Kommentar zur Richtlinie für den dienstlichen Einsatz dienstlicher und privater elektronischer Endgeräte an der Leibniz Universität Hannover (LUH)
Der Informationssicherheitsstab der LUH
§1 Präambel
Der Einsatz elektronischer Endgeräte (im Folgenden: Endgeräte) wie z.B. PCs, Laptops, Tablets und Smartphones im dienstlichen Umfeld erfordert geeignete Maßnahmen zur Sicherstellung von Informationssicherheit und Datenschutz.
In dieser Richtlinie werden grundlegende Regeln für die dienstliche Nutzung dienstlicher und privater Endgeräte erlassen.
§2 Verantwortlichkeiten für die Umsetzung dieser Richtlinie
1. Für dienstliche Endgeräte werden die aufgeführten technischen Regeln von der jeweilig zuständigen Administration umgesetzt.
Nicht alle technischen Maßnahmen können in unserer dezentral organisierten LUH zentral umgesetzt werden. Statt dessen müssen die administrativen Einheiten in den Einrichtungen der LUH die Regelungen für den jeweiligen Kontext realisieren.
2. Für Endgeräte, welche von Beschäftigten eigenverantwortlich administriert werden – dies schließt auch private Endgeräte zur dienstlichen Nutzung (u.a. „Bring Your Own Device“) ein – sind die Beschäftigten für die technische Umsetzung dieser Richtlinie verantwortlich.
Insbesondere private Geräte werden in der Regel nicht über zentrale Systeme (bsp. OPSI oder WSUS-Server des LUIS) oder von administrativen Beschäftigten der LUH verwaltet und gewartet, sondern individuell von Beschäftigten selbst. Daher können solche Beschäftigte, die freiwillig ein privates Gerät im dienstlichen Kontext einsetzen, auch nur persönlich für die Umsetzung dieser Richtlinie verantwortlich sein.
Für Beschäftigte, welche auf dienstlichen Geräten über administrative Rechte verfügen (Stichwort: “root”-Account, “Administrator”-Konto), gilt dies analog.
§3 Geltungsbereich
Diese Richtlinie gilt für alle Angehörigen und Mitglieder der LUH, die mittels eines dienstlichen oder privaten Endgerätes die IT-Infrastruktur oder IT-Services der LUH dienstlich nutzen. Ausgenommen ist die ausschließliche Nutzung von WLAN über eduroam, z.B. für Tagungen oder Events in den Räumen der LUH.
§4 Grundsätzliches
1. Eine Anordnung zur dienstlichen Nutzung privater Endgeräte durch die Dienststelle ist nicht zulässig.
Zur Bearbeitung dienstlicher Aufgaben ist die LUH verpflichtet, entsprechendes Werkzeug bzw. Material zur Verfügung zu stellen. Die Nutzung privater Enderäte verlagert zudem notwendigerweise einen Teil der Verantwortung auf Beschäftigte. Die Nutzung privater Endgeräte für dienstliche Zwecke darf daher nicht angeordnet werden.
2. Der dienstliche Einsatz privater Endgeräte muss von der Einrichtungsleitung genehmigt werden. Die Verantwortung für die Umsetzung dieser Richtlinie liegt gemäß der Ordnung zur Informationssicherheit der LUH bei der jeweiligen Einrichtungsleitung.
Die Dienstgeschäfte werden auch aus dem Homeoffice und bei mobiler Arbeit mit dienstlichen Endgeräten durchgeführt. Dennoch kann es vereinzelt Gründe geben, private Geräte für dienstliche Zwecke einzusetzen, z.B. um kurz private Termine mit dem dienstlichen Kalender abzustimmen.
Während die Verantwortung zur Umsetzung dieser Richtlinie bei der Nutzung privater Geräte bei den Beschäftigten liegt, liegt die generelle Verantwortung für die Informationssicherheit einer Einrichtung gemäß “Ordnung zur Informationssicherheit" (Verkündungsblatt 7/2019, S. 18) immer bei der Einrichtungsleitung. Daher kann auch nur diese in Abwägung der Risiken die Entscheidung treffen, einer oder einem Beschäftigten die Nutzung privater Geräte zu gestatten. Es empfiehlt sich für beide Seiten, diese Genehmigung zu verschriftlichen.
