AG IT-Sicherheit

IT-Sicherheitsrichtlinie - Zugriffsschutz

  1. Verzeichnis der Grundschutzmassnahmen
  2. Präambel
  3. Kurzbeschreibung
  4. Teil IAllgemeines
  5. 1Geltungsbereich
  6. 2Leitlinienfunktion für andere Dokumente
  7. 3Verantwortlichkeiten und Organisation der IT-Sicherheit
  8. 4Grundbegriffe
  9. Teil IIIT-Verfahren
  10. 5Dokumentation von IT-Verfahren
    1. 5.1IT-Verfahrensdatenbank
    2. 5.2Struktur der IT-Verfahrensdokumentation
    3. 5.3Beziehungen zwischen Komponenten der IT-Verfahrensdokumentation
    4. 5.4Rollen innerhalb eines IT-Verfahrens
    5. 5.5IT-Verfahren mit kurzer Betriebsdauer
  11. 6Schutzbedarfsanalyse
    1. 6.1Vorgehensweise
    2. 6.2Bewertungstabellen
      1. 6.2.1Verlust von Vertraulichkeit
      2. 6.2.2Verletzung von Integrität
      3. 6.2.3Beeinträchtigung von Verfügbarkeit
      4. 6.2.4Verstoß gegen Gesetze, Vorschriften und Verträge
  12. 7Risikoanalyse
    1. 7.1Begriffsdefinitionen
    2. 7.2Vorgehensweise
    3. 7.3Beispiel
  13. Teil IIIRegeln
  14. 8Maßnahmen des IT-Grundschutzes
    1. 8.1Allgemeines
    2. 8.2Organisation von IT
    3. 8.3IT-Personal
    4. 8.4Sicherung der Infrastruktur
    5. 8.5Hard- und Softwareeinsatz
    6. 8.6Einsatz von mobilen Geräten
    7. 8.7Zugriffsschutz
    8. 8.8Protokollierung
    9. 8.9System- und Netzwerkmanagement
    10. 8.10Datensicherung
    11. 8.11Datenträgerkontrolle
    12. 8.12Verschiedenes
  15. Teil IVAusführungsbestimmungen
  16. 9Inkraftsetzen und Aktualisierung der IT-Sicherheitsrichtlinie
  17. 10Konfliktlösung bei der Umsetzung der IT-Sicherheitsrichtlinie
  18. Anhang
  19. 11Abbildungsverzeichnis
  20. 12Tabellenverzeichnis
  21. 13Glossar
  22. 14Literaturverzeichnis
Betreff:

Seite: 17

8.7Zugriffsschutz

Grundsätzlich gilt, dass nur berechtigte Personen Zugang zu dem Netz und den damit verfügbaren Ressourcen der Freien Universität Berlin erhalten. Jede Nutzungserlaubnis muss personengebunden sein. Die Verwendung fremder Nutzerkennungen, also anderer als der eigenen, ist nicht erlaubt.

49Einrichtung anonymer Benutzerkonten

Verantwortlich für Umsetzung:

IT-Personal

Anonyme Benutzerkonten sollten nur in begründeten Ausnahmefällen erlaubt werden. Wenn anonyme Benutzerkennungen eingesetzt werden, müssen geeignete organisatorische Maßnahmen sicherstellen, dass stets nachvollziehbar ist, wer wann wie lange die anonyme Kennung benutzt hat.

50Bereitstellung von Verschlüsselungssystemen

Verantwortlich für Umsetzung:

IT-Dienstleister

Zur Absicherung besonders schützenswerter Daten, insbesondere auf mobilen Geräten, müssen geeignete Systeme (Programme oder spezielle Hardware) zur Verschlüsselung durch die IT-Dienstleister der Freien Universität Berlin bereitgestellt werden.

51Netzzugänge

Verantwortlich für Umsetzung:

Anwender, Bereichsleitung

Der Anschluss von Systemen über die Netzzugänge der Freien Universität Berlin hat ausschließlich über die dafür vorgesehene Infrastruktur zu erfolgen. Die eigenmächtige Einrichtung oder Benutzung von zusätzlichen Verbindungen ist unzulässig.

52Ausscheiden oder Wechsel von Mitarbeitern/innen

Verantwortlich für Umsetzung:

Bereichsleitung, Vorgesetze/r des Mitarbeiters

Im organisatorischen Ablauf muss zuverlässig verankert sein, dass die/der zuständige IT-Beauftragte rechtzeitig über das Ausscheiden oder den Wechsel einer Mitarbeiterin oder eines Mitarbeiters informiert wird. Vor dem Ausscheiden sind sämtliche Unterlagen und Daten sowie ausgehändigte Schlüssel zurück-zugeben. Es sind sämtliche eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen. Für eine begrenzte Übergangszeit können die Zugangs- und Zugriffsrechte zur Abwicklung eines geordneten Abschlusses bestehen bleiben. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt, so ist nach dem Ausscheiden einer der Personen die Zugangsberechtigung zu ändern.

53Personenbezogene Kennungen

Verantwortlich für Umsetzung:

Verfahrensverantwortlicher, Anwender

Alle IT-Systeme und Anwendungen sind so einzurichten, dass nur berechtigte Benutzer die Möglichkeit haben, mit ihnen zu arbeiten. Infolgedessen ist eine Anmeldung mit Benutzerkennung und Passwort oder adäquater Verfahren erforderlich. Die Vergabe von Benutzerkennungen für die Arbeit an IT-Systemen soll in der Regel personenbezogen erfolgen. Die Arbeit unter der Kennung einer anderen Person ist unzulässig. Dem Benutzer ist untersagt, Zugangsdaten weiterzugeben.

Die Einrichtung und Freigabe einer Benutzerkennung darf nur in einem geregelten Verfahren erfolgen. Die Einrichtung, Freigabe und Sperrung sind zu dokumentieren.

54Administratorkennungen

Verantwortlich für Umsetzung:

IT-Personal

Das Verwenden von Benutzerkennungen mit Administrationsrechten muss auf die dafür notwendigen Aufgaben beschränkt bleiben. Die Administratoren erhalten für diese Aufgaben eine persönliche Administratorkennung. Für Arbeiten, die keine besonderen Berechtigungsprivilegien erfordern, sind Standard-Benutzerkennungen zu verwenden.

55Zentralisierung des Identity- und Passwort-Managementsystems

Verantwortlich für Umsetzung:

CIO

Die IT-Dienstleister der Freien Universität Berlin sind verpflichtet, ein geeignetes System zur zentralen Identity- und Passwortverwaltung bereit zu stellen. Zur Authentifizierung und Autorisierung müssen alle zugangskontrollierten Systeme das zentral angebotene Identity- und Passwort-Managementsystem nutzen, soweit dies technisch umsetzbar und organisatorisch sinnvoll ist.

56Passwörter

Verantwortlich für Umsetzung:

IT-Personal, Anwender

Werden in einem IT-System Passwörter zur Authentifizierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass mit dem Passwort korrekt umgegangen wird. Die/der Benutzer/in hat ihr/sein Passwort geheim zu halten. Insbesondere darf das Passwort weder IT-Personal noch externen Dienstleistern bekannt gegeben werden, zum Beispiel im Rahmen der Nutzung von E-Mail-Sammeldiensten.

56aBildung von Passwörtern

Verantwortlich für Umsetzung:

Anwender

  1. Das Passwort darf nicht leicht zu erraten sein, wie zum Beispiel Benutzername, Vor- oder Nachname, Kfz-Kennzeichen, Geburtsdatum. Trivialpasswörter (z.B. "qwertz123" oder "12345678") sind nicht erlaubt.
  2. Das Passwort darf nicht aus Wörtern bestehen, die in Wörterbüchern (Passwörterlisten als Grundlage so genannter Wörterbuchangriffe) enthalten sind.
  3. Das Passwort muss mindestens 5 verschiedene Zeichen und mindestens zwei Nicht-Buchstaben (Ziffern oder Sonderzeichen) enthalten.
  4. Das Passwort muss mindestens 8 Zeichen lang sein8).
  5. Alte Passwörter dürfen nach einem Passwortwechsel nicht mehr verwendet werden.
56bUmgang mit Passwörtern

Verantwortlich für Umsetzung:

Anwender

  1. Voreingestellte Passwörter (z. B. Standardpasswörter des Herstellers bei Auslieferung von Systemen oder Initialpasswörter) müssen durch individuelle Passwörter ersetzt werden.
  2. Das Passwort muss geheim gehalten werden und darf bei persönlichen Benutzer-kennungen nur der/dem Inhaber/in der Benutzerkennung selbst bekannt sein.
  3. Passwörter, die für Systeme und Dienste der Freien Universität Berlin benutzt werden, dürfen nicht für andere Zwecke verwendet werden.
  4. Ein Passwortwechsel ist sofort durchzuführen, wenn der Verdacht besteht, dass das Passwort anderen Personen bekannt geworden ist oder wenn der Verdacht auf eine Systemkompromittierung besteht. Auch wenn Passwörter versehentlich bei anderen Systemen oder anderen Anbietern von Diensten eingegeben werden, muss das Passwort gewechselt werden. Bei der Abgabe von Rechnern oder Speichermedien, auf denen Passwörter abgelegt sind, müssen dann die betreffenden Passwörter gewechselt werden, wenn eine vorherige Löschung der Passwörter nicht gewährleistet werden kann (z.B. bei Abgabe eines Rechners im Reparaturfall).
56cAdministration von Passwörtern

Verantwortlich für Umsetzung:

Verfahrensverantwortlicher

Falls technisch möglich, sollten die Bildungsregeln aus 56a erzwungen werden.

  1. Jede/r Benutzer/in muss ihr/sein eigenes Passwort jederzeit ändern können.
  2. Das Passwort darf nicht länger als die Anzahl der signifikanten Stellen sein.
  3. Für die Erstanmeldung neuer Benutzer sollten Einmalpasswörter vergeben werden, also Passwörter, die nach einmaligem Gebrauch gewechselt werden müssen. Initialpasswörter müssen individuell unterschiedlich sein und so gewählt werden, dass sie den hier festgelegten Anforderungen genügen.
  4. Bei der Authentifizierung in vernetzten Systemen dürfen Passwörter nicht unverschlüsselt übertragen werden.
  5. Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.
56dÜbergabe von Passwörtern

Verantwortlich für Umsetzung:

IT-Personal

Grundsätzlich müssen Passwörter geheim gehalten werden. In Ausnahmefällen dürfen Passwörter dürfen nur über geschützte Kommunikationswege an berechtigte Adressaten übergeben werden. Bei der persönlichen Übergabe eines Passworts ist darauf zu achten, dass Unbefugte keine Kenntnis erlangen.

56eUmgang mit SSH-Keys

Verantwortlich für Umsetzung:

Anwender

Wenn persönliche SSH-Keys zur Authentifizierung genutzt werden, muss der private SSH-Key sicher verwahrt und mit einer hinreichend langen Passphrase geschützt werden.

57Zugriffsrechte (Autorisierung)

Verantwortlich für Umsetzung:

Verfahrensverantwortlicher, IT-Personal, Anwender

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Aufgaben bevollmächtigt wird, IT-Systeme, IT-Anwendungen oder Daten zu nutzen. Jeder darf nur mit den Zugriffsrechten arbeiten, die unmittelbar für die Erledigung seiner Aufgaben vorgesehen sind. Im organisatorischen Ablauf muss zuverlässig verankert sein, dass das zuständige IT-Personal über die notwendige Änderung der Berechtigungen eines Anwenders, z.B. in Folge von Änderungen seiner Aufgaben, rechtzeitig informiert wird.

58Änderung der Zugriffsrechte

Entfällt (integriert in 52)

59Abmelden und ausschalten

Verantwortlich für Umsetzung:

Anwender, IT-Personal

Bei Verlassen des Raumes muss der Zugriff auf das IT-System durch einen Kennwortschutz gesperrt werden. Soweit technisch möglich ist ein Arbeitsplatz-Rechner so zu konfigurieren, dass dieser nach längerer Inaktivität automatisch gesperrt wird und nur nach erneuter Eingabe eines Passwortes zu aktivieren ist. Grundsätzlich sind die Systeme nach der Abmeldung auszuschalten, es sei denn, betriebliche Anforderungen sprechen dagegen.

60Verwendung dienstlicher E-Mail-Adressen

Verantwortlich für Umsetzung:

Anwender

, IT-Personal

Für dienstliche Belange muss die dienstliche E-Mail-Adresse der Freien Universität Berlin zur elektronischen Kommunikation genutzt werden, sowohl als Empfangs- als auch als Absender-Adresse. Die automatische Weiterleitung der auf der dienstlichen E-Mail-Adresse eingehenden E-Mails auf Mail-Systeme, die nicht von der Freien Universität Berlin betrieben werden, ist nicht zulässig.

60aFernwartung

Verantwortlich für Umsetzung:

Verfahrensverantwortliche/r, IT-Personal, Anwender

Bei einer Vereinbarung zur Fernwartung muss neben den datenschutzrechtlichen Erfordernissen auch der Handlungsleitfaden "Zugriff auf schützenswerte Daten der Freien Universität Berlin durch Externe" beachtet werden.


 

Seite: 17b

Betreff:

Seite: 17a

Betreff:

 


 

Seite: 17c

Betreff:

8)  Durch die Wahl eines längeren Passworts kann die Passwortsicherheit deutlich erhöht werden.


 

17/24