Kommentar zur Richtlinie für den dienstlichen Einsatz mobiler und privater Geräte an der Leibniz Universität Hannover (LUH)

Der Informationssicherheitsstab der LUH

§1 Präambel

Mit dem zunehmenden Einsatz mobiler Geräte (Laptops, Tablets, Smartphones) zu dienstlichen Zwecken ergeben sich neue Herausforderungen an die Informationssicherheit und den Datenschutz, welche geeignete Maßnahmen erfordern. 

In dieser Richtlinie werden grundlegende Regeln für die dienstliche Nutzung mobiler und privater Geräte erlassen. 

§2 Verantwortlichkeiten für die Umsetzung dieser Richtlinie 

  1. Für dienstliche Geräte werden die aufgeführten technischen Regeln von der jeweilig zuständigen Administration umgesetzt. 

    Nicht alle technischen Maßnahmen können in unserer dezentral organisierten LUH zentral umgesetzt werden. Statt dessen müssen die administrativen Einheiten in den Einrichtungen der LUH die Regelungen für den jeweiligen Kontext realisieren.

  2. Für Geräte, welche von Beschäftigten eigenverantwortlich administriert werden – dies schließt auch private Geräte zur dienstlichen Nutzung („bring your own device“ = BYOD) ein – sind die Beschäftigten für die technische Umsetzung dieser Richtlinie verantwortlich.  

    Insbesondere private Geräte werden in der Regel nicht über zentrale Systeme (bsp. OPSI oder WSUS-Server des LUIS) oder von administrative Beschäftigten der LUH verwaltet und gewartet, sondern individuell von den Beschäftigten selbst. Daher können  solche Beschäftigte, die freiwillig ein privates Gerät im dienstlichen Kontext einsetzen, auch nur persönlich für die Umsetzung dieser Richtlinie verantwortlich sein. 

    Für Beschäftigte, welche auf dienstlichen Geräten über administrative Rechte verfügen (Stichwort: “root”-Account, “Administratoren”-Konto), gilt dies analog.  

§3 Geltungsbereich

Diese Richtlinie gilt für alle Angehörigen und Mitglieder der LUH, die mittels eines mobilen dienstlichen oder privaten Geräts die IT-Infrastruktur oder IT-Services der LUH dienstlich nutzen. Ausgenommen ist die ausschließliche Nutzung von WLAN über eduroam, z.B. für Tagungen oder Events in den Räumen der LUH.

Die Richtlinie gilt für mobile dienstliche und private Geräte ebenso wie für private Desktoprechner / Workstations. Nur für Besucher der LUH, welche über Eduroam oder WLAN-Gästetickets ausschließlich das WLAN der LUH nutzen, gilt die Richtlinie nicht.

§4 Grundsätzliches

  1. Eine Anordnung zur dienstlichen Nutzung privater Geräte (BYOD) durch die Dienststelle ist nicht zulässig.
     
    Zur Bearbeitung dienstlicher Aufgaben ist die LUH verpflichtet, entsprechendes Werkzeug bzw. Material zur Verfügung zu stellen. Die Nutzung privater Geräte verlagert zudem notwendigerweise einen Teil der Verantwortung auf Beschäftigte. Die Nutzung privater Geräte für dienstliche Zwecke kann daher nicht angeordnet werden. 
     

  2. Der dienstliche Einsatz privater Geräte (BYOD) kann situationsbedingt sinnvoll sein und muss von der Einrichtungsleitung genehmigt werden. Die Verantwortung für die Umsetzung dieser Richtlinie liegt gemäß der Ordnung zur Informationssicherheit der LUH bei der jeweiligen Einrichtungsleitung. 
     
    Da die Dienstgeschäfte sehr kurzfristig ins Homeoffice verlagert werden mussten, war es  nicht möglich, alle Beschäftigten mit mobilen Endgeräten auszustatten, oder dienstliche stationäre Arbeitsplätze kurzfristig mit ins Homeoffice zu nehmen. Aber auch außerhalb der Pandemie kann es vereinzelt Gründe geben, private Geräte für dienstliche Zwecke einzusetzen, z.B. um kurz private Termine mit dem dienstlichen Kalender abzustimmen
     
    Die Verantwortung für die Informationssicherheit liegt gemäß “Ordnung zur Informationssicherheit” immer bei der Einrichtungsleitung. Daher kann auch nur diese in Abwägung der Risiken die Entscheidung treffen, einer oder einem Beschäftigten die Nutzung privater Geräte zu gestatten. Es empfiehlt sich für beide Seiten, diese Genehmigung zu verschriftlichen. 
     

