zum Inhalt springen

Regionales Rechenzentrum (RRZK)

IT-Sicherheitsrichtlinien

Leitlinien einer IT-Sicherheitsarchitektur für die kooperative, verteilte Informationsverarbeitung in Forschung und Lehre an der Universität zu Köln

Präambel

Das vorliegende Dokument setzt den Rahmen für die IT-Sicherheitsstandards und für die Umsetzung der daraus abgeleiteten Sicherheitsrichtlinien und Maßnahmen. Zum Schutz der IT-Infrastruktur der Universität sind die IT-Sicherheitsleitlinie und die daraus abgeleiteten Richtlinien und Maßnahmen für alle Mitarbeiter und Studierenden der Universität zu Köln im Bereich der Forschung und Lehre verbindlich. Verbindliche Regelungen und organisatorische Maßnahmen zur Gewährleistung der erforderlichen IT-Sicherheit sind auch ein rechtliches Erfordernis für die Universität: Zum einen gibt es spezielle rechtliche Bestimmungen, wie z.B. zum Datenschutz, deren Einhaltung nur mit entsprechenden IT-Sicherheitsstandards gewährleistet werden kann. Zum anderen sind die Verantwortlichen der Universität unabhängig von speziellen Vorschriften zur IT-Sicherheit zur Abwehr von absehbaren Gefahren und Schäden verpflichtet. Erhebliche Schäden für die Universität und das Land sind z.B. bei einem Hacker-Angriff möglich durch direkte Schädigung der Universität etwa bei Vernichtung von wichtigen Daten oder Arbeitsausfall über einen längeren Zeitraum durch Ausfall der IT-Infrastruktur. Darüber hinaus muss mit nachfolgenden Schadensersatzforderungen geschädigter Dritter gerechnet werden. Zur Vorbeugung solcher Schäden gilt es mindestens die „verkehrsübliche Sorgfalt“ einzuhalten, um sich nicht dem Vorwurf des schuldhaften Handelns auszusetzen, zu dem auch eine mangelhafte Organisation zählt.

1. Einleitung

Die IT-Infrastruktur ist ein wesentlicher Bestandteil nahezu aller Arbeitsabläufe an der Universität zu Köln. Forschung und Lehre der Universität zu Köln sowie Verwaltungsaufgaben sind von der Nutzung der IT-Infrastruktur abhängig. Die Verfügbarkeit dieser Infrastruktur wird mit zunehmender Häufigkeit einer missbräuchlichen Nutzung und mit einer wachsenden Zahl von Angriffen auf IT-Komponenten wie Rechner, Applikationen und Netze zunehmend bedroht. Schwachstellen in Betriebssystemen und Anwendungsprogrammen, fehlerhafte Konfiguration von Arbeitsplatzrechnern, Servern und Netzkomponenten, sowie Schwachstellen der Implementation des im Hochschulnetz und Internet verwendeten Datenübertragungsprotokolls TCP/IP stellen ein erhebliches Gefährdungspotential für die IT-Infrastruktur der Universität dar. Angreifer nutzen diese Schwachstellen zur Erlangung eines unberechtigten Zugriffs auf Rechnersysteme und zum Einschleusen von Programmen zum Mitschneiden des Datenverkehrs und zu weiteren Angriffen auf andere Rechner im Bereich der Universität, aber auch außeruniversitärer Institutionen, aus. Die Auswirkungen können von der Störung des Betriebs einzelner Komponenten bis zum Ausfall der kompletten IT-Infrastruktur führen. Die Vertraulichkeit und Integrität der in der IT-Infrastruktur abgelegten Daten ist dabei in höchstem Maße gefährdet. Forschungsergebnisse können z.B. durch unberechtigten Zugriff ausgespäht und manipuliert werden, was nicht nur zu einem erheblichen finanziellen Schaden, sondern auch zu einem nicht bezifferbaren Imageverlust der Wissenschaft an der Universität führen kann. Zusätzlich zum Schutz gegen die beschriebenen Angriffe (security) ist es erforderlich, die Sicherheit der IT-Infrastruktur vor Ausfällen der IT-Komponenten, die durch Mängel ohne absichtliche Angriffe verursacht werden (safety), zu gewährleisten. Neben diesen Gefährdungen ist gleichfalls die Sicherung der in der IT-Infrastruktur genutzen Daten gegen Verlust (Datensicherheit) Gegenstand der Leitlinie. Bei allen Maßnahmen zur Gewährleistung der IT-Sicherheit sind zur Priorisierung die Gesichtspunkte der Angemessenheit, Kostenneutralität, Wirtschaftlichkeit und haushaltsmäßigen Abdeckung zu berücksichtigen.