3. Durch die Einrichtungsleitung wird festgelegt, welche dienstlichen Daten auf dienstlich genutzten privaten Endgeräten verarbeitet und gespeichert werden dürfen. Die Festlegung soll anhand einer Risikobewertung und der damit verbundenen Klassifizierung der Daten erfolgen.
Je nach Tätigkeit werden unterschiedlich sensible Daten bearbeitet. Es ist daher wichtig, mit privaten Endgeräten nur zu arbeiten, wenn ausschließlich unkritische Daten genutzt werden. So ist z. B. die Einsicht in dienstliche Termine mit weniger Gefahren verbunden, als die Bearbeitung von Daten mit entsprechenden Geheimhaltungsvereinbarungen.
Die Einrichtungsleitung ist verantwortlich für die Informationssicherheit in ihrem Bereich und kann festlegen, welches Risiko für den Verlust oder Verletzungen der Vertraulichkeit sie für welche Daten tragen kann. Neben datenschutzrechtlichen Erwägungen sind hierbei z.B. auch Vertraulichkeitsvereinbarungen und die Möglichkeit von Wissenschaftsspionage zu beachten. Auch hier ist es ratsam, die Entscheidungen und Begründungen zu verschriftlichen.
4. Bei Verdacht auf kompromittierte dienstlich genutzte Endgeräte, Zugangsdaten und Berechtigungsnachweise ist dieser durch die Nutzenden unverzüglich der oder dem zuständigen IT- Beauftragten und der oder dem zuständigen dezentralen Informationssicherheitsbeauftragten zu melden, um eine unverzügliche Sperrung der Zugänge zu veranlassen. Die Meldung soll immer auch an security@luis.uni-hannover.de erfolgen.
siehe 5.
5. Der Verlust eines Endgeräts oder Hardwaretokens (z.B. Chipkarten für SAP) ist durch die Nutzenden der oder dem zuständigen IT-Beauftragten und der oder dem zuständigen dezentralen Informationssicherheitsbeauftragten unverzüglich anzuzeigen. Die Meldung soll immer auch an security@luis.uni-hannover.de erfolgen. Personalisierte Nutzungszugänge oder Freigaben vom verlorenen Endgerät zu IT-Services der LUH sind unverzüglich zu sperren. Das Endgerät ist – soweit möglich – durch Fernzugang („remote“) zurückzusetzen. Dies gilt ebenso, wenn Manipulationen am Endgerät nicht ausgeschlossen werden können.
Auch bei größtmöglicher Sorgfalt ist es niemals auszuschließen, dass mobile Geräte gestohlen werden, eine Schadsoftware installiert wird oder Zugangsdaten bzw. Chipkarten verloren gehen. Es sind Fälle bekannt, in welchen Geräte von ausländischen Staatsorganen, z.B. bei der Einreise ohne Anwesenheit des Eigentümers näher untersucht und manipuliert wurden. Auch, wenn ein Gerät z.B. auf Tagungen oder im Hotel zwischendurch nicht auffindbar war, ist Vorsicht geboten.
Um einen größeren Schaden für die LUH zu vermeiden, müssen Vorfälle dieser Art so schnell wie möglich an die IT-Beauftragten der eigenen Einrichtung, dem zuständigen Informationssicherheitsbeauftragten oder dem LUIS-Informationssicherheitsteam gemeldet werden. Diese werden einzelfallbezogen und ggf. in Abstimmung mit dem Informationssicherheitsteam und der Stabsstelle Datenschutz weitere Schritte zur Gefahrenabwehr einleiten.
Nach Möglichkeit sollte das mobile Gerät bis zur endgültigen Klärung nicht mehr, bzw. nur noch in Notsituationen (z.B. Rückflugticket auf dem Geräte gespeichert, einzige Kontaktmöglichkeit, etc.) verwendet und Verbindungen zum LUH-Netz (VPN, Zugriff auf LUH-Dienste, etc.) vermieden werden.
6. Bei Dienstreisen außerhalb von EU oder EWR sind ergänzend weitere Maßnahmen zu beachten. Insbesondere soll hierbei auf die Speicherung dienstlicher Daten auf mitgeführten Mobilgeräten verzichtet werden, um einen Zugriff auf dienstliche Daten durch ausländische Geheim- bzw. Nachrichtendienste oder anderen Stellen zu erschweren. Entgegen der an der LUH verbindlichen Vorgabe muss je nach individueller Einreisebestimmung des Reiseziels ggf. auf eine Verschlüsselung verzichtet werden. Personenbezogene oder sensible, dienstliche Daten dürfen auf diesen Geräten nicht mitgeführt oder lokal verarbeitet werden.