  3. Durch die Einrichtungsleitung wird festgelegt, welche Daten auf mobilen und privaten Geräten gespeichert werden dürfen. Die Festlegung soll anhand einer Risikobewertung und der damit verbundenen Klassifizierung der Daten erfolgen.
     
    Je nach Tätigkeitsbereich ist es sinnvoll, nur den Umgang mit bestimmten Daten auf privaten Endgeräten zu gestatten. So ist z.B. die Einsicht in dienstliche Termine mit weniger Gefahren verbunden, als die Bearbeitung von Daten aus Drittmittelprojekten mit Industrieunternehmen mit entsprechenden Geheimhaltungsvereinbarungen

    Die Einrichtungsleitung ist verantwortlich für die Informationssicherheit in ihrem Bereich und kann einschätzen, welches Risiko für den Verlust oder Verletzungen der Vertraulichkeit sie für welche Daten tragen kann. Neben datenschutzrechtlichen Erwägungen sind hierbei z.B. auch Vertraulichkeitsvereinbarungen und die Möglichkeit von Wissenschaftsspionage zu beachten. Auch hier ist es ratsam, die Entscheidungen zu verschriftlichen.   

  1. Kompromittierte dienstlich genutzte Geräte (mobile und private), ZugangsdatenBerechtigungsnachweise und Hardwaretokens sind durch die Nutzenden unverzüglich der oder dem zuständigen IT-Beauftragten und der oder dem zuständigen dezentralen Informationssicherheitsbeauftragten zu melden, um eine unverzügliche Sperrung zu veranlassen. Ersatzweise kann eine Meldung an security@uni-hannover.de erfolgen.
     
     siehe 5.
     

  2. Der Verlust eines Geräts ist durch die Nutzenden der oder dem zuständigen IT-Beauftragten und der oder dem zuständigen dezentralen Informationssicherheitsbeauftragten unverzüglich anzuzeigen. Ersatzweise kann eine Meldung an security@uni-hannover.de erfolgen. Personalisierte Nutzungszugänge oder Freigaben vom verlorenen Gerät zu IT-Services der LUH sind unverzüglich zu sperren. Das Gerät ist – soweit möglich – durch Fernzugang („remote“) zurückzusetzen. Dies gilt ebenso bei einem temporären Verlust, wenn zwischenzeitliche Manipulationen am Gerät nicht ausgeschlossen werden können.
     
    Auch bei größtmöglicher Sorgfalt ist es niemals auszuschließen, dass mobile Geräte gestohlen werden, eine Schadsoftware installiert wird oder Zugangsdaten bzw. Chipkarten verloren gehen. Es sind Fälle bekannt, in welchen Geräte von ausländischen Staatsorganen, z.B. bei der Einreise ohne Anwesenheit des Eigentümers näher untersucht und manipuliert wurden. Auch, wenn ein Gerät z.B. auf Tagungen oder im Hotel zwischendurch nicht auffindbar war, ist Vorsicht geboten. 
     
    Um einen größeren Schaden für die LUH zu vermeiden, müssen Vorfälle dieser Art so schnell wie möglich an die IT-B
    eauftragten der eigenen Einrichtung, dem zuständigen Informationssicherheitsbeauftragten oder dem Informationssicherheitsteam gemeldet werden. Diese werden einzelfallbezogen und ggf. in Abstimmung mit dem Informationssicherheitsteam und der Stabsstelle Datenschutz weitere Schritte zur Gefahrenabwehr einleiten.
     
    Nach Möglichkeit sollte das mobile Gerät
     bis zur endgültigen Klärung nicht mehr, bzw. nur noch in Notsituationen (z.B. Rückflugticket auf dem Geräte gespeichert, einzige Kontaktmöglichkeit, etc.) verwendet werden.    
     

  3. Bei Dienstreisen außerhalb von EU oder EWR sind ergänzend weitere Maßnahmen zu beachten. Insbesondere soll auf die Speicherung dienstlicher Daten auf mitgeführten Mobilgeräten verzichtet werden, um einen Zugriff auf dienstliche Daten durch ausländische Geheim- bzw. Nachrichtendienste oder andere Stellen zu erschweren. Entgegen der an der LUH verbindlichen Vorgabe muss je nach individueller Einreisebestimmung des Reiseziels ggf. auf eine Verschlüsselung verzichtet werden1. Personenbezogene oder sensible, dienstliche Daten dürfen auf diesen Geräten nicht mitgeführt oder verarbeitet werden.
     
