Leitfaden zur mobilen IT-Nutzung
Mobil genutzte Endger?te sind einer Reihe von besonderen Risiken ausgesetzt:
- Der Zugang zum Ger?t kann weniger gut eingeschr?nkt werden als es bei station?ren PC-Arbeitspl?tzen in abschlie?baren Büros der Fall ist.
- Die Wahrscheinlichkeit für einen Verlust des Ger?ts durch Diebstahl oder Verlieren ist deutlich h?her als bei station?ren PC-Arbeitspl?tzen.
- Die Wahrscheinlichkeit für einen Defekt des Ger?ts durch Sturz oder ?hnliches ist hoch.
- Es werden in der Regel h?ufig Netzzug?nge verwendet, die sich nicht im internen Datennetz der Universit?t befinden.
- Zugangsdaten zu unterschiedlichsten Diensten werden meist auf dem Ger?t abgelegt.
- Die Ger?te sind sehr eng mit kommerziellen Cloud-Diensten gekoppelt.
- Die Ger?te geben in der Regel viele Informationen über den Nutzer und die Nutzung an kommerzielle Cloud-Diensteanbieter weiter.
Es gibt dabei einige besondere Herausforderungen. Die auf mobilen Ger?ten besonders gewünschte einfache Nutzbarkeit geht oft zu Lasten der Sicherheit. Au?erdem sind Vertraulichkeit und Verfügbarkeit bei Mobilger?ten besonders schwer gleichzeitig optimal zu gew?hrleisten. Die Ablage von Daten in der Cloud würde zwar die Verfügbarkeit erh?hen. Sie ist aber im Hinblick auf Datenschutz bzw. Vertraulichkeit nicht erlaubt, wenn es sich um dienstliche Daten und einen kommerziellen Cloud-Provider handelt.
Nutzung privater Endger?te
Die Besch?ftigten nutzen zu dienstlichen Zwecken ausschlie?lich dienstliche Ger?te (AGO Freistaat Bayern, dritter Teil, Abschnitt I §10 Satz 4). In besonders geschützten Bereichen und im Umgang mit Verwaltungsdaten, wie zum Beispiel alle personenbezogenen Daten der Besch?ftigten und Studierenden und Daten der Ressourcenverwaltung, ist die Benutzung von privater Hard- und Software in Verbindung mit technischen Einrichtungen der teilnehmenden Institutionen und deren Netzen nicht gestattet.
Der Einsatz von privater Hard- und Software ist an einer Universit?t aber nicht g?nzlich vermeidbar. Sowohl die Studierenden als auch das wissenschaftliche Personal der Universit?t nutzen einen gro?en Teil der Dienste auch am eigenen Smartphone oder Laptop. Die Ausstattung aller Studierenden mit entsprechenden Ger?ten durch die Universit?t w?re nicht realisierbar. Aufgrund dieser Randbedingungen sind das Datennetz und die IT-Dienste an der Universit?t so ausgerichtet, dass sie auch mit beliebigen, nicht zentral administrierten Ger?ten genutzt werden k?nnen. Zum einen ist das Datennetz unter der Annahme konzipiert, dass sich auch im internen Netz potentiell unsichere Ger?ten befinden k?nnen. Hierzu wird zwischen unterschiedlichen Netzzonen für Mitarbeitende aus Lehre und Forschung oder Verwaltung, für Server, sowie hochschul?ffentliche Netzwerke (eduroam, UniBamberg-802.1x, @BayernWLAN) für den Netzzugang auch für Studierende (WLAN und VPN) unterschieden. Die ?berg?nge zwischen diesen Netzzonen sind durch Firewalls gesichert. Zum anderen sind die Serverdienste so konzipiert, dass sie über sichere Web-Schnittstellen oder über sichere Protokolle genutzt werden k?nnen. Die Studierenden greifen quasi als ?Kunden“ von ihren privaten Rechnern auf die Dienste zu.
In den für Mitarbeiterinnen und Mitarbeitende aus Forschung, Lehre und Verwaltung vorbehaltenen Netzzonen ist der Einsatz privater Hard- und Software nicht gestattet.
Die nachfolgend genannten Ma?nahmen sind auch für private Ger?te, mit denen Dienste der Universit?t genutzt werden, zu beachten.
Allgemeine Vorgaben für mobile IT-Systeme
Die folgenden Vorgaben betreffen alle dienstlich beschafften Ger?te. Für private Ger?te wird empfohlen, sie ebenfalls umzusetzen.
