In publica commoda

Maßnahmen des IT-Grundschutzes für IT-Personal

Die nachfolgenden Maßnahmen richten sich an alle Beschäftigten der Universität Göttingen, die Aufgaben im Bereich des IT-Betriebs wahrnehmen oder Verantwortung im organisatorischen Bereich tragen. Hierzu zählen insbesondere IT-Abteilungsleiter, IT-Beauftragte, Verfahrensverantwortliche, System- und Netzadministratoren, Applikationsbetreuer, Benutzerservice, Programmentwickler und andere. Weiterhin werden hier die Maßnahmen für den IT-Anwender vorausgesetzt.

Im Interesse einer möglichst übersichtlichen Darstellung werden einige Maßnahmen wiederholt, wobei sie gelegentlich näher ausgeführt oder erweitert werden. Bei spezifischen Aufgabenstellungen, insbesondere im Umfeld von System- und Netzadministration, kann eine Abweichung in einzelnen Punkten der zuvor behandelten Maßnahmen notwendig sein. In jedem Fall ist aber der zugrunde liegende Sicherheitsgedanke nicht außer Kraft zu setzen, sondern der gegebenen Situation anzupassen.

Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Fragen der Informationssicherheit und des Datenschutzes müssen bei Neubeschaffungen von IT-Systemen und der Einführung oder wesentlichen Änderungen von IT-Verfahren bereits im Planungsstadium berücksichtigt werden.
  2. Soweit personenbezogene Daten verarbeitet werden, ist auch die oder der zuständige Datenschutzbeauftragte frühzeitig einzubinden.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Für jedes IT-Verfahren sind die Verantwortlichkeiten eindeutig festzulegen. Bei allen administrativen Anwendungen, die gesetzlichen Anforderungen genügen müssen und Anwendungen, bei denen ein besonderer Schutzbedarf vorliegt, ist ein Rollenkonzept erforderlich.
  2. Jede Person ist über die ihr übertragenen Verantwortlichkeiten und die sie betreffenden Bestimmungen zu informieren.
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Zur Gewährleistung der Informationssicherheit eines IT-Verfahrens ist eine Dokumentation und Beschreibung zu erstellen. Hierzu gehören insbesondere folgende Angaben:
    1. Aufgabe des Verfahrens
    2. Systemübersicht, Netzplan
    3. Schnittstellen zu anderen Verfahren
    4. Datenbeschreibung
  1. Zur Gewährleistung der Informationssicherheit eines IT-Verfahrens ist eine Dokumentation zu erstellen, die wenigstens die folgenden Punkte umfasst:
    1. Vertretungsregelungen, insbesondere im Administrationsbereich
    2. Zugriffsrechte
    3. Organisation, Verantwortlichkeit und Durchführung der Datensicherung
    4. Installation und Freigabe von Software einschließlich von Softwareaktuali-sierungen
    5. Zweck, Freigabe und Einsatz selbst erstellter Programme
    6. Dienstanweisungen
    7. Arbeitsanleitungen für Administrationsaufgaben u.ä.
    8. auftretende Informationssicherheits-Ereignisse aller Art
    9. Notfallregelungen
    10. Wartungsvereinbarungen
    11. Beschreibung von Verarbeitungstätigkeiten gem. Art. 30 DSGVO


Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Informationssicherheitsereignisse und -vorfälle sind vom zuständigen IT-Personal zu dokumentieren und die oder dem ISK unverzüglich mitzuteilen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: Fachverantwortliche

  1. Eine schriftliche Vereinbarung ist Voraussetzung für alle im Auftrag der Stiftungsuniversität Göttingen betriebenen IT-Verfahren. Es sind eindeutige Zuweisungen der Verantwortlichkeit für die Informationssicherheit und entsprechende Kontrollmöglichkeiten festzulegen.
  2. Sofern im Rahmen der Auftragsverarbeitung personenbezogene Daten verarbeitet werden, sind die Regelungen der DSGVO (insbesondere Art. 28) zu beachten. Der bzw. die Datenschutzbeauftragte der Universität Göttingen bzw. der Universitätsmedizin Göttingen ist einzubeziehen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: CIO
Verantwortlich für Umsetzung: Fachverantwortliche, IT-Personal