    In einigen Ländern sind Verschlüsselungen verboten und können zu rechtlichen Problemen führen. Es sind Fälle bekannt geworden, in welchen im Rahmen von z.B. Grenzkontrollen Spionagesoftware auf mobilen Geräten installiert wurde (vgl. 5). 
    Bei Auslandsreisen ist es daher wichtig, sich im Vorfeld über die jeweiligen Bestimmungen und Gefahren zu informieren und
     ggf. ein spezielles Gerät nur für diesen Zweck zu nutzen, auf welchem nur die wirklich notwendigen und nicht schutzwürdigen Daten vorhanden sind. Es kann vorab geklärt werden, ob Daten nach der Einreise über z.B. Seafile “nachgeholt” werden können.   

§5 Allgemeine Verhaltensweisen

  1. Mobile Geräte sind stets an der Person oder an einem sicheren Ort zu verwahren, um Diebstahl oder Verlust vorzubeugen.  
     
    Dieben nutzen jede Gelegenheit und auch vermeintlich alte, wenig attraktive Geräte werden noch gestohlen, wenn dieGelegenheit günstig ist. Insbesondere im Rahmen der Beschaffungskriminalität sind die Täter nicht auf hohe Werte aus, sondern auf Geräte, welche sich einfach entwenden und schnell weiterverkaufen lassen.

    Ein Auto ist z.B. kein sicherer Ort, insbesondere, wenn ein Gerät von außen sichtbar ist. Das verschlossene Büro kann hingegen als sicherer Ort gemäß dieser Richtlinie angesehen werden. Da es in der Vergangenheit bereits mehrfach zu Einbrüchen in Diensträume der LUH gekommen ist, empfieht es sich dennoch, auch hier zusätzliche Sicherungsmaßnahmen zu ergreifen, um Diebstähle zu erschwerden und z.B., das Gerät nach Feierabend in einem abschließbaren Schrank aufzubewahren.

    Auch wenn viele Geräte nach Diebstahl direkt verkauft und neu installiert werden, kann ein Datenverlust oder ein gezielter Raub zur Vorbereitung weitere Angriffe oder im Rahmen von Wissenschaftsspionage nie ausgeschlossen werden.

  1. Mobile Geräte dürfen im öffentlichen Raum nie unbeaufsichtigt bleiben, um Manipulationen und Diebstahl vorzubeugen. 
     
    Der öffentliche Raum ist kein sicherer Ort nach §5(1). Die Einsichtnahme in vertrauliche Daten oder die Installation von Spionagesoftware kann ebenfalls sehr schnell erfolgen, selbst wenn das Gerät nur kurz aus den Augen gelassen wurde.

    So sollten mobile Geräte z.B. auch auf Konferenzen und Tagungen während der Pausen immer mitgenommen werden. Auch an Arbeitsplätzen der LUH mit Publikumsverkehr ist erhöhte Wachsamkeit geboten. 

  1. Die Weitergabe eines entsperrten dienstlichen Geräts an Dritte ist untersagt. Die Weitergabe eines dienstlichen genutzten privaten Gerätes an Dritte ist nur unter Kontrolle der bzw. des Beschäftigten gestattet, wenn sichergestellt ist, dass kein Zugriff auf bzw. keine Einsicht in dienstliche Daten erfolgt.
     
    Das dienstliche Gerät sollte nie aus der Hand gegeben werden. Das private Gerät darf auch einem Familienmitglied nur gegeben werden, wenn die dienstlichen Daten z.B. durch Partitionierung oder nicht hinterlegte Passworte ausreichend vor Zugriff und Einsichtnahme geschützt sind. Auch vor dem eigenen Ehepartner oder Kindern dürfen Dienstgeheimnisse nicht offenbart werden!
     

  2. Der Zugriff auf dienstliche Daten darf ausschließlich über vertrauenswürdige und verschlüsselte WLAN-Verbindungen erfolgen. Sollte dies nicht sichergestellt werden können, so ist das VPN der LUH zu verwenden. Bluetooth-Verbindungen sind nur mit vertrauenswürdigen Geräten gestattet.
     
