Verhaltensregeln IT-Sicherheit und Datenschutz

Mitarbeiter mit zentral administriertem Arbeitsplatz (Verwaltung-/Studentenbereich, Terminalserver etc.)

Mail

  • Ignorieren Sie stets Mails mit Aufforderung zur Übermittlung von persönlichen Daten oder Zugangsdaten (Kennung und/oder Passwort).
  • Seien Sie besonders vorsichtig bei Mails von nicht bekannten Absendern, insbesondere Öffnen Sie Anhänge bei Mails nur bei bekannten Absendern
  • Mißtrauen Sie Mails, welche nur als formatierte Mails lesbar sind. Diese können hinter Formatierungen versteckt ausführbaren Schadcode oder Links zu Seiten mit Schadcode enthalten. Sie sollten Ihr Mailprogramm so einstellen, dass alle Mails nur als reiner Text dargestellt werden  - in Thunderbird mit

    Ansicht -> Nachrichteninhalt -> reiner Text

    Seriöse Anbieter versenden Mails stets so, dass diese zumindest auch in reiner Textform gelesen werden können.
  • Öffnen Sie oder versenden Sie generell keine Office-Dokimente in Mails. Diese Dokumente können sehr einfach als Träger von Schadcode genutzt werden. Reicht einfacher Text nicht aus, so ist das PDF-Format für Anhänge die bessere Wahl.

 

WWW

  • Geben Sie persönliche Daten sowie Zugangsdaten ausschließlich über verschlüsselte Verbindungen (erkennbar an einer URL https://...) ein und achten Sie dabei auf die Korrektheit der URL sowie des hinterlegten Zertifikats. Das Prüfen eines Zertifikats kann durch Doppelklick auf das Schloß-Symbol bzw.  auf den markierten Bereich vor der URL erfolgen. Das Zertifikat muss explizit für die Webseite und den Betreiber der Seite ausgestellt sein.
  • Prüfen Sie vor dem Klick auf eine URL, was sich evtl. dahinter verbirgt. Meiden Sie Ihnen unbekannte URLs indem Sie erst gar nicht auf solche Links klicken.
  • Nutzen Sie zur Verbesserung der Sicherheit den vom Rechenzentrum angebotenen Sicherheitsproxy, welcher alle Daten zusätzlich über einen Malware-Filter prüft und den Zugriff auf bekannte Malware-Sites blockiert.

 

Datenschutz

  • Legen Sie nicht für die Öffentlichkeit bestimmte Dokumente nicht auf fremden Servern im Internet ab. Sie haben über den Zugangsschutz sowie die missbräuchliche Nutzung dieser Daten dort keine Kontrolle. Nutzen Sie dazu die internen Dokumentablagen über Windows-Terminalserver oder den internen Dokumentebereich.
  • Vertrauliche Daten sowie Daten mit besonderen Schutzanforderungen, z:B. sensible Forschungsdaten, persönliche Daten oder Daten nach  "Datenschutzrechtliche Belehrung der Präsidentin" sind verschlüsselt abzulegen, so dass selbst bei einem unberechtigten Zugriff auf das Dokument der Inhalt geschützt bleibt.

 

Arbeitsplatz

  • Sperren sie Ihren Arbeitsplatzrechner auch bei kurzzeitigem Verlassen des Büros. Unter Windows z.B. mit Windows-Taste->L
  • Achten Sie bei der Eingabe von Zugangsdaten darauf, dass Ihnen niemand bei der Eingabe zusehen kann. Fordern Sie den daneben stehenden Kollegen ruhig dazu auf, für einen Moment wegzusehen.

 

Kenn- und Passwörter

  • Mindestanforderungen zur Passwortqualität siehe Passwortrichtline des RZ unter https://nutzer.unibw.de->Kennwort ändern. Nutzen Sie Passwörter mit zumindest gleicher Qualität auch für Dienste außerhalb des Rechenzentrums.
  • Verwenden Sie niemals für verschiedene Anbieter identische Zugangsdaten. Auch Zugangsdaten für außerhalb des Dienstbetriebs genutzte Dienste wie Google, eBay, ITunes etc. müssen sich grundlegend bei Kennwort und Passwort unterscheiden, sonst werden nach einem komprommitierten Zugang auch andere Dienste angreifbar.
  • Legen Sie Ihre Zugangsdaten (sofern Sie sich diese nicht sicher merken können) nur an einem sicheren Ort (unter Verschluss) bzw. nutzen Sie nur elektronische Passwortspeicher mit sicherer Verschlüsselung. Niemals Standardprogramme wie Word oder Excel (auch nicht mit aktiviertem Passwortschutz) zur Aufbewahrung von Zugangsdaten nutzen.
  • Ändern Sie umgehend das Passwort, sofern Sie auch nur den geringsten Verdacht einer Kenntnisnahme durch Dritte haben. Dies gilt insbesondere auch dann, wenn Sie Ihre Zugangsdaten einmal an einem unsicheren System (z.B. Internetcafe) eingegeben haben.

 

Notebooks als mobile Endgeräte

  • Achten Sie insbesondere bei mobilen Endgeräten auf eine ordnungsgemäße Verschlüsselung von sensiblen Daten. Gehen Sie dabei davon aus, dass die Gefahr eines vollständigen Geräteverlusts inkl. aller Daten sehr viel wahrscheinlicher ist als bei einem Desktop-Gerät..
  • Achten Sie beim Arbeiten auf dem Notebook besonders darauf, dass niemand Sicht auf den Bildschirminhalt oder Ihre Tastatureingaben erhält.
Rechenzentrum UniBw München, Juni 2011

Bild Wegweiser