  1. Zur Erreichung eines angemessenen Sicherheitsniveaus für IT-Systeme ist eine Standardisierung der technischen Ausstattung und der Konfiguration anzustreben. Die oder der ISB und die zentralen IT-Dienstleister beraten die Betreiber der IT-Verfahren.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: CIO
Verantwortlich für Umsetzung: IT-Dienstleister

  1. Zentrale IT-Dienste wie Nutzerservice, Datensicherungsmaßnahmen, Ablage von Daten auf zentralen Fileservern, Ausführung von Programmen auf Anwendungsservern, Softwareverteilung, -aktualisierung, -inventarisierung und lizenzverwaltung, E-Mail unterstützen einen reibungslosen IT-Einsatz und verbessern das Informationssicherheitsniveau. Entsprechende Dienste sind möglichst zentral anzubieten.
  2. Maßnahmen zur Abwehr von Schadsoftware sind ebenfalls zu zentralisieren.
  3. Beim Einsatz netzwerkweit operierender Installations- und Inventarisierungswerkzeuge sowie für Fernzugriffe, z.B. des Nutzerservice, sind besondere Maßnahmen zum Schutz vor Missbrauch zu ergreifen. Die Anwender sind vor dem Einsatz solcher Werkzeuge zu informieren.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal

  1. Durch die zentrale Bereitstellung wesentlicher IT-Dienste durch die IT-Dienstleister werden die Einrichtungen der Stiftungsuniversität Göttingen entlastet, um ihre eigentlichen Aufgaben besser erfüllen zu können. Durch eine Zentralisierung von IT-Diensten wird eine verbesserte Informationssicherheit erreicht.
  2. Die Einrichtungen der Stiftungsuniversität Göttingen sollen auf zentrale IT-Dienste der IT-Dienstleister zurückgreifen. Eigene IT-Systeme dürfen nur betrieben werden, wenn entsprechende zentrale IT-Dienste für die eigenen Aufgabenstellungen nicht zur Verfügung stehen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung / Fachpersonal
Verantwortlich für Umsetzung: Zuständige Leitung

  1. Für alle von IT-Personal wahrgenommen Aufgaben sind Vertretungsregelungen erforderlich. Die Vertretungen müssen alle hierfür erforderlichen Tätigkeiten beherrschen; ihnen sollen Arbeitsanweisungen und Dokumentationen zur Verfügung gestellt werden.
  2. Die Vertretungsregelung muss im System abgebildet sein und darf nicht durch die Weitergabe von Passwörtern erfolgen. Hiervon ausgenommen sind systemspezifische, nicht personenbezogene Nutzerkonten (zum Beispiel root bei UNIX-Systemen). Dort soll der Vertreter nur im Bedarfsfall auf das an geeigneter Stelle hinterlegte Passwort des Nutzerkontos zurückgreifen können.
  3. Die Einhaltung von Anforderungen an die Rollentrennung ist sicherzustellen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung / Fachpersonal
Verantwortlich für Umsetzung: Zuständige Leitung

  1. IT-Personal darf erst nach ausreichender Schulung mit IT-Verfahren arbeiten.
  2. Eine Schulung muss auch die geltenden Sicherheitsmaßnahmen, die rechtlichen Rahmenbedingungen sowie die Erfordernisse des Datenschutzes umfassen.
  3. Es ist sicherzustellen, dass die ständige Fortbildung des IT-Personals in allen ihr Aufgabengebiet betreffenden Belangen erfolgt.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Gebäudemanagement / ISK
Verantwortlich für Umsetzung:Gebäudemanagement

  1. Zur Sicherung der IT-Infrastruktur ist eine Vielzahl baulicher und technischer Vor-gaben zu beachten. Technische Maßnahmen zur Infrastruktur sind beispielsweise im Grundschutzkompendium des BSI* beschrieben. Die Zuständigkeit für Brandschutz liegt bei der Feuerwehr und für die weitere Sicherheitsinfrastruktur bei der Stabsstelle Sicherheitswesen/Umweltschutz der Universität. Folgende Maßnahmen zur Sicherung der IT-Infrastruktur sind zu beachten:
    1. Unterbrechungsfreie Stromversorgung (USV)
    2. Brandschutz
    3. Schutz vor Wasserschäden
    4. Geschützte Kabelverlegung

