Kommentar zur Richtlinie zur Nutzung von E-Mails an der Leibniz Universität Hannover
§ 1 Präambel
Diese Richtlinie regelt die Nutzung des durch die LUH zentral bereitgestellten E-Mail-Service (kurz E-Mail) für alle Mitglieder und Angehörigen der LUH. Die Regelungen gelten für dezentral bereitgestellte E-Mail-Services von Einrichtungen der LUH entsprechend.
§ 2 Allgemeines / Prinzipien
1. E-Mail ist das zentrale elektronische Medium für die interne und externe Kommunikation der LUH. Die Nutzung durch regelmäßigen Abruf einer dienstlichen oder studentischen E-Mailbox ist für Mitglieder der LUH verpflichtend. Informationen seitens der LUH können auch über E-Mail erfolgen.
-
Nur die Nutzung einer E-Mailbox der LUH garantiert die Zustellung wichtiger Informationen an Beschäftigte und Studierende. Die E-Mail-Infrastruktur wird vorwiegend im LUIS, aber auch in einzelnen Einrichtungen der LUH bereitgestellt und ist frei von Einflüssen Dritter.
2. Studierende erhalten automatisch eine LUH E-Mailbox (Domain: stud.uni-hannover.de).
-
Bisher mussten die Studierenden sich die E-Mailbox selbst über den IDM Account-Manager freischalten. Dieser Schritt entfällt in Zukunft zugunsten einer automatischen Einrichtung bei Immatrikulation. Das Format lautet “vorname.nachname@stud.uni-hannover.de”. Bei Namenskollisionen wird eine geeignete Maßnahme zur Unterscheidung getroffen.
Regelungen für den Übergang:
-
Für Studierende, die sich bisher keine E-Mailbox eingerichtet haben, wird eine solche automatisch erstellt und kann im IDM Account-Manager verwaltet werden. Eine Information über die Erstellung erhalten die betreffenden Personen an die im IDM angegebene Kontakt-E-Mailadresse.
-
Die automatische Erstellung wird ab dem 1. September 2021 beginnen. Bis dahin besteht weiterhin die Möglichkeit, eine studentische E-Mailbox über den IDM Account-Manager freizuschalten. Hier besteht noch eine Wahlmöglichkeit bei der E-Mailadresse.
-
Die studentische E-Mailadresse kann ohne großen Aufwand zusätzlich zur privaten E-Mailadresse im E-Mail-Client konfiguriert werden. Entsprechende Anleitungen werden vom LUIS zur Verfügung gestellt.
3. Die Nutzung einer privaten E-Mailbox / E-Mailadresse ist für dienstliche Zwecke unzulässig. Von Studierenden ist für die elektronische Kommunikation mit der LUH die LUH-E-Mailbox zu nutzen.
-
Im dienstlichen Kontext gefährdet die Verarbeitung dienstlicher E-Mails in privaten Mailboxen eindeutig die Vertraulichkeit des E-Mailinhaltes. Außerdem besteht die Gefahr, dass Dienstgeheimnisse über einen solchen Kanal abfließen.
-
Im studentischen Kontext erleichtert die Nutzung der LUH-E-Mailbox einerseits die grundsätzliche Feststellung der Zugehörigkeit durch Einrichtungen der LUH. Andererseits kann die Zustellung wichtiger Informationen nur in LUH-E-Mailboxen garantiert werden (siehe auch §3 Abs. 1 Weiterleitungen).
4. Nach der Löschung einer E-Mailbox werden die zugehörigen E-Mailadressen und -aliase für 5 Jahre gesperrt, bevor sie wieder vergeben werden können.
-
Zum Schutz der Vertraulichkeit der Kommunikation ausgeschiedener Beschäftigter und Studierender werden deren E-Mailadressen für einen bestimmten Zeitraum nicht neu vergeben. Damit wird Verwechslungen vorgebeugt.
§ 3 Nutzung
1. Unterscheidungslose, automatische Weiterleitungen an E-Mailboxen von Drittanbietern (GMail, gmx.de usw.) sind unzulässig.
-
Automatische Weiterleitungen sind solche, die nach der Einrichtung ohne weiteres, manuelles Zutun erfolgen. Manuell ausgelöste Weiterleitungen durch Funktionen wie einen „Weiterleiten an“-Button sind nicht Gegenstand dieser Regelung.
-
Unterscheidungslose Weiterleitungen leiten alle eingehenden Mails ohne weitere Kategorisierung oder Beurteilung von Merkmalen weiter.