    Über offene WLANs ohne zumindest WPA2 oder besser WPA3 Verschlüsselung können unverschlüsselte Daten sehr einfach abgehört werden. Aber auch verschlüsselte Verbindungen sind zunächst nur bis zum Access-Point verschlüsselt und könnten auf dem Weg von diesem zum Internet ebenso abgehört werden. 
     
    An der LUH kann von einer “sicheren” Verb
    indung ausgegangen werden. Die eigenen, heimischen Access-Points stehen wie die privaten Geräte unter der eigenen persönlichen Verantwortung. In z.B. Cafés und Bars sollte dem Netzwerk grundsätzlich nicht vertraut werden. Bei Nutzung des VPN-Netzwerks der LUH werden alle Verbindungen vom Endgerät bis zur LUH verschlüsselt. Unsichere Strecken zwischen dem eigenen Gerät und dem Internet können auf diese Weise überbrückt werden. Andererseits  könnte  Schadsoftware über die VPN-Verbindung auf  Ressourcen der LUH zugreifen.
     
    Auch über Bluetooth-Verbindungen können Daten manipuliert und Geräte angegriffen werden. Gefahr droht vor allem bei der automatischen Wiederverbindung mit bereits bekannten Geräten, bei der eine Verbindung mit einem Angreifer unter vorgetäuschter Identität zusatande kommen könnte. Solche Verbindungen sollten daher nur mit bekannten (in der Regel eigenen) Geräten in vertrauten Umgebungen genutzt werden. 

  3. Die Nutzung und der Anschluss von Datenträgern und (USB-)Geräten aus unbekannter oder zweifelhafter Herkunft ist untersagt.
     
    Über manipulierte USB-Geräte oder Schadsoftware auf USB-Sticks können mobile Geräte  mit Schadsoftware infiziert werden. Dies betrifft nicht nur auf der Straße gefundene USB-Sticks, sondern auch übliche “Austausch-Sticks” im Freundeskreis, oder gezielte manipulierte Geräte insbesondere im außereuropäischen Ausland.
     

  4. Smartphone, Tablets und ähnliche Geräte dürfen grundsätzlich nicht direkt über USB an fremde mobile Geräte oder Ladeterminals angeschlossen werden. In diesen Fällen soll ein USB Data Blocker verwendet werden.
     
     
    Auch für kabelgebundene Ladeterminals gilt dasselbe wie für §5(5). Es sind Fälle bekannt, in welchen diese manipuliert wurden, um Schadsoftware auf mobilen Geräten zu installieren. Um dies zu vermeiden, gibt es sog. USB-Datablocker, welche nur eine Stromversorgung ermöglichen, jedoch keine Datenübertragung. Zum Laden im Auto können auch USB-Steckdosen für den Zigarettenanzünder genutzt werden. Auch das „drahtlose Laden“ ist unkritisch zu sehen.  
     

  5. Vor Außerbetriebnahme oder einer Reparatur durch Dritte – insbesondere auch bei dienstlich genutzten privaten Geräten – sind die auf dem Gerät gespeicherten dienstlichen Daten unwiederbringlich und vollständig zu löschen. Z.B. kann die Konfiguration des Gerätes zurückgesetzt werden oder Datenträger können physisch zerstört oder entnommen werden, so dass von dem Gerät nicht mehr auf die IT-Infrastruktur und IT-Services der LUH – etwa E-Mail-Zugänge, Dateiablagen oder VPN-Zugänge – zugegriffen werden kann. 
     
    Bei einer Außerbetriebnahme oder Reparatur durch Dritte ist das Gerät analog zu §5(2) unbeaufsichtigt. Es gelten daher dieselben Ausführungen. Einige Hersteller verlangen ein Einsenden von Notebooks mit Festplatte, hier kann es zur Diskussionsvermeidung sinnvoll sein, temporär eine andere Festplatte einzubauen, bei z.B. Smartphones ist dies leider nicht möglich. 
     
    Bei Rep
    aratur nicht mehr startbarer Smartphones mit dienstlichen Daten müssen Geheimhaltungsvereinbarungen mit der ausführenden Firma getroffen und genutzte Zugangsdaten zu Systemen der LUH sicherheitshalber geändert werden. 

§6 Datenhaltung

  1. Auf mobilen Geräten sollen so wenig dienstliche Daten wie möglich gespeichert werden („Datensparsamkeit“). Zur Datenhaltung ist eine Einbindung von Netzlaufwerken der LUH (z.B. Seafile) oder die Nutzung der IT-Services in der LUH-Cloud angeraten, auch um einem Datenverlust vorzubeugen. Die Nutzung von außerhalb der LUH angebotenen Cloud-Services ist für dienstliche Daten grundsätzlich nicht gestattet.
     