- Ein Sperrcode bzw. eine Bildschirmsperre sind zu aktivieren.
- Der Zugriff auf die Mailbox ist durch eine PIN vor unbefugtem Zugriff zu schützen.
- PIN, PIN2, PUK, PUK2 oder Einschaltkennw?rter dürfen nicht zusammen mit dem mobilen Ger?t bzw. der SIM-Karte aufbewahrt werden.
- Wenn Daten auf Ger?ten transportiert werden, müssen diese verschlüsselt werden, sofern diese als ?nur für den Dienstgebrauch“, ?vertraulich“ oder ?geheim" eingestuft sind. Dies gilt sowohl nur für aktiv genutzte Ger?te, als auch für mobile Datentr?ger (USB-Sticks, mobile Festplatten, etc.). Manche Ger?te erlauben die Verwendung eines Festplattenkennworts – es wird empfohlen, von dieser M?glichkeit Gebrauch zu machen. Wenn der Speicher des Ger?tes über Speicherkarten (zum Beispiel SD-Karte) erweitert wird, ist auch der Inhalt dieser Karten nach M?glichkeit zu verschlüsseln.
- Mobile Ger?te sind nach M?glichkeit physisch zu sichern (zum Beispiel mit einem Kensingtonschloss), um einen Gelegenheitsdiebstahl zu vermeiden.
- Lassen Sie das Ger?t nie unbeaufsichtigt.
- Die Weitergabe des Ger?ts an Dritte oder Fremde ist (auch vorübergehend) nicht zul?ssig.
- Das Ger?t ist au?erhalb der Nutzungszeiten zu sperren.
- Dienstliche Daten dürfen nicht bei kommerziellen Cloud-Dienstleistern abgelegt werden.
- Der Verlust eines dienstlichen Ger?ts ist umgehend zu melden. Dies gilt auch, falls sich Ger?te nach kurzer Zeit wieder auffinden. Nur mit dieser Meldung kann in der Situation entsprechend reagiert werden (zum Beispiel durch Sperrung der SIM-Karte oder Neu-Initialisierung des Ger?ts). Weitere Hinweise zum korrekten Verhalten bei Entwendung eines Gutes werden vom Justitiariat im Dokument ?Umgang mit Diebst?hlen“ zur Verfügung gestellt.
- S?mtliche unben?tigten Schnittstellen (WLAN, USB, Bluetooth, Infrarot, etc.) sind permanent bzw. nach einer erforderlichen Nutzung sofort wieder zu deaktivieren.
- Die Zugangsdaten zu den Diensten der Universit?t sind bei Verlust eines Ger?ts umgehend zu ?ndern.
- Falls das Ger?t abgegeben wird, d.h. vor Au?erbetriebnahme eines Ger?tes, sind die auf dem Ger?t gespeicherten Daten bei Bedarf entsprechend zu sichern und in jedem Fall unwiederbringlich und vollst?ndig zu l?schen. Die Konfiguration des Ger?tes ist zurückzusetzen, so dass mit dem Ger?t nicht mehr auf geschützte Universit?tsressourcen (zum Beispiel VPN-Zugang) zugegriffen werden kann.
- Die universit?ren Benutzerdaten (BA-Nummer, Passwort und E-Mail-Adresse) dürfen nur für dienstliche Aufgaben genutzt werden. Sie dürfen insbesondere nicht bei externen Dienstleistern zur Authentifizierung hinterlegt werden.
- Es ist eine Antivirensoftware einzurichten.
- Die Personal Firewall muss aktiviert sein.
Allgemeine Nutzungsempfehlungen
Folgende Ma?nahmen sollten angemessen umgesetzt oder berücksichtigt werden:
- Allgemeine Vorkehrungsma?nahmen gegen Diebstahl sollten getroffen werden. Auch in verschlossenen Fahrzeugen dürfen Ger?te nicht sichtbar gelagert werden.
- Datensparsamkeit: Wenn Daten unbedingt auf mobilen Ger?ten ben?tigt werden, sollte die Auswahl der Daten auf das N?tigste beschr?nkt werden.
- Die Applikationen sollten nur die Berechtigungen haben, die ben?tigt werden.
- Aus nicht vertrauenswürdigen Quellen sollten keine Anwendungen heruntergeladen und installiert werden.
- Installierte Anwendungen sind m?glichst aktuell zu halten.