-
Eine entsprechende Weiterleitung an externe Mail-Provider gefährdet eindeutig die Vertraulichkeit des Mailinhaltes. Zudem ist eine Weiterleitung von E-Mails an Dritte ohne Zustimmung des Absenders persönlichkeitsrechtlich bedenklich und kann gegen Verschwiegenheitspflichten verstoßen.
-
Aus betrieblicher Sicht ist die Weiterleitung technisch problematisch, da bestimmte (große) E-Mail-Provider zum Teil nur zeitlich kontingentiert E-Mails abnehmen. Das bedeutet für die LUH, dass nach einem Mailing an alle Studierenden für diese Provider die Kontingente schlagartig aufgebraucht sind und die aufgestauten E-Mails über einen längeren Zeitraum gestreckt eingeliefert werden müssen. Während dieser Zeit ist für die gesamte LUH der Verkehr mit diesen Providern eingeschränkt.
2. Abwesenheitsassistenten oder Autoresponder sind grundsätzlich so einzurichten, dass die automatische Antwortfunktion zeitlich begrenzt ist (z. B. für die Dauer eines Urlaubs). Zusätzlich ist das Antwortverhalten so einzustellen, dass jedem Absender höchstens eine automatische Antwort pro Tag zugestellt wird.
-
Autoresponder beantworten nach der Einrichtung eingehende E-Mails ohne manuelles Zutun mit einem vorgefertigten Text. An dieser Stelle macht sich das LUIS von außen beeinflussbar und könnte als Teil eines Überlastungsangriffs (“Denial of Service”) gegen Dritte missbraucht werden. Außerdem besteht die Gefahr, dass Versandkontingente bei bestimmten Mail-Providern von außen gesteuert aufgebraucht und so der ordnungsgemäße Betrieb des E-Mail-Service gestört wird.
-
Aus den genannten Gründen darf jedem einzelnen Absender pro Tag nur eine automatische Antwort zugestellt werden. Dies ist auch der voreingestellte Wert.
-
Die Abwesenheitsnachricht darf kein Dauerzustand sein.
3. Lesebestätigungen dürfen nicht automatisiert, sondern müssen manuell ausgelöst werden. Entsprechende automatische Funktionen sind im E-Mailprogramm zu deaktivieren.
-
Für Lesebestätigungen gelten die Kommentare zu Autorespondern entsprechend.
4. Skriptgesteuerte, automatisierte Zugriffe auf E-Mailboxen der LUH sind ohne Freigabe durch das LUIS unzulässig.
-
Um einer Störung des E-Mail-Service durch selbstprogrammierte Skripte und Automatismen vorzubeugen, dürfen nur vom LUIS bereitgestellte oder Standard-E-Mail-Programme verwendet werden.
-
Zugegebenermaßen besteht hier Deutungsspielraum. Im Sinne dieser Richtlinie sind E-Mail-Clients gemeint, die gewisse Mindestanforderungen an die Qualitätssicherung erfüllen. Dies sind z. B. die mitgelieferten Programme bei Linux-Distributionen, Apple und Microsoft aber auch kommerzielle Produkte. Hier ist zusätzlich §3 Abs. 5 zu beachten. Software, für die auf den Webseiten des LUIS eine Anleitung vorgehalten wird, ist in jedem Fall zulässig.
-
Ebenfalls zulässig sind die jeweiligen Webmail-Angebote des LUIS, wohingegen Webmail-Angebote Dritter stets ausgeschlossen sind.
5. Ein automatisierter Abruf von E-Mailboxinhalten der LUH durch E-Mailsysteme von Drittanbietern ist unzulässig (siehe auch §5 Sicherheit).
-
Häufig besteht der Wunsch, alle persönlichen E-Mail-Adressen über ein zentrales Portal zu verwalten. So bietet Google beispielsweise die Möglichkeit des Sammel-Abrufs von E-Mails aus externen E-Mailboxen. Hier gelten die Kommentare zu Weiterleitungen entsprechend. Außerdem gelten die Kommentare aus §5 Abs. 7, da die Zugangsdaten zur LUH-E-Mailbox bei einem Drittanbieter im Klartext hinterlegt werden müssten.
-
Grundsätzlich ausgeschlossen sind Webmail-Angebote Dritter und vermeintlich lokale E-Mail-Clients, bei denen die Verarbeitung und Speicherung der Zugangsdaten nicht auf dem Endgerät, sondern in der Cloud erfolgt. Dieser Umstand ist nicht immer sofort zu erkennen. Das LUIS stellt dazu weitere Informationen bereit.