     
    Durch die Nutzung von Netzlaufwerken der LUH gehen Daten bei Verlust des mobilen Geräts nicht verloren und gelangen nicht in die Hände Dritter. Sie liegen außerdem nicht direkt auf dem Gerät vor und können schwieriger manipuliert oder von Fremdanwendungen (unberechtigt) genutzt werden. Die Verbindung zu den Netzlaufwerken ist über das LUH-VPN sicher möglich. 
     
    Frei verfügbare und vermeintliche kostenlose Cloudspeicher räumen sich hingegen über die AGB bisweilen Nutzungsrechte an den gespeicherten Daten ein oder lehnen jegliche Verantwortung für einen Datenverlust ab. Dies kann Geheimhaltungsvereinbarungen oder Dienstgeheimnisse verletzen und es bedarf zumindest einer zusätzlichen Verschlüsselung vor Übertragung der Daten und einer Sicherung der Daten, z.B. auf einem Netzlaufwerk der LUH. Hierduch ist der Einsatz gegenüber der Nutzung von z.B. dem  Seafile der  LUH  nicht sinnvoll.
     
    Ausnahmen sind z.B. in Projekten mit externen Projektpartner denkbar. Hier sollte genau abgewogen werden, welche Daten im Rahmen de
    r Zusammenarbeit tatsächlich auf externe Cloud-Services gespeichert werden sollen und wie diese dort geschützt sind. Es kann Sinn ergeben,eine Risikoübernahme des Projektpartners für Verletzungen der Vertraulichkeit oder Datenverlust zu verschriftlichen. 
     

    Auch ein Cloud-Backup von Smartphones oder die Nutzung von Datenhaltungen der Betriebssystemanbieter sind betroffen, da diese in der Regel nicht vollständig verschlüsselt werden und durch Fehler oder gesetzliche Anforderungen (Stichwort: “Cloud-Act”) im Zugriff Dritter bzw. außereuropäischer Regierungen liegen können.
     

  2. Ein Zugriff der Dienststelle auf private, dienstlich genutzte Geräte findet nicht statt.
     
    Die Dienststelle darf private Geräte nicht kontrollieren oder einsehen, dennoch ist jeder Bedienstete dafür verantwortlichRisiken für die LUH durch sein Gerät zu vermeiden, insbesondere indem diese Richtlinie eingehalten wird. 

    Für Einrichtungs
    leitungen ergibt sich hieraus ggf. eine Herausforderung, wenn dienstliche Daten entgegen der Richtlinie ausschließlich auf dem privaten Gerät gespeichert waren und bei Ausscheiden des Beschäftigten von der Einrichtung ggf. nicht mehr genutzt werden können.
     

§7 Sicherheitseinstellungen

  1. Alle Geräte sind mit einer Zugriffssperre (sicherer Pin-Code, sicheres Kennwort, usw.) zu versehen, um eine unbefugte Nutzung zu verhindern. 
     
    Der Zugriff auf dienstliche genutzt Geräte kann nur verhindert werden, wenn das Gerät durchgehend beaufsichtigt und / oder der Zugriff anderweitig verhindert wird. Da eine durchgehende Beaufsichtigung nicht immer möglich ist, sind Zugangssperren unumgänglich. 
      

  2. Dienstlich genutzte mobile und private Geräte müssen sich bei Inaktivität automatisch sperren. Grundsätzlich ist eine maximale Dauer von 10 Minuten vorzusehen, für Smartphones von 2 Minuten. 
     
    Die Zugriffssperre wird durch z.B. Ablenkung leicht vergessen und ein unberechtigter Zugriff ermöglicht. Das Gerät sollte daher bei Nichtnutzung möglichst schnell gesperrt werden. Gleichwohl darf die Sperre nicht behindern, in dem sie sich z.B. beim Lesen eines Textes oder einer Präsentation einschaltet. Die hier angegeben Werte sind ein guter Mittelweg und werden so auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.   

  3. Schnittstellen und Funktionen (z.B. Bluetooth, WLAN, Entwicklermodus) sollen nur aktiviert sein, während sie benötigt werden. 
     
