Verantwortlich für Umsetzung: IT-Anwender, IT-Personal
IT-Probleme aller Art (Systemabstürze, fehlerhaftes Verhalten von bisher fehlerfrei
laufenden Anwendungen, Hardwareausfälle, Eindringen Unbefugter, Manipulationen, Virenbefall u.a.)
sind vom jeweiligen IT-Anwender dem zuständigen IT-Personal zwecks Klärung des Problems und ggf. Meldung eines Informationssicherheitsvorfalls an zuständige ISK oder die zuständige Leitung mitzuteilen.
Verhalten von Personen oder Schwachstellen in Prozessen oder IT-Systemen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Prozessen oder IT-Systemen gefährden können, sind dem zuständigen ISK oder der zuständigen Leitung zu melden.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: Zuständige Leitung
Verstöße können disziplinar- oder arbeitsrechtlich geahndet werden. Zudem können Verstöße gegen gesetzliche Bestimmungen (z. B. Datenschutzgesetze, ärztliche Schweigepflicht) als Straftat oder Ordnungswidrigkeit verfolgt werden.
Als Verstoß nach Satz 1 gilt insbesondere die schuldhafte Nichtbeachtung der Informationssicherheitsrichtlinie
insbesondere, wenn durch diese:
die Sicherheit der Mitglieder oder Angehörigen der Stiftungsuniversität Göttingen, Nutzer,
Vertragspartner, Berater in erheblichen Umfang beeinträchtigt wird,
die Sicherheit von Daten, Informationen, IT-Systemen oder der Netze gefährdet wird,
der Stiftungsuniversität Göttingen materielle oder immaterielle Schäden zufügt werden,
der unberechtigte Zugriff auf Systeme und Informationen und deren Preisgabe und/oder Änderung ermöglicht wird,
die Nutzung von Informationen der Stiftungsuniversität Göttingen für illegale Zwecke ermöglicht wird und
der unbefugte Zugriff auf personenbezogene Daten und vertrauliche Hochschuldaten ermöglicht wird.
Liegen zureichende tatsächliche Anhaltspunkte für einen Verstoß vor, können
durch das IT-Personal, auch ohne Kenntnis der oder des Betroffenen, Maßnahmen durchgeführt werden, die geeignet sind, den durch den Verstoß drohenden
Schaden zu verhindern, abzustellen oder zu belegen. Schon vor Maßnahmenbeginn sind die oder der zuständige Datenschutzbeauftragte und eine Vertretung
des jeweiligen Personalrats sowie eine Vertretung der Internen Revision (nachfolgend insgesamt: der zu beteiligenden Stellen) hinzuzuziehen; deren Einverständ-
nis mit den Maßnahmen ist erforderlich für ihre Durchführung. Das die Maßnahmen durchführende IT-Personal informiert über den Verlauf und das Ergebnis der
Maßnahmen:
die zu beteiligenden Stellen,
in jedem Fall die Betroffene oder den Betroffenen, gegebenenfalls die vorgesetzte Person und weitere Personen; in allen Fällen in Abstimmung mit
den zu beteiligenden Stellen.
Aus Anlass der Maßnahme gegebenenfalls zusätzlich erhobene oder über
Löschfristen hinaus aufbewahrte Daten sind unverzüglich nach Abschluss der
Maßnahme zu vernichten. Der Abschluss der Maßnahme ist von den zu beteiligenden Stellen festzustellen.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Auf IT-Systemen der Stiftungsuniversität Göttingen darf nur Software installiert werden, die zur Erfüllung der dienstlichen und auf das Studium bezogenen Aufgaben erforderlich ist.
Das eigenmächtige Installieren oder Ausführen von zusätzlicher Software ist IT-Anwendern nicht gestattet. Dies betrifft insbesondere auch das Herunterladen von Software aus dem Internet oder das Starten von per E-Mail erhaltener Software.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Auf allen Arbeitsplatzrechnern ist grundsätzlich ein aktueller Virenscanner einzurichten, der automatisch alle Dateien beim Zugriff überprüft. Damit soll bereits das Eindringen von schädlichen Programmen erkannt und verhindert werden.
Bei Verdacht auf Infektion mit Schadsoftware ist das zuständige IT-Personal zu informieren.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Räume, in denen Arbeitsplatzcomputer stehen, sind grundsätzlich außerhalb der üblichen Arbeitszeiten (insbesondere nachts und am Wochenende) und bei Abwesenheit zu verschließen. Hiervon darf nur abgewichen werden, soweit es die Arbeitsorganisation dringend erfordert und andere Sicherheitsmaßnahmen es ermöglichen.