2. Die IT-Sicherheitsarchitektur an der Universität zu Köln

Dem Gefährdungspotential kann nur durch die Implementation von geeigneten Sicherheitsstandards begegnet werden, die im Spannungsfeld zwischen Informationsoffenheit und dem Anspruch an Sicherheit zu definieren sind. Voraussetzung hierfür ist ein in drei Abstraktionsebenen gegliedertes Gesamtkonzept für eine Sicherheitsarchitektur, die die gesamte IT-Infrastruktur umfasst und die den organisatorischen Besonderheiten der Universität Rechnung trägt.

2.1 Sicherheitsleitlinie

Auf oberster Ebene der Sicherheitsarchitektur definiert die Sicherheitsleitlinie grundlegende Ziele einer IT-Sicherheitsarchitektur; sie legt Verantwortlichkeiten fest und definiert Rahmenbedingungen für die Umsetzung von IT-Sicherheitsstandards.

2.2 Sicherheitskonzept

Zur Erreichung der angestrebten IT-Sicherheitsziele ist eine realistische Abschätzung des Schutzbedarfs einzelner IT-Komponenten oder einzelner IT-Bereiche und die daraus resultierende Festlegung und Implementierung von Sicherheitsstandards notwendig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierzu die Erstellung eines Sicherheitskonzepts, das folgende Punkte umfasst:

  • Bestandsaufnahme und Strukturanalyse der IT-Geräte, Software, Anwendungen und Daten;
  • Feststellung des Schutzbedarfs einzelner IT-Systeme;
  • Durchführung einer Risikoanalyse;
  • Festlegung von Sicherheitsstandards, Schutzmaßnahmen.

Beim Entwurf des Sicherheitskonzepts kann das IT-Grundschutzhandbuch des BSI (http://www.bsi.de/gshb/) verwendet werden. Basierend auf einer Bestandsaufnahme erfolgt eine Zuordnung der IT-Komponenten in eine der folgenden Schutzbedarfskategorien.

  • Schutzbedarf Niedrig bis Mittel 
    Schadensauswirkungen sind überschaubar und auf einzelne Personengruppen beschränkt.
  • Schutzbedarf Hoch 
    Schadensauswirkungen sind beträchtlich oder können mehrere Organisationseinheiten der Universität umfassen.
  • Schutzbedarf Sehr hoch 
    Schadensauswirkungen mit katastrophaler Folge für die gesamte Universität.

Der Schutzbedarf wird ermittelt, indem jede IT-Komponente auf Verlust der Vertraulichkeit, Integrität und Verfügbarkeit analysiert wird. Die Zuordnung erfolgt unter Einbeziehung der betroffenen IT-Nutzer und des Leiters der betroffenen Organisationseinheit (Arbeitsgruppe, Institut, Fakultät, zentrale Einrichtung, Verwaltungseinheit).

Für IT-Komponenten bzw. IT-Bereiche, die einen hohen oder sehr hohen Schutzbedarf haben, wird eine Risikoanalyse durchgeführt, die die Wahrscheinlichkeit für den Eintritt eines sicherheitsrelevanten Schadensfalls ermittelt. Für die betroffenen IT-Komponenten werden im Sicherheitskonzept die Sicherheitsstandards festgelegt, aus denen sich die erforderlichen Sicherheitsmaßnahmen und Richtlinien ableiten.