In einigen Ländern sind Verschlüsselungen verboten und können zu rechtlichen Problemen führen. Es sind Fälle bekannt geworden, in welchen im Rahmen von z.B. Grenzkontrollen Spionagesoftware auf mobilen Geräten installiert wurde (vgl. 5).
Bei Auslandsreisen ist es daher wichtig, sich im Vorfeld über die jeweiligen Bestimmungen und Gefahren zu informieren und ggf. ein spezielles Gerät nur für diesen Zweck zu nutzen, auf welchem nur die wirklich notwendigen und nicht schutzwürdigen Daten vorhanden sind. Es kann vorab geklärt werden, ob Daten nach der Einreise über z.B. Seafile “nachgeholt” werden können.
§5 Allgemeine Verhaltensweisen
1. Mobile Endgeräte sind stets an der Person oder an einem sicheren Ort zu verwahren, um Diebstahl oder Verlust vorzubeugen.
Diebe nutzen jede Gelegenheit und auch vermeintlich alte, wenig attraktive Geräte werden noch gestohlen, wenn die Gelegenheit günstig ist. Insbesondere im Rahmen der Beschaffungskriminalität sind die Täter nicht auf hohe Werte aus, sondern auf Geräte, welche sich einfach entwenden und schnell weiterverkaufen lassen.
Ein Auto ist z.B. kein sicherer Ort, insbesondere, wenn ein Gerät von außen sichtbar ist. Das verschlossene Büro kann hingegen als sicherer Ort gemäß dieser Richtlinie angesehen werden. Da es in der Vergangenheit bereits mehrfach zu Einbrüchen in Diensträume der LUH gekommen ist, empfiehlt es sich dennoch, auch hier zusätzliche Sicherungsmaßnahmen zu ergreifen, um Diebstähle zu erschweren und z. B. das Gerät nach Feierabend in einem abschließbaren Schrank aufzubewahren.
Auch wenn viele Geräte nach einem Diebstahl direkt verkauft und neu installiert werden, kann ein Datenverlust oder ein gezielter Raub zur Vorbereitung weitere Angriffe oder im Rahmen von Wissenschaftsspionage nie ausgeschlossen werden.
2. Mobile Endgeräte dürfen im öffentlichen Raum nie unbeaufsichtigt bleiben, um Manipulationen und Diebstahl vorzubeugen.
Der öffentliche Raum ist kein sicherer Ort nach §5(1). Die Einsichtnahme in vertrauliche Daten oder die Installation von Spionagesoftware kann ebenfalls sehr schnell erfolgen, selbst wenn das Gerät nur kurz aus den Augen gelassen wurde.
So sollten mobile Geräte z. B. auch auf Konferenzen und Tagungen während der Pausen immer mitgenommen werden. Auch an Arbeitsplätzen der LUH mit Publikumsverkehr ist erhöhte Wachsamkeit geboten.
3. Die Überlassung dienstlicher Endgeräte an Dritte ist untersagt. Die Überlassung dienstlich genutzter privater Endgeräte an Dritte ist nur unter Kontrolle der bzw. des Beschäftigten gestattet, wenn sichergestellt ist, dass kein Zugriff auf bzw. keine Einsicht in dienstliche Daten erfolgt.
Das dienstlich genutzte Gerät sollte nie aus der Hand gegeben werden. Das private Gerät darf auch einem Familienmitglied nur gegeben werden, wenn die dienstlichen Daten, Zugangsdaten und Passworte vor Zugriff und Einsichtnahme geschützt sind. Auch vor dem eigenen Ehepartner oder Kindern dürfen Dienstgeheimnisse nicht offenbart werden!
4. Der Zugriff auf dienstliche Daten darf ausschließlich über vertrauenswürdige und verschlüsselte WLAN-Verbindungen erfolgen. Sollte dies nicht sichergestellt werden können, so ist das VPN der LUH zu verwenden. Bluetooth-Verbindungen sind nur mit vertrauenswürdigen Geräten gestattet.
Über offene WLANs ohne zumindest WPA2/WPA3-Verschlüsselung können Daten abgehört werden. Aber auch verschlüsselte Verbindungen sind zunächst nur bis zum WLAN-Access-Point verschlüsselt und könnten auf diesem oder dem Weg von diesem zum Internet ebenso abgehört werden.
