In publica commoda

Maßnahmen zum IT-Grundschutz für IT-Anwender

Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: ISK

  1. Die Mitarbeiter sind aufgabenspezifisch für die am Arbeitsplatz eingesetzten IT-Verfahren zu schulen. Schulungsziele sind:
    1. Sicherer Umgang mit der Anwendung,
    2. Sensibilisierung für Fragen der Informationssicherheit,
    3. Förderung der Selbsteinschätzung bei auftretenden Problemen (Wann sollten Experten hinzugezogen werden?),
    4. Kenntnis über bestehende Bestimmungen,
    5. Kenntnis über die Anforderungen des Datenschutzes.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Anwender, IT-Personal

  1. IT-Probleme aller Art (Systemabstürze, fehlerhaftes Verhalten von bisher fehlerfrei laufenden Anwendungen, Hardwareausfälle, Eindringen Unbefugter, Manipulationen, Virenbefall u.a.) sind vom jeweiligen IT-Anwender dem zuständigen IT-Personal mitzuteilen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: Zuständige Leitung

  1. Verstöße können disziplinar- oder arbeitsrechtlich geahndet werden. Zudem können Verstöße gegen gesetzliche Bestimmungen (z. B. Datenschutzgesetze, ärztliche Schweigepflicht) als Straftat oder Ordnungswidrigkeit verfolgt werden.
  2. Als Verstoß nach Satz 1 gilt insbesondere die schuldhafte Nichtbeachtung der Informationssicherheitsrichtlinie insbesondere, wenn durch diese:
    1. die Sicherheit der Mitglieder oder Angehörigen der Stiftungsuniversität Göttingen, Nutzer, Vertragspartner, Berater in erheblichen Umfang beeinträchtigt wird,
    2. die Sicherheit von Daten, Informationen, IT-Systemen oder der Netze gefährdet wird,
    3. der Stiftungsuniversität Göttingen materielle oder immaterielle Schäden zufügt wird,
    4. der unberechtigte Zugriff auf Systeme und Informationen und deren Preisgabe und/oder Änderung ermöglicht wird,
    5. die Nutzung von Informationen der Stiftungsuniversität Göttingen für illegale Zwecke ermöglicht wird und
    6. der unbefugte Zugriff auf personenbezogene Daten und vertrauliche Hochschuldaten ermöglicht wird.
  1. Liegen zureichende tatsächliche Anhaltspunkte für einen Verstoß vor, können durch das IT-Personal, auch ohne Kenntnis der oder des Betroffenen, Maßnahmen durchgeführt werden, die geeignet sind, den durch den Verstoß drohenden Schaden zu verhindern, abzustellen oder zu beweisen. Schon vor Maßnahmenbeginn sind die oder der zuständige Datenschutzbeauftragte und eine Vertretung des jeweiligen Personalrats sowie eine Vertretung der Internen Revision (nachfolgend insgesamt: der zu beteiligenden Stellen) hinzuzuziehen; deren Einverständnis mit den Maßnahmen ist erforderlich für ihre Durchführung. Das die Maßnahmen durchführende IT-Personal informiert über den Verlauf und das Ergebnis der Maßnahmen:
    1. die zu beteiligenden Stellen,
    2. in jedem Fall die Betroffene oder den Betroffenen, gegebenenfalls die vorgesetzte Person und weitere Personen; in allen Fällen in Abstimmung mit den zu beteiligenden Stellen.
  1. Die erhobenen Daten sind unverzüglich nach Abschluss der Maßnahme zu vernichten. Der Abschluss der Maßnahme ist von den zu beteiligenden Stellen festzustellen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Auf IT-Systemen der Stiftungsuniversität Göttingen darf nur Software installiert werden, die zur Erfüllung der dienstlichen und auf das Studium bezogenen Aufgaben erforderlich ist.
  2. Das eigenmächtige Installieren oder Ausführen von zusätzlicher Software ist IT-Anwendern nicht gestattet. Dies betrifft insbesondere auch das Herunterladen von Software aus dem Internet oder das Starten von per E-Mail erhaltener Software.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Auf allen Arbeitsplatzrechnern ist grundsätzlich ein aktueller Virenscanner einzurichten, der automatisch alle Dateien beim Zugriff überprüft. Damit soll bereits das Eindringen von schädlichen Programmen erkannt und verhindert werden.
  2. Bei Verdacht auf Infektion mit Schadsoftware ist das zuständige IT-Personal zu informieren.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Räume, in denen Arbeitsplatzcomputer stehen, sind grundsätzlich außerhalb der üblichen Arbeitszeiten (insbesondere nachts und am Wochenende) und bei Abwesenheit zu verschließen. Hiervon darf nur abgewichen werden, soweit es die Arbeitsorganisation dringend erfordert und andere Sicherheitsmaßnahmen es ermöglichen.
  2. Bei Räumen mit Publikumsverkehr sind Bildschirmarbeitsplätze so einzurichten, dass schützenswerte Daten nicht von Unbefugten eingesehen werden können.
  3. Beim Ausdruck schützenswerter Daten muss das Entnehmen der Ausdrucke durch Unbefugte verhindert werden (Sicherstellung der Vertraulichkeit).

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Beim Verlassen des Arbeitsplatzes ist der Arbeitsplatzrechner durch einen Kennwortschutz zu sperren.
  2. Eine Sperrung muss zusätzlich automatisch zeitgesteuert bei Nicht-Nutzung des Rechners erfolgen.
  3. Grundsätzlich sind die Systeme nach Dienstschluss auszuschalten.
  4. Von den Regeln zum Sperren und Ausschalten darf nur abgewichen werden, soweit es die Arbeitsorganisation dringend erfordert (z.B. bei Mess- und Steuerrechnern) und geeignete Sicherheitsmaßnahmen es ermöglichen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Anwender

  1. Grundsätzlich sind mobile Endgeräte und Speichermedien durch geeignete Sicherheitsmaßnahmen vor Diebstahl zu schützen.
  2. Der unberechtigte Zugriff auf mobile Endgeräte und darauf gespeicherte Daten muss durch geeignete Zugriffsschutzmaßnahmen (z.B. Passwörter, PINs, biometrische Verfahren) verhindert werden.
  3. Die Speicherung von schutzwürdigen Daten auf Notebooks, mobilen Speichermedien (z. B. Smartphones, USB-Sticks etc.) ist nur dann zulässig, wenn eine dienstliche Notwendigkeit besteht und die Daten entsprechend den jeweiligen aktuellen Sicherheitsanforderungen* verschlüsselt werden. Weiterhin ist sicherzustellen, dass der unbefugte Zugriff auf die Daten durch Unberechtigte ausgeschlossen ist.

Kommentare und Anmerkungen
* Algorithmus, Schlüssellänge nach Angaben der Bundesnetzagentur
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Alle dienstlich genutzten IT-Systeme (einschließlich Smartphones) sind so einzurichten, dass nur berechtigte Personen die Möglichkeit haben, auf diese zuzugreifen. Infolgedessen ist zunächst eine Anmeldung mit einem geeigneten Authentisierungsverfahren (Passwort, Smartcard, biometrische Verfahren o.ä.) erforderlich.
  2. Die Vergabe von Nutzerkonten für die Arbeit an IT-Systemen muss personenbezogen erfolgen. Die Arbeit unter dem Nutzerkonto einer anderen Person ist unzulässig.
  3. Vertretungen sind nicht durch Weitergabe von Zugangsdaten personenbezogener Nutzerkonten, sondern durch geeignete Rechtevergaben zu organisieren.
  4. Dem IT-Anwender ist untersagt, die für das Authentisierungsverfahren erforderlichen Zugangsdaten weiterzugeben.
  5. Der Verzicht auf personenbezogene Nutzerkonten ist für IT-Systeme zulässig, bei denen bedingt durch die Arbeitsorganisation ein schneller Nutzerwechsel erforderich ist (z. B. Leitstellen in der UMG, Lesesaaltheken) oder die für allgemeine öffentliche Zugänge bestimmt sind (z.B. Kiosksysteme, Abfragestationen für Bibliothekskataloge).

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Jeder Nutzer ist für alle Handlungen verantwortlich, die unter Verwendung seines Nutzerkontos vorgenommen werden.
  2. Die für Nutzung von IT-Systemen der Stiftungsuniversität Göttingen verwendeten Passwörter dürfen nicht mit zur Nutzung von anderen, nicht der Stiftungsuniversität Göttingen zugeordneten IT-Systemen verwendeten Passwörtern identisch oder ähnlich sein.
  3. Für den Umgang mit Passwörtern ist zu beachten:
    1. Passwörter sind nicht auf programmierbaren Funktionstasten zu speichern.
    2. Das Abspeichern von Passwörtern für IT-Systeme der Stiftungsuniversität Göttingen in Anwendungen insbesondere Browsern ist grundsätzlich nicht zulässig. Soweit Ausnahmeregelungen eine Abspeicherung zulassen, ist der Zugriff auf den Passwort-Speicher mit einem Master-Kennwort zu sichern.
    3. Soweit Passwörter z.B. wegen ihrer Vielzahl nicht nur gemerkt werden können, sondern notiert werden müssen, sind diese in einem Passwort-Manager mit sicherem Master-Kennwort zu speichern.
    4. Passwörter auf Papier aufzuschreiben ist zu vermeiden. Soweit ein Aufschreiben nicht vermeidbar ist, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren.
    5. Ein Passwort ist zu ändern, wenn es unautorisierten Personen bekannt geworden ist.
    6. Die Eingabe eines Passwortes muss unbeobachtet stattfinden.
  1. Sofern ein IT-System bzw. eine Anwendung keine Passwort-Änderung erzwingt oder explizite Regeln hierfür erlassen wurden, sind grundsätzlich folgende Regeln zur Passwort-Änderung zu befolgen:
    1. Das Passwort ist regelmäßig zu ändern. Als Frist für einen Passwortwechsel wird ein Zeitraum zwischen drei Monaten und einem Jahr empfohlen.
    2. Neue Passwörter müssen sich vom alten Passwort, über mehrere Wechselzyklen hinweg, signifikant unterscheiden.
  1. Sofern ein IT-System bzw. eine Anwendung keine Passwortregeln erzwingt oder für bestimmte Passwörter explizit Regeln erlassen wurden, sind grundsätzlich folgende Regeln zur Passwort-Stärke zu befolgen:
    1. Es sind keine gängigen oder leicht zu erratenden Buchstaben- und/oder Ziffernfolgen, wie z. B. Namen, Kfz-Kennzeichen, Geburtsdaten, einzelne Wörter in deutscher oder anderer Sprache oder nur geringfügig variierte Versionen solcher Zeichenfolgen zu verwenden.
    2. Das Passwort muss mindestens 8 Stellen lang sein. Empfohlen werden 10 Stellen.
    3. Jedes Passwort muss mindestens einen Groß- und einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthalten.
    4. Alternativ kann von c abgewichen werden, wenn sichergestellt ist, dass ein gewähltes Passwort z.B. durch höhere Länge genauso sicher ist, wie ein nach b und c gewähltes.
  1. Erhält ein Nutzer beim Anmelden mit seinem Passwort aus ungeklärten Gründen keinen Zugriff auf das System, besteht die Gefahr, dass sein Passwort durch Ausprobieren ermittelt werden sollte, um illegal Zugang zum System zu erhalten. Solche Vorfälle sind dem zuständigen Vorgesetzten und dem IT-Personal zu melden (Siehe A.2).
  2. Vergisst ein Nutzer sein Passwort, hat er ohne wiederholtes Ausprobieren beim zuständigen IT-Personal oder soweit verfügbar über Self-Service-Funktionen das Zurücksetzen zu veranlassen. Diese Festlegung soll verhindern, dass der Vorgang als Eindringversuch protokolliert und behandelt wird.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal

  1. Der Nutzer darf nur mit den Zugriffsrechten ausgestattet werden, die für die Erledigung seiner Dienstaufgaben erforderlich sind. Insbesondere sind Arbeiten, für die nicht zwingend erhöhte Privilegien benötigt werden, nicht mit privilegierten Nutzerkonten („Administrator“, „root“ o.a.) vorzunehmen.
  2. Privilegierte Nutzerkonten dürfen nur an IT-Personal vergeben werden bzw. Personen mit privilegierten Nutzerkonten sind als IT-Personal zu betrachten und haben die Maßnahmen für IT-Personal zu beachten und umzusetzen.
  3. Über technische Maßnahmen hinaus sind auch organisatorische Regeln zu beachten (z.B. für Zugriff auf Patientendaten in der Universitätsmedizin).

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Der Anschluss von IT-Systemen an das Datennetz der Stiftungsuniversität Göttingen hat ausschließlich über die dafür vorgesehene Infrastruktur zu erfolgen. Die eigenmächtige, d.h. ohne vorherige Zustimmung des Netzbetreibers vorgenommene Einrichtung oder Benutzung von zusätzlichen Netzzugängen (Router, Switches, Modems, WLAN-Accesspoints o.ä.) ist unzulässig.
  2. Die „Netzbetriebsordnung der Universitätsmedizin“ und die „Nutzungsordnung der GWDG“ sind bei der Umsetzung zu beachten.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Bei der Telearbeit verlassen Daten den räumlich eingegrenzten Bereich der Daten verarbeitenden Stelle.
  2. Zur Einrichtung und zum Betrieb von Telearbeitsplätzen sind die bestehenden Dienstvereinbarungen* sowie weitere Regelungen zum Datenschutz und zur Datensicherheit zu beachten.

Kommentare und Anmerkungen
*Siehe Anlage „Mitgeltende Dokumente“
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Der Einsatz von verschlüsselten Kommunikationsdiensten ist soweit technisch möglich unverschlüsselten Diensten vorzuziehen.
  2. Die Übertragung schützenswerter Daten muss verschlüsselt erfolgen oder durch andere geeignete Maßnahmen (z.B. isolierter eigener Netze) gesichert werden.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Für die dienstliche E-Mail-Kommunikation ist nur die Verwendung dienstlicher E-Mail-Konten zulässig.
  2. Eine automatisierte Weiterleitung dienstlicher E-Mails an externe Provider (Internetanbieter) ist unzulässig.
  3. Für die elektronische Weitergabe von schützenswerten Daten sind die vorhandenen technischen Lösungen zur sicheren und verschlüsselten Übertragung oder Bereitstellung* von Daten zu verwenden.
  4. Wird auf dienstliche E-Mails von außerhalb der Stiftungsuniversität Göttingen zugegriffen, so sind zwingend verschlüsselte Übertragungsprotokolle zu verwenden. Es sind die Regelungen von Maßnahme A.8 zu beachten.
  5. Wird auf dienstliche E-Mails von nicht universitätseigenen IT-Systemen zugegriffen, so ist sicherzustellen, dass auf den fremden Systemen keine Inhalte nach der Nutzung verbleiben.
  6. Es ist grundsätzlich untersagt, sich über in E-Mails hinterlegte Internetlinks anzumelden. Davon ausgenommen sind E-Mails, die zur Identitätsbestätigung bei Anmeldungen an Diensten durch eigene Handlungen ausgelöst wurden.
  7. Es ist ausdrücklich untersagt, in E-Mails enthaltenen Aufforderungen zur Preisgabe von Zugangsdaten zu folgen.
  8. Per E-Mail erhaltene Anhänge und Internetlinks sind nur dann zu öffnen, wenn ihre Ungefährlichkeit, z.B. durch Herkunft und Kontext, anzunehmen ist.

Kommentare und Anmerkungen
*Zum Zeitpunkt der Erstellung der Richtlinie z.B. Cryptshare in der UMG.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal

  1. Dienstliche Daten sind grundsätzlich innerhalb der IT-Systeme der Stiftungsuniversität Göttingen (einschließlich der von der GWDG für die Stiftungsuniversität betriebenen IT-Systeme) zu speichern.
  2. Dabei sind die Möglichkeiten der Speicherung auf zentralen Servern zu nutzen.
  3. Das Speichern schützenswerter Daten auf der Festplatte des Arbeitsplatzrechners oder anderer lokaler Speichermedien ist nur zulässig, wenn das spezifische Informationssicherheitskonzept für den jeweiligen Datenbestand dies zulässt und die darin festgelegten Sicherheitsmaßnahmen getroffen wurden.
  4. Die Speicherung (und Verarbeitung) dienstlicher Daten außerhalb der IT-Systeme der Stiftungsuniversität Göttingen (z.B. auf Cloud-Diensten oder privaten Geräten) ist nur zulässig, wenn dies dienstlich erforderlich ist und das spezifische Informationssicherheitskonzept für den jeweiligen Datenbestand diese Speicherung zulässt. Bei einer externen Speicherung ist eine dem Schutzbedarf angemessene Sicherung der Daten gegen Verlust der Daten, der Vertraulichkeit und der Integrität der Daten zu gewährleisten. Möglichkeiten zur Rückholung der Daten vom und deren Löschung auf dem externen Speicher müssen sichergestellt sein.
  5. Die Speicherung schutzwürdiger Daten außerhalb der IT-Systeme der Stiftungsuniversität Göttingen ist nur in den Staaten des europäischen Wirtschaftsraums und sicheren Drittstaaten entsprechend dem Datenschutzrecht zulässig.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Anwender

  1. Die Nutzung externer Kommunikationsdienste (z.B. Skype, Teamviewer) ermöglicht Zugriffe aus dem Internet auf IT-Systeme der Stiftungsuniversität Göttingen.
  2. Die Nutzung solcher Dienste ist nur zulässig, wenn die spezifischen Informationssicherheitskonzepte für die auf den genutzten Rechner verarbeiteten Daten und die genutzten Teilbereiche der Infrastruktur den Einsatz erlauben.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: ISK
Verantwortlich für Umsetzung: IT-Anwender

  1. Die Benutzung von privater Hard- und Software ist in Verbindung mit der IT-Infrastruktur der Stiftungsuniversität Göttingen nur erlaubt, wenn die spezifischen Informationssicherheitskonzepte für den jeweiligen Teilbereich der Infrastruktur dies erlauben.
  2. Ausdrücklich erlaubt ist der Einsatz von privaten Geräten in speziell vorgesehenen Bereichen und dafür vorgesehen Anschlüssen in Bibliotheken, an Anschlüssen für Dozenten in Hörsälen und Seminarräumen, in Studierendenarbeitsbereichen und allgemein in den Funknetzen eduroam und GuestOnCampus der Stiftungsuniversität Göttingen.
  3. Die Zulassung von privaten Geräten in anderen Teilen der Infrastruktur der Stiftungsuniversität Göttingen setzt zwingend voraus, dass dort angeschlossene Endgeräte den Anforderungen der Maßnahmenkataloge zum IT-Grundschutz der Stiftungsuniversität genügen.
  4. Für die Speicherung und Verarbeitung dienstlicher Daten auf privater Hardware ist A.16 zu beachten.
  5. Beim Verlust privater Hardware, auf der dienstliche Daten gespeichert wurden, ist die oder der ISK zu informieren.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, Fachverantwortliche

  1. Daten müssen vor Verlust durch Fehlbedienung, technische Störungen o. ä. geschützt werden. Dazu müssen regelmäßig Datensicherungen (Anlegen von Kopien der Daten auf getrennten Speichersystemen) durchgeführt werden.
  2. Ist die Speicherung auf zentralen Servern mit geregelter Datensicherung nicht möglich, sind die jeweiligen Fachverantwortlichen für die Sicherung der Daten selbst verantwortlich.
  3. Bei zentraler Datensicherung haben sich die Fachverantwortlichen über die jeweils geltenden Bestimmungen zu Rhythmus und Verfahrensweise für die Datensicherung zu informieren.
  4. Von der Datensicherung zum Schutz vor Verlust ist die zur Umsetzung der „Ordnung der Georg-August-Universität Göttingen zur Sicherung guter wissenschaftlicher Praxis“ nötige Langzeitarchivierung wissenschaftlicher Daten zu unterscheiden. Diese ist von den Fachverantwortlichen sicherzustellen.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: Fachverantwortliche

  1. Datenträger sind an gesicherten Orten aufzubewahren. Erforderlichenfalls sind Datenträgertresore zu beschaffen.
  2. Weiterhin sind Datenträger zu kennzeichnen, sofern die Identifikation des Datenträgers nicht durch ein anderes technisches Verfahren erfolgt.
  3. Datenträger müssen beim Transport vor Beschädigungen geschützt sein. Bei schützenswerten Daten ist eine Verschlüsselung erforderlich.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Datenträger mit schützenswerten Daten müssen vor einer Weitergabe an nicht autorisierte Personen sicher gelöscht werden. Das kann mit geeigneten Programmen oder mit einem Gerät zum magnetischen Durchflutungslöschen erfolgen.
  2. Auszusondernde oder defekte Datenträger müssen, sofern sie schützenswerte Daten enthalten oder enthalten haben, vollständig unlesbar gemacht werden.
  3. Weitere Informationen können bei folgenden Stellen erfragt werden: GWDG, Geschäftsbereich Informationstechnologie für die Universitätsmedizin, Abteilung IT für die Universitätsverwaltung, Datenschutzbeauftragte der Universität und der Universitätsmedizin.

Kommentare und Anmerkungen
Bisher keine
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender

  1. Papiere mit vertraulichem Inhalt sind mit Hilfe eines Aktenvernichters zu vernichten. Alternativ kann die Entsorgung auch zentral über einen Dienstleister erfolgen.
  2. Bei der Entsorgung über einen Dienstleister sind die universitären Regelungen zu beachten.

Kommentare und Anmerkungen
Bisher keine