Verhaltensregeln IT-Sicherheit und Datenschutz

Administratoren und Nutzer von IT-Systemen

Mail

  • Ignorieren Sie stets Mails mit Aufforderung zur Übermittlung von persönlichen Daten oder Zugangsdaten (Kennung und/oder Passwort).
  • Seien Sie besonders vorsichtig bei Mails von nicht bekannten Absendern, insbesondere Öffnen Sie Anhänge bei Mails nur bei bekannten Absendern
  • Mißtrauen Sie Mails, welche nur als formatierte Mails lesbar sind. Diese können hinter Formatierungen versteckt ausführbaren Schadcode oder Links zu Seiten mit Schadcode enthalten. Sie sollten Ihr Mailprogramm so einstellen, dass alle Mails nur als reiner Text dargestellt werden - in Thunderbird mit

    Ansicht -> Nachrichteninhalt -> reiner Text

    Seriöse Anbieter versenden Mails stets so, dass diese zumindest auch in reiner Textform gelesen werden können.
  • Öffnen Sie oder versenden Sie generell keine Office-Dokumente in Mails. Diese Dokumente können sehr einfach als Träger von Schadcode genutzt werden. Reicht einfacher Text nicht aus, so ist das PDF-Format für Anhänge die bessere Wahl.

 

WWW

  • Geben Sie persönliche Daten sowie Zugangsdaten ausschließlich über verschlüsselte Verbindungen (erkennbar an einer URL https://...) ein und achten Sie dabei auf die Korrektheit der URL sowie des hinterlegten Zertifikats. Das Prüfen eines Zertifikats kann durch Doppelklick auf das Schloß-Symbol bzw.  auf den markierten Bereich vor der URL erfolgen. Das Zertifikat muss explizit für die Webseite und den Betreiber der Seite ausgestellt sein.
  • Prüfen Sie vor dem Klick auf eine URL, was sich evtl. dahinter verbirgt. Meiden Sie Ihnen unbekannte URLs indem Sie erst gar nicht auf solche Links klicken.
  • Nutzen Sie zur Verbesserung der Sicherheit den vom Rechenzentrum angebotenen Sicherheitsproxy, welcher alle Daten zusätzlich über einen Malware-Filter prüft und den Zugriff auf bekannte Malware-Sites blockiert.

 

Datenschutz

  • Legen Sie nicht für die Öffentlichkeit bestimmte Dokumente nicht auf fremden Servern im Internet ab. Sie haben über den Zugangsschutz sowie die missbräuchliche Nutzung dieser Daten dort keine Kontrolle. Nutzen Sie dazu die internen Dokumentablagen über Windows-Terminalserver oder den internen Dokumentebereich.
  • Vertrauliche Daten sowie Daten mit besonderen Schutzanforderungen, z:B. sensible Forschungsdaten, persönliche Daten oder Daten nach  "Datenschutzrechtliche Belehrung der Präsidentin" sind verschlüsselt abzulegen, so dass selbst bei einem unberechtigten Zugriff auf das Dokument der Inhalt geschützt bleibt.

 

Arbeitsplatz

  • Sperren sie Ihren Arbeitsplatzrechner auch bei kurzzeitigem Verlassen des Büros. Unter Windows z.B. mit Windows-Taste->L
  • Vergewissern Sie sich in regelmäßigen Abständen, dass Ihr Arbeitsplatz einen aktuellen Virenscanner sowie ein Betriebssystem und installierte Software mit aktuellen Updates aufweist. Wenden Sie sich bei Unklarheiten sofort an Ihren zuständigen Administrator.
  • Achten Sie bei der Eingabe von Zugangsdaten darauf, dass Ihnen niemand bei der Eingabe zusehen kann. Fordern Sie den daneben stehenden Kollegen ruhig dazu auf, für einen Moment wegzusehen.
  • Achten Sie auf eine regelmäßig Sicherung der Daten oder legen Sie Ihre Daten auf den zentralen  Datenspeichern des Rechenzentrums ab, wo diese automatisch und regelmäßig gesichert werden.

