49Einrichtung anonymer Benutzerkonten

Anonyme Benutzerkonten sollten nur in begründeten Ausnahmefällen erlaubt werden. Wenn anonyme Benutzerkennungen eingesetzt werden, müssen geeignete organisatorische Maßnahmen sicherstellen, dass stets nachvollziehbar ist, wer wann wie lange die anonyme Kennung benutzt hat.

50Bereitstellung von Verschlüsselungssystemen

Zur Absicherung besonders schützenswerter Daten, insbesondere auf mobilen Geräten, müssen geeignete Systeme (Programme oder spezielle Hardware) zur Verschlüsselung durch die IT-Dienstleister der Freien Universität Berlin bereitgestellt werden.

51Netzzugänge

Der Anschluss von Systemen über die Netzzugänge der Freien Universität Berlin hat ausschließlich über die dafür vorgesehene Infrastruktur zu erfolgen. Die eigenmächtige Einrichtung oder Benutzung von zusätzlichen Verbindungen ist unzulässig.

52Ausscheiden oder Wechsel von Mitarbeitern/innen

Im organisatorischen Ablauf muss zuverlässig verankert sein, dass die/der zuständige IT-Beauftragte rechtzeitig über das Ausscheiden oder den Wechsel einer Mitarbeiterin oder eines Mitarbeiters informiert wird. Vor dem Ausscheiden sind sämtliche Unterlagen und Daten sowie ausgehändigte Schlüssel zurück-zugeben. Es sind sämtliche eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen. Für eine begrenzte Übergangszeit können die Zugangs- und Zugriffsrechte zur Abwicklung eines geordneten Abschlusses bestehen bleiben. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt, so ist nach dem Ausscheiden einer der Personen die Zugangsberechtigung zu ändern.

53Personenbezogene Kennungen

Alle IT-Systeme und Anwendungen sind so einzurichten, dass nur berechtigte Benutzer die Möglichkeit haben, mit ihnen zu arbeiten. Infolgedessen ist eine Anmeldung mit Benutzerkennung und Passwort oder adäquater Verfahren erforderlich. Die Vergabe von Benutzerkennungen für die Arbeit an IT-Systemen soll in der Regel personenbezogen erfolgen. Die Arbeit unter der Kennung einer anderen Person ist unzulässig. Dem Benutzer ist untersagt, Zugangsdaten weiterzugeben.

Die Einrichtung und Freigabe einer Benutzerkennung darf nur in einem geregelten Verfahren erfolgen. Die Einrichtung, Freigabe und Sperrung sind zu dokumentieren.

54Administratorkennungen

Das Verwenden von Benutzerkennungen mit Administrationsrechten muss auf die dafür notwendigen Aufgaben beschränkt bleiben. Die Administratoren erhalten für diese Aufgaben eine persönliche Administratorkennung. Für Arbeiten, die keine besonderen Berechtigungsprivilegien erfordern, sind Standard-Benutzerkennungen zu verwenden.

55Zentralisierung des Identity- und Passwort-Managementsystems

Die IT-Dienstleister der Freien Universität Berlin sind verpflichtet, ein geeignetes System zur zentralen Identity- und Passwortverwaltung bereit zu stellen. Zur Authentifizierung und Autorisierung müssen alle zugangskontrollierten Systeme das zentral angebotene Identity- und Passwort-Managementsystem nutzen, soweit dies technisch umsetzbar und organisatorisch sinnvoll ist.

56Passwörter

Werden in einem IT-System Passwörter zur Authentifizierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass mit dem Passwort korrekt umgegangen wird. Die/der Benutzer/in hat ihr/sein Passwort geheim zu halten. Insbesondere darf das Passwort weder IT-Personal noch externen Dienstleistern bekannt gegeben werden, zum Beispiel im Rahmen der Nutzung von E-Mail-Sammeldiensten.

56aBildung von Passwörtern

1. Das Passwort darf nicht leicht zu erraten sein, wie zum Beispiel Benutzername, Vor- oder Nachname, Kfz-Kennzeichen, Geburtsdatum. Trivialpasswörter (z.B. "qwertz123" oder "12345678") sind nicht erlaubt.
2. Das Passwort darf nicht aus Wörtern bestehen, die in Wörterbüchern (Passwörterlisten als Grundlage so genannter Wörterbuchangriffe) enthalten sind.
3. Das Passwort muss mindestens 5 verschiedene Zeichen und mindestens zwei Nicht-Buchstaben (Ziffern oder Sonderzeichen) enthalten.
4. Das Passwort muss mindestens 8 Zeichen lang sein⁸⁾.
5. Alte Passwörter dürfen nach einem Passwortwechsel nicht mehr verwendet werden.

56bUmgang mit Passwörtern

1. Voreingestellte Passwörter (z. B. Standardpasswörter des Herstellers bei Auslieferung von Systemen oder Initialpasswörter) müssen durch individuelle Passwörter ersetzt werden.
2. Das Passwort muss geheim gehalten werden und darf bei persönlichen Benutzer-kennungen nur der/dem Inhaber/in der Benutzerkennung selbst bekannt sein.
3. Passwörter, die für Systeme und Dienste der Freien Universität Berlin benutzt werden, dürfen nicht für andere Zwecke verwendet werden.
4. Ein Passwortwechsel ist sofort durchzuführen, wenn der Verdacht besteht, dass das Passwort anderen Personen bekannt geworden ist oder wenn der Verdacht auf eine Systemkompromittierung besteht. Auch wenn Passwörter versehentlich bei anderen Systemen oder anderen Anbietern von Diensten eingegeben werden, muss das Passwort gewechselt werden. Bei der Abgabe von Rechnern oder Speichermedien, auf denen Passwörter abgelegt sind, müssen dann die betreffenden Passwörter gewechselt werden, wenn eine vorherige Löschung der Passwörter nicht gewährleistet werden kann (z.B. bei Abgabe eines Rechners im Reparaturfall).

56cAdministration von Passwörtern

Falls technisch möglich, sollten die Bildungsregeln aus 56a erzwungen werden.

1. Jede/r Benutzer/in muss ihr/sein eigenes Passwort jederzeit ändern können.
2. Das Passwort darf nicht länger als die Anzahl der signifikanten Stellen sein.
3. Für die Erstanmeldung neuer Benutzer sollten Einmalpasswörter vergeben werden, also Passwörter, die nach einmaligem Gebrauch gewechselt werden müssen. Initialpasswörter müssen individuell unterschiedlich sein und so gewählt werden, dass sie den hier festgelegten Anforderungen genügen.
4. Bei der Authentifizierung in vernetzten Systemen dürfen Passwörter nicht unverschlüsselt übertragen werden.
5. Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.

56dÜbergabe von Passwörtern

Grundsätzlich müssen Passwörter geheim gehalten werden. In Ausnahmefällen dürfen Passwörter dürfen nur über geschützte Kommunikationswege an berechtigte Adressaten übergeben werden. Bei der persönlichen Übergabe eines Passworts ist darauf zu achten, dass Unbefugte keine Kenntnis erlangen.

56eUmgang mit SSH-Keys

Wenn persönliche SSH-Keys zur Authentifizierung genutzt werden, muss der private SSH-Key sicher verwahrt und mit einer hinreichend langen Passphrase geschützt werden.

57Zugriffsrechte (Autorisierung)

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Aufgaben bevollmächtigt wird, IT-Systeme, IT-Anwendungen oder Daten zu nutzen. Jeder darf nur mit den Zugriffsrechten arbeiten, die unmittelbar für die Erledigung seiner Aufgaben vorgesehen sind. Im organisatorischen Ablauf muss zuverlässig verankert sein, dass das zuständige IT-Personal über die notwendige Änderung der Berechtigungen eines Anwenders, z.B. in Folge von Änderungen seiner Aufgaben, rechtzeitig informiert wird.

58Änderung der Zugriffsrechte

Entfällt (integriert in 52)

59Abmelden und ausschalten

Bei Verlassen des Raumes muss der Zugriff auf das IT-System durch einen Kennwortschutz gesperrt werden. Soweit technisch möglich ist ein Arbeitsplatz-Rechner so zu konfigurieren, dass dieser nach längerer Inaktivität automatisch gesperrt wird und nur nach erneuter Eingabe eines Passwortes zu aktivieren ist. Grundsätzlich sind die Systeme nach der Abmeldung auszuschalten, es sei denn, betriebliche Anforderungen sprechen dagegen.

60Verwendung dienstlicher E-Mail-Adressen

Für dienstliche Belange muss die dienstliche E-Mail-Adresse der Freien Universität Berlin zur elektronischen Kommunikation genutzt werden, sowohl als Empfangs- als auch als Absender-Adresse. Die automatische Weiterleitung der auf der dienstlichen E-Mail-Adresse eingehenden E-Mails auf Mail-Systeme, die nicht von der Freien Universität Berlin betrieben werden, ist nicht zulässig.

60aFernwartung

Bei einer Vereinbarung zur Fernwartung muss neben den datenschutzrechtlichen Erfordernissen auch der Handlungsleitfaden "Zugriff auf schützenswerte Daten der Freien Universität Berlin durch Externe" beachtet werden.