    Jede Schnittstelle und jede Funktion können Schwachstellen aufweisen und stellen daher ein Risiko dar. Daher sollten alle Funktionen und Schnittstellen, welche nicht benötigt werden, deaktiviert werden. Diese Regelung ist mit Augenmaß anzuwenden. Bluetooth zu deaktivieren, weil das Headset aufgrund eines Anrufs gerade nicht benötigt wird, ist sicherlich nicht notwendig. Wenn das Headset aber nur einmal pro Woche genutzt wird, ist ein Abschalten sinnvoll (und schont auch den Akku). Auch die Nutzung der Corona-Warn-App ist ein triftiger Grund, BT nicht zu deaktivieren.

§8 Geräteanforderungen

  1. Datenträger in mobilen Geräten sind grundsätzlich zu verschlüsseln, um gespeicherte Daten bei Verlust des Gerätes zu schützen (vgl. Rundschreiben 2/2019).
     
    Unverschlüsselte Datenträger können bei Verlust ausgelesen werden, auch wenn sie fest im Gerät verbaut sind. Solche Vorfälle bergen daher nicht nur unnötige Risiken, sondern sind auch grundsätzlich meldepflichtig bei der nds. Landesbeauftragten für Datenschutz.
     
    Aktuelle Smartphones sind in der Regel bereits verschlüsselt, bei Notebooks bzw. in stationören Betriebssystem ist eine Verschlüsselung zumindest häufig vorgesehen. (siehe auch 
    www.luis.uni-hannover.de/de/services/it-sicherheit/praevention/datenverschluesselung/)
     

  2. Betriebssysteme sind regelmäßig – idealerweise automatisiert – zu aktualisieren. Insbesondere sind sicherheitskritische Aktualisierungen unverzüglich zu installieren.
     
    Kein Betriebssystem ist ohne Fehler. Einige Fehler führen nur zum Absturz; über andere, sicherbeitskritische Fehler sind Angriffe gegen die LUH möglich. Solche Fehler werden häufig sehr schnell durch Updates der Betriebssystemhersteller behoben. Updates der Hersteller sind daher unverzüglich, ggf. sogar automatisiert einzuspielen. Weniger kritische Updates können nach entsprechender Risikoabwägung ggf. leicht verzögert werden, um fehlerhafte Updates zu vermeiden.
     

  3. Ein iOS Jailbreak, Android Rooting und vergleichbare Eingriffe in Betriebssysteme von Geräten mit dienstlicher Nutzung sind grundsätzlich nicht gestattet.
     
    Durch Jailbreaks oder Rooting werden sowohl dem Administrator wie auch den Apps Zugriffe mit erhöhten Systemrechten ermöglicht. Hierdurch können Schutzmechanismen des Betriebssystems und Sicherheitsmaßnahmen der Softwareportale der Hersteller umgangen werden. In Folge dessen steigt die Gefährdung dieser Geräte durch Schadsoftware und es entsteht ein erhöhtes Risiken für die gesamte  IT-Infrastruktur der LUH.   
     

  4. Die Nutzung von Geräten mit dem Nutzenden bekannten Sicherheitslücken ist grundsätzlich nicht zulässig.
     
    Diese Richtlinie fordert regelmäßige Aktualisierungen von Betriebssystemen und Anwendungen, um die Gefahren der LUH durch sicherheitskritische Fehler zu senken. Es gibt jedoch Geräte ohne Herstellersupport, für welche selbst sicherheitskritische Fehler nicht mehr behoben werden. Wer bewusst Geräte mit bereits bekannten und kritischen Sicherheitslücken in der Infrastruktur der LUH betreibt, bzw. mit diesen dienstliche Daten nutzt, gefährdet die Systeme der LUH. Eine solche Nutzung muss daher grundsätzlich unterlassen werden. Dies betrifft insbesondere auch oft ältere, eher günstige Smartphones, welche zwar noch alltagstauglich wären, aber ebenfalls eine zu große Gefährdung für die LUH darstellen.
     

  5. Zum Schutz vor Schadprogrammen ist auf mobilen Geräten mindestens die vom Betriebssystem vorgesehene Malware-Protection-Software ("Virenscanner") zu aktivieren. Für diese ist eine automatisierte Aktualisierung zwingend erforderlich.
     
