IT-Sicherheitsrichtlinien
Leitlinien einer IT-Sicherheitsarchitektur für die kooperative, verteilte Informationsverarbeitung in Forschung und Lehre an der Universität zu Köln
Präambel
Das vorliegende Dokument setzt den Rahmen für die IT-Sicherheitsstandards und für die Umsetzung der daraus abgeleiteten Sicherheitsrichtlinien und Maßnahmen. Zum Schutz der IT-Infrastruktur der Universität sind die IT-Sicherheitsleitlinie und die daraus abgeleiteten Richtlinien und Maßnahmen für alle Mitarbeiter und Studierenden der Universität zu Köln im Bereich der Forschung und Lehre verbindlich. Verbindliche Regelungen und organisatorische Maßnahmen zur Gewährleistung der erforderlichen IT-Sicherheit sind auch ein rechtliches Erfordernis für die Universität: Zum einen gibt es spezielle rechtliche Bestimmungen, wie z.B. zum Datenschutz, deren Einhaltung nur mit entsprechenden IT-Sicherheitsstandards gewährleistet werden kann. Zum anderen sind die Verantwortlichen der Universität unabhängig von speziellen Vorschriften zur IT-Sicherheit zur Abwehr von absehbaren Gefahren und Schäden verpflichtet. Erhebliche Schäden für die Universität und das Land sind z.B. bei einem Hacker-Angriff möglich durch direkte Schädigung der Universität etwa bei Vernichtung von wichtigen Daten oder Arbeitsausfall über einen längeren Zeitraum durch Ausfall der IT-Infrastruktur. Darüber hinaus muss mit nachfolgenden Schadensersatzforderungen geschädigter Dritter gerechnet werden. Zur Vorbeugung solcher Schäden gilt es mindestens die „verkehrsübliche Sorgfalt“ einzuhalten, um sich nicht dem Vorwurf des schuldhaften Handelns auszusetzen, zu dem auch eine mangelhafte Organisation zählt.
1. Einleitung
Die IT-Infrastruktur ist ein wesentlicher Bestandteil nahezu aller Arbeitsabläufe an der Universität zu Köln. Forschung und Lehre der Universität zu Köln sowie Verwaltungsaufgaben sind von der Nutzung der IT-Infrastruktur abhängig. Die Verfügbarkeit dieser Infrastruktur wird mit zunehmender Häufigkeit einer missbräuchlichen Nutzung und mit einer wachsenden Zahl von Angriffen auf IT-Komponenten wie Rechner, Applikationen und Netze zunehmend bedroht. Schwachstellen in Betriebssystemen und Anwendungsprogrammen, fehlerhafte Konfiguration von Arbeitsplatzrechnern, Servern und Netzkomponenten, sowie Schwachstellen der Implementation des im Hochschulnetz und Internet verwendeten Datenübertragungsprotokolls TCP/IP stellen ein erhebliches Gefährdungspotential für die IT-Infrastruktur der Universität dar. Angreifer nutzen diese Schwachstellen zur Erlangung eines unberechtigten Zugriffs auf Rechnersysteme und zum Einschleusen von Programmen zum Mitschneiden des Datenverkehrs und zu weiteren Angriffen auf andere Rechner im Bereich der Universität, aber auch außeruniversitärer Institutionen, aus. Die Auswirkungen können von der Störung des Betriebs einzelner Komponenten bis zum Ausfall der kompletten IT-Infrastruktur führen. Die Vertraulichkeit und Integrität der in der IT-Infrastruktur abgelegten Daten ist dabei in höchstem Maße gefährdet. Forschungsergebnisse können z.B. durch unberechtigten Zugriff ausgespäht und manipuliert werden, was nicht nur zu einem erheblichen finanziellen Schaden, sondern auch zu einem nicht bezifferbaren Imageverlust der Wissenschaft an der Universität führen kann. Zusätzlich zum Schutz gegen die beschriebenen Angriffe (security) ist es erforderlich, die Sicherheit der IT-Infrastruktur vor Ausfällen der IT-Komponenten, die durch Mängel ohne absichtliche Angriffe verursacht werden (safety), zu gewährleisten. Neben diesen Gefährdungen ist gleichfalls die Sicherung der in der IT-Infrastruktur genutzen Daten gegen Verlust (Datensicherheit) Gegenstand der Leitlinie. Bei allen Maßnahmen zur Gewährleistung der IT-Sicherheit sind zur Priorisierung die Gesichtspunkte der Angemessenheit, Kostenneutralität, Wirtschaftlichkeit und haushaltsmäßigen Abdeckung zu berücksichtigen.
2. Die IT-Sicherheitsarchitektur an der Universität zu Köln
Dem Gefährdungspotential kann nur durch die Implementation von geeigneten Sicherheitsstandards begegnet werden, die im Spannungsfeld zwischen Informationsoffenheit und dem Anspruch an Sicherheit zu definieren sind. Voraussetzung hierfür ist ein in drei Abstraktionsebenen gegliedertes Gesamtkonzept für eine Sicherheitsarchitektur, die die gesamte IT-Infrastruktur umfasst und die den organisatorischen Besonderheiten der Universität Rechnung trägt.