2.3 Sicherheitsrichtlinien

Die Sicherheitsrichtlinien bilden das Regelwerk für die Implementierung einer Sicherheitsarchitektur; sie werden anhand der im Sicherheitskonzept definierten Sicherheitsstandards formuliert und realisiert. Es sind proaktive und reaktive Sicherheitsrichtlinien zu unterscheiden. Proaktive Sicherheitsrichtlinien dienen der Erreichung und Überwachung der angestrebten IT-Sicherheitsstandards. Reaktive Richtlinien dienen als Vorgaben für die Bearbeitung sicherheitsrelevanter Vorgänge (Abuse-Fälle). Die Sicherheitsrichtlinien sollen sowohl den Schutz gegen absichtliche Angriffe (security) als auch den Schutz gegen unbeabsichtigte Ausfälle (safety) zum Gegenstand haben. Das RRZK stellt eine Liste der geplanten Sicherheitsrichtlinien bereit und aktualisiert diese nach Erforderlichkeit.

3. Leitlinien einer IT-Sicherheitsarchitektur

Die IT-Sicherheitsarchitektur der Universität zu Köln basiert auf folgenden Grundsatzaussagen:

  • Die Universität zu Köln ist bestrebt, einen offenen Informationsaustausch zu gewährleisten, sofern keine dienst-, urheber- und datenschutzrechtlichen Belange verletzt werden.
  • Eine absolute Sicherheit der IT-Infrastruktur ist nicht realisierbar; viele Beeinträchtigungen der IT-Sicherheit beruhen jedoch auf allgemein bekannten Schwachstellen, die bei sachgemäßer Handhabung und Organisation zu beseitigen sind. Hierfür ist ein dynamischer, rekurrenter Ablauf notwendig.
  • Die IT-Sicherheit ist kein Selbstzweck. Sie muss daher stets die Verhältnismäßigkeit der Maßnahmen und Mittel im Spannungsfeld zwischen Informationsoffenheit, Kosten und Nutzerakzeptanz auf der einen und dem notwendigen Grad von Sicherheit auf der anderen Seite berücksichtigen.
  • IT-Sicherheit kann nur erreicht werden, wenn universitätsweit gültige Sicherheitsstandards definiert werden und diese universitätsweit ggf. gestuft auf Ebene von Arbeitsgruppen, Instituten, Fakultäten erfolgreich umgesetzt werden.
  • IT-Sicherheit ist eine Gemeinschaftsaufgabe, die von allen Nutzern der IT-Infrastruktur wahrgenommen werden muss. Sie kann nur erfolgreich umgesetzt werden, wenn die Nutzer für Belange der IT-Sicherheit sensibilisiert und über das Gefährdungspotential und mögliche Gegenmaßnahmen in ihrem Arbeitsumfeld informiert werden.
  • Die Durchsetzung, Aufrechterhaltung und dauerhafte Fortentwicklung der IT-Sicherheitsstandards wird durch die Tatsache gewährleistet, dass die Hochschulleitung den IT-Sicherheitsprozess initiiert und aktiv unterstützt. Ein auf Instituts- und Fachbereichsebene initiierter Sicherheitsprozess kann keine dauerhafte Fortentwicklung der angestrebten IT-Sicherheitsstandards gewährleisten.
  • Ein qualifizierter Sicherheitsstandard ist nur mit zusätzlichem personellen, zeitlichen und finanziellen Aufwand herstellbar und aufrechtzuerhalten. Detaillierte Risikoanalysen zur Erkennung und Abwehr von Sicherheitslücken erfordern qualifiziertes Personal mit hohem Expertenwissen und detaillierten Kenntnissen der IT-Infrastruktur der Universität zu Köln.
  • Sicherheit umfasst nicht nur die Verhinderung von inneren und äußeren Angriffen auf die universitäre IT-Infrastruktur, sondern auch die Verhinderung von Angriffen aus der universitären IT-Infrastruktur auf die IT außeruniversitärer Institutionen.
  • Sicherheit beinhaltet ebenfalls die Verhinderung von Ausfällen der IT-Infrastruktur bzw. ihrer Komponenten aufgrund von Mängeln ohne absichtliche Angriffe.
  • Datensicherung gewährleistet den Schutz der in der IT-Infrastruktur gehaltenen und verarbeiteten Daten gegen absichtliches Löschen, Verfälschen oder auch unabsichtlichen Verlust.
  • Alle Nutzer sind zu einer zweckmäßigen, verantwortungsvollen und ökonomischen Nutzung der IT-Infrastruktur angehalten.
  • Die Sicherheitsstandards sind permanent weiter zu entwickeln und durch Qualitätssicherungsmaßnahmen zu ergänzen, durch die zeitnah neue Risiken erkannt und geeignete Gegenmaßnahmen ergriffen werden können.