 

Administratoren

  • Arbeiten Sie generell nur mit normalen Nutzerrechten und wechseln Sie in die Rolle des Administrators nur kurzzeitig bei Bedarf. Damit haben eventuelle Schadprogramme deutlich weniger Angrifsmöglichkeiten.
  • Deinstallieren Sie nicht (mehr) benötigte Programme. Auch ungenutzte Programme bieten Angrifsmöglichkeiten.
  • Nutzen Sie die automatischen Softwareaktualisierungen für Ihre Systeme (z.B. Sophos) und informieren Sie sich regelmäßig über Schwachstellen sowie verfügbare Updates der von Ihnen eingesetzten Software.
  • Installieren Sie Software nur aus vertrauenswürdigen Quellen, z.B. Downloadbereiche der großen Computerzeitschriften oder direkt vom Hersteller.

 

Kenn- und Passwörter

  • Mindestanforderungen zur Passwortqualität siehe Passwortrichtline des RZ unter https://nutzer.unibw.de->Kennwort ändern. Nutzen Sie Passwörter mit zumindest gleicher Qualität auch für Dienste außerhalb des Rechenzentrums.
  • Verwenden Sie niemals für verschiedene Anbieter identische Zugangsdaten. Auch Zugangsdaten für außerhalb des Dienstbetriebs genutzte Dienste wie Google, eBay, ITunes etc. müssen sich grundlegend bei Kennwort und Passwort unterscheiden, sonst werden nach einem komprommitierten Zugang auch andere Dienste angreifbar.
  • Legen Sie Ihre Zugangsdaten (sofern Sie sich diese nicht sicher merken können) nur an einem sicheren Ort (unter Verschluss) bzw. nutzen Sie nur elektronische Passwortspeicher mit sicherer Verschlüsselung. Niemals Standardprogramme wie Word oder Excel (auch nicht mit aktiviertem Passwortschutz) zur Aufbewahrung von Zugangsdaten nutzen.
  • Ändern Sie umgehend das Passwort, sofern Sie auch nur den geringsten Verdacht einer Kenntnisnahme durch Dritte haben. Dies gilt insbesondere auch dann, wenn Sie Ihre Zugangsdaten einmal an einem unsicheren System (z.B. Internetcafe) eingegeben haben.

 

Notebooks als mobile Endgeräte

  • Stellen Sie sicher, dass der Bootvorgang nur nach Eingabe eines Kennworts gestartet werden kann. Sofern möglich, sollte dies auch für den Zugriff auf die Festplatte des Notebooks eingerichtet werden (siehe dazu BIOS-Einstellungen des Geräts), da sonst die Daten einer unverschlüsselten Festplatte leicht ausgelesen werden können.
  • Achten Sie insbesondere bei mobilen Endgeräten auf eine ordnungsgemäße Verschlüsselung von sensiblen Daten. Gehen Sie dabei davon aus, dass die Gefahr eines vollständigen Geräteverlusts inkl. aller Daten sehr viel wahrscheinlicher ist als bei einem Desktop-Gerät..
  • Achten Sie beim Arbeiten auf dem Notebook besonders darauf, dass niemand Sicht auf den Bildschirminhalt oder Ihre Tastatureingaben erhält.

 

Smartphones und Notepads als mobile Endgeräte

  • Diese sind derzeit für die Speicherung sensibler Daten nicht geeignet, da diese nach aktuellen Erfahrungen bei nahezu allen Geräten mit einfachen Methoden durch Dritte auslesbar sind.
  • Dienste mit der festen Hinterlegung von Zugangsdaten (z.B. Mail mit Notwendigkeit der Speicherung von Kenn- und Passwort) sind zu vermeiden. Damit haben auch ihre gespeicherten RZ-Zugangsdaten dort nichts verloren. Dies gilt natürlich auch für gespeicherte Zugangsdaten zum Netzwerk der Universität.
Rechenzentrum UniBw München, Juni 2011

Bild Wegweiser