6. Ein- und ausgehende E-Mails in bzw. von LUH E-Mailboxen von Beschäftigten gelten grundsätzlich als dienstlich. Bei Vorliegen dienstlicher Belange kann unter Beteiligung von Personalrat und der oder des Datenschutzbeauftragten Einsicht in die LUH E-Mailbox genommen werden.
-
Bisher war die private Nutzung der dienstlichen Mailbox ungeregelt und wurde faktisch geduldet. Aufgrund der telekommunikationsrechtlichen Vorgaben ist unter diesen Umständen eine behördlich oder betrieblich angeordnete Öffnung einer E-Mailbox problematisch. Hier wird nun festgestellt, dass alle E-Mails in einer dienstlichen E-Mailbox als dienstlich betrachtet werden. Der Prozess einer begründeten Einsichtnahme in eine dienstliche E-Mailbox zur Aufrechterhaltung des Betriebes des LUIS oder der LUH wird dadurch rechtssicher ausgestaltet.
§ 4 Form und Inhalt
1. E-Mail-Clients sollen so konfiguriert sein, dass bei empfangenen E-Mails externe Elemente erst nach Prüfung der Authentizität des Absenders nachgeladen werden (kein automatisches Nachladen).
-
Häufig werden E-Mails mit Bildern und HTML-Gestaltungselementen optisch aufgewertet. Teilweise sind diese Elemente nicht Bestandteil der E-Mail, sondern werden über HTTP beim Anzeigen der E-Mail aus dem Internet nachgeladen. Dadurch kann Schadsoftware auf das Endgerät gelangen. Außerdem kann ein Link zum Nachladen von Objekten so gestaltet werden, dass der Absender der E-Mail feststellen kann, ob und wann die E-Mail gelesen worden ist.
2. Anhänge mit aktiven Inhalten und ausführbaren Dateien (z. B. Microsoft Office-Dokumente mit Makros oder .exe-Dateien) dürfen nicht per E-Mail versendet werden und die Zustellung wird blockiert. Solche Dokumente sollen über die Cloud-Services des LUIS ausgetauscht werden.
-
Aktive Inhalte in E-Mails sind das wichtigste Einfallstor aktueller Malware-Kampagnen. Etliche Hochschulen und Einrichtungen sind dem bereits zum Opfer gefallen. Auch in der LUH gab es in der Vergangenheit Angriffsversuche nach diesem Muster.
-
Bei Office-Dokumenten mit eingebetteten Makros wird beispielsweise beim Öffnen der Datei ein Stück Software (in diesem Fall ein sog. VBA-Skript) ausgeführt, mit dem der Absender das Dokument präpariert hat. In vielen Fällen erfüllen Makros praktische Zwecke, wie z. B. die Vorbelegung von Formularen, automatischen Berechnungen usw. Im Falle der Malware-Kampagnen wird mittels des VBA-Skripts jedoch Schadsoftware aus dem Internet nachgeladen.
-
Da die Angreifer zwischenzeitlich dazu übergegangen sind, die Office-Dokumente in einer verschlüsselten ZIP-Datei zu versenden, um sie so einer Analyse durch Sicherheitssoftware zu entziehen, muss das LUIS aus Sicherheitsgründen auch verschlüsselte ZIP-Dateien abweisen.
-
Bei gemeinsam bearbeiteten Office-Dokumenten empfiehlt sich die Nutzung der Cloud-Services des LUIS.
3. Große Dateien sollen nicht als E-Mail-Anhang versendet werden. Stattdessen sollen große Dateien in den Cloud-Services oder dem Download-Service des LUIS hinterlegt und lediglich der Link versendet werden.
-
Der Versand großer Dateien belastet die Infrastrukturen aller E-Mailprovider und geht zu Lasten der E-Mail-Quota des Empfängers. Ab einer gewissen Größe werden E-Mails häufig gar nicht mehr angenommen. Zudem belasten solche E-Mails u. U. die gebuchten mobilen Datenvolumina der Empfänger oder behindern den mobilen Abruf durch lange Ladezeiten. Um “Netzwerkbandbreite” und Speicherplatz einzusparen, ist es daher sinnvoll, große Dateien nicht direkt an eine E-Mail anzuhängen. Besser geeignet sind dazu die Cloud-Services und der Service “Download-Ticket” des LUIS.
4. Die Beschäftigten wahren, soweit datenschutzrechtlich geboten, die Anonymität der Empfängerinnen und Empfänger einer E-Mail untereinander durch Gebrauch der „Bcc“-Funktion.