Innerhalb der LUH kann von einer “sicheren” Verbindung zu den Diensten der LUH und dem Internet ausgegangen werden. Die eigenen, heimischen Access-Points stehen wie die privaten Geräte unter der eigenen persönlichen Verantwortung. In z.B. Cafés und Bars sollte dem WLAN grundsätzlich nicht vertraut werden. Bei Nutzung des VPN-Endpunktes der LUH werden alle Verbindungen vom eigenen Gerät bis zur LUH verschlüsselt. Unsichere Strecken zwischen dem eigenen Gerät und dem Internet können auf diese Weise überbrückt werden.
5. Die Nutzung und der Anschluss von Datenträgern und (USB-)Geräten aus unbekannter oder zweifelhafter Herkunft ist untersagt.
Über manipulierte USB-Geräte oder Schadsoftware auf USB-Sticks oder -Festplatten können mobile Geräte mit Schadsoftware infiziert werden. Dies betrifft nicht nur auf der Straße gefundene USB-Sticks, sondern auch übliche “Austausch-Sticks” im Freundeskreis, oder gezielte manipulierte Geräte insbesondere im außereuropäischen Ausland.
6. Smartphones, Tablets und ähnliche Geräte dürfen grundsätzlich nicht direkt über USB an fremde mobile Geräte oder Ladeterminals angeschlossen werden. In diesen Fällen soll ein USB Data Blocker verwendet werden.
Über Smartphones, Tablets, MP3-Player, Spielekonsolen und ähnlche Geräte, welche über den USB-Port am dienstlich genutzte Gerät geladen werden, kann unbemerkt Schadsoftware installiert werden. Auch kabelgebundene Ladeterminals („USB-Steckdosen“) im öffentlichen Raum, etwa Cafes und Flughäfen manipuliert sein, um gezielt Schadsoftware auf zum Laden angeschlossene Geräte zu installieren. Es gilt daher dasselbe wie für §5(5). Um dies zu vermeiden, gibt es sog. USB-Datablocker, welche nur eine Stromversorgung ermöglichen, jedoch keine Datenübertragung. Das Laden über fremde Steckdosen mit einem mitgebrachten Netzteil oder drahtloses Laden sind dagegen unkritisch.
7. Vor Außerbetriebnahme oder einer Reparatur durch Dritte – insbesondere auch bei dienstlich genutzten privaten Endgeräten – sind die auf dem Endgerät gespeicherten dienstlichen Daten unwiederbringlich und vollständig zu löschen oder der Zugriff auf die Daten zu verhindern. Z. B. kann die Konfiguration des Gerätes zurückgesetzt werden oder
Datenträger können physisch zerstört oder entnommen werden, so dass von dem Gerät nicht mehr auf die IT-Infrastruktur und IT- Services der LUH – etwa E-Mail-Zugänge, Dateiablagen oder VPN-Zugänge – zugegriffen werden kann.
Bei einer Außerbetriebnahme oder Reparatur durch Dritte ist das Gerät analog zu §5(2) unbeaufsichtigt. Es gelten daher dieselben Ausführungen. Einige Hersteller verlangen ein Einsenden von Notebooks mit Festplatte, hier kann es zur Diskussionsvermeidung sinnvoll sein, temporär eine andere Festplatte einzubauen. Bei Geräten wie Smartphones ist dies leider in der Regel nicht möglich.
Für die Reparatur nicht mehr startbarer Smartphones mit dienstlichen Daten müssen Geheimhaltungsvereinbarungen mit der ausführenden Firma getroffen und genutzte Zugangsdaten zu Systemen der LUH sicherheitshalber geändert werden.
§6 Datenhaltung
1. Auf Endgeräten sollen so wenig dienstliche Daten wie möglich lokal gespeichert werden. Zur Datenhaltung ist eine Einbindung von Netzlaufwerken der LUH oder die Nutzung der IT-Services in der LUH-Cloud (z.B. Seafile) angeraten, auch um einem Datenverlust vorzubeugen. Die Nutzung von außerhalb der LUH angebotenen Cloud-Services soll für dienstliche Daten vermieden werden.