    Geräte werden oft über E-Mail oder Webseiten mit Schadsoftware infiziert. Neue Schadsoftware wird zwar oft nicht am ersten Tag, aber spätestens nach einigen Tagen von aktualisierten Virenscannern erkannt, in einigen Fällen greifen auch schon früher Heuristiken. Als Minimal-Lösung sollten daher zumindest die vom Betriebssystemhersteller angebotenen Lösungen (z.B. Microsoft Defender, oder Google Play Protect) aktiviert sein und regelmäßig aktualisiert werden.Softwarelösungen von Drittanbietern können ebenfalls genutzt werden. Die Wirksamkeit dieser Lösungen variiert stark und ist auch von der jeweils akuten Bedrohung abhängig. Die „beste“ Lösung gibt es daher nicht.
     

§9 Software und Anwendungen / Apps

  1. Es ist nur Software aus vertrauenswürdigen Quellen zulässig (z.B. LUIS Softwareverteilung, Google Play Store, Apple App Store, Microsoft Store, Direktbezug beim Anbieter, etablierte Softwarehäuser, stationärer Einzelhandel). 
     
    Software vom Betriebssystemhersteller, aus Rahmenverträgen der LUH, oder aus dem stationären Einzelhandel sind in der Regel frei von Schadsoftware und lizenzrechtlich nutzbar. Vermeintlich günstige Angebote über Online-Auktionshäuser, Tauschbörsen oder Foren können Malware enthalten und werden zudem teilweise ohne korrekte Lizensierung angeboten. Im Zweifelsfall sollte immer Rücksprache mit dem Lizenzmanagement des LUIS (go.lu-h.de/lizenzen) oder dem Informationssicherheitsteam des LUIS gehalten werden.  
     

  2. Bei der Installation von Apps aus den in Abs. 1 genannten Quellen sind alle Berechtigungen der zu installierenden App stets zu überprüfen. Apps, welche Rechte ohne erkennbaren Bezug zur Funktionalität erfordern, sind zu vermeiden. Das Geschäftsmodell vermeintlich kostenloser Apps ist stets zu hinterfragen, teils droht ein unberechtigter Datenzugriff oder das Einschleusen von Schadsoftware („Malware“). 
     
    Die Entwicklung von Apps ist zeitintensiv und kostet Geld. Insbesondere bei guten, günstigen Apps, sind daher die Geschäftsmodelle zu hinterfragen. Es gibt zwar Software, welche im Sinne des Opensource-Gedankens nur zum Selbstzweck ohne wirtschaftliche oder anderweitige Hintergedanken angeboten wird, häufig werden Apps aber auch durch Werbung oder den Verkauf von Daten der Nutzenden finanziert. Dies kann durchaus ein legitimes Geschäftsmodell sein, in einigen Fällen werden aber auch vertrauliche oder personenbezogene Daten genutzt, teilweise ohne entsprechende Aufklärung des Nutzenden. Ein gutes, bekanntes Beispiel ist die Taschenlampen-App, die Zugriff auf Netzwerk und Adressbuch benötigt, den sie offensichtlich für die Funktion nicht benötigt. 
     
    Besonders unseriöse Software, welche teilweise auch über die offiziellen Softwareportale der Gerätehersteller erhältlich ist, räumt sich Rechte ein, um Schadsoftware nachzul
    aden bzw. zu installieren, oder Daten aus anderen Apps auszulesen und als Basis für weiterführende Angriffe zu nutzen.  
     
    Es muss daher immer überprüft werden, welche Rechte eine App benötigt und ob diese Rechte sinnvoll erscheinen, auch die Datenschutzerk
    lärungen geben manchmal - aber nicht immer - Auskunft. Bei ersten Zweifeln sollte eine App nicht installiert werden. Dies trifft leider auch auf Aktualisierungen zu, da auch etablierte Apps, bisweilen die Geschäftsmodelle ändern und mit einer Aktualisierung Funktionalitäten aufweisen, welche einer weitere Nutzung entgegenstehen. 
     

  3. Es sollen nur notwendige Apps und Anwendungen installiert werden, Apps und Anwendungen, welche nicht mehr benötigt werden, sind unverzüglich zu deinstallieren. Jede installierte Anwendung stellt einen möglichen Angriffspunkt dar, über welchen beispielsweise Daten abfließen oder das Netzwerk der LUH kompromittiert werden können. 
     