-
Bei der Angabe vieler Empfangsadressen in einer E-Mail im “An”- oder “Cc”-Feld werden diese allen Empfängerinnen und Empfängern angezeigt. Einige E-Mailprovider werten E-Mails mit einer langen Empfängerliste zudem als SPAM und markieren die E-Mail dementsprechend. Bei E-Mails, bei denen für die Empfänger nicht von Belang ist, wer diese E-Mail noch erhalten hat, empfiehlt es sich, das “Bcc”- oder “Blindkopie”-Feld zu verwenden. Die E-Mail lässt sich dann auf Empfangsseite auch häufig kompakter darstellen. Bei einer Vielzahl externer Empfängerinnen und Empfängern ist stets die “Bcc”-Funktion zu verwenden. Alternativ bietet das LUIS den Listserv-Dienst zur Verwaltung von E-Mail-Verteiler-Listen an.
§ 5 Sicherheit
-
Zum Umgang mit digitalen Zertifikaten ist zu beachten, dass über die Webmail-Angebote des LUIS E-Mails nicht signiert werden können. Außerdem können eingehende E-Mails nicht entschlüsselt werden. Hintergrund ist, dass für diese Vorgänge der persönliche, geheime Schlüssel auf dem Webmail-Server im LUIS vorgehalten werden müsste. Dies ist jedoch ausgeschlossen. Nutzerinnen und Nutzer dürfen den geheimen Schlüssel oder ein digitales Zertifikat, das den geheimen Schlüssel enthält, nicht auf Webmail-Angebote hochladen.
1. Zur Absicherung des E-Mail-Verkehrs verwendet die LUH die Public-Key-Infrastruktur (PKI) des DFN-Vereins auf Basis von persönlichen X.509-Zertifikaten mit fortgeschrittener digitaler Signatur. Diese müssen beim LUIS angefordert werden.
-
Die LUH nutzt die Mechanismen des Vereins Deutsches Forschungsnetz e.V. zur Ausstellung persönlicher, digitaler Zertifikate. Durch die Abläufe bei der Beantragung (persönliches Erscheinen im LUIS und Vorlage eines Ausweisdokuments) ist die Identität der Zertifikatsinhaberin sichergestellt. Eine Signatur mit einem solchen Zertifikat erfüllt somit die Voraussetzungen einer sog. fortgeschrittenen, digitalen Signatur gemäß EU-Verordnung 910/2014 (“Signaturverordnung”).
2. Dienstliche E-Mail-Kommunikation soll mit digitaler Signatur erfolgen.
-
Diese Regel ist für einen Übergangszeitraum als SOLL-Bestimmung formuliert. Gleichwohl ist die Verwendung einer digitalen Signatur im dienstlichen Kontext ausnahmslos zu empfehlen. Weitere Hinweise zum Umgang mit digitalen Zertifikaten stellt das LUIS bereit.
3. Dienstliche E-Mail-Kommunikation muss bei notwendigem Schutzbedarf Ende-zu-Ende verschlüsselt erfolgen. Personenbezogene Daten der Schutzstufen D und E gemäß Schutzstufenkonzept (https://lfd.niedersachsen.de/download/137188) der oder des Landesbeauftragten für den Datenschutz dürfen außerhalb des LUH-Netzes nur dann elektronisch versandt werden, wenn die Vertraulichkeit der Informationen durch eine dem jeweiligen Schutzbedarf angemessene Verschlüsselung sichergestellt ist.
-
Für den Zweck der Ende-zu-Ende-Verschlüsselung kann das o. g. Zertifikat verwendet werden. Im Gegensatz zur reinen Transportverschlüsselung werden so versendete E-Mails auch verschlüsselt auf dem E-Mail-Server abgelegt und sind auf den beteiligten E-Mailservern nicht einsehbar.
-
Zur Verschlüsselung von E-Mail-Inhalten wird der sog. öffentliche Schlüssel der Empfängerin oder des Empfängers benötigt. E-Mail-Clients merken sich den Schlüssel in der Regel, wenn zuvor von dieser oder diesem eine digital signierte E-Mail empfangen worden ist. Weitere Hinweise zum Umgang mit digitalen Zertifikaten stellt das LUIS bereit.
4. Die E-Mail-Kommunikation zwischen E-Mail-Clients und den E-Mail-Servern der LUH erfolgt transportverschlüsselt. Nicht entsprechend konfigurierte Clients sind von der E-Mail-Kommunikation ausgeschlossen.
-
Als Mindeststandard erfolgt die Verbindung zwischen Client und E-Mail-Server verschlüsselt (TLS). Dies ist im Sinne der Vertraulichkeit der Kommunikation auf Übertragungsstrecken in- und vor allem außerhalb der LUH unbedingt erforderlich.
