Regelungen zur Mail-Weiterleitung

(Veröffentlichung des AK-IT-Sicherheit Februar 2013)

Sehr geehrte Damen und Herren,

Mails im Datennetz der Universität sind grundsätzlich dienstlicher Natur. Der Umgang mit dienstlichen Daten bedarf einer besonderen Vorsicht und ist auch in der aktuellen IT-Sicherheitsbelehrung [1] explizit enthalten.

In letzter Zeit mehren sich die Zugriffe externer Server, welche nach Authentifizierung mit einer gültigen Nutzerkennung die Maildaten aus den internen Postfächern abholen und in externen Postfächern ablegen. Die überwiegende Anzahl dieser Zugriffe kommt dabei über Mailserver der Firmen Google und Microsoft. Es ist davon auszugehen, dass dabei Nutzer Ihre RZ-Zugangsdaten auf diesen Servern hinterlegt haben. Der unkontrollierte Abfluss dienstlicher Daten ist insbesondere unter datenschutzrechtlichen Gesichtspunkten äußerst kritisch zu bewerten, da in den dienstlichen E-Mail-Postfächern schützenswerte personenbezogene Daten enthalten sein können. Daneben ist diese Hinterlegung durch die Weitergabe persönlicher Zugangsdaten ein schwerwiegender Verstoß gegen die Betriebsordnung des Rechenzentrums [2].

Alle Nutzer des Datennetzes werden hiermit noch einmal ausdrücklich darauf hingewiesen, dass die Weiterleitung dienstlicher Daten auf externe Server nicht gestattet ist, insbesondere auch nicht die Hinterlegung von Zugangsdaten zu Diensten im Datennetz. Der unkontrollierte Abfluss dienstlicher Daten stellt eine Gefährdung der IT-Sicherheit für alle Nutzer dar.

Bitte beachten Sie diese Hinweise zum Umgang mit dienstlichen Daten auch über Mail hinaus. Sollten auch Zugangsdaten extern hinterlegt worden sein sind diese sofort zu entfernen und über die Nutzerverwaltung des RZ [3] zu ändern. Als Sofortmaßnahme werden die Zugriffe auf Mails durch bekannte externe Mailserver technisch unterbunden.

Für den AK IT-Sicherheit,

Prof. Gabi Dreo Rodosek, Vorsitzende
Pamela Koch, Datenschutzbeauftragte der Universität
Prof. Stefan Schwarz, Leiter Rechenzentrum
Winfried Thalmeier, CSO Rechenzentrum

Anlagen

[1] IT-Sicherheitsbelehrung:  https://dokumente.unibw.de/HochschuloeffentlicherDokumentenbereich/bscw.cgi/d6198619/IT-Sicherheitsbelehrung.pdf
[2] Betriebsordnung des Rechenzentrums: https://www.unibw.de/rz/dokumente/ordnungen/getFILE?tid=ordnungen&fid=196534
[3] Nutzerverwaltung des Rechenzentrums, z.B. auch Ändern des Passworts: https://nutzer.unibw.de