IT-Security Policy

IT Security Policy der Technischen Universität Darmstadt

Diese IT Security Policy wurde am 11. Nov. 2003 vom Präsidium der TU Darmstadt verabschiedet.

1. Überblick

Die Technische Universität Darmstadt erwartet von den Benutzern der Computer und der Netze der Technischen Universität Darmstadt verantwortungsbewussten Umgang bei deren Gebrauch. Als Reaktion auf Verstöße gegen die Security Policy oder gegen gesetzliche Bestimmungen sind die Technische Universität Darmstadt und ihre Organisationseinheiten berechtigt, Benutzern Zugangsberechtigungen zeitweise oder auf Dauer zu entziehen, bei Bedarf Daten von Computern der Technischen Universität Darmstadt zu löschen und Computer aus dem Netz zu entfernen. Bei Unklarheiten oder Streitfällen hat der Beauftragte für IT-Sicherheit am HRZ, in zweiter Instanz der Leiter des HRZ zu entscheiden.

Basierend auf der „Allgemeinen IT-Benutzungsordnung der TU Darmstadt“ (Allgemeine Benutzungsordnung für die Informationsverarbeitungs- und Kommunikations-Infrastruktur) stellt diese Policy eine Detaillierung der allgemeinen Regeln bei Benutzung und Betrieb in Bezug auf die IT Sicherheit dar.

a) Begründung

Die Technische Universität Darmstadt möchte allen Nutzern effizientes und ungestörtes Arbeiten ermöglichen. Daher ist in der Security Policy eine Liste von nicht zulässigen Verhaltensweisen (regelwidrige Benutzung) festgelegt, deren Unterlassung jeder Benutzer einfordern kann, um sich vor Belästigungen und Bedrohungen zu schützen und in Folge die Technische Universität Darmstadt und ihre Organisationseinheiten vor Schäden und rechtlichen Konsequenzen zu bewahren. Um den einwandfreien Betrieb zu gewährleisten werden in der Security Policy Standards für die Sicherheit von Computern, Netzen und Daten festgelegt. Es handelt sich dabei um Mindestanforderungen. Es bleibt demnach den Organisationseinheiten der Technischen Universität Darmstadt überlassen, für ihren Verantwortungsbereich schriftlich „strengere“ Regeln festzulegen.

b) Gültigkeitsbereich

Die Security Policy ist verbindlich

  • für alle Angehörigen der Technischen Universität Darmstadt
  • sowie Personen, denen durch Vereinbarungen die Benutzung von Computern und Netzen der Technischen Universität Darmstadt möglich ist.

Darüber hinaus gilt sie als Grundlage für Reaktionen bei allen sicherheitsrelevanten Vorfällen von außerhalb.

c) Version

1.0 vom 17. 11. 2003

An dieser Stelle werden Überarbeitungen des Dokuments mit einer kurzen Zusammenfassung der Änderungen vermerkt.

Die Policy ist mindestens alle zwei Jahre auf Aktualität zu überprüfen. Schwerwiegende Veränderungen der verwendeten Technologien oder organisatorischer Art können Überarbeitungen außerhalb dieses Intervalls bedingen.

2. Einleitung

Der Gebrauch von Computern und Netzen ist für die Angehörigen der Technischen Universität Darmstadt zur alltäglichen Routine geworden. Bei ordnungsgemäßer Benutzung erleichtert er viele Tätigkeiten, manche Arbeiten wären gar nicht denkbar ohne den Einsatz von Computern. Fahrlässige oder gar gesetzwidrige Verwendung hingegen kann die Rechte anderer Benutzer verletzen.

Die Technische Universität Darmstadt verlangt daher von allen Benutzern sorgfältigen und verantwortungsvollen Umgang beim Gebrauch von Computern und Netzen.

Grundsätzlich bleibt es dem Ermessen jedes einzelnen Benutzers bzw. der Institute und Universitätseinrichtungen der Technischen Universität Darmstadt überlassen, in welcher Art und Weise Computer und Netze verwendet werden. Dieser praktizierte Ansatz maximaler Offenheit, der besagt, dass alles erlaubt ist, was nicht verboten ist, hat sich über die Jahre bewährt und soll beibehalten werden. Die Erfahrung der letzten Jahre hat aber deutlich gemacht, dass es einen allgemein anerkannten Konsens geben muss, welche regelwidrige Benutzung nicht akzeptiert wird, welche Mindeststandards für den Betrieb eines Computers verbindlich sind und welche Konsequenzen bei Nichteinhaltung der Policy gezogen werden.

Zweck der Security Policy ist es, die drei Themenkreise zu formalisieren und allen Benutzern eine einheitliche Grundlage zu bieten, anhand der entschieden werden kann, welche Benutzung konform ist und welche Maßnahmen zu ergreifen sind.