Bei Räumen mit Publikumsverkehr oder beim mobilen Arbeiten sind Arbeitsplätze
durch ihre Aufstellung oder durch Blickschutzfolien so einzurichten, dass schüt-
zenswerte Daten nicht von Unbefugten eingesehen werden können
Beim Ausdruck schützenswerter Daten muss das Entnehmen der Ausdrucke durch Unbefugte verhindert werden (Sicherstellung der Vertraulichkeit).
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Beim Verlassen des Arbeitsplatzes ist der Arbeitsplatzrechner durch einen Kennwortschutz zu sperren.
Eine Sperrung muss zusätzlich automatisch zeitgesteuert bei Nicht-Nutzung des Rechners erfolgen.
Grundsätzlich sind die Systeme nach Dienstschluss auszuschalten.
Von den Regeln zum Sperren und Ausschalten darf nur abgewichen werden, soweit es die Arbeitsorganisation dringend erfordert (z.B. bei Mess- und Steuerrechnern) und geeignete Sicherheitsmaßnahmen es ermöglichen.
Grundsätzlich sind mobile Endgeräte und Speichermedien durch geeignete Sicherheitsmaßnahmen vor Diebstahl zu schützen.
Der unberechtigte Zugriff auf mobile Endgeräte und darauf gespeicherte Daten muss durch geeignete Zugriffsschutzmaßnahmen (z.B. Passwörter, PINs, biometrische Verfahren) verhindert werden.
Die Speicherung von schutzwürdigen Daten auf Notebooks, mobilen Speichermedien (z. B. Smartphones, USB-Sticks etc.) ist nur dann zulässig, wenn eine dienstliche Notwendigkeit besteht und die Daten entsprechend den jeweiligen aktuellen Sicherheitsanforderungen* verschlüsselt werden. Weiterhin ist sicherzustellen, dass der unbefugte Zugriff auf die Daten durch Unberechtigte ausgeschlossen ist.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Alle dienstlich genutzten IT-Systeme (einschließlich Smartphones) sind so einzurichten, dass nur berechtigte Personen die Möglichkeit haben, auf diese zuzugreifen. Infolgedessen ist zunächst eine Anmeldung mit einem geeigneten Authentisierungsverfahren (Passwort, Smartcard, biometrische Verfahren o.ä.) erforderlich.
Die Einrichtung von Nutzungskonten, die von mehreren Personen gemeinsam
genutzt werden sollen (gemeinsam genutzte Funktionskonten), ist nur zulässig,
wenn solche Konten zur Aufgabenerfüllung unverzichtbar sind.
Die Vergabe von Nutzerkonten für die Arbeit an IT-Systemen muss personenbezogen erfolgen. Die Arbeit unter dem Nutzerkonto einer anderen Person ist unzulässig.
Vertretungen sind nicht durch Weitergabe von Zugangsdaten personenbezogener Nutzerkonten, sondern durch geeignete Rechtevergaben zu organisieren.
Dem IT-Anwender ist untersagt, die für das Authentisierungsverfahren erforderlichen Zugangsdaten weiterzugeben.
Der Verzicht auf personenbezogene Nutzerkonten ist für IT-Systeme zulässig, bei denen bedingt durch die Arbeitsorganisation ein schneller Nutzerwechsel erforderich ist (z. B. Leitstellen in der UMG, Lesesaaltheken) oder die für allgemeine öffentliche Zugänge bestimmt sind (z.B. Kiosksysteme, Abfragestationen für Bibliothekskataloge).
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Jede Person ist für alle Handlungen verantwortlich, die unter Verwendung eines
ihr zugeordneten Nutzungskontos vorgenommen werden.
Die für Nutzung von IT-Systemen der Stiftungsuniversität Göttingen verwendeten Passwörter (nachfolgend dienstliche Passwörter) dürfen nicht mit Passwörtern identisch oder ähnlich sein, die zur Nutzung von anderen, nicht der Stiftungsuniversität Göttingen zugeordneten IT-Systemen verwendeten werden. Die Unterschiede zwischen den Passwörtern müssen signifikant sein, insbesondere dürfen
keine systematischen Zusammenhänge bestehen, über die aus einem Passwort
das andere erschlossen werden könnte.
Für den Umgang mit Passwörtern ist zu beachten:
Passwörter müssen geheim gehalten werden.
Passwörter für persönliche Nutzungskonten dürfen nicht an andere Personen weitergegeben werden.
Für Passwörter von Nutzungskonten, die von mehreren Personen gemein-sam genutzt werden sollen (gemeinsam genutzte Funktionskonten) gilt:
Das Passwort eines Funktionskontos darf nur an die an der Funktion beteiligten Personen weitergegeben werden.