5. Kennwörter werden initial beim Anlegen einer Mailbox gesetzt und sind beim ersten Zugriff zu ändern. Kennwörter und der Umgang mit diesen müssen den Kennwortempfehlungen des LUIS genügen.
-
Bei persönlichen Kennwörtern, die von der ausstellenden Stelle vorbelegt werden, empfiehlt es sich immer, diese Vorbelegung durch ein eigenes Kennwort zu ersetzen. Das LUIS empfiehlt die Nutzung eines lokalen Passwort-Managers, der auch zuverlässig zufällige Passwörter generieren kann. Sog. Wörterbuch-Passwörter, also natürlichsprachliche Wörter, die in einem Wörterbuch zu finden sind, sind als Passwort immer ungeeignet, da sie sich prinzipiell erraten lassen (s. auch §5 Abs. 7).
6. Persönliche Kennwörter dürfen nicht weitergegeben werden. Kennwörter von Funktionspostfächern dürfen nur berechtigten Personen zugänglich gemacht werden. Das Kennwort eines Funktionspostfachs muss beim Ausscheiden einer der berechtigten Personen geändert werden.
-
Zu Funktionspostfächern haben bestimmungsgemäß mehr Personen Zugriff, als auf eine persönliche E-Mailbox. Der Zugriff auf Funktionspostfächer muss aber immer auf den kleinstmöglichen Personenkreis beschränkt werden.
7. Kennwörter sind an einem sicheren Ort zu verwahren. Eine Hinterlegung in Online-Passwortmanagern Dritter oder Internet-Angeboten Dritter ist unzulässig.
-
Wer hinreichend komplexe Passwörter verwendet und jedes nur für einen Service verwendet, gerät zwangsläufig in die Lage, diese verwalten zu müssen. Von einer papierhaften, schriftlichen Ablage ist abzuraten. Stattdessen rät das LUIS zur Nutzung eines Passwort-Managers. Allerdings dürfen cloudbasierte Angebote externer Anbieter (z. B. LastPass oder die iCloud-Keychain) nicht verwendet werden, da auch hier eine Einsichtnahme Dritter nicht ausgeschlossen werden kann.
-
Das LUIS empfiehlt die Nutzung eines lokalen Passwort-Managers. Die Passwort-Datenbank kann bei dieser Lösung verschlüsselt in der LUH-Cloud abgelegt werden und auf diese Weise z. B. vom Laptop und vom Handy aus genutzt werden.
-
Die Überlassung von Zugangsdaten zu Informationssystemen des LUIS an Dritte verstößt gegen die geltende Nutzungsordnung des LUIS.
§ 6 Domains der LUH
1. Das LUIS kann die Standards und Verfahren der elektronischen Datenverarbeitung ausschließlich für selbst bewirtschaftete Domains sicherstellen. Eine Liste dieser Domains kann im Netz der LUH abgerufen werden.
-
Die Einrichtungen der LUH betreiben knapp 600 E-Mail-Domains. Bei Korrespondenz, die die LUH nicht verlassen soll, erlaubt die Liste der vertrauenswürdigen E-Mail-Domains eine Sichtprüfung, ob die Ziel-Domain im Bereich der LUH liegt. Domains, die auf "uni-hannover.de" enden sind grundsätzlich unter Kontrolle der LUH, der Vollständigkeit halber werden aber alle Domains aufgeführt. Die Liste enthält die folgenden Abschnitte:
-
luis_linux: Dies sind E-Mail-Domains, deren E-Mailboxen auf den Linux-Servern im LUIS liegen
-
luis_exchange: Dies sind E-Mail-Domains, deren E-Mailboxen auf den Exchange-Servern im LUIS liegen
-
external: Dies sind E-Mail-Domains, deren E-Mailboxen nicht im LUIS liegen, sondern in einer anderen Einrichtung der LUH, dem L3S oder der TIB
2. Werden E-Mails an andere Domains als in §6, Abs. 1 gelistet gesendet, so verlassen die Informationen der E-Mail unwiderruflich den Verfügungsbereich des LUIS.
-
Natürlich ist der Zweck von E-Mail die Kommunikation auch mit externen Stellen. Zu beachten ist aber, dass eine extern adressierte E-Mail mit dem Verlassen des Versand-Servers des LUIS technisch bedingt nicht mehr zurückgeholt werden kann. Funktionen wie “E-Mail widerrufen” sind in diesem Zusammenhang nicht zuverlässig.
§ 7 Schlussbestimmungen
Diese Richtlinie tritt mit ihrer Veröffentlichung im Verkündungsblatt der LUH in Kraft.