Durch die Nutzung von Netzlaufwerken der LUH gehen Daten bei Verlust des mobilen Geräts nicht verloren und können nicht in die Hände Dritter gelangen. Sie liegen außerdem nicht direkt auf dem Gerät vor und können schwieriger manipuliert oder von Fremdanwendungen (unberechtigt) genutzt werden. Die Verbindung zu den Netzlaufwerken ist über das LUH-VPN sicher möglich.
Frei verfügbare und vermeintliche kostenlose Cloudspeicher räumen sich hingegen über die AGB bisweilen Nutzungsrechte an den gespeicherten Daten ein oder lehnen jegliche Verantwortung für einen Datenverlust ab. Dies kann Geheimhaltungsvereinbarungen oder Dienstgeheimnisse verletzen und es bedarf zumindest einer zusätzlichen Verschlüsselung vor Übertragung der Daten und einer Sicherung der Daten, z.B. auf einem Netzlaufwerk der LUH. Hierdurch ist der Einsatz gegenüber der Nutzung von etwa dem Seafile der LUH nicht sinnvoll.
Ausnahmen sind z.B. in Projekten mit externen Projektpartnern denkbar. Hier sollte genau abgewogen werden, welche Daten im Rahmen der Zusammenarbeit tatsächlich auf externe Cloud-Services gespeichert werden sollen und wie diese dort geschützt sind. Es kann Sinn ergeben, eine Risikoübernahme des Projektpartners für Verletzungen der Vertraulichkeit oder Datenverlust zu verschriftlichen. Eine zusätzliche Sicherung auf einem Laufwerk der LUH kann auch in diesen Fällen sinnvoll sein.
Auch ein Cloud-Backup von Smartphones oder die Nutzung von Datenhaltungen der Betriebssystemanbieter ist risikobehaftet, da eine Verschlüsselung nicht nachgeprüft werden und durch Fehler oder gesetzliche Anforderungen (Stichwort: “Cloud-Act”) im Zugriff Dritter bzw. außereuropäischer Regierungen liegen könnten.
2. Dienstliche Daten die lokal gespeichert werden, sollen regelmäßig auf Serversysteme der LUH gesichert werden.
Sofern dienstliche Daten dauerhaft lokal zur Bearbeitung auf einem Endgerät gespeichert sind, sollten sie trotzdem regelmäßig auf Speichersystemen der LUH gesichert werden. Dies beugt vollständigem Datenverlust im Falle eines Defekts oder des Abhandenkommens des Endgeräts vor. Serversysteme sind technisch in der Regel deutlich besser gegenüber Hardwareausfällen, fremden Zugriffen, Manipulation [und Verlust] geschützt.
3. Ein Zugriff der Dienststelle auf private, dienstlich genutzte Endgeräte findet nicht statt.
Die Dienststelle darf private Geräte nicht kontrollieren oder einsehen, dennoch ist jede bedienstete Person dafür verantwortlich, Risiken für die LUH durch ein Gerät zu vermeiden, insbesondere indem diese Richtlinie eingehalten wird.
Für Einrichtungsleitungen ergibt sich hieraus ggf. eine Herausforderung, wenn dienstliche Daten entgegen der Richtlinie ausschließlich auf dem privaten Gerät gespeichert waren und bei Ausscheiden der beschäftigten Person von der Einrichtung ggf. nicht mehr genutzt werden können.
§7 Sicherheitseinstellungen
1. Alle Endgeräte sind mit einer Zugriffssperre (sicherer Pin-Code, sicheres Kennwort, usw.) zu versehen, um eine unbefugte Nutzung zu verhindern.
Der Zugriff auf dienstliche genutzte Geräte kann nur verhindert werden, wenn das Gerät durchgehend beaufsichtigt und / oder der Zugriff anderweitig verhindert wird. Da eine durchgehende Beaufsichtigung nicht immer möglich ist, sind Zugangssperren unumgänglich.
2. Dienstlich genutzte Endgeräte müssen sich bei Inaktivität automatisch sperren. Grundsätzlich ist eine maximale Dauer von 10 Minuten vorzusehen, für Smartphones von 2 Minuten.
Die Zugriffssperre wird durch z.B. Ablenkung leicht vergessen und ein unberechtigter Zugriff dadurch ermöglicht. Das Gerät sollte daher bei Nichtnutzung möglichst schnell gesperrt werden. Gleichwohl darf die Sperre nicht behindern, in dem sie sich z.B. beim Lesen eines Textes oder einer Präsentation einschaltet. Die hier angegeben Werte sind ein guter Mittelweg und werden so auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.