Beim Ausscheiden einer Person, der das Passwort eines Funktionskontos bekannt ist, muss das Passwort des Funktionskontos geändert werden.
Die Eingabe eines Passwortes muss unbeobachtet stattfinden.
Zur Speicherung von Passwörtern in IT-Systemen gelten folgende Regeln:
Das Abspeichern von dienstlichen Passwörtern in Anwendungen insbesondere Browsern oder auf programmierbaren Funktionstasten ist grundsätzlich nicht zulässig.
Es gelten folgende Ausnahmen von Verbot der Speicherung von dienstlichen Passwörtern:
Die Abspeicherung eines dienstlichen Passworts in der Eduroam-Konfiguration ist auf Desktop- und Laptop-Systemen und auf Smartphones zugelassen.
Die Abspeicherung von dienstlichen Passwörtern für E-Mail-Zugriffe ist auf einem Smartphone zugelassen.
Die Abspeicherung von dienstlichen Passwörtern in einem Passwort-Manager mit sicherem Master-Passwort entsprechend der Regelung zur Passwortstärke von Absatz (7) ist zugelassen. Längere Passwörter als Master-Passwort werden empfohlen.
Zum Aufschreiben von Passwörtern auf Papier gelten folgende Regeln:
Passwörter auf Papier aufzuschreiben ist zu vermeiden.
Soweit ein Aufschreiben nicht vermeidbar ist, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren.
Die Hinterlegung eines Passworts in einem verschlossenen Umschlag in einem Tresor, der unter der Aufsicht der Einrichtung steht, für den der Inhaber des Accounts tätig ist, ist zulässig.
Regelungen zur Änderung von Passwörtern:
Ein Passwort ist zu ändern, wenn es unautorisierten Personen bekannt geworden ist.
Initial-Passwörter müssen umgehend vor Nutzung der Dienste geändert werden.
Alte Passwörter dürfen nicht wiederverwendet werden
Neue Passwörter und vorhergehend verwendeten Passwörtern müssen sich signifikant unterscheiden, insbesondere dürfen keine systematischen Zusammenhänge bestehen, über die aus dem vorhergehenden Passwort das neue erschlossen werden könnte.
Sofern nicht für bestimmte Passwörter explizit anderer Regeln erlassen wurden, gelten folgende Anforderungen an Passwörter:
Es sind keine gängigen oder leicht zu erratenden Buchstaben- und/oder Ziffernfolgen, wie z. B. Namen, Kfz-Kennzeichen, Geburtsdaten, einzelne Wörter in deutscher oder anderer Sprache oder nur geringfügig variierte Versionen solcher Zeichenfolgen zu verwenden.
Das Passwort muss mindestens 8 Stellen lang sein. Empfohlen werden mindestens 10 Stellen.
Jedes Passwort muss mindestens einen Groß- und einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthalten.
Alternativ kann von (c) abgewichen werden, wenn sichergestellt ist, dass ein gewähltes Passwort z.B. durch höhere Länge genauso sicher ist, wie ein nach (b) und (c) gewähltes.
Erhält ein Nutzer beim Anmelden mit seinem Passwort aus ungeklärten Gründen keinen Zugriff auf das System, besteht die Gefahr, dass sein Passwort durch Ausprobieren ermittelt werden sollte, um illegal Zugang zum System zu erhalten. Solche Vorfälle sind dem zuständigen Vorgesetzten und dem IT-Personal zu mel-den (Siehe A.2).
Vergisst ein Nutzer sein Passwort, hat er ohne wiederholtes Ausprobieren beim zuständigen IT-Personal oder soweit verfügbar über Self-Service-Funktionen das Zurücksetzen zu veranlassen. Diese Festlegung soll verhindern, dass der Vor-gang als Eindringversuch protokolliert und behandelt wird.
Der Nutzer darf nur mit den Zugriffsrechten ausgestattet werden, die für die Erledigung seiner Dienstaufgaben erforderlich sind. Insbesondere sind Arbeiten, für die nicht zwingend erhöhte Privilegien benötigt werden, nicht mit privilegierten Nutzungskonten („Administrator“, „root“ o.a.) vorzunehmen.
Privilegierte Nutzungskonten dürfen nur an IT-Personal vergeben werden bzw. Personen mit privilegierten Nutzungskonten sind als IT-Personal zu betrachten und haben die Maßnahmen für IT-Personal zu beachten und umzusetzen.
Über technische Maßnahmen hinaus sind auch organisatorische Regeln zu beachten (z.B. für Zugriff auf Patientendaten in der Universitätsmedizin).