- Alle Daten sollten verschlüsselt abgelegt werden.
- Von den Ger?teherstellern vorgesehene Sicherheitsfunktionen sollten verwendet und nicht (bspw. per Jailbreaking oder Rooting) umgangen werden.
- Beim Zugang ins Internet von ?ffentlichen Zugangspunkten aus (Hotel-WLANs usw.) hat besondere Vorsicht zu walten. In diesen Netzen sollten nur verschlüsselte Protokolle eingesetzt werden. Am besten ist es, einen VPN-Zugang zum Universit?tsnetz aufzubauen und dadurch die gesamte Kommunikation zu verschlüsseln. Es wird insbesondere darauf hingewiesen, dass die Speicherung von Passw?rtern im Klartext nicht zul?ssig ist.
- Es sollten sichere und datenschutzrechtlich unbedenkliche Cloud-Dienste wie die BayernCloud zur Speicherung der Daten verwendet werden.
- Im Rahmen von Gastaufenthalten an anderen Hochschulen (weltweit) empfiehlt sich die Verwendung des WLAN-Netzes eduroam. eduroam stellt sicher, dass sowohl für den Austausch der Zugangsdaten als auch für die sonstige Kommunikation ein vertrauenswürdiger verschlüsselter Kommunikationskanal zum WLAN-Accesspoint verwendet wird. Es empfiehlt sich auch hier, einen VPN-Zugang zum Universit?tsnetz aufzubauen und dadurch die gesamte Kommunikation zu verschlüsseln.
Smartphones
Auf Smartphones gibt es einige empfehlenswerte spezifische Einstellungen bzw. Funktionalit?ten:
- Das Ger?t sollte so konfiguriert sein, dass nach mehrmaliger fehlerhafter Eingabe der Zugangsdaten alle Daten auf dem Ger?t gel?scht werden.
- Darüber hinaus sollte die M?glichkeit eingerichtet sein, das Ger?t bspw. nach Verlust zurückzusetzen bzw. die Daten zu l?schen (Remote Wipe). Die Verwendung des Exchange-Dienstes der Universit?t hat als Voraussetzung, dass der Nutzer zustimmt, dass ein Remote Wipe vom Exchange Server ausgel?st werden kann.
- Die ?bermittlung von Standort- und anderen Nutzungsdaten sollte auf das notwendige Ma? minimiert werden.
Laptop/Tablets
Einige Vorgaben, die für alle PC-Systeme der Universit?t Bamberg gleicherma?en gelten, sind unabh?ngig von der mobilen Nutzung auch für Laptops verbindlich:
- Das Ger?t soll ins Active Directory eingebunden sein, um sicherstellen zu k?nnen, dass sicherheitsrelevante Gruppenrichtlinien wie gewünscht aktiviert sind und bleiben.
- Das Ger?t muss den Windows Server Update Service (WSUS)-Dienst verwenden, damit sicherheitsrelevante Aktualisierungen zeitnah eingespielt werden.
- Das vom IT-Service bereitgestellte Virenschutz-System ist zu verwenden und darf nicht deaktiviert werden.
Darüber hinaus ergeben sich einige besondere Ma?nahmen aus der mobilen Nutzung:
- Es ist sicherzustellen, dass bei Verlust keine dienstlichen Daten ausgelesen werden k?nnen. Dies kann bspw. erreicht werden, indem die Festplatte (bspw. per BitLocker) vollst?ndig verschlüsselt wird, indem ein verschlüsselter Container für die dienstlichen Daten verwendet wird oder indem die Festplatte mit einem Zugriffschutzpasswort versehen wird.
- Es empfiehlt sich das BIOS ebenfalls per Passwort zu schützen.
- Der IT-Service bietet mehrere M?glichkeiten an, auf dem Ger?t gespeicherte Daten mit einem zentralen Netzlaufwerk synchron zu halten, auch wenn das Ger?t nicht immer online ist. Es wird nachdrücklich empfohlen, eine dieser M?glichkeiten (Work Folders, Onedrive for Business, Offline-Verfügbarkeit, BayernCloud) je nach Einsatzszenario zu verwenden.
- Bei Verwendung des Ger?ts in ?ffentlichen Bereichen wie Bahnh?fen, Flugh?fen oder Zügen empfiehlt es sich, eine Sichtschutzfolie auf dem Bildschirm aufzubringen. Diese verhindert, dass der Bildschirm von seitlich mitgelesen werden kann.