3. Schnittstellen und Funktionen (z.B. Bluetooth, WLAN, Entwicklermodus) sollen nur aktiviert sein, während sie benötigt werden.
Jede Schnittstelle und jede Funktion können Schwachstellen aufweisen und stellen ein Risiko dar. Daher sollten alle Funktionen und Schnittstellen, welche nicht benötigt werden, deaktiviert werden. Diese Regelung ist mit Augenmaß anzuwenden. Bluetooth nach jeder kurzen Nutzung eines Geräts zu deaktivieren, ist sicherlich nicht notwendig. Wenn ein BT-Gerät aber nur einmal pro Woche genutzt wird, ist ein Abschalten sinnvoll (und schont den Akku).
§8 Geräteanforderungen
1. Datenträger in mobilen Endgeräten und dienstliche Daten auf privaten Endgeräten sind grundsätzlich zu verschlüsseln, um gespeicherte Daten bei Verlust des Endgerätes zu schützen.
Unverschlüsselte Datenträger können bei Verlust ausgelesen werden, auch wenn sie fest im Gerät verbaut sind. Solche Vorfälle bergen daher nicht nur unnötige Risiken, sondern sind auch grundsätzlich meldepflichtig bei dem nds. Landesbeauftragten für Datenschutz.
Aktuelle Smartphones sind in der Regel bereits verschlüsselt, bei Notebooks bzw. in stationären Betriebssystem ist eine Verschlüsselung zumindest häufig vorgesehen und kann mit wenig Aufwand aktiviert werden. (siehe auch www.luis.uni-hannover.de/de/services/it-sicherheit/praevention/datenverschluesselung/)
2. Betriebssysteme sind regelmäßig – idealerweise automatisiert – zu aktualisieren. Insbesondere sind sicherheitskritische Aktualisierungen unverzüglich zu installieren.
Kein Betriebssystem ist ohne Fehler. Einige Fehler führen nur zum Absturz; über andere, sicherheitskritische Fehler sind Angriffe gegen die LUH möglich. Solche Fehler werden häufig sehr schnell durch Updates der Betriebssystemhersteller behoben. Updates der Hersteller sind daher unverzüglich, bestenfalls sogar automatisiert einzuspielen.
3. Ein iOS Jailbreak, Android Rooting und vergleichbare Eingriffe in Betriebssysteme von Endgeräten mit dienstlicher Nutzung sind grundsätzlich nicht gestattet.
Durch Jailbreaks oder Rooting werden sowohl dem Benutzer wie auch den Apps Zugriffe mit erhöhten Systemrechten ermöglicht. Hierdurch können Schutzmechanismen des Betriebssystems und Sicherheitsmaßnahmen der Softwareportale der Hersteller umgangen werden. In Folge dessen steigt die Gefährdung dieser Geräte durch Schadsoftware und es entsteht ein erhöhtes Risiko für die gesamte IT-Infrastruktur der LUH.
4. Die Nutzung von Endgeräten mit den Nutzenden bekannten Sicherheitslücken ist grundsätzlich nicht zulässig.
Diese Richtlinie fordert regelmäßige Aktualisierungen von Betriebssystemen und Anwendungen, um die Gefahren der LUH durch sicherheitskritische Fehler zu senken. Es gibt jedoch Geräte ohne Herstellersupport, für welche selbst sicherheitskritische Fehler nicht mehr behoben werden. Wer bewusst Geräte mit bereits bekannten und kritischen Sicherheitslücken in der Infrastruktur der LUH betreibt, bzw. mit diesen dienstliche Daten nutzt, gefährdet die Systeme der LUH. Eine solche Nutzung muss daher grundsätzlich unterlassen werden oder zumindest mit flankierenden Sicherheitsmaßnahmen geplant werden (der alte „Mess-PC“).
5. Zum Schutz vor Schadprogrammen ist auf Endgeräten mindestens die vom Betriebssystem vorgesehene Malware-Protection-Software ("Virenscanner") zu aktivieren. Für diese ist eine automatisierte Aktualisierung zwingend erforderlich. Auf dienstlichen Endgeräten ist grundsätzlich die vom LUIS zentral bereitgestellte Lösung zu nutzen.
Geräte werden meist über E-Mail oder Webseiteninhalte mit Schadsoftware infiziert. Neue Schadsoftware wird zwar oft nicht sofort, aber spätestens nach einigen Stunden oder wenigen Tagen von aktualisierten Virenscannern erkannt. In einigen Fällen greifen auch schon früher die automatischen Erkennungen (Heuristiken) der Schutzprogramme. Als Minimal-Lösung sollten daher zumindest die vom Betriebssystemhersteller angebotenen Lösungen (z.B. Microsoft Defender, oder Google Play Protect) aktiviert sein und regelmäßig aktualisiert werden. Softwarelösungen von Drittanbietern können ebenfalls genutzt werden. Das LUIS bietet die Software Bitdefender für dienstliche Endgeräte an.
§9 Software und Anwendungen / Apps
1. Es ist nur Software aus vertrauenswürdigen Quellen zulässig (z.B. LUIS Softwareverteilung, Google Play Store, Apple App Store, Microsoft Store).
Software vom Betriebssystemhersteller oder aus Rahmenverträgen der LUH wurden auf Schadsoftware überprüft und können damit als relativ sicher angesehen werden. Vermeintlich günstige Angebote über Online-Auktionshäuser, Tauschbörsen oder Foren können Malware enthalten und werden zudem teilweise ohne korrekte Lizenzierung angeboten. Im Zweifelsfall sollte immer Rücksprache mit dem Lizenzmanagement des LUIS (go.lu-h.de/lizenzen) oder dem Informationssicherheitsteam des LUIS gehalten werden.
2. Bei der Installation von Apps aus den in Abs. 1 genannten Quellen sind alle Berechtigungen der zu installierenden App stets zu überprüfen. Apps, welche Rechte ohne erkennbaren Bezug zur Funktionalität erfordern, sind zu meiden. Das Geschäftsmodell vermeintlich kostenloser Apps ist stets zu hinterfragen, teils droht ein unberechtigter Datenzugriff oder das Einschleusen von Schadsoftware („Malware“).
Die Entwicklung von Apps ist zeitintensiv und kostet Geld. Insbesondere bei guten, günstigen Apps, sind daher die Geschäftsmodelle zu hinterfragen. Es gibt zwar Software, welche im Sinne des Opensource-Gedankens nur zum Selbstzweck ohne wirtschaftliche oder anderweitige Hintergedanken angeboten wird, häufig werden Apps aber auch durch Werbung oder den Verkauf von Daten der Nutzenden finanziert. Dies kann durchaus ein legitimes Geschäftsmodell sein, in einigen Fällen werden aber auch vertrauliche oder personenbezogene Daten genutzt, teilweise ohne entsprechende Aufklärung des Nutzenden.
Ein gutes, bekanntes Beispiel ist die Taschenlampen-App, die Zugriff auf Netzwerk und Adressbuch benötigt, den sie offensichtlich für die Funktion nicht benötigt. Besonders unseriöse Software, welche teilweise auch über die offiziellen Softwareportale der Gerätehersteller erhältlich ist, räumt sich Rechte ein, um Schadsoftware nachzuladen bzw. zu installieren, oder Daten aus anderen Apps auszulesen und als Basis für weiterführende Angriffe zu nutzen.
Es muss daher immer überprüft werden, welche Rechte eine App benötigt und ob diese Rechte sinnvoll erscheinen. Auch die Datenschutzerklärungen geben manchmal - aber nicht immer - Auskunft. Bei ersten Zweifeln sollte eine App nicht installiert werden. Dies trifft leider auch auf Aktualisierungen zu, da auch etablierte Apps bisweilen die Geschäftsmodelle ändern und mit einer Aktualisierung Funktionalitäten aufweisen, welche einer weiteren Nutzung entgegenstehen.
3. Es sollen nur notwendige Apps und Anwendungen installiert werden. Apps und Anwendungen, welche nicht mehr benötigt werden, sollen unverzüglich deinstalliert werden. Jede installierte Anwendung stellt einen möglichen Angriffspunkt dar, über welchen beispielsweise Daten abfließen können oder das Netzwerk der LUH kompromittiert werden kann.
Viele Apps und Anwendungen werden nur kurzfristig eingesetzt oder teilweise auch nur ausprobiert und bleiben danach auf dem Gerät installiert. Der Speicherplatz fällt bei aktuellen Geräten kaum noch ins Gewicht und das Sortieren und Löschen ungenutzter Software kostet Zeit. Jede Anwendung kann aber Sicherheitslücken enthalten oder durch Updates zum Risiko werden (vgl. §9(2)). Daher sollten nur Apps installiert bleiben, welche tatsächlich in absehbarer Zeit benötigt werden. Auch für die Übersicht auf dem eigenen Gerät kann dies zudem hilfreich sein und die Nutzbarkeit steigern.
4. Die korrekte Lizenzierung der eingesetzten Software ist zu beachten. Insbesondere ist zu prüfen, ob der Einsatz von Hochschullizenzen auf dienstlich genutzten, privaten Endgeräten durch die Lizenzbedingungen abgedeckt ist. Umgekehrt ist der dienstliche Einsatz von für die private Nutzung lizenzierter Software häufig ebenfalls nicht zulässig.
Die Nutzung privater Geräte zum dienstlichen Gebrauch ist lizenzrechtlich bisweilen genauso problematisch wie die Nutzung dienstlicher Geräte zum privaten Gebrauch.
Einige Angebote, z.B. von Corel wurden mit einer Homeuse-Lizenz beschafft und dürfen explizit privat und dienstlich genutzt werden. Bei anderen Produkten drohen aber hohe Forderungen der Hersteller, wenn z.B. nur educational-Lizenzen beschafft wurden, diese aber auf privaten Geräte - ggf. sogar ohne dienstlichen Bezug - genutzt werden.
Im Gegenzug gibt es einige beliebte Programme, die für private Zwecke kostenlos sind, aber für die dienstliche Nutzung lizenziert werden müssen. Im Zweifelsfall sollte daher immer beim Lizenzmanagement des LUIS nachgefragt werden.
5. Eingesetzte Software ist regelmäßig – idealerweise automatisiert – zu aktualisieren. Insbesondere sind sicherheitskritische Aktualisierungen unverzüglich zu installieren.
6. Die Nutzung von Software mit den Nutzenden bekannten Sicherheitslücken ist grundsätzlich nicht zulässig.
Apps und Anwendungen dürfen - genauso wie Betriebssysteme - nur verwendet werden, wenn sie über keine bekannten Sicherheitsprobleme verfügen. Eine App oder Anwendung, für welche es bekannte, nicht behebbare Lücken gibt, darf grundsätzlich nicht weiter eingesetzt werden, da dieses ansonsten die Informationssicherheit der LUH gefährdet.
§10 Rechteminimierung
1. Grundsätzlich sind nicht-privilegierte Zugangskonten zu verwenden (keine Administrationsrechte). Zugangskonten mit administrativen Privilegien dürfen nur temporär und ausschließlich zu administrativen Zwecken verwendet werden.
Angriffe mit Schadsoftware können während der normalen dienstlichen Tätigkeit erfolgen, z.B. durch vermeintlich unkritische E-Mail-Anhänge oder Downloads. Dies wird gefährlich, wenn sich die Schadsoftware mit ausreichenden Rechten tief und unbemerkt in das Betriebssystem verankern kann. Dieses Risiko kann durch eine strikte Rechtetrennung vermieden werden. Administrative Konten (”Administrator”, “root”) dürfen daher ausschließlich für administrative Zwecke verwendet werden, wenn die Rechte des normalen Nutzeraccounts nicht ausreichen. Bei Geräten ohne Rechtetrennung (die meisten Mobiltelefone) ist dieser Absatz gegenstandslos.
2. Auf Endgeräten mit mehreren, unabhängigen Zugangskonten ist sicherzustellen, dass alle Zugangskonten nur genau die Rechte erhalten, die sie benötigen. Zugangskonten, welche nicht mehr verwendet werden, sind unverzüglich zu entfernen.
Mehr Zugriffsrechte bedeuten mehr Möglichkeiten und damit einhergehend auch mehr Risiken. Es sollten daher nur notwendige Rechte vergeben werden. Hierbei ist auch auf temporäre Rechte zu achten, welche aus guten Gründen vergeben, aber nie wieder entzogen werden. Hierdurch entstehen z. T. auch verwaiste Konten mit vielen Rechten. Diese können Angreifern als Ausgangspunkt für unbemerkte Zugriffe auf die Systeme der LUH dienen.
§11 Schlussbestimmungen
Diese Richtlinie tritt mit Ihrer Veröffentlichung im Verkündungsblatt der LUH in Kraft.