4. Die IT-Infrastruktur an der Universität zu Köln

Die IT-Infrastruktur an der Universität zu Köln zeichnet sich durch eine hohe Dezentralisierung aus. In den meisten Bereichen der Universität wird der IT-Bedarf der Einrichtungen vor Ort durch Arbeitsplatzrechner und Server basierend auf einem Client-Server-Prinzip abgedeckt. Die Installation, Pflege und Wartung der Hard- und Softwarekomponenten, die Einrichtung und Verwaltung von Nutzeraccounts, sowie die Datensicherung dieser IT-Komponenten wird vorwiegend eigenverantwortlich durch Mitarbeiter der Einrichtungen durchgeführt. Das RRZK ist für den Betrieb zentraler Server, sowie für den Betrieb des universitären Hochschulnetzes UKLAN (Universität zu Köln Local Area Network) und dessen Anbindung an das Internet zuständig. Über das Hochschulnetz erbringt das RRZK für die gesamte Universität zentrale Dienste.

Aufgrund der großen Heterogenität der im Einsatz befindlichen IT-Komponenten und der Vielzahl von Client-Server-Beziehungen, die unterschiedliche Dienste nutzen, ist die IT-Infrastruktur der Universität durch eine große technische Komplexität gekennzeichnet. Sie bedarf einer kontinuierlichen Modernisierung, um bezüglich Leistung, Funktionalität und Sicherheit dem steigenden und sich wandelnden Bedarf gerecht zu werden.

Außer dem UKLAN existieren zwei weitere lokale Netze: MEDLAN und LOVERNET, die an das UKLAN angebunden sind. Beide sind wesentliche Bestandteile der IT-Infrastruktur der Universität zu Köln. Die Administration und der Betrieb dieser Netze und der daran angeschlossenen IT-Systeme liegt nicht in der Verantwortlichkeit des RRZK. Das Netzwerk der medizinischen Einrichtungen - MEDLAN- wird vom Zentralbereich für Informations- und Kommunikationstechnologie des Klinikums betrieben und administriert. Es besteht aus einem Patientenverwaltungsnetz und einem Netz für die Medizinische Fakultät. Das Patientenverwaltungsnetz ist nicht an das Hochschulnetz angeschlossen, während das Netz für die Medizinische Fakultät über einen Router unter Verwendung von Netzfilterlisten an das UKLAN angebunden ist. Die administrativen Zuständigkeiten für das Verwaltungsnetz - LOVERNET- liegen beim Dezernat 3, Abt. 32. Das Netz der Universitätsverwaltung ist über ein Firewallsystem an das Hochschulnetz UKLAN angebunden.

Neben den obigen Netzen sind Wohnheime des Studentenwerks über Funkverbindungen und Festleitungen an das Hochschulnetz angebunden. Der Betrieb und die Administration der Inhousenetze in den Studentenwohnheimen wird vom Studentenwerk Köln durchgeführt bzw. ist extern beauftragt. UKLAN, LOVERNET, MEDLAN usw. zeichnen sich aufgrund unterschiedlicher Anwendungs- und Nutzerprofile durch unterschiedliche Anforderungen an Schutzbedarf und Sicherheit aus.

Für Planung, Bau und Betrieb der passiven Infrastruktur (Leitungswege, Strom, Klima) und der Infrastruktur-Räume sind die zuständigen universitätsinternen Dezernate der Verwaltungseinrichtungen und des Bau- und Liegenschaftsbetriebs NRW (BLB NRW) verantwortlich. Diese müssen bei den Überlegungen zu einer IT-Sicherheitsarchitektur mit einbezogen werden.

5. IT-Gefährdungslage und Sicherheitsziele

5.1 IT-Gefährdungslage

Schäden der IT-Infrastruktur haben Beeinträchtigungen der universitären Arbeitsabläufe zur Folge.

  • Kleine Störungen (z.B. der Ausfall einzelner Arbeitsplatzrechner) können toleriert werden. Störungen, die die Aufgabenerfüllung eines Fachbereichs, Instituts oder einer zentralen Einrichtung erheblich beeinträchtigen (z.B. Ausfall eines Fileservers), müssen vermieden bzw. zeitnah erkannt und behoben werden.
  • Längere Ausfallzeiten zentraler IT-Komponenten wie Hochschulnetz, zentrale Netzdienste (DNS, Mail, WWW, Backup), die zu einer gleichzeitigen Beeinträchtigung aller Fachbereiche, Institute und Zentraleinrichtungen der Universität führen, sind nicht tolerierbar. Eine detaillierte Einstufung und Benennung dieser Komponenten ist notwendig.

5.2 IT-Sicherheitsziele

Die an der Universität zu Köln angestrebten IT-Sicherheitsstandards dienen dem Schutz der in der IT-Infrastruktur der Universität verarbeiteten, übertragenen und gespeicherten Daten und Anwendungen, insbesondere im Hinblick auf

  • Zugänglichkeit/Verfügbarkeit 
    Daten und Anwendungen müssen dem jeweiligen Nutzungsprofil entsprechend jederzeit von jedem Arbeitsplatz bei Bedarf verfügbar sein. Voraussetzung für die Aufrechterhaltung der Datenverfügbarkeit ist die Sicherung aller IT-Komponenten und der technischen und räumlichen Infrastruktur gegen organisationsbedingte, technische und umweltbedingte Ausfälle. Zentrale, aber auch dezentrale IT-Systeme müssen funktionieren, um die Verfügbarkeit der Daten zu garantieren. Zudem müssen Daten regelmäßig gesichert werden.
  • Integrität 
    Daten und Anwendungen dürfen nicht unberechtigt gelöscht/zerstört oder manipuliert werden können.
  • Vertraulichkeit und Datenschutz 
    Daten und Anwendungen dürfen grundsätzlich nur von Personen gelesen und benutzt werden, die dazu eine Zugriffsberechtigung besitzen. Die Festlegung der Zugriffsberechtigung und des erforderlichen Kontrollumfangs obliegt dem jeweiligen Eigentümer. Wegen der Gestaltung und der Auswahl von Verfahren zur Verarbeitung personenbezogener Daten ist die/der behördliche Datenschutzbeauftragte rechtzeitig einzubinden. Gleiches gilt für die Neueinführung und Änderung der entsprechenden Verfahren.

6. Organisatorische Maßnahmen und Zuständigkeiten

6.1 IT-Beauftragte der Organisationseinheiten

Auf Organisationsebene (Fakultät, Institut, zentrale Einrichtung) sind die Leiter der jeweiligen Einrichtung für den Betrieb und die Sicherheit der vernetzten IT-Systeme verantwortlich. Sie benennen eine/n IT-Beauftragte/n, der/die für den Betrieb und die Sicherheit in der jeweiligen Organisationseinheit zuständig ist. Dem/r IT-Beauftragten muss nach Möglichkeit ein/e sachkundige/r Vertreter/in zur Seite stehen. IT-Beauftragte können auch für mehrere Organisationseinheiten zugleich zuständig sein. Die Kriterien für die Benennung von IT-Beauftragten und deren Kompetenzen regeln die Fakultäten und die Leiter der zentralen Einrichtungen für ihren jeweiligen Bereich.

6.2 Sicherheitsteam und Umsetzung des Sicherheitskonzepts

Auf der Basis der hier vorgelegten Sicherheitsleitlinie sind ein Sicherheitskonzept gemäß Punkt 2.2 und die darauf aufbauenden Sicherheitsrichtlinien gemäß 2.3 zu erarbeiten. Dies wird zweckmäßig Aufgabe eines einzurichtenden Sicherheitsteams sein. Die Einzelheiten zur Stellung, Besetzung und Kompetenz des Sicherheitsteams sowie zur Deckung von unabwendbarem Personalbedarf für die Sicherheitsbelange werden in einer separaten Vereinbarung zwischen Rektorat, Fakultäten und RRZK festgelegt, die fortgeschrieben und den aktuellen Erfordernissen angepasst werden kann. Um das Sicherheitskonzept und die Richtlinien universitätsweit umzusetzen und die angestrebten IT-Sicherheitsstandards zu realisieren, sind entsprechende verbindliche Regelungen notwendig. Für den Bereich der Lehre und Forschung sind die Benutzungsordnung und die UKLAN-Betriebsregelungen des RRZK den neuen Anforderungen gemäß anzupassen und zu erweitern. Grundsätzlich wird angestrebt, vor allem durch Beratung und in Kooperation von Sicherheitsteam und den jeweiligen Einrichtungen die erforderlichen Sicherheitsstandards zu erreichen. Ferner wird angeregt, die Maßnahmen in den anderen Bereichen der Universität (insbesondere Universitätsverwaltung und Medizinische Einrichtungen) mit dem vorliegenden Sicherheitskonzept abzustimmen.

6.3 Benutzungsordnung und Betriebsregelungen

Die Benutzungsordnung für das RRZK wird so erweitert, dass auf Missbrauchsfälle, Hackerangriffe, Verletzung der Betriebsregelungen usw. effektiv und schnell in rechtlich abgesicherter Weise reagiert werden kann. Die aus dem Sicherheitskonzept entwickelten Sicherheitsrichtlinien gelten als Betriebsregelungen für das UKLAN bzw. das RRZK, so dass deren Einhaltung für alle Nutzer verbindlich ist. Dies umfasst sowohl Regelungen zur Gefahrenintervention bei Gefahr im Verzug, also für den akuten Notfall, als auch vorbeugende Regelungen zur Gefahrenvermeidung (proaktive Kontrolle). Über diese Regelungen hinaus kann die Gefährdung oder Schädigung der Universität durch grob fahrlässiges oder vorsätzliches Fehlverhalten entsprechende weitere rechtliche Konsequenzen gegen die Verursacher nach sich ziehen.

6.4 Regelungen zur Gefahrenintervention

Bei Gefahr im Verzug können die IT-Beauftragten die sofortige vorübergehende Stilllegung betroffener IT-Systeme in ihrem Bereich veranlassen, sofern davon auszugehen ist, dass ein voraussichtlich gravierender Schaden - insbesondere für andere Einrichtungen oder für die IT-Infrastruktur der Universität in Teilen oder insgesamt - nicht anders abgewendet werden kann. Die Leiter/innen der betroffenen Einrichtungen und das Sicherheitsteam sind hierüber umgehend zu benachrichtigen.

Soweit das Sicherheitsteam Gefahr im Verzug feststellt, kann es Netzanschlüsse - notfalls auch ohne vorherige Benachrichtigung der Betroffenen - vorübergehend sperren, sofern davon auszugehen ist, dass ein voraussichtlich gravierender Schaden - insbesondere für andere Einrichtungen oder für die IT-Infrastruktur der Universität in Teilen oder insgesamt - nicht anders abgewendet werden kann.

Vor der Wiederinbetriebnahme vorübergehend stillgelegter Systeme bzw. gesperrter Netzanschlüsse ist in der Regel die Durchführung hinreichender Sicherheitsmaßnahmen unerlässlich. Die Maßnahmen werden zwischen dem Sicherheitsteam und den Leiter/innen der betroffenen Einrichtungen sowie der Leitung des RRZK abgestimmt. Im Konfliktfall entscheidet der Vorsitzende der IuK-Kommission.

6.5 Regelungen zur Gefahrenvorbeugung

Auch ohne Gefahr im Verzug kann die Nichteinhaltung oder bewusste Verletzung von Sicherheitsrichtlinien zu vorbeugenden Maßnahmen gegen Verursacher von Sicherheitsrisiken führen, wenn dies im Interesse der Sicherheit der universitätsweiten IT notwendig ist. Möglich sind z.B. der Entzug von privilegierten Zugriffsrechten, die Sperrung von Serviceports am Internetzugang, die Sperrung des Subnetzes und die Abschaltung von Servern. Die Maßnahmen werden zwischen dem Sicherheitsteam und den Leiter/innen der betroffenen Einrichtungen sowie der Leitung des RRZK abgestimmt. Im Konfliktfall entscheidet der Vorsitzende der IuK-Kommission.

 

Ausgefertigt aufgrund des Beschlusses des Senats der Universität vom 04. Februar 2004. 
Der Rektor der Universität zu Köln Köln, den 16. Februar 2004 
gez. Professor Dr. Tassilo Küpper

Aktuell:
Informationen zu Tools für kollaboratives Arbeiten im Homeoffice
Kontakt
Bei Fragen und für individuellen Support wenden Sie sich bitte an den RRZK-Helpdesk