2.1 Sicherheitsleitlinie
Auf oberster Ebene der Sicherheitsarchitektur definiert die Sicherheitsleitlinie grundlegende Ziele einer IT-Sicherheitsarchitektur; sie legt Verantwortlichkeiten fest und definiert Rahmenbedingungen für die Umsetzung von IT-Sicherheitsstandards.
2.2 Sicherheitskonzept
Zur Erreichung der angestrebten IT-Sicherheitsziele ist eine realistische Abschätzung des Schutzbedarfs einzelner IT-Komponenten oder einzelner IT-Bereiche und die daraus resultierende Festlegung und Implementierung von Sicherheitsstandards notwendig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierzu die Erstellung eines Sicherheitskonzepts, das folgende Punkte umfasst:
Beim Entwurf des Sicherheitskonzepts kann das IT-Grundschutzhandbuch des BSI (http://www.bsi.de/gshb/) verwendet werden. Basierend auf einer Bestandsaufnahme erfolgt eine Zuordnung der IT-Komponenten in eine der folgenden Schutzbedarfskategorien.
Der Schutzbedarf wird ermittelt, indem jede IT-Komponente auf Verlust der Vertraulichkeit, Integrität und Verfügbarkeit analysiert wird. Die Zuordnung erfolgt unter Einbeziehung der betroffenen IT-Nutzer und des Leiters der betroffenen Organisationseinheit (Arbeitsgruppe, Institut, Fakultät, zentrale Einrichtung, Verwaltungseinheit).
Für IT-Komponenten bzw. IT-Bereiche, die einen hohen oder sehr hohen Schutzbedarf haben, wird eine Risikoanalyse durchgeführt, die die Wahrscheinlichkeit für den Eintritt eines sicherheitsrelevanten Schadensfalls ermittelt. Für die betroffenen IT-Komponenten werden im Sicherheitskonzept die Sicherheitsstandards festgelegt, aus denen sich die erforderlichen Sicherheitsmaßnahmen und Richtlinien ableiten.
2.3 Sicherheitsrichtlinien
Die Sicherheitsrichtlinien bilden das Regelwerk für die Implementierung einer Sicherheitsarchitektur; sie werden anhand der im Sicherheitskonzept definierten Sicherheitsstandards formuliert und realisiert. Es sind proaktive und reaktive Sicherheitsrichtlinien zu unterscheiden. Proaktive Sicherheitsrichtlinien dienen der Erreichung und Überwachung der angestrebten IT-Sicherheitsstandards. Reaktive Richtlinien dienen als Vorgaben für die Bearbeitung sicherheitsrelevanter Vorgänge (Abuse-Fälle). Die Sicherheitsrichtlinien sollen sowohl den Schutz gegen absichtliche Angriffe (security) als auch den Schutz gegen unbeabsichtigte Ausfälle (safety) zum Gegenstand haben. Das RRZK stellt eine Liste der geplanten Sicherheitsrichtlinien bereit und aktualisiert diese nach Erforderlichkeit.
3. Leitlinien einer IT-Sicherheitsarchitektur
Die IT-Sicherheitsarchitektur der Universität zu Köln basiert auf folgenden Grundsatzaussagen:
4. Die IT-Infrastruktur an der Universität zu Köln
Die IT-Infrastruktur an der Universität zu Köln zeichnet sich durch eine hohe Dezentralisierung aus. In den meisten Bereichen der Universität wird der IT-Bedarf der Einrichtungen vor Ort durch Arbeitsplatzrechner und Server basierend auf einem Client-Server-Prinzip abgedeckt. Die Installation, Pflege und Wartung der Hard- und Softwarekomponenten, die Einrichtung und Verwaltung von Nutzeraccounts, sowie die Datensicherung dieser IT-Komponenten wird vorwiegend eigenverantwortlich durch Mitarbeiter der Einrichtungen durchgeführt. Das RRZK ist für den Betrieb zentraler Server, sowie für den Betrieb des universitären Hochschulnetzes UKLAN (Universität zu Köln Local Area Network) und dessen Anbindung an das Internet zuständig. Über das Hochschulnetz erbringt das RRZK für die gesamte Universität zentrale Dienste.
Aufgrund der großen Heterogenität der im Einsatz befindlichen IT-Komponenten und der Vielzahl von Client-Server-Beziehungen, die unterschiedliche Dienste nutzen, ist die IT-Infrastruktur der Universität durch eine große technische Komplexität gekennzeichnet. Sie bedarf einer kontinuierlichen Modernisierung, um bezüglich Leistung, Funktionalität und Sicherheit dem steigenden und sich wandelnden Bedarf gerecht zu werden.
Außer dem UKLAN existieren zwei weitere lokale Netze: MEDLAN und LOVERNET, die an das UKLAