit
bezüglich der Dateninhalte verpflichtet. In Einzelfällen ist eine Verschlüsselung in Betracht zu
ziehen.
Bei der Rekonstruktion von Daten ist größte Vorsicht geboten, um nicht versehentlich Daten zu überschreiben
oder Abläufe zu stören.
5.2.4 Kontrolle der Datensicherung
Der Verantwortliche für die Datensicherung muss regelmäßig überprüfen, ob die Datensicherung tatsächlich
korrekt durchgeführt wurde. Besonders bei automatischen Prozeduren ist diese Prüfung notwendig. Prüfpunkte
können dabei die Auswertung von Log-Dateien und Fehlerprotokollen, das Datum der Sicherungsdatei, die
Stichprobenprüfung der Dateiinhalte, die Plausibilität der Dateigröße etc. sein. In Einzelfällen, z. B. wenn kryptographische
Verfahren eingesetzt werden, kann ein Dateivergleich notwendig sein.
5.2.5 Schulung und Information der Mitarbeiter
Die Mitarbeiter sind hinsichtlich der Bedeutung der Datensicherung zu sensibilisieren.
Alle IT-Benutzer müssen über sie betreffende Regelungen informiert werden, insbesondere darüber, welche
Daten bzw. Verzeichnisse regelmäßig automatisch gesichert werden und welche nicht. Auch die Aufbewahrungszeit
der Datensicherungen muss bekannt gegeben werden.
Vor der ersten Durchführung einer Datensicherung sind betroffene Mitarbeiter in der Durchführung der notwendigen
Maßnahmen zu schulen. Hierunter fällt:
· korrekte Wahl und Nutzung der Datensicherungs-Datenträger
· Zugriffsberechtigungen auf Datensicherung bei Datensicherung und Datenrekonstruktion
· korrekte Nutzung der Programme zur Datensicherung
· korrekte Aufbewahrung und Dokumentation der Datenträger zur Datensicherung.
5.2.6 Übungen zur Datenrekonstruktion
Für die Rekonstruktion eines Datenbestandes muss geprüft werden, ob mit den vorhandenen Sicherungskopien
der Daten ein solches Vorhaben durchgeführt werden kann. Technische Defekte, falsche Parametrisierung, eine
unzureichende Datenträgerverwaltung o. ä. können eine Rekonstruktion von gesicherten Daten unmöglich
machen.
Die Rekonstruktion von Daten mit Hilfe von Datensicherungsbeständen muss auf jedenfalls nach jeder Änderung
des Datensicherungsverfahrens, ansonsten in regelmäßigen Abständen, getestet werden. Hierbei ist sicherzustellen,
dass eine vollständige Datenrekonstruktion möglich ist.
Auf diese Weise muss zuverlässig ermittelt werden, ob
· die Datenrekonstruktion überhaupt möglich ist,
· die Verfahrensweise der Datensicherung praktikabel ist,
· eine ausreichende Dokumentation der Datensicherung vorliegt, damit ggf. auch ein Vertreter die Datenrekonstruktion
vornehmen kann und
· die erforderliche Zeit zur Datenrekonstruktion den Anforderungen an die Verfügbarkeit entspricht.
Bei Übungen zur Datenrekonstruktion sollte auch berücksichtigt werden, dass
· die Daten vielleicht auf einem Ausweich-IT-System installiert werden müssen,
· für die Datensicherung und Datenrekonstruktion unterschiedliche Schreib-/Lesegeräte benutzt werden.
Die Übungen sind sinnvollerweise mit den Notfallübungen (Übungen im Rahmen der Notfallvorsorge) abzustimmen.
5.2.7 Revision
Die Erkenntnisse aus den Übungen sollten dazu verwendet werden, das Datensicherungskonzept zu verbessern.
Dabei ist auf eine Abstimmung mit dem Notfallvorsorgekonzept zu achten.
Darüber hinaus ist regelmäßig zu überprüfen, ob die Datensicherungen durchgeführt wurden. Dies betrifft
insbesondere die dezentrale Datensicherung durch die Benutzer selbst.
5.3 Rekonstruktion
5.3.1 Regelungen zur Rekonstruktion
Es ist eine Rekonstruktionsreihenfolge für den Schadensfall festzulegen.
Dies hat sich zum einen an der Art des Datenverlusts zu orientieren. Ein Komplettdatenverlust aufgrund einer
defekten Festplatte hat andere Anforderungen als ein Verlust von Teilen der Anwendungsdaten.
Zum anderen hat sich die Reihenfolge an der Bedeutung der Daten für die geschäftskritischen Prozesse zu orientieren.
Archivdaten können eine geringere Bedeutung als eine Kundendatenbank haben. Dies ist mit dem
Notfallvorsorgekonzept abzustimmen.
Technische Erforderlichkeiten sind ebenfalls zu berücksichtigen. Hard- und Software muss auch für veraltete
Formate stehen.
Es muss zuerst die Volldatensicherung und danach in richtiger Reihenfolge jede angelegte inkrementelle Datensicherung
zurückgesichert werden, um den aktuellen Datenbestand wiederherzu-stellen.
Um ein vollständig zerstörtes IT-System zurückzusichern, müssen unter Umständen alle Datensicherungen in
der Reihenfolge ihres Entstehens zurückgespielt werden. Die Reihenfolge kann der Datensicherungsdokumentation
entnommen werden.

6 IT-Viren-Schutzkonzept

6.1 Sensibilisierung

6.1.1 Schadensszenarien
Durch einen Computer-Virenbefall ist die Verfügbarkeit ganzer IT-Systeme gefährdet. Viren können Festplatten
unbrauchbar machen, so dass es zu Fristversäumnissen durch eine verzögerte Bearbeitung von Aufträgen aufgrund
nicht funktionsfähiger IT-Systeme kommen kann. Des Weiteren können finanzielle Schäden durch den
Verlust von Daten entstehen, da diese unter Umständen nur mit erheblichem Aufwand rekonstruiert werden
können.
Ein Viren-Befall kann darüber hinaus zum Verlust der Integrität der Daten oder des IT-Systems führen. Dadurch
können beispielsweise aufgrund einer falschen Datenbasis oder durch einen fehlerhaften Programmablauf
fehlerhafte Ergebnisse generiert werden. Dies kann in gleicher Weise auch für komprimierte Dateien gelten,
wenn das Viren-Schutzprogramm nicht geeignet ist.
Durch ein Trojanisches Pferd kann die Vertraulichkeit von Daten gefährdet werden, indem persönliche oder
weitere vertrauliche Informationen „gestohlen“ werden. Der Verlust personenbezogener Daten oder Zugangsdaten
kann zudem einen Verstoß gegen Datenschutzgesetze darstellen. Im Falle des Verlusts interner vertraulicher
Informationen können Wettbewerbsvorteile verloren gehen.
Wenn Computer-Viren an Kunden/Bürger oder Geschäftspartner weitergegeben werden, kann einen Imageschaden
entstehen. Darüber hinaus können Imageschädigungen dadurch eintreten, dass Geschäftsprozesse
oder einzelne Dienstleistungen nicht aufrechterhalten werden können und somit Verzögerungen entstehen.
6.1.2 Infektionswege
IT-Systeme können durch Viren auf verschiedene Weisen infiziert werden. Nachfolgend sind die häufigsten
Infektionswege aufgezeigt. Die Reihenfolge der dargestellten Wege orientiert an der Wahrscheinlichkeit bzw.
der Häufigkeit des Auftretens. Die größte Gefahr besteht in der Öffnung der internen Netze nach außen, so
dass die Gefahren insbesondere aus externer E-Mail-Kommunikation, dem Internetzugang und dem Austausch
von Datenträgern resultieren. Das interne Netz kann die Ausbreitung in der Institution „begünstigen“.
a) E-Mail
E-Mail dient immer öfter als Ersatz oder als Ergänzung zu anderen Büro-kommunikationswegen. Mit Hilfe von
Attachments (Anhängen) können Dateien effizient transportiert und E-Mail als Groupware-Lösung genutzt
werden. Die angehängten Dateien können mit einem Virus infiziert sein und mittels E-Mail von außen in die
Institution eingebracht und dort weiterverbreitet werden.
b) Internet
Doch auch durch die immer größere Verbreitung von aktiven Inhalten auf Webseiten entsteht die Gefährdung
der Viren-Infektion. Momentan ist hiermit Java, ActiveX und JavaScript gemeint, künftig könnten auch noch
weitere Techniken hinzukommen. Auch können über Plug-Ins aus dem Browser heraus andere Programme
gestartet werden. Auch Dateien und Programme, die aus dem Internet heruntergeladen werden, können infiziert
sein.
Gefährlich sind Schadprogramme, die sich über das Internet verbreiten und technisch so konstruiert sind, dass
sie über eine nicht geschlossene Sicherheitslücke eines Programms (z. B. Browser oder Betriebssystem) direkt
den Rechner infizieren.
c) Internes Netz
Der interne Austausch von E-Mails und die Vernetzung der Rechner können die Ausbreitung eines Computer-
Virus oder anderer Schadprogramme innerhalb der Institution herbeiführen. Sofern eine standortübergreifende
Vernetzung vorhanden ist (z. B. Virtual Private Network) wird hierdurch die Verbreitung auch auf andere
Standorte ermöglicht.
Auch Rechner, die nur temporär in das Netz eingebunden sind, sind durch Viren bedroht. So können durch
fehlende oder mangelhafte Anpassungen an Veränderungen des IT-Systems Sicherheitslücken entstehen.
d) Wechseldatenträger
Über Wechseldatenträger (Disketten, CDs, DVDs, USB-Sticks etc.) können Dateien oder Programme mit Computer-
Viren IT-Systeme infizieren.
6.2 Sicherheitsmaßnahmen
6.2.1 Erfassung der bedrohten IT-Systeme
Für ein effektives und effizientes Computer-Viren-Schutzkonzept sind die potentiell von Computer-Viren bedrohten
IT-Systeme zu identifizieren, um angemessene Maßnahmen zu veranlassen. Es ist eine Übersicht aller
IT-Systeme zu erstellen, die im Einsatz sind oder deren Einsatz geplant ist. Daraus können die IT-Systeme herausgefiltert
werden, für die Viren eine Bedrohung darstellen oder über die Viren verteilt werden können.
Prinzipiell sind alle IT-Systeme sind durch Computer-Viren gefährdet. Man kann die IT-Systeme zum besseren
Verständnis in vier Gruppen einteilen:
· E-Mail-Server/Gateway
· Laptops (oder Smartphones); weil sie teils im Intranet, teils mobil ohne Netzanschluss verwendet werden
und dadurch besonderen Gefahren unterliegen.
· vernetzte Systeme (Client/Server)
· Stand-Alone-Systeme, die nicht ans Intranet angeschlossen sind und daher z. B. eine Sonderrolle bei
der Softwareverteilung einnehmen, die wesentlich aufwendiger ist.
6.2.2 Festlegung der Sicherheitsmaßnahmen
Alle Mitarbeiter werden entsprechend ihrer Rolle und Vorbildung regelmäßig geschult.
Generell ist zu prüfen, inwiefern alle Rechner zwingend an das interne Netz angeschlossen bzw. mit anderen
Rechnern verbunden werden müssen. Durch die Vernetzung von IT-Systemen wird das Risiko der Verbreitung
von Computer-Viren erhöht. Durch die Abkopplung vom Netz wird die Übertragung von Computer-Viren von
einem auf einen anderen Rechner erschwert und eine mögliche Infektion bleibt lokal isoliert.
Rechner, auf denen Daten mit sehr hohem Schutzbedarf verarbeitet werden, dürfen nicht direkt ans Internet
angeschlossen werden.
Folgende Sicherheitsmaßnahmen sind zu installieren.
· Es ist ein zentraler Virenschutz durch die Installation eines zentralen, residenten Computer-Viren-
Schutzprogramms sicherzustellen. Zusätzlich sollen auch lokale Computer-Viren-Schutzprogramme
eingesetzt werden. In der Regel genügt es, nur ausführbare Dateien, Skripte, Makrodateien etc. zu
überprüfen. Ein vollständiges Durchsuchen aller Dateien empfiehlt sich trotzdem in regelmäßigen Abständen
(z. B. vor einer Tages- oder Monatssicherung).
· Es dürfen grundsätzlich keine Rechner ohne residenten Virenschutz betrieben werden (dies schließt
Laptops mit ein).
· Ein- und ausgehende E-Mails sind zentral am Gateway auf Computer-Viren hin zu prüfen.
· Die Internetnutzung ist sicher zu gestalten, indem aktive Inhalte möglichst vermieden werden. Aktive
Inhalte sind nur auf separaten, nicht an das interne Netz angeschlossenen sogenannten Internet PCs
zu ermöglichen.
· Dateien und Programme sind nur durch Berechtigte von vertrauenswürdigen Quellen herunterzuladen.
Dies ist technisch zu unterstützen.
· Es ist auf den Servern eine Firewall zu installieren, die aktive Inhalte filtert. Gleiches gilt für Laptops,
wenn sie auch mobil genutzt und ans Internet angeschlossen werden. Seiten mit aktiven Inhalten können
vom IT-Sicherheitsbeauftragten einzeln zugelassen werden, wenn der Betreiber vertrauenswürdig
ist und der Zugang aus dienstlichen Gründen erforderlich ist.
Es ist für einen Dialerschutz zu sorgen, wenn Modems oder eine ISDN-Anlage/Karte genutzt werden.
Kritische Nummernbereiche können z. B. zentral an der ISDN-Anlage gesperrt werden. Auf Laptops
können Dialer-Schutzprogramme installiert werden.
· Es ist eine Testumgebung festzulegen, um übersandte Dateien mit dem jeweiligen Anwendungsprogramm
auf Makro-Viren zu untersuchen. Das automatische Ausführen von Makros ist in der Normalumgebung
zu verhindern.
· Die Funktion des Browsers, heruntergeladene Daten automatisch zu öffnen, ist zu deaktivieren. Aktive
Inhalte dürfen bei der Anzeige in E-Mail-Clients nicht automatisch ausgeführt werden (Vorschaufunktion
deaktivieren).
· Innerhalb der Default-Einstellungen ist sicher zu stellen, dass Datei-Endungen nicht unterdrückt werden.
Andernfalls wird es dem Nutzer erschwert, Dateiarten (z. B. Textverarbeitungs- oder Anwendungsdateien)
zu unterscheiden und Gefährdungspotentiale einzuschätzen.
Zu beachten gilt, dass selbst bei einem Computer-Viren-Schutzprogramm, das immer auf dem neuesten Stand
ist, kein absoluter Schutz gegeben ist. Das System ist zumindest solange neuen Viren ausgesetzt, bis geeignete
Computer-Virensignaturen von den Herstellern von Schutzprogrammen zur Verfügung gestellt werden.
6.2.3 BIOS-Sicherheitseinstellungen
Für das BIOS sind Sicherheitsmaßnahmen erforderlich, weil nahezu alle technischen Viren-Schutzmaßnahmen
erst nach Starten des Betriebssystems aktiv werden.
BIOS-Einstellungen sind dabei nur durch den autorisierten Administrator durchzuführen.
Passwortschutz
Es ist zu verhindern, dass Unbefugte die BIOS-Einstellungen ändern. Hierfür ist das Setup- oder Administrator-
Passwort oder mindestens der Passwortschutz für die Zugriffe auf die BIOS-Einstellungen zu aktivieren.
Boot-Reihenfolge
Die Boot-Reihenfolge beim Betriebssystemstart ist so umzustellen, dass generell zuerst von der Festplatte und
dann erst von einem externen Medium (Diskette, CD, USB-Sticks) gestartet wird. Dies schützt vor der Infektion
mit Boot-Viren, falls versehentlich oder absichtlich ein bootfähiger Datenträger im Laufwerk vergessen wird.
6.3 Empfehlungen
6.3.1 Verhaltensregeln zur Vorbeugung
Für den Administrator
Soft- und Hardware sind durch den Administrator möglichst so zu konfigurieren, dass ohne weiteres Zutun des
Benutzers optimale Sicherheit erreicht wird. Default-Einstellungen sind zu prüfen und Default-Passwörter zu
ändern. Die Programme sind sicher einzustellen und vorhandene Sicherheitsfunktionen zu aktivieren, z. B.
Schutz vor Makro-Viren innerhalb von Office-Programmen.
Das Abschalten der Sicherheitsfunktionen durch den Benutzer ist nach Möglichkeit technisch zu verhindern.
Vor dem Einsatz ist neue Soft- und Hardware zu testen. Dabei sollten nach Möglichkeit Testsystem und Produktivbetrieb
getrennt werden.
Hard- und Software muss vor dem Einsatz freigegeben werden. Softwareänderungen machen eine erneute
Freigabe erforderlich.
Das automatische Ausführen von Makros ist zu verhindern.
Um Sicherheitslücken zu schließen, hat sich der Administrator regelmäßig über sicherheitsrelevante Patches,
Updates oder sonstige Anleitungen zur Behebung beispielsweise beim Hersteller oder in einschlägigen Informationsquellen,
zu informieren.
Es sind die von den Herstellern veröffentlichten Patches und Updates zu beschaffen, insbesondere für Viren-
Schutzprogramme und andere sicherheitsrelevante Programme wie Browser und Betriebssystem, und auf dem
jeweiligen IT-System zu installieren. Sind keine entsprechenden Updates oder Patches verfügbar, müssen zusätzliche
Sicherheitsmaßnahmen (Installation von Sicherheits-Soft- und -Hardware) ergriffen werden.
Wichtig ist, dass Patches und Updates, wie jede andere Software, nur aus vertrauenswürdigen Quellen bezogen
werden dürfen. Zusätzlich sind diese mit Hilfe eines aktuellen Viren-Schutzprogramms zu prüfen, bevor ein
Update oder Patch installiert wird.
In jedem Fall muss dokumentiert werden, wann, von wem und aus welchem Anlass Patches und Updates eingespielt
wurden, so dass sich der aktuelle Patchlevel des Systems jederzeit schnell ermitteln lässt.
Da Viren-Schutzprogramme mit der Zeit ihre Wirksamkeit verlieren, muss eine regelmäßige Aktualisierung
erfolgen (Update der Viren-Signaturen).
Bei der Installation von Updates ist insbesondere darauf zu achten, dass durch voreingestellte Parameter die
bestehende Konfiguration des Computer-Viren-Schutzprogramms nicht verändert wird.
Die Computer-Viren-Signaturen sind darüber hinaus zu gegebenen Anlässen, z. B. aufgrund neuer Viren, zu
aktualisieren. Es sind mindestens einmal in der Woche, idealerweise täglich, die Informationen des Herstellers
abzufragen. Sofern Aktualisierungen notwendig sind, sind diese herunterzuladen.
Innerhalb eines vernetzten IT-Systems sind die Aktualisierungen der Viren-Signaturen auch an den Clients sicherzustellen.
Hierbei ist sinnvollerweise durch den Server auf den Clients eine Aktualisierung zu initiieren und
somit das Viren-Schutzprogramm der Clients automatisch ohne Zutun des Nutzers zu aktualisieren (Push-
Prinzip).
Zu beachten gilt, dass auch Rechner, die keiner bestimmten Person zugeordnet werden können, ebenfalls bei
den Aktualisierungen berücksichtigt werden. Dies gilt insbesondere für mobile Rechner (Laptops): Es ist sicher
zu stellen, dass auch diejenigen Laptops, die sich während der planmäßigen Aktualisierungen nicht im Haus
befinden, zeitnah aktualisiert werden.
Es sind sporadische Kontrollen der Rechner vorzunehmen: So ist die Funktionalität und die Aktualität des Viren-
Schutzprogramms zu überprüfen. Weiterhin sollte geprüft werden, ob nicht-freigegebene oder verbotene Softund
Hardware genutzt wird oder Benutzer unzulässige Rechte haben. Des Weiteren ist das folgende Kapitel
„Revision“ zu beachten.
Je nach Betriebssystem sind die notwendigen Schritte bei Virenbefall vorzubereiten, die zur Entfernung der
Viren notwendig sind und den Wiederanlauf ermöglichen, wie beispielsweise das Rückspielen von Datensicherungen.
Dies ist zu dokumentieren.
Es ist ein Notfallkonzept zu erstellen und Notfallübungen durchzuführen.
Die Benutzer sind bei der Arbeit und der Umsetzung von IT-Sicherheitsmaßnahmen zu unterstützen. Hierbei
sind die Laptop-Benutzer im Speziellen zu unterstützen. Alle Benutzer und der IT-Sicherheitsbeauftragte sind
regelmäßig über Neuerungen (Bedrohungen und Sicherheitsmaßnahmen) zu informieren. Der ITSicherheitsbeauftragte
berichtet bei Bedarf an den IT-Leiter.
Für den Benutzer
Die Benutzer tragen dafür Verantwortung, IT-Systeme so zu nutzen, dass eine Infektion mit Computer-Viren
vermieden wird. Dies heißt im Einzelnen:
· Alle verdächtigen Ereignisse (s. u.) sind unverzüglich dem Computer-Viren-Verantwortlichen (i.d.R. der
IT-Administrator) zu melden.
· Verdächtige Dateien dürfen nicht selbständig geöffnet werden. In Zweifelsfällen muss der Computer-
Viren-Verantwortliche um Rat gefragt werden.
· Viren-Schutz-Programme dürfen nicht deaktiviert werden.
· Vorgegebene Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.
· Software darf nur von berechtigten Administratoren oder in Absprache mit diesen installiert werden.
Sofern die Nutzung privater Hardware (z. B. PDAs oder Mobiltelefone) zusammen mit dienstlicher
Hardware oder zur sonstigen dienstlichen Nutzung genehmigt wurde, sind die technischen und organisatorischen
Maßnahmen im Rahmen des Computer-Virenschutzes zu beachten.
· IT-Systeme sollten sorgfältig hinsichtlich möglicher Gefahren beobachtet werden.
· Jeder Verdacht auf Computer-Viren muss sofort gemeldet werden.
· Eingehende und ausgehende Dateien sind im Falle eines Datenträgeraustauschs einer Viren-Prüfung
zu unterziehen.
· Werden E-Mails nicht über das zentrale E-Mail-Gateway versendet, sind Dateianhänge ebenfalls vorher
auf Viren zu prüfen.
· Jeder IT-Benutzer hat vor der ersten Nutzung von IT-Diensten an den angebotenen Schulungen teilzunehmen.
6.3.2 Verhaltensregeln bei Auftreten eines Computer-Virus
Anzeichen für einen Viren-Befall
Folgende Anzeichen können auf einen Computer-Virenbefall hindeuten:
· häufige Programmabstürze
· Programmdateien werden länger
· unerklärliches Systemverhalten
· „unerklärliche“ System-Fehlermeldungen
· Nutzung unbekannter Dienste
· nicht auffindbare Dateien
· veränderte Dateiinhalte
· ständige Verringerung des freien Speicherplatzes, ohne dass etwas abgespeichert wurde
Sofern diese Anzeichen vorliegen, sind zur Feststellung eines Computer-Virus und anschließenden Beseitigung
die in den nachfolgenden Kapitel „Verhaltensregeln für den IT-Benutzers“ und „Verhaltensregeln für den Computer-
Viren-Verantwortlichen“ Schritte durchzuführen.
Verhaltensregeln für den IT-Benutzers
Bei Auftreten eines Computer-Virus ist zu verhindern, dass weitere IT-Systeme infiziert werden. Daher ist ein
entdeckter Computer-Virus (bzw. der Verdacht) unverzüglich dem Computer-Viren-Verantwortlichen (i.d.R. der
IT-Administrator) persönlich oder telefonisch zu melden. Ist dies nicht umgehend möglich, muss sofort die ITLeitung
oder Firmenleitung verständigt werden.
Bis zur Klärung des Sachverhalts durch den Computer-Viren-Verantwortlichen darf das betroffene IT-System
nicht mehr benutzt werden und sollte unverändert belassen werden, um keine Spuren zu verwischen.
Verhaltensregeln für den Computer-Viren-Verantwortlichen (i.d.R. der IT-Administrator)
Der Computer-Viren-Verantwortliche hat alle erforderlichen Maßnahmen einzuleiten. Dazu gehören:
· Verhinderung einer weiteren Ausbreitung
· Beseitigung des Virus
· Beweissicherung, Recherche, Feststellung der Quelle
· Analyse des Schadens (beispielsweise hinsichtlich Veränderung oder Löschung von Daten)
· gegebenenfalls Warnung der Mitarbeiter
· gegebenenfalls Warnung von Externen
· gegebenenfalls Deaktivierung von IT-Systemen oder bestimmten Diensten
Komplette Überprüfung aller Rechner und gegebenenfalls Kontrolle der Datensicherungen
Anschließend ist der Virenbefall durch den IT-Sicherheitsbeauftragten zu analysieren, um ein mögliches erneutes
Eintreten des Notfalls technisch und/oder organisatorisch zu verhindern. Die Dokumentation und die Analyse
bilden eine Grundlage für die Aktualisierung des Viren-Schutzkonzeptes.
6.3.3 Schulung
Administratoren
Ein Administrator hat sich hinsichtlich der Gefahren und der Möglichkeiten, diesen zu begegnen, ausführlich
regelmäßig zu informieren. Die Leitung stellt dazu ausreichende Ressourcen zur Verfügung.
IT-Benutzer
Die Benutzer werden vor der erstmaligen Nutzung der jeweiligen IT-Dienste hinsichtlich der Gefahren sensibilisiert
und auf die Sicherheitsmaßnahmen geschult. Schulungsinhalte sind:
· Sensibilisierungsmaßnahmen
(„Warum ist das IT-System so wichtig für mich und meinen Arbeitgeber?“)
· Beschreibung der verschiedenen Computer-Viren
· Gefährdungspotential durch Computer-Viren
(„Welche Gefahren bestehen für mich und meinen Arbeitgeber durch Viren-Befall?“)
· Schulung auf das Erkennen von Computer-Viren
(„Wie erkenne ich einen Viren-Befall?“)
· Korrekte Nutzung des Computer-Viren-Schutzprogramms
Nutzung des transienten Computer-Viren-Schutzprogramms
(„Wann und wie muss ich das Programm nutzen?“)
· Nutzung des residenten Computer-Viren-Schutzprogramms
(Verbot der Deaktivierung und der Änderung der Konfiguration)
· Korrekte Aktualisierung des Computer-Viren-Schutzprogramms
· Sichere Nutzung der sonstigen IT-Dienste
· Verhalten bei Auftreten eines Computer-Virus (Meldewege etc.)
Mitarbeiter müssen auf das Problem von Falschmeldungen über Viren hingewiesen und darüber informiert
werden, was beim Empfang einer Meldung zu tun ist.
6.3.4 Revision
Das Computer-Viren-Konzept ist regelmäßig auf seine Aktualität und Wirksamkeit zu prüfen. Die Ursache jedes
Viren-Befalls sollte analysiert und die Erfahrungen mit den getroffenen Maßnahmen ausgewertet werden.
Alle Sicherheitsmaßnahmen müssen regelmäßig daraufhin getestet werden, ob sie
· allen betroffenen Mitarbeitern bekannt sind,
· in den Betriebsablauf integrierbar sind.
Darüber hinaus ist regelmäßig zu überprüfen, ob die Mitarbeiter die Vorgaben des Computer-Viren-Konzepts
beachten.

7 Sicherheitsrichtlinie für die Internet- und EMail-Nutzung

7.1 Einleitung

Die Nutzung des Internets zur Informationsbeschaffung und zur Kommunikation ist in weiten Bereichen zur
Selbstverständlichkeit geworden. Folge ist das Ausrüsten immer mehr PCs mit einem Internet-Zugang. E-Mail
dient als Ersatz oder als Ergänzung von anderen Bürokommunikationswegen. Mit Hilfe von Attachments (Anhängen)
können Dateien effizient transportiert und E-Mail als Groupware-Lösung genutzt werden.
Dadurch können jedoch weitere Bedrohungen für die Institution entstehen: Neben dem Verlust der Vertraulichkeit,
Verfügbarkeit und Integrität personenbezogener, vertraulicher und weiterer sensitiver Informationen
während des Versands über das Internet ist auch die Sicherheit der intern abgespeicherten Informationen
durch Angriffe von außen bedroht.
7.2 Konfiguration
7.2.1 Allgemeines
Die E-Mail- und Internet-Programme, die Mail- und Internet-Server sowie die Hardwarekomponenten sind
durch die Administratoren möglichst so zu konfigurieren, dass ohne weiteres Zutun der IT-Benutzer optimale
Sicherheit erreicht werden kann.
Änderungen an den Sicherheitseinstellungen durch die IT-Benutzer sind nicht gestattet.
7.2.2 Schutz gegen Computer-Viren
Bei jeglicher Kommunikation über das Internet muss an den Schutz vor Computer-Viren gedacht werden. Einund
ausgehende E-Mails sind zentral am Gateway auf Computer-Viren hin zu prüfen.
Es ist für einen Schutz gegen Dialerprogramme zu sorgen.
Innerhalb der Default-Einstellungen ist sicher zu stellen, dass Datei-Endungen nicht unterdrückt werden. Andernfalls
wird es dem Nutzer erschwert, Dateiarten zu unterscheiden und Gefährdungspotentiale einzuschätzen.
7.2.3 Internet-Browser und E-Mail-Client
Es sind bei Browsern und E-Mail-Clients nur die Funktionen und Programme zu aktivieren, die zwingend benötigt
werden. Die Zuteilung der verwendeten Programme und Dienste ist zu dokumentieren.
Cookies sind aus datenschutzrechtlichen Gründen zu unterdrücken oder regelmäßig zu löschen.
Wenn der Cache des Browsers genutzt wird, ist dieser regelmäßig (nach der Sitzung) zu löschen.
Die Funktion des Browsers, heruntergeladene Daten automatisch zu öffnen, ist zu deaktivieren. Aktive Inhalte
dürfen bei der Anzeige in E-Mail-Clients nicht automatisch ausgeführt werden (Vorschaufunktion deaktivieren).
Von der Funktion automatischer Lesebestätigungen ist abzusehen, da dies unerwünschte E-Mail-Versender
unterstützen kann (Spam).
Bei einer automatischen Weiterleitung von E-Mails ist die Vertraulichkeit zu wahren, indem sichergestellt wird,
dass alle Empfänger die E-Mails auch lesen dürfen.
Die Funktion des Browsers ist zu deaktivieren, die das automatische Ausfüllen von Formularen auf Internetseiten
durch abgespeicherte persönliche Informationen oder Passwörter ermöglicht.
Die Funktion des E-Mail-Clients, die Adresse eines E-Mail-Empfängers automatisch zu vervollständigen, sollte
nicht verwendet werden.
7.2.4 Sicherheitsgateway (Firewall)
Erst nach Einführung einer geeigneten Firewall darf der Anschluss an ein externes Netz erfolgen. Die Firewall ist
so zu konfigurieren und zu administrieren, dass sie einen effektiven Schutz darstellt und Manipulationen verhindert
werden.
Aktive Inhalte sind zentral an der Firewall zu filtern.
Bei der Firewall sind die Filterregeln so restriktiv wie möglich zu wählen („alles was nicht erlaubt ist, ist verboten“).
Die IT-Benutzer dürfen jedoch nicht durch eine Vielzahl von Meldungen belästigt und in ihrer Arbeit beeinträchtigt
werden.
Alle weiteren Komponenten, die der Kommunikation zwischen geschütztem internen und ungeschützten externen
Netz dienen, müssen sicher angeordnet werden.
Laptops dürfen nur mit dem Internet verbunden werden, wenn sie mit einer Personal Firewall ausgestattet
sind.
7.2.5 Revision
Der Fernzugriff von Benutzern auf E-Mail-Accounts ist zu kontrollieren und sicher zu gestalten.
Es sind die sicherheitsrelevanten Ereignisse zu protokollieren. Der Datenverkehr ist ebenfalls automatisch zu
protokollieren. Bei Verdacht auf einen Sicherheitsverstoß sind die Protokolle durch eigens hierfür Berechtigte
auszuwerten. Datenschutz- und Mitbestimmungsrechte sind zu beachten.

7.3 Nutzung

7.3.1 Private und dienstliche Nutzung
Das Informationszentrum der Hochschule Karlsruhe geht davon aus, dass ein völliges Verbot privater Mitnutzung
nicht sinnvoll und eine vollständige Trennung von betrieblicher und privater Nutzung von Kommunikationsmedien
kaum möglich ist. Daher ist die private Nutzung der IuK-Infrastruktur unter folgenden Bedingungen
zulässig:
· Die Erfüllung betrieblicher Aufgaben, insbesondere der Bestimmungszweck der IuK-Infrastruktur, genau
diese Aufgabenerfüllung zu ermöglichen, darf nicht beeinträchtigt werden;
· für den Arbeitgeber dürfen sich aus der privaten Nutzung keine zusätzlichen Erfordernisse ergeben,
insbesondere keine zusätzlichen Gewährleistungspflichten und Haftungsrisiken;
· jede extremistischen, rassistischen, pornographischen oder kriminellen Zwecken dienende Nutzung ist
unzulässig;
· Hochschul-E-Mailadressen sollen nicht als Kontaktdaten für private Kommunikation veröffentlicht
werden, etwa in politischen Foren oder auf privaten Homepages;
· Sicherheit und Funktionsfähigkeit der IuK-Infrastruktur dürfen durch die private Mitnutzung nicht beeinträchtigt
werden; insbesondere sollten privat nur die Dienste und Software verwendet werden, die
auch für dienstliche Zwecke genutzt werden – Voraussetzung ist stets das Vorhandensein einer gültigen
Lizenz;
· für den Fall, dass in Hochschul-Einrichtungen persönliche Inhalte im Internet- oder Intranet-Angebot
zugelassen sind, darf deren Präsentation nur unter Einhaltung der Darstellungs- und Veröffentlichungsregelungen
der jeweiligen Einrichtung geschehen.
7.3.2 Übertragung schützenswerter Daten
Die Übertragung von vertraulichen Informationen an Externe mittels E-Mail ist ausschließlich in verschlüsselter
Form zulässig. E-Mails dürfen nicht an externe Stellen übermittelt werden, wenn diese nicht in der Lage sind,
verschlüsselte E-Mails zu lesen.
Wenn es auf die Integrität von E-Mails ankommt, sollte die Verwendung elektronischer Signaturen geprüft
werden.
Interne E-Mails mit vertraulichem Inhalt, dürfen das interne Netz nicht verlassen.
7.3.3 Herunterladen von Dateien
Dateien und Programme sind nur durch Berechtigte von vertrauenswürdigen Quellen herunterzuladen.
7.3.4 E-Mail-Adressen
Jeder Mitarbeiter erhält eine mitarbeiterspezifische E-Mail-Adresse. Zusätzlich werden funktionsbezogene EMail-
Adressen eingerichtet, die für dienstliche Angelegenheiten verwendet werden müssen. Auf der Internetseite
sollten nach Möglichkeit nur funktionsbezogene E-Mail-Adressen genannt werden.
Es muss durch Vertretungsregeln gesichert werden, dass E-Mails im Abwesenheitsfall beantwortet werden.
Diese Pflicht gilt insbesondere für funktionsbezogene E-Mail-Adressen.
Die Adressierung von E-Mails muss eindeutig erfolgen. Es sind Adressbücher und Verteilerlisten zu erstellen
und zu pflegen. Es ist sicherzustellen, dass diese Listen nicht extern zugänglich sind.
Sofern E-Mails an mehrere Empfänger versandt werden, sind nach Möglichkeit Verteilerlisten oder die „BCCOption“
zu nutzen, so dass der Empfänger nicht die komplette Empfängerliste einsehen kann.

8 Sicherheitshinweise für Benutzer

8.1 Allgemeine Regelungen

Die Nutzung der erlaubten Dienste ist ausschließlich zu dienstlichen Zwecken und im ausdrücklich erlaubten
Umfang zur Erledigung der Aufgaben gestattet.
Nur freigegebene Software darf verwendet werden.
Die Benutzung privater Hard- und Software zu dienstlichen Zwecken ist ohne Genehmigung ist nicht zulässig.
Änderungen an den Systemeinstellungen (Installation, Deinstallation, Änderungen an der Konfiguration etc.)
sind nur durch den Administrator zulässig.
Informationsträger mit vertraulichen Informationen sind in aufgestellte Sammelboxen für vertrauliches Schriftgut
zu entsorgen oder in einem Shredder zu vernichten. Nicht mehr benötigte Datenträger (Disketten, CD-ROM
etc.) sind sicher zu löschen oder zu vernichten.

8.2 Zutritt und Zugang

Es sind die Zugangsregelungen und die vergebenen Berechtigungen zu beachten. Das Ausprobieren von weiteren
Diensten und Zugriffsrechten als den explizit Erlaubten ist verboten.
8.2.1 Allgemeine Zutritts- und Zugangsregelungen
Der Arbeitsplatz ist „aufgeräumt“ zu hinterlassen, so dass Unbefugte keinen Zugriff auf Informationen und ITAnwendungen
ermöglicht wird. Hierzu sind Räume falls möglich zu verschließen. IT-Geräte sind zum Schutz von
unbefugten Personen mit einem passwortgeschützten Bildschirmschoner ausgestattet. Dieser muss bei Verlassen
des Arbeitsplatzrechners oder nach 5 Minuten automatisch aktiviert werden.
In Bereichen mit Publikumsverkehr sind Monitore, Drucker und Faxgeräte so aufzustellen, dass das Risiko der
Einsichtnahme Dritter möglichst ausgeschlossen wird.
Die Weitergabe von eigenen Benutzerkennungen und sonstigen Authentisierungshilfsmitteln an Dritte ist unzulässig.
Wenn der Verdacht besteht, dass die eigenen Zugangs- und Zugriffsberechtigungen unberechtigt durch Dritte
genutzt werden, ist das Passwort umgehend zu ändern und der IT-Sicherheitsbeauftragte um Rat zu fragen.
8.2.2 Passwort-Regeln
Folgende Regeln sind zu beachten:
· Passwörter sind nirgends zu notieren und niemandem mitzuteilen.
· Das Passwort darf nur dem Benutzer bekannt sein.
· Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist alphanumerisch (Buchstaben
und Zahlen/Zeichen mit Sonderzeichen) zu gestalten.
· Passwörter dürfen nicht leicht zu erraten sein. Vor- und Familiennamen oder Geburtstage sind beispielsweise
nicht zur Bildung von Passwörtern geeignet. Es dürfen niemals Trivialpasswörter verwendet
werden (z. B. 4711; 12345 oder andere nebeneinanderliegende Tasten).
· Die Passwörter sind spätestens alle 90 Tage zu wechseln.
· Sofern Gruppenpasswörter zwingend erforderlich sind, gilt: Gruppenpasswörter sind umgehend zu
ändern, wenn die Zusammensetzung der Gruppe sich verändert. Gleiches gilt, wenn Passwörter unautorisierten
Personen bekannt geworden sind.
· Einmal genutzte Passwörter sind nicht wieder zu verwenden.
· Benutzer haben den Empfang von Initial-Passwörtern immer zu bestätigen und müssen diese sofort
wechseln.
Alle IT-Systeme sind zum Schutz vor unbefugten Personen mit einem passwortunterstützten Bildschirmschoner
ausgestattet, dieser ist auch immer zu benutzen.
· Passwörter dürfen nicht als Teil eines automatischen Anmeldeprozesses verwenden werden, z. B. in
einer Makro- oder Funktionstaste.

8.3 Kommunikationsspezifische Regelungen

Bei der Nutzung von Internet und E-Mail sind Virenschutzprogramme zu nutzen.
Vom Administrator voreingestellte Konfigurationen dürfen nicht vom IT-Benutzer deaktiviert oder geändert
werden.
Eine Weitergabe von vertraulichen Informationen bedarf der Zustimmung des Informationseigentümers.
Beim Datenaustausch ist eine geeignete Versandart zu nutzen. Die Vertraulichkeit ist beim Versand zu gewährleisten:
· E-Mails mit vertraulichem Inhalt, die extern versendet werden, sind zu verschlüsseln.
· Es sind keine vertraulichen Nachrichten auf Anrufbeantworter zu sprechen.
· Die vom Faxgerät auf der Gegenseite vor dem eigentlichen Sendevorgang abgegebene Kennung ist sofort
zu überprüfen, damit bei eventuellen Wählfehlern die Übertragung unverzüglich abgebrochen
werden kann.
· Beim Faxversand schutzbedürftiger Dokumente ist ein Sendezeitpunkt mit der Gegenseite abzustimmen.
· Ausdrucke mit vertraulichen Informationen sind umgehend aus dem Drucker zu entfernen.
Des Weiteren ist die "Sicherheitsrichtlinie für die Internetnutzung" (siehe Kapitel 7) zu beachten.

8.4 Notfallvorsorge

8.4.1 Datenverfügbarkeit
Zur Sicherstellung der Verfügbarkeit ist folgendes sicherzustellen:
· Daten sind so aufzubewahren, dass sie problemlos wiedergefunden werden können.
· Um das Risiko eines Datenverlusts zu reduzieren, sind regelmäßig Datensicherungen durchzuführen.
8.4.2 Verschlüsselung
Grundsätzlich sind vertrauliche Informationen verschlüsselt zu speichern und zu übertragen. Mobile Datenträger
sind sicher aufzubewahren. Das gleiche gilt für mobil genutzte IT-Systeme.
8.4.3 Virenschutz
Jeder elektronische Datenträger (Diskette, Wechselplatte, USB-Stick usw.) ist vor der Verwendung hinsichtlich
schadenstiftender Software (z. B. Computerviren) zu untersuchen.
E-Mail-Anhänge sind beim Empfang zu überprüfen.

8.5 Verhalten bei Sicherheitsvorfällen

Die folgenden Verhaltensregeln sind bei den verschiedenen Sicherheitsvorfällen einzuhalten:
Sobald ein Fehler oder ein anderes Problem auftritt, ist umgehend der IT-Sicherheitsbeauftragte bzw. ein Administrator
zu benachrichtigen. Im Umgang mit Sicherheitsvorfällen sind Ehrlichkeit und Kooperationsbereitschaft
besonders wichtig. Die Meldung von Sicherheitsvorfällen wird daher immer positiv gewertet!
Die Anweisungen des IT-Sicherheitsbeauftragten und der Administratoren sind zu befolgen.

9 Sicherheitshinweise für Administratoren

9.1 Verwaltung der IT-Dienste

9.1.1 Konfiguration der IT-Dienste
Vor dem Einsatz ist Soft- und Hardware nach Möglichkeit zu testen.
Es sind die Test- und Freigabeverfahren zu beachten.
Soft- und Hardware sind durch den Administrator möglichst so zu konfigurieren, dass ohne weiteres Zutun des
Benutzers optimale Sicherheit erreicht werden kann. Es sind angemessene Sicherheitsprodukte einzusetzen.
Default-Einstellungen des Herstellers sind zu prüfen und eventuell zu ändern.
Die Nutzung aller nicht ausdrücklich erlaubten Dienste ist technisch zu unterdrücken. Dienste und Berechtigungen,
die nicht oder nicht mehr benötigt werden, sind durch den Administrator zu deaktivieren.
Die Firewall ist so zu konfigurieren und zu administrieren, dass sie unseren Sicherheitsbedürfnissen gerecht
wird. Es sind die oben genannten Richtlinien zu beachten.
Elektronische Datenträger mit vertraulichen Informationen, die nicht weiter benötigt werden, sind vor der
Entsorgung sicher zu löschen. Bei der Aussonderung von IT-Systemen ist ebenfalls darauf zu achten, dass keine
vertraulichen Informationen mehr zugänglich sind.
9.1.1 Wartung
Der Administrator ist dafür verantwortlich, dass die Informationsverarbeitung möglichst störungsfrei abläuft.
Hard- und Softwarekomponenten sind daher ordnungsgemäß zu warten. Die Wartungs- und Reparaturarbeiten
sind, sofern möglich, außerhalb der normalen Bürozeiten durchzuführen, wenn diese zu Beeinträchtigungen
des laufenden Betriebs führen können. Die Benutzer sind vorab zu informieren.
Die mit Pflege und Wartung verbundenen Maßnahmen sind nach Art, Inhalt und Zeitpunkt zu protokollieren.
Bei Arbeiten an Diensten mit sensiblen Informationen, ist nach Möglichkeit das Vier-Augen-Prinzip anzuwenden.
Wird Hardware außer Haus gegeben, sind, sofern möglich, alle sensitiven Informationen, die sich auf Datenträgern
befinden, vorher sicher zu löschen. Die Übergabe bzw. Transport ist sicher zu gestalten.

9.2 Revision

Alle Systemeinstellungen und Sicherheitsmaßnahmen sind so zu dokumentieren, dass sie für den Vertreter und
andere fachkundige Dritte verständlich sind.
Alle Fehler und Probleme, die IT-Dienste betreffen, sind zur Kontrolle vom Administrator zu protokollieren.
Es ist eine regelmäßige Kontrolle der Funktionalität der IT-Dienste, der IT-Sicherheit und der Einhaltung der
Richtlinien durchzuführen. Zu diesem Zweck sind Protokolle zu erstellen.
Bei der Protokollierung sind Datenschutz- und Mitbestimmungsaspekte zu beachten. Bei Auswertungen von
Protokollen mit personenbezogenen Daten ist das Vier-Augen-Prinzip anzuwenden.

9.3 Zugangs- und Zugriffskontrolle

9.3.1 Allgemeines
Die Zugangs- und Zugriffsrechte sind vom Administrator einzurichten, zu dokumentieren und vor Manipulationen
zu schützen.
Der Administrator hat seiner Rolle angepasste Zugangsrechte zu nutzen (Trennung zwischen Administratorenund
Benutzerrechten).
9.3.2 Passwort-Regelungen
Voreingestellte Passwörter des Herstellers sind sofort zu ändern.
(1) Administratoren-Passwort

Die Passwort-Regeln der IT-Benutzer gelten für den Administrator gleichermaßen (siehe Dokument "Sicherheitshinweise
für Benutzer"). Für den Vertretungsfall ist das Administratorpasswort versiegelt aufzubewahren.
Die Administrator-Passwörter sind mindestens monatlich zu wechseln.
(2) Benutzer-Passwort
Der Administrator hat die Passwort-Regeln der IT-Benutzer (siehe Dokument "Sicherheitshinweise für Benutzer")
technisch umzusetzen und deren Einhaltung technisch zu unterstützen.
Nach Ablauf der Gültigkeit des Passwortes ist der Nutzer vom System automatisch zu sperren. Gleiches gilt,
wenn das Benutzerpasswort dreimal falsch eingegeben wurde. Das Entsperren kann nur vom Administrator
durchgeführt werden.
Passwörter sind im System zugriffssicher zu speichern, z. B. mittels Einwegverschlüsselung.
Vorläufige Passwörter sind den Benutzern auf sichere Art zu übergeben.