Aufgrund einer maximalen Offenheit kann Missbrauch a priori nicht ausgeschlossen werden. Durch die Security Policy soll das Erkennen von Sicherheitsproblemen beschleunigt werden, um den Schaden für jeden Einzelnen und die Technische Universität Darmstadt gering zu halten. Sie soll als Richtschnur für das eigene Handeln, sowie für das Beurteilen des Handeln der anderen dienen. Damit verringert sich auch die Wahrscheinlichkeit, dass Verstöße ohne Konsequenzen bleiben.

Die Technische Universität Darmstadt ist darauf angewiesen, dass die Nutzer Sicherheitsprobleme dem HRZ und ihren zuständigen Domain-Beauftragten melden und die Systemadministratoren erkannte Mängel in ihrem Verantwortungsbereich selbst beheben.

Eine vom HRZ herausgegebene komplette Liste der Kontaktadressen sowie Erläuterungen und Handlungsanweisungen bei Verstößen zu den in der Security Policy behandelten Themen ist im Dokument „Leitfaden der IT Security Policy der TU Darmstadt“ zu finden. Dieses Dokument wird laufend auf dem aktuellen Stand gehalten.

3. Regelwidrige Benutzung

Die in der Security Policy festgelegten Regelverstöße sind thematisch in vier Bereiche gegliedert (siehe die ausführliche Beschreibung in tabellarischer Form im Dokument „Leitfaden der IT Security Policy der TU Darmstadt“)

Strafrechtlich sanktioniertes Verhalten ist regelwidrig.

A. Verwendung elektronischer Kommunikation für Angriffe gegen Einzelpersonen oder Gruppen von Personen

A1) Verbreitung oder In-Umlauf-Bringen von Informationen, die Personen beleidigen oder herabwürdigen (z.B. aufgrund ihrer Hautfarbe, Nationalität, Religion, ihres Geschlechtes, ihrer politischen Gesinnung oder sexuellen Ausrichtung).

A2) Verbreitung von persönlichen oder anderen schützenswerten Informationen über eine Einzelperson oder eine Gruppe von Personen.

A3) Mehrfach unerwünschtes Zusenden von Nachrichten.

B. Verwendung elektronischer Kommunikation zur Behinderung der Arbeit Dritter

B1) Behinderung der Arbeit anderer (z.B. durch Mailbomben und ähnlicher Techniken).

B2) Aneignung von Ressourcen über das zugestandene Maß.

B3) Versenden von elektronischen Massensendungen (z.B. SPAM E-Mails).

(Ausnahme: Verbreitung von dienstlichen Mitteilungen in Analogie zur Hauspost.)

B4) Weitersenden oder In-Umlauf-Bringen von elektronischen Kettenbriefen.

B5) Unberechtigte Manipulation von elektronischen Daten anderer.

B6) Zugriff auf Daten Dritter ohne deren Erlaubnis.

C. Vergehen gegen Lizenzvereinbarungen oder andere vertragliche Bestimmungen

C1) Die Nutzung, das Kopieren und Verbreiten von urheberrechtlich geschütztem Material im Widerspruch zu Lizenzvereinbarungen oder anderen Vertragsbestimmungen auf Computern der TU Darmstadt bzw. der Transport über Netze der TU Darmstadt.

C2) Verletzung des Urheberrechts durch Verfälschung elektronischer Dokumente.

C3) Weitergabe von Zugangsberechtigungen an Dritte (Accounts und Passwörter)

D. Verwendung elektronischer Kommunikation für Attacken gegen Computer, das Netz oder Services, die darauf erbracht werden

(Für die nachfolgenden Verstöße besteht eine Meldepflicht an den Security-Beauftragten des HRZ !)

D1) Systematisches Ausforschen von Servern und Services (z.B. Portscans). Ausnahme: Sicherheitstests nach Absprache mit dem System-Administrator.

D2) Unerlaubte Aneignung von Ressourcen oder der Versuch einer solchen Aneignung (z.B. Cracken)

Ausnahme: Sicherheitstests nach Absprache mit dem Systemadministrator.

D3) Beschädigung oder Störung von elektronischen Diensten (z.B. „Denial of service attacks“).

D4) Vorsätzliche Verbreitung oder In-Umlauf-Bringen von schädlichen Programmen (z.B. Viren, „Würmer“, „Trojanische Pferde“).

D5) Ausspähen von Passwörtern oder auch der Versuch des Ausspähens (z.B. „Passwort Sniffer“).

D6) Unberechtigte Manipulation oder Fälschung von Identitätsinformationen (z.B. „Mailheader“, elektronischer Verzeichnisse, „IP-Spoofing“, etc.).

D7) Ausnutzen erkannter Sicherheitsmängel bzw. administrativer Mängel.

4. Mindeststandards für den Betrieb eines Computers

Um den ordnungsgemäßen Betrieb eines Computers oder einer aktiven Netzkomponente zu gewährleisten, müssen zumindest folgende Punkte erfüllt sein.

  1. Fachgerechte Installation des Systems
  2. Installation notwendiger Patches, vor allem von Security-Patches auf dem System
  3. Regelmäßiges Durchführen notwendiger Upgrades des Systems
  4. Regelmäßige Änderung von Passwörtern. Wahl sicherer Passwörter oder stärkerer Authentifizierungsmethoden (z.B. Public Key). Regelmäßige Überprüfung der existierenden Accounts auf Aktualität (zumindest am Semesterende).
  5. Wenn möglich die Bereitstellung eines sicheren Logins ohne Klartextpasswörter (bei Fernwartung zwingend).
  6. Unverzügliche Meldung von Personaländerungen des Domain-Beauftragten an das HRZ (zur Aktualisierung der Netz-Datenbank). Die Kenntnis des Domain-Beauftragten ist für die schnelle Kontaktaufnahme bei Sicherheitsvorfällen unumgänglich.

Falls einem Benutzer eines Computers Sicherheitsmängel auffallen, ist dieser verpflichtet, den Systemadministrator davon zu informieren. Der Systemadministrator ist verpflichtet, geeignete Gegenmaßnahmen zu ergreifen.

Jede Subdomain, in der ein Rechner betrieben wird, stellt zum Kontakt eine generische Mailadresse (internen Mail-Verteiler) „security@subdomain.tu-darmstadt.de“ bereit.

5. Konsequenzen bei der Nichteinhaltung der Policy

Die meisten Verstöße resultieren erfahrungsgemäß aus Unkenntnis der Security Policy oder technischer Unzulänglichkeit. In solchen Fällen wird es ausreichen, wenn der Verursacher über den Verstoß gegen die Security Policy der TU Darmstadt aufgeklärt und die Unterlassung weiterer Verstöße gefordert wird. Bei Verstößen gegen Lizenzvereinbarungen muss gegebenenfalls die Löschung von Daten von Servern verlangt werden. Wenn anzunehmen ist, dass erkannte Verstöße auch andere Institute, Universitätseinrichtungen oder Organisationen (auch außerhalb der TU Darmstadt) betreffen könnten, sind die betreffenden Domain-Beauftragten und eventuell auch das HRZ zu informieren (z.B. Sperre eines Benutzers, der auch über Zugangsberechtigungen auf anderen Computern verfügt).

Falls die direkte Aufforderung ohne Erfolg bleibt oder die Identität des Verursachers nicht festgestellt werden kann, ist das HRZ in die Lösung des Problems mit einzubeziehen. Der Kontakt mit dem HRZ sollte am besten über die dafür vorgesehene E-Mail-Adresse hergestellt werden (siehe Dokument „Leitfaden der IT Security Policy der TU Darmstadt“).

Neben der Beschreibung des Problems sollte immer explizit angeführt werden, gegen welchen Punkt der Security Policy verstoßen wurde.

Bei Uneinigkeit über die Richtigkeit der Beschwerde entscheidet der Beauftragte für IT-Sicherheit, in zweiter Instanz der Leiter des HRZ.

Maßnahmen durch das HRZ (Hochschulrechenzentrum)

  1. Das HRZ wird den Netz- oder Systemadministrator des Computers (Netzes), von dem die Attacken ausgehen, auffordern, Regelverstöße zu unterbinden, gegebenenfalls die Zugangsberechtigung des Verursachers zu sperren sowie bei Verstößen gegen Lizenzvereinbarungen die betreffenden Informationen von Servern zu löschen.
  2. Ist der Systemadministrator des betreffenden Computers nicht erreichbar oder nicht imstande bzw. nicht bereit, solche Verstöße zu verhindern, so ist das HRZ verpflichtet, den Geschäftsführenden Direktor, den Dekan, bzw. den Präsidenten von den Missständen zu informieren und ihn zur Behebung derselben aufzufordern.
  3. Bleibt auch die Maßnahme in Punkt 2. ohne Erfolg, so ist das HRZ berechtigt, den betreffenden Computer aus dem Netz zu entfernen, bzw. die betreffenden Services oder ggf. ein ganzes Subnetz zu sperren.
  4. Wenn die Umstände es verlangen (Gefahr in Verzug), können Sperren vom HRZ auch ohne Rücksprache mit den Domain-Beauftragten vollzogen werden. Das HRZ ist in solchen Fällen verpflichtet, die betroffenen Systemadministratoren und den Geschäftsführenden Direktor, den Dekan, bzw. den Präsidenten dann unmittelbar über die getroffenen Maßnahmen zu informieren.
  5. Strafrechtlich relevante Vorfälle sind, z.B. wegen evt. Schadensersatzforderungen für Schäden, grundsätzlich an den Präsidenten der TU Darmstadt weiterzuleiten.
  6. Zusätzlich kann vom Verursacher die schriftliche Zurkenntnisnahme der Policy verlangt werden. (Ein Musterprotokoll ist im Dokument „Musterprotokoll bei Verstößen gegen die IT Security Policy“ enthalten)..

Maßnahmen durch das LHB (Landes- und Hochschulbibliothek)

  • Ausschluss von der Nutzung urheberrechtlich und lizenzrechtlich geschützter Materialien durch die Bibliothek