    Viele Apps und Anwendungen werden nur kurzfristig eingesetzt oder teilweise auch nur ausprobiert und bleiben danach auf dem Gerät installiert. Der Speicherplatz fällt bei aktuellen Geräten kaum noch ins Gewicht und das Sortieren und Löschen ungenutzer Software kostet Zeit. Jede Anwendung kann aber Sicherheitslücken enthalten oder durch Updates zum Risiko werden (vgl. §9(2)). Daher sollten nur Apps installiert bleiben, welche tatsächlich in absehbarer Zeit benötigt werden. Auch für die Übersicht auf dem eigenen Gerät kann dies zudem hilfreich sein und die Nutzbarkeit steigern.  
     

  4. Die korrekte Lizensierung der eingesetzten Software ist zu beachten. Insbesondere ist zu prüfen, ob der Einsatz von Hochschullizenzen auf dienstlich genutzten, privaten Geräten durch die Lizenzbedingungen abgedeckt ist. Umgekehrt ist der dienstliche Einsatz von für die private Nutzung lizensierter Software häufig ebenfalls nicht zulässig. 
     
    Die Nutzung privater Geräte zum dienstlichen Gebrauch ist lizenzrechtlich bisweilen genauso problematisch wie die Nutzung dienstlicher Geräte zum privaten Gebrauch. 
     
    Einige Angebote, z.B. Sophos oder Corel wurden mit e
    iner Homeuse-Lizenz beschafft und dürfen explizit privat und dienstlich genutzt werden. Bei anderen Produkten drohen aber hohe Forderungen der Hersteller, wenn z.B. nur educational-Lizenzen beschafft wurden, diese aber auf privaten Geräte - ggf. sogar ohne dienstlichen Bezug - genutzt werden. 
     
    Im Gegenzug gibt es einige beliebte Programme, die für private Zwecke kostenlos sind, aber für die dienstliche Nutzung lizensiert werden müssen. Im Zweifelsfall sollte daher immer beim Lizenzmanagement des LUIS nachgefragt werden.

     

  5. §8 Abs. 2 und 4 gelten für Software und Anwendungen entsprechend.
     
    Apps und Anwendungen dürfen genauso wie Betriebssysteme nur verwendet werden, wenn Sie über keine bekannten Sicherheitsprobleme verfügen. Eine App oder Anwendung, für welche es bekannte Lücken gibt, welche nicht behoben werden kann, darf grundsätzlich nicht weiter eingesetzt werden.

§10 Administration

  1. Zur Nutzung mobiler und dienstlich genutzter, privater Geräte sind - soweit technisch möglich - nicht privilegierte Zugangskonten zu verwenden (keine Administrationsrechte). Zugangskonten mit administrativen Privilegien dürfen nur temporär und ausschließlich zu administrativen Zwecken verwendet werden.  
     
    Angriffe mit Schadsoftware können während der normalen dienstlichen Tätigkeit erfolgen, z.B. durch vermeintlich unkritischE-Mail-Anhänge oder Downloads. Dies wird gefährlich, wenn sich die Schadsoftware mit ausreichenden Rechten tief in das Betriebssystem verankern kann. Dieses Risiko kann durch eine strikte Rechtetrennung vermieden werden. Administrative Konten (”Administrator”, “root”) dürfen daher ausschließlich für administrative Zwecke verwendet werden, wenn die Rechte des normalen Nutzeraccounts nicht ausreichen. Bei Geräten ohne Rechtetrennung ist dieser Absatz gegenstandslos.
     

  2. Auf Geräten mit mehreren, unabhängigen Zugangskonten ist sicherzustellen, dass alle Zugangskonten nur genau die Rechte erhalten, die sie benötigen. Zugangskonten, welche nicht mehr verwendet werden, sind unverzüglich zu entfernen
     
    Mehr Rechte bedeuten mehr Möglichkeiten und damit einhergehend auch mehr Risiken. Es sollten daher nur notwendige Rechte vergeben werden. Hierbei ist auch auf temporäre Rechte zu achten, welche aus guten Gründen vergeben werden, aber nie wieder entzogen werden. Hierdurch entstehen z.T. auch verwaiste Konten mit vielen Rechten. Diese können Angreifern als Ausgangspunkt für unbemerkte Zugriffe auf die Systeme der LUH dienen. Ein prominentes älteres Beispiel ist der berühmte KGB-Hack, bei welchem sich Kriminelle über veraltete Accounts auf Systemen der UC Berkeley Zugriff auf Behörden und millitärische Einrichtungen der USA erlangten.

§11 Schlussbestimmungen

Diese Richtlinie tritt mit Ihrer Veröffentlichung im Verkündungsblatt der LUH in Kraft.