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Der Anschluss von IT-Systemen an das Datennetz der Stiftungsuniversität Göttingen hat ausschließlich über die dafür vorgesehene Infrastruktur zu erfolgen. Die eigenmächtige, d.h. ohne vorherige Zustimmung des Netzbetreibers vorgenommene Einrichtung oder Benutzung von zusätzlichen Netzzugängen (Router, Switches, Modems, WLAN-Accesspoints o.ä.) ist unzulässig.
Die „Netzbetriebsordnung der Universitätsmedizin“ und die „Nutzungsordnung der GWDG“ sind bei der Umsetzung zu beachten.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Bei Telearbeit, mobilem Arbeiten und im Homeoffice verlassen Daten den räumlich eingegrenzten Bereich der Daten verarbeitenden Stelle.
Zur Einrichtung und zum Betrieb solcher Arbeitsplätze sind die bestehenden Dienstvereinbarungen sowie weitere Regelungen zum Datenschutz und zur Datensicherheit zu beachten.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Der Einsatz von verschlüsselten Kommunikationsdiensten ist soweit technisch möglich unverschlüsselten Diensten vorzuziehen.
Die Übertragung schützenswerter Daten muss verschlüsselt erfolgen oder durch andere geeignete Maßnahmen (z.B. isolierter eigener Netze) gesichert werden.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Für die dienstliche E-Mail-Kommunikation ist nur die Verwendung dienstlicher E-Mail-Konten zulässig.
Eine automatisierte Weiterleitung dienstlicher E-Mails an externe Provider (Inter-netanbieter) ist unzulässig.
Für die elektronische Weitergabe von schützenswerten Daten sind die vorhandenen technischen Lösungen zur sicheren und verschlüsselten Übertragung oder Bereitstellung2 von Daten zu verwenden.
Wird auf dienstliche E-Mails von außerhalb der Stiftungsuniversität Göttingen zugegriffen, so sind zwingend verschlüsselte Übertragungsprotokolle zu verwenden. Es sind die Regelungen von Maßnahme A.8 zu beachten.
Wird auf dienstliche E-Mails von nicht universitätseigenen IT-Systemen zugegriffen, so ist sicherzustellen, dass auf den fremden Systemen keine Inhalte nach der Nutzung verbleiben.
Es ist grundsätzlich untersagt, sich über in E-Mails hinterlegte Internetlinks anzumelden. Davon ausgenommen sind E-Mails, die zur Identitätsbestätigung bei Anmeldungen an Diensten durch eigene Handlungen ausgelöst wurden.
Es ist ausdrücklich untersagt, in E-Mails enthaltenen Aufforderungen zur Preisgabe von Zugangsdaten zu folgen.
Per E-Mail erhaltene Anhänge und Internetlinks sind nur dann zu öffnen, wenn ihre Ungefährlichkeit, z.B. durch Herkunft und Kontext, anzunehmen ist.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal
Dienstliche Daten sind grundsätzlich innerhalb der IT-Systeme der Stiftungsuniversität Göttingen (einschließlich der von der GWDG für die Stiftungsuniversität betriebenen IT-Systeme) zu speichern.
Dabei sind die Möglichkeiten der Speicherung auf zentralen Servern zu nutzen.
Das Speichern schützenswerter Daten auf der Festplatte des Arbeitsplatzrechners oder anderer lokaler Speichermedien ist nur zulässig, wenn das Betriebskonzept für den jeweiligen Datenbestand dies zulässt und die darin festgelegten Sicherheitsmaßnahmen getroffen wurden.
Die Speicherung (und Verarbeitung) dienstlicher Daten außerhalb der IT-Systeme der Stiftungsuniversität Göttingen (z.B. auf Cloud-Diensten oder privaten Geräten) ist nur zulässig, wenn dies dienstlich erforderlich ist und das Betriebskonzept für den jeweiligen Datenbestand diese Speicherung zulässt. Bei einer externen Speicherung ist eine dem Schutzbedarf angemessene Sicherung der Daten gegen Verlust der Daten, der Vertraulichkeit und der Integrität der Daten zu gewährleisten. Möglichkeiten zur Rückholung der Daten vom und deren Löschung auf dem externen Speicher müssen sichergestellt sein.
Die Speicherung schützenswerter Daten außerhalb der IT-Systeme der Stiftungsuniversität Göttingen ist nur in den Staaten des europäischen Wirtschaftsraums und sicheren Drittstaaten entsprechend dem Datenschutzrecht zulässig.