9.4 Kommunikationsspezifische Regelungen

Zur Verschlüsselung ist dem Benutzer auf Antrag ein Programm zur Verfügung zu stellen.
Die am Faxgerät eingestellten technischen Parameter und Speicherinhalte sind regelmäßig zu überprüfen, damit
beispielsweise Manipulationsversuche frühzeitig erkannt und verhindert werden können.
Des Weiteren ist die "Sicherheitsrichtlinie für die Internetnutzung" (siehe Kapitel 7) zu beachten.

9.5 Notfallvorsorge

9.5.1 Virenschutz
Es ist ein Viren-Schutzprogramm zu installieren. Updates sind regelmäßig durchzuführen und die Viren-
Signaturen zu aktualisieren.
9.5.2 Datensicherung
Es sind regelmäßige Datensicherungen durchzuführen. Dies hat anhand eines Datensicherungsplans zu geschehen.

9.6 Verhalten bei eingetretenen Störungen

Der Administrator hat bei Verlust der Netz- oder Systemintegrität schnellstmöglich diese Störungen zu beseitigen.
Die Ursachen dieser Störungen sind anhand der erstellten Protokolle mit dem IT-Sicherheitsbeauftragten zu
analysieren und Verbesserungen zu erarbeiten. Dies ist zu dokumentieren.
9.7 Sonstige Aufgaben und Rechte
1. Der Systembetreiber darf über die erteilten Benutzungsberechtigungen eine Nutzerdatei mit den persönlichen
Daten der Benutzer führen. Eine Übersicht über die Art der gespeicherten Informationen muss dabei
für jeden Benutzer einsehbar sein.
2. Der Systembetreiber gibt die Ansprechpartner für die Betreuung seiner Benutzer bekannt. Der Systembetreiber
und die Ansprechpartner sind zur Vertraulichkeit verpflichtet.
3. Der Systembetreiber kann die Nutzung seiner Ressourcen vorübergehend einschränken oder einzelne
Nutzerkennungen vorübergehend sperren, soweit es zur Störungsbeseitigung, zur Systemadministration
und –erweiterung oder aus Gründen der Systemsicherheit sowie zum Schutze der Nutzerdaten erforderlich
ist. Sofern möglich, sind die betroffenen Nutzer hierüber unverzüglich zu unterrichten.
4. Der Systembetreiber ist verpflichtet, im Verkehr mit Rechnern und Netzen anderer Betreiber deren Benutzungs-
und Zugriffsrichtlinien einzuhalten.
5. Der Systembetreiber ist berechtigt, die Sicherheit der Benutzerpasswörter und der Nutzerdaten zu überprüfen
und notwendige Schutzmaßnahmen, z.B. Änderungen leicht zu erratender oder veralteter Passwörter, durchzuführen, um die IUK-Ressourcen und Benutzerdaten vor unberechtigten Zugriffen Dritter zu
schützen. Bei erforderlichen Änderungen der Benutzerpasswörter, der Zugriffsberechtigungen auf Nutzerdateien
und sonstigen nutzungsrelevanten Schutzmaßnahmen ist der Nutzer unverzüglich in Kenntnis zu
setzen.
6. Der Systembetreiber ist berechtigt, für die nachfolgenden Zwecke die Inanspruchnahme der Informationsverarbeitungssysteme
durch die einzelnen Nutzer zu dokumentieren und auszuwerten:
a) zur Gewährleistung eines ordnungsgemäßen Systembetriebs;
b) zur Ressourcenplanung und Systemadministration;
c) zum Schutz der personenbezogenen Daten anderer Nutzer;
d) zu Abrechnungszwecken;
e) für das Erkennen und Beseitigen von Störungen;
f) zur Aufklärung und Unterbindung rechtswidriger oder missbräuchlicher Nutzung, wenn es Hinweise
auf diese gibt. Der Systembetreiber führt eine für jeden Benutzer einsehbare Übersicht über
die zu diesen Zwecken gesammelten Daten.
7. Für die unter Ziffer 6 aufgeführten Zwecke ist der Systembetreiber auch berechtigt, Einsicht in die Benutzerdateien
zu nehmen, soweit dies zur Beseitigung aktueller Störungen oder zur Aufklärung und Unterbindung
von Verstößen gegen die Benutzer- und/oder Betriebsordnung erforderlich ist und hierfür tatsächlich
Anhaltspunkte vorliegen. Eine Einsichtnahme in die Nachrichten- und E-Mail-Postfächer ist jedoch nur zulässig,
soweit dies zur Behebung aktueller Störungen im Nachrichtendienst unerlässlich ist. In jedem Fall ist
die Einsichtnahme zu dokumentieren, und der betroffene Benutzer ist nach Zweckerreichung unverzüglich
zu benachrichtigen. Bei begründeten Hinweisen auf Straftaten handelt der Systembetreiber nach Abstimmung
mit der Hochschulleitung in Absprache mit den zuständigen Behörden und wird – falls erforderlich –
beweissichernde Maßnahmen einsetzen.
8. Systembetreiber, die den Benutzern eigenständige Homepages zur Veröffentlichung im Internet anbieten,
sind berechtigt, automatisch ein Impressum auf diese Seiten zu erzeugen, das den vollständigen Namen
und die E-Mail-Adresse des Autors enthält.

Inkrafttreten

Diese Betriebsordnung für das Informationszentrum der Hochschule Karlsruhe – Technik und Wirtschaft tritt am Tage der öffentlichen Bekanntmachung in Kraft.

Karlsruhe, den 10. Dezember 2012
Der Leiter des Informationszentrums
Dr. Günther Schreiner

Kontakt

Informationszentrum
IZ-Benutzerberatung
Öffnungszeiten:

Montag - Freitag:
08h -14h (Vorlesungszeit)
10h -13h (Vorlesungsfreie Zeit)

Gebäude LI Raum 133
Moltkestr. 30, 76133 Karlsruhe
Tel. +49(0)721 925-2305
Fax. +49(0)721 925-2301
E-Mail iz-benutzerberatungspam prevention@hs-karlsruhe.de

Anfahrtsplan
Lage- und Gebäudeplan
Interaktive Anfahrtsplanung mit GreenMobility

IZ-BO als Dokument