Kommentare und Anmerkungen
*Siehe https://www.bsi.bund.de/grundschutz
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung:Gebäudemanagement

  1. Alle IT-Systeme mit typischer Serverfunktion, einschließlich der Peripheriegeräte (Konsolen, externe Platten, Laufwerke u. ä.), sind in separaten, besonders gesicherten Räumen aufzustellen.
  2. Der Zugang Unbefugter zu diesen Räumen muss zuverlässig verhindert werden.
  3. Es ist zu prüfen, welche Serverräume Reinigungs- und externes Servicepersonal nur unter Aufsicht betreten darf.
  4. Die Türen dürfen nur durch geeignete Schließsysteme zu öffnen sein und sollen selbsttätig schließen; verwendete Schlüssel müssen kopiergeschützt sein.
  5. Für die Schlüsselverwaltung sind besondere Regelungen erforderlich, die eine Herausgabe an Unbefugte ausschließen. Der Zutritt muss auf diejenigen Personen begrenzt werden, deren Arbeitsaufgaben dieses erfordert.
  6. Je nach der Schutzbedürftigkeit sowie in Abhängigkeit von äußeren Bedingungen (öffentlicher zugänglicher Bereich, Lage zur Straße usw.) sind besondere bauliche Maßnahmen, wie zum Beispiel einbruchsichere Fenster und Türen, Bewegungs-melder o. ä., zur Verhinderung von gewaltsamen Eindringen vorzusehen.
  7. Eine Zentralisierung von Serverräumen ist anzustreben.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Gebäudemanagement / IT-Dienstleister
Verantwortlich für Umsetzung:Gebäudemanagement

  1. Vernetzungsinfrastruktur (Switches, Router, Wiring-Center u. ä.) ist grundsätzlich in verschlossenen Räumen oder in nicht öffentlich zugänglichen Bereichen in verschlossenen Schränken einzurichten, die gegen unbefugten Zutritt und Zerstörung gesichert sind. Maßnahme I.12 gilt entsprechend.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Dienstleister, Gebäudemanagement, IT-Personal

  1. Die Netzwerkinfrastruktur ist klar zu strukturieren sowie aktuell und vollständig zu dokumentieren.
  2. Anträge auf Erweiterungen und Veränderungen an der Netzwerkinfrastruktur (beispielsweise Verkabelung, Netzwerkverteiler, Funknetze) sind mit der oder dem zuständigen ISK abzustimmen und bei den zuständigen zentralen Stellen (Gebäudemanagement für die Universität, G3-7 für die Universitätsmedizin) einzureichen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung:je nach Auftraggeber ISK, IT-Dienstleister, Gebäudemanagement

  1. Fremdpersonal, das in gesicherten Räumen mit IT-Ausstattung (z.B. Serverräume) Arbeiten auszuführen hat, muss beaufsichtigt und die Arbeiten müssen dokumentiert werden.
  2. Für regelmäßig eingesetztes und eingewiesenes Fremdpersonal kann auf eine Beaufsichtigung verzichtet werden. Die Ausnahmen sind zu dokumentieren.
  3. Fachfremde Personen (z.B. Reinigungspersonal), die Zugang zu gesicherten IT-Räumen benötigen, müssen über den Umgang mit IT-Ausstattung belehrt werden.
  4. Wenn bei Arbeiten durch Fremdpersonal, auch im Rahmen der Fernwartung, die Möglichkeit des Zugriffs auf schutzbedürftige Daten besteht, muss dieses auf das Datengeheimnis verpflichtet werden. Bei Zugriff auf personenbezogene Daten muss dieses auf das Datengeheimnis verpflichtet sein. Für die Wartung und Instandhaltung sind dann Verträge gemäß Art. 28 DSGVO abzuschließen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: Fachverantwortliche

  1. Die Beschaffung von Soft- und Hardware und die Entwicklung von Software sind mit der oder dem zuständigen ISK abzustimmen. Dabei sind die Standards gemäß I.6 und Sicherheitsmaßnahmen nach dem Stand der Technik zu beachten. Die fachlichen und technischen Anforderungen müssen vorher spezifiziert sein.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Auf IT-Systemen der Stiftungsuniversität Göttingen darf nur Software installiert werden, die zur Erfüllung der dienstlichen Aufgaben erforderlich ist.
  2. Das Einspielen von Software insbesondere aus dem Internet oder das Starten von per E-Mail erhaltener Software ist nur gestattet, wenn sichergestellt ist, dass von dieser Software keine Gefährdung für IT-Systeme oder das Datennetz ausgeht.
  3. Im Zweifelsfall ist die Zustimmung der zuständigen Leitung einzuholen. Sofern erforderlich steht die oder der ISB der Leitung beratend zur Seite.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Die Entwicklung oder Anpassung von insbesondere serverbasierter Software sollte nicht in der Produktionsumgebung erfolgen. Die Überführung der Software von der Entwicklung in den Produktionsbetrieb bedarf der Freigabe durch den zuständigen Fachverantwortlichen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Auf allen Arbeitsplatzrechnern ist grundsätzlich ein Virenscanner einzurichten, der automatisch alle eingehenden Daten und alle Dateien überprüft. Regelmäßig (möglichst automatisiert) ist der Virenscanner inkl. der Signaturen zu aktualisieren.
  2. Der Einsatz von Virenscannern ist für alle anderen IT-Systeme (z.B. Server, Mess- und Steuerrechner) zu prüfen und soweit technisch möglich vorzunehmen.
  3. Wird auf einem System schädlicher Programmcode entdeckt, muss dies der zuständigen oder dem zuständigen ISK gemeldet und das Ergebnis der eingeleiteten Maßnahmen dokumentiert werden.
  4. In regelmäßigen Abständen sowie bei konkretem Bedarf oder Verdacht ist eine Suche nach Schadprogrammen auf allen bedrohten IT-Systemen vorzunehmen; die Ergebnisse sind zu dokumentieren.
  5. Von Herstellern bereitgestellte Softwareaktualisierungen zur Beseitigung von Sicherheitslücken sind zeitnah einzuspielen, soweit keine Probleme mit der Aktualisierung erkennbar sind.
  6. Betriebssysteme und Anwendungen, die vom Hersteller nicht mehr mit Softwareaktualisierungen versorgt werden, dürfen grundsätzlich nicht mehr am Datennetz betrieben werden. Ist ein Weiterbetrieb solcher Systeme aus übergeordneten Gründen unumgänglich, sind diese Systeme zu dokumentieren, spezifische Informationssicherheitskonzepte für einen Weiterbetrieb zu entwickeln und zur Stellungnahme der oder dem ISB vorzulegen.
  7. Anwendungen – insbesondere Netzanwendungen wie Mailprogramme und WWW-Browser – sind sicher zu konfigurieren.
  8. Anwendungen sind – soweit technisch möglich – ohne besondere Privilegien im Betriebssystem (Administratorrechte) auszuführen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Bei entsprechend erhöhtem Schutzbedarf müssen alle äußeren Zugänge des PCs (zum Beispiel CD-Laufwerke, USB-Anschlüsse, Wechseldatenträger, kabellose Verbindungen) entfernt, gesperrt oder kontrolliert werden, wenn sie für die dienstlichen Aufgaben nicht erforderlich sind. Die Möglichkeit der Nutzung von Anwendungsservern und laufwerkslosen Arbeitsplatzrechnern oder Terminals ist zu prüfen.
  2. Der Zugriff auf das Rechner-BIOS ist durch ein Passwort zu schützen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Dienstleister, IT-Personal

  1. Maßnahmen zur Ausfallsicherheit sind entsprechend der jeweiligen Anforderung zu ergreifen.
  2. IT-Systeme, die zur Aufrechterhaltung eines geordneten Betriebs notwendig sind, müssen durch Ausweichlösungen (z.B. durch redundante Geräteauslegung oder Übernahme durch gleichartige Geräte) oder Wartungsverträge mit kurzen Reaktionszeiten hinreichend verfügbar gehalten werden.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: Gebäudemanagement, IT-Personal

  1. Zur Reduzierung des Diebstahlrisikos sind Diebstahl-Sicherungen überall dort einzusetzen, wo nicht unwesentliche Werte zu schützen sind und andere Maßnahmen (z. B. geeignete Zutrittskontrolle zu den Arbeitsplätzen (s. A.6)) nicht umgesetzt werden können oder ein besonderes Diebstahlsrisiko (z. B. durch Publikumsverkehr oder die Fluktuation von Nutzern) existiert.
  2. Datenträger mit wertvollen Forschungsdaten und personenbezogenen Daten sind in angemessener Weise zu schützen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Zusätzlich zu Maßnahme A.9 ist zu beachten:
  2. Jeder Person sollte nur ein Nutzerkonto zugeordnet sein. Die Zuordnung von mehreren Nutzerkonten zu einer Person innerhalb eines IT-Systems sollte nur in begründeten Ausnahmefällen erlaubt sein, wie beispielsweise für Systemadministratoren.
  3. Die Einrichtung und Freigabe eines Nutzerkontos darf nur in einem geregelten Verfahren erfolgen. Die Einrichtung und Freigabe ist zu dokumentieren.
  4. Vorinstallierte Standardkonten sind soweit nicht benötigt zu deaktivieren oder zu löschen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Die Administratoren erhalten für ihre Aufgaben ein persönliches Administratorkonto. Das Nutzen dieses Administratorkontos muss auf die Aufgaben beschränkt bleiben, für die Administrationsrechte notwendig sind. Für die nicht-administrative Tätigkeiten sind Nutzerkonten ohne Administrationsrechte zu verwenden.
  2. Vordefinierte Administratorkonten sind soweit technisch möglich umzubenennen, damit deren Bedeutung nicht sofort ersichtlich ist.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: Zuständige Leitung, Vorgesetzter der auscheidenden Person

  1. Im organisatorischen Ablauf muss ein Prozess für die Verwaltung von Nutzerkonten und Nutzerrechten bei Eintritt, organisatorischem Wechsel und Ausscheiden von Personen zuverlässig festgelegt sein.
  2. Beim organisatorischen Wechsel oder Ausscheiden von Personen hat die zuständige Leitung über die Verwendung der dienstlichen Daten zu entscheiden, die dem Nutzerkonto der Person zugeordnet sind.
  3. Es sind sämtliche für die wechselnde oder ausscheidende Person eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen oder zu löschen.
  4. Wurden in Ausnahmefällen Nutzerkonten zu einem IT-System zwischen mehreren Personen geteilt, so ist nach dem Wechsel oder Ausscheiden einer der Personen das Passwort zu ändern.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Neben den Bestimmungen der Ziffer A.12 ist zusätzlich von IT-Personal zu beachten:
    1. Für privilegierte Konten sind erhöhte Anforderungen an die Passwortstärke (Komplexität und/oder Länge des Passworts) zu stellen.
    2. Voreingestellte Passwörter (z. B. des Herstellers bei Auslieferung von Systemen) müssen unverzüglich durch individuelle Passwörter ersetzt werden.
  1. Sofern technisch umsetzbar, sind folgende Rahmenvorgaben einzuhalten:
    1. Die technischen Möglichkeiten zur Erzwingung der Einhaltung von Passwortrichtlinien müssen aktiviert werden.
    2. Jede Nutzerin und jeder Nutzer muss sein eigenes Passwort jederzeit ändern können.
    3. Für die Erstanmeldung neuer Nutzerinnen und Nutzer müssen Passwörter vergeben werden, die nach einmaligem Gebrauch gewechselt werden müssen.
    4. Die Anzahl von fehlerhaften Anmeldeversuchen an ein System innerhalb eines Zeitraums muss begrenzt werden. Dies kann durch eine Sperrung erfolgen, die entweder nur vom Systemadministrator aufgehoben werden kann oder zeitlich befristet ist, oder durch andere Algorithmen, die die Anzahl der Anmeldeversuche begrenzen.
    5. Bei der Authentisierung in vernetzten Systemen dürfen Passwörter grundsätzlich nur verschlüsselt übertragen werden. In Netzen, in denen Passwörter unverschlüsselt übertragen werden müssen, erfolgt ausschließlich die Verwendung von Einmalpasswörtern.
    6. Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden.
    7. Die Passwörter müssen im System sicher gespeichert werden, z. B. mittels Einwegverschlüsselung.
    8. Der Passwortwechsel muss vom System entsprechend den Regeln für den Passwortwechsel regelmäßig initiiert werden.
    9. Die Wiederholung alter Passwörter beim Passwortwechsel muss vom IT-System verhindert werden (Passwort-Historie).
  1. Ist es nicht möglich, die Einhaltung der Passwortrichtlinien systemintern zu erzwingen, so sind geeignete organisatorische Maßnahmen zu ergreifen, um Nutzerinnen und Nutzer auf die Passwortrichtlinien hinzuweisen und auf deren Einhaltung zu verpflichten.
  2. Ist es nicht möglich, die Einhaltung der Passwortrichtlinien systemintern zu erzwingen, so sind geeignete organisatorische Maßnahmen zu ergreifen, um Nutzerinnen und Nutzer auf die Passwortrichtlinien hinzuweisen und auf deren Einhaltung zu verpflichten.
  3. Abweichungen von den in Sätzen (1) und (2) genannten Regeln sind nur für Systeme zulässig, für die eine besondere Passwort-Richtlinie dies ausdrücklich erlaubt.
  4. Der Einsatz von Alternativen und Erweiterungen (Zwei-Faktor-Verfahren) zur Authentifizierung mittels Passwörtern ist insbesondere dort durch das IT-Personal zu prüfen, wo über solche Verfahren ein erhöhter Schutzbedarf gewährleistet werden soll oder muss.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung, ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Über Zugriffsrechte wird festgelegt, welche Person im Rahmen ihrer Funktionen bevollmächtigt wird, IT-Systeme, IT-Anwendungen oder Daten zu nutzen. Der Nutzerinnen und Nutzer dürfen nur mit den Zugriffsrechten arbeiten, die für die Erfüllung ihrer Aufgaben vorgesehen sind.
  2. Die Verfahren zur Vergabe von Zugriffsrechten sowie die Dokumentation der Vergabe und der Rechte sind technisch und organisatorisch festzulegen.
  3. Es ist zu prüfen, inwieweit die Zugriffserlaubnis auf bestimmte Endgeräte begrenzt werden kann.
  4. Es ist ebenfalls zu prüfen, inwieweit die Zugriffserlaubnis auf bestimmte Zeiten begrenzt werden kann oder muss (z. B. Beschränkung auf die üblichen Arbeitszeiten).
  5. Für Nutzerinnen und Nutzer mit privilegierten Rechten, insbesondere für Administratorkonten, ist der Zugriff auf die benötigten Systeme (i.d.R. sind es der betreffende Server und Endgeräte oder Anwendungen) zu begrenzen.
  6. Bei allen administrativen Anwendungen, die gesetzlichen Anforderungen genügen müssen (Datenschutz, Handelsgesetzbuch, u.a.), erfolgt die Vergabe und Änderung der Zugriffsrechte für die einzelnen Nutzerinnen und Nutzer auf deren schriftlichen Antrag. Dabei ist bei der Vergabe von Zugriffsrechten die Funktionstrennung zu beachten; Administratoren dürfen sich nicht selbst verwalten.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Zusätzlich zu A.6 gilt:
  2. Soweit technisch umsetzbar ist die Aktivierung automatischer Sperrungen zentral zu konfigurieren.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Zusätzlich zu A.13 gilt:
  2. Durch entsprechende technische Maßnahmen ist sicherzustellen, dass:
    1. bei der Kommunikation zwischen Telearbeitsplatz und Dienststelle die Vertraulichkeit und die Integrität der übertragenen Daten gewährleistet sind,
    2. nur Berechtigte von zu Hause aus auf dienstliche Daten zugreifen können,
    3. dienstliche Daten am Telearbeitsplatz vertraulich behandelt werden und
    4. das gesamte Verfahren der Telearbeit revisionssicher ist.
  1. Zur Einrichtung und zum Betrieb von Telearbeitsplätzen sind die bestehenden Dienstvereinbarungen zu beachten.
  2. Werden bei der Telearbeit personenbezogene Daten verarbeitet, muss die bzw. der zuständige Datenschutzbeauftragte am Genehmigungsprozess beteiligt werden.

Kommentare und Anmerkungen
s. Anlage Mitgeltende Dokumente
Verantwortlich für Initiierung: ISK, Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Eine angemessene Protokollierung, Auditierung und Revision sind wesentliche Faktoren der Informationssicherheit. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss darauf, ob die Bandbreite des Netzes den derzeitigen Anforderungen entspricht oder systematische Angriffe auf das Netz zu erkennen sind.
  2. Je nach Einsatz eines IT-Verfahrens müssen adäquate Maßnahmen zur Protokollierung getroffen werden, um Datensicherheit, Datenschutz und Revisionsfähigkeit zu gewährleisten.
  3. Die Auswertung von Protokolldateien ist in Abhängigkeit mit den protokollierten Daten mit den Datenschutzbeauftragten, dem Personalrat und der Internen Revision abzustimmen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK / Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Je nach den Möglichkeiten des Betriebssystems, der Dienste und der Anwendungen sind alle Zugangsversuche, sowohl die erfolgreichen als auch die erfolglosen, automatisch zu protokollieren.
  2. Das Ändern der Parameter von Systemdiensten und Anwendungsprogrammen, das Herunter – und Hochfahren des IT-Systems oder von Systemdiensten sowie sicherheitsrelevante Ereignisse sind zu protokollieren.
  3. Das Prinzip der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO und der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO sind zu beachten.
  4. Die Protokolle sind, sofern technisch möglich, auf dafür dedizierten Servern zu speichern.
  5. Die Protokolle sind regelmäßig und unverzüglich nach Erstellung auszuwerten. Es muss dabei sichergestellt sein, dass nur die Personen Zugriff auf die Protokolle erlangen, die diesen für die Erledigung der ihnen durch die zuständige Stelle zugewiesenen Aufgaben benötigen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Die Administratoren sind durch organisatorische Regelungen (Dienstanweisungen o.ä.) je nach Schutzbedarf des Verfahrens oder der zu verarbeitenden Daten zu verpflichten, die im Rahmen ihrer Aufgaben durchgeführten Tätigkeiten zu protokollieren. Soweit möglich sollte die Protokollierung automatisch im System erfolgen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Es muss in Betriebs- und Sicherheitskonzepten geregelt werden und sichergestellt sein, dass die Administration des Netzwerks nur von dem dafür vorgesehenen IT-Personal durchgeführt wird.
  2. Aktive und passive Netzkomponenten sowie Server sind vor dem Zugriff Unbefugter zu schützen.
  3. Die Netzdokumentation ist verschlossen zu halten und vor dem Zugriff Unbefugter zu schützen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK, IT-Dienstleister
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Es müssen geeignete Maßnahmen getroffen werden, um Überlastungen und Störungen im Netzwerk frühzeitig zu erkennen und zu lokalisieren.
  2. Es muss in Betriebs- und Sicherheitskonzepten geregelt sein und überprüft werden, dass auf die für diesen Zweck eingesetzten Werkzeuge und Daten nur die dafür berechtigten Personen zugreifen können.
  3. Der Kreis der berechtigten Personen ist auf das erforderliche Maß zu beschränken.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK, IT-Dienstleister
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Unberechtigte Nutzung von Netzwerkzugängen ist durch organisatorische und technische Maßnahmen zu unterbinden.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Das Datennetz ist so zu strukturieren, dass Teilnetze für verschiedene IT-Systeme entsprechend ihres jeweiligen Schutzbedarfs bereitgestellt werden.
  2. IT-Systeme mit unterschiedlichem Schutzbedarf dürfen nicht in gleichen Teilnetzen betrieben werden. Dadurch wird verhindert, dass IT-Systeme mit hohem Schutzbedarf durch zu wenig gesicherte Systeme im gleichen Teilnetz oder ungenügenden Schutzmaßnahmen an Netzübergängen gefährdet werden. Umgekehrt wird damit aber auch erreicht, dass die Nutzung von IT-Systemen mit geringerem Schutzbedarf nicht unnötig erschwert wird, weil auf andere IT-Systeme mit höherem Schutzbedarf im gleichen Teilnetz Rücksicht genommen werden muss.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Die gesamte Kommunikation zwischen verschiedenen Teilnetzen der Stiftungsuniversität Göttingen oder mit Externen darf ausschließlich über kontrollierte Kanäle erfolgen, die durch spezielle Schutzsysteme (Firewall, Proxy o.ä.) geführt werden.
  2. Schutzsysteme sind so zu konfigurieren, dass nur erwünschte Kommunikationen möglich sind (Whitelisting) und damit unnötige Kommunikationen unterbunden werden und Angriffsflächen minimiert werden.
  3. Neben den Netzverbindungen der Stiftungsuniversität Göttingen sind die Installation und der Betrieb anderer Kommunikationsverbindungen grundsätzlich nicht gestattet. Sofern auf Grund besonderer Umstände die Installation anderer Kommunikationswege unumgänglich ist (z.B. der Betrieb eines Modems zu Fernwartungszwecken), bedarf dies zuvor der Genehmigung durch die Netzbetreiber. Für Zugriffe externer Dienstleister ist I.15 zu beachten.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister

  1. Für die elektronische Kommunikation sind, soweit technisch umsetzbar, verschlüsselte Übertragungsverfahren einzusetzen.
  2. Schützenswerte Daten sind zwingend verschlüsselt zu übertragen.
  3. Für Administrationstätigkeiten und Fernwartungen sind zwingend verschlüsselte Übertragungsverfahren einzusetzen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Die Datensicherung muss nach einem dokumentierten Datensicherungskonzept erfolgen, das dem Schutzbedarf der zu sichernden Daten angemessen ist. Das Datensicherungskonzept umfasst alle Regelungen der Datensicherung (was wird von wem nach welcher Methode, wann, wie oft und wo gesichert).
  2. Im Falle personenbezogener Daten sind die geforderten bzw. erlaubten Aufbewahrungsfristen zu beachten.
  3. Originaldaten und Sicherungskopien sind in unterschiedlichen Brandabschnitten aufzubewahren.
  4. Daten sind grundsätzlich auf zentralen Fileservern zu speichern, bei denen turnusmäßig eine zentrale Datensicherung durchgeführt wird. Sofern eine Speicherung auf zentralen Fileservern derzeit nicht möglich ist, muss für das lokale System eine geeignete Datensicherung eingerichtet werden.
  5. Unter dem Aspekt möglichst geringer Wiederherstellungszeiten ist zu prüfen, inwieweit neben Daten auch System- und Programmbereiche gesichert werden.
  6. Die Konfigurationen aller aktiven Netzkomponenten sind in eine regelmäßige, mindestens tägliche Datensicherung einzubeziehen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Alle Anwender, die Datensicherungssysteme nutzen können, sind über die Bestimmungen zur Datensicherung zu informieren, um erforderlichenfalls auf Unzulänglichkeiten (z.B. ungeeignetes Zeitintervall für ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Die Konsistenz der Datensicherungsläufe ist sicherzustellen, indem die Lesbarkeit der Datensicherung überprüft wird. Das testweise Wiedereinspielen von Datensicherungen soll wenigstens einmal jährlich erfolgen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Zusätzlich zu A.21 gilt:
  2. Die Reparatur beschädigter Datenträger, auf denen schützenswerte Daten gespeichert sind, ist nur in besonders begründeten Ausnahmenfällen erlaubt.
  3. Wenn Datenträger nur durch externe Dienstleister repariert werden können, ist der Auftragnehmer auf die Wahrung der Vertraulichkeit der Daten zu verpflichten. Die Verpflichtung muss Bestandteil der schriftlichen Vereinbarung sein.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Zusätzlich zu A.22 gilt:
  2. Bei der Beschaffung eines Aktenvernichters ist die DIN 66399 zu beachten.
  3. Bei einer Entsorgung über einen Dienstleister muss sichergestellt sein, dass der Auftragnehmer entsprechend zertifiziert ist. Der Auftragnehmer ist zur Protokollierung der Vernichtung zu verpflichten.

Kommentare und Anmerkungen
Bisher keine