Die Synchronisation von E-Mails auf privaten Geräten und die damit verbundene Datenspeicherung wird erlaubt, solange nicht zu erwarten ist, dass E-Mails besonders schutzwürdige Inhalte im Sinne von Datenschutz- oder anderen Geheimhal-tungsanforderungen enthalten. Für E-Mail-Konten, bei denen aufgrund der Funktion der Kontoinhaber zu erwarten ist, dass E-Mails besonders schutzwürdige Inhalte im Sinne von Datenschutz- oder anderen Geheimhaltungsanforderungen enthalten, ist eine Synchronisation auf private Geräten nicht zulässig.
Die Nutzung externer Kommunikationsdienste (z.B. Skype, Teamviewer) ermöglicht Zugriffe aus dem Internet auf IT-Systeme der Stiftungsuniversität Göttingen.
Die Nutzung solcher Dienste ist nur zulässig, wenn die Betriebskonzepte für die auf den genutzten Rechner verarbeiteten Daten und die genutzten Teilbereiche der Infrastruktur den Einsatz erlauben.
Die Benutzung von privater Hard- und Software ist in Verbindung mit dienstlichen Daten oder der IT-Infrastruktur der Stiftungsuniversität Göttingen nur erlaubt, wenn die Betriebskonzepte für den jeweiligen Datenbestand und Teilbereich der Infrastruktur oder allgemeine Handlungsanweisungen oder Dienstvereinbarungen dies erlauben.
Ausdrücklich erlaubt ist der Einsatz von privaten Geräten in speziell vorgesehenen Bereichen und dafür vorgesehen Anschlüssen insbesondere in Bibliotheken, an Anschlüssen für Dozenten in Hörsälen und Seminarräumen, in Studierenden-arbeitsbereichen oder Gästenetzen und allgemein in den Funknetzen eduroam und GuestOnCampus der Stiftungsuniversität Göttingen.
Die Zulassung von privaten Geräten in anderen Teilen der Infrastruktur der Stiftungsuniversität Göttingen setzt zwingend voraus, dass dort angeschlossene Endgeräte den Anforderungen der Maßnahmenkataloge zum IT-Grundschutz der Stiftungsuniversität genügen.
Für die Speicherung und Verarbeitung dienstlicher Daten auf privater Hardware ist A.16 zu beachten.
Beim Verlust privater Hardware, auf der dienstliche Daten gespeichert wurden, ist die oder der ISK zu informieren. Sind personenbezogene Daten vom Verlust betroffen, ist der ISK darauf hinzuweisen, so dass dieser die oder den zuständigen Datenschutzbeauftragten informiert.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, Fachverantwortliche
Daten müssen vor Verlust durch Fehlbedienung, technische Störungen o. ä. geschützt werden. Dazu müssen regelmäßig Datensicherungen (Anlegen von Kopien der Daten auf getrennten Speichersystemen) durchgeführt werden.
Ist die Speicherung auf zentralen Servern mit geregelter Datensicherung nicht möglich, sind die jeweiligen Fachverantwortlichen für die Sicherung der Daten selbst verantwortlich.
Bei zentraler Datensicherung haben sich die Fachverantwortlichen über die jeweils geltenden Bestimmungen zu Rhythmus und Verfahrensweise für die Datensicherung zu informieren.
Von der Datensicherung zum Schutz vor Verlust ist die zur Umsetzung der „Ordnung der Georg-August-Universität Göttingen zur Sicherung guter wissenschaftlicher Praxis“ nötige Langzeitarchivierung wissenschaftlicher Daten zu unterscheiden. Diese ist von den Fachverantwortlichen sicherzustellen.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Datenträger mit schützenswerten Daten müssen vor einer Weitergabe an nicht autorisierte Personen sicher gelöscht werden. Das kann mit geeigneten Programmen oder mit einem Gerät zum magnetischen Durchflutungslöschen erfolgen.
Auszusondernde oder defekte Datenträger müssen, sofern sie schützenswerte Daten enthalten oder enthalten haben, vollständig unlesbar gemacht werden.
Papiere mit vertraulichem Inhalt sind mit Hilfe eines den Schutzanforderungen genügenden Aktenvernichters zu vernichten. Alternativ kann die Entsorgung auch zentral über einen Dienstleister erfolgen.
Bei der Entsorgung über einen Dienstleister sind die universitären Regelungen zu beachten.
Weitere Informationen können bei folgenden Stellen erfragt werden: GWDG, Geschäftsbereich Informationstechnologie für die Universitätsmedizin, Abteilung IT für die Universitätsverwaltung, Datenschutzbeauftragte der Universität und der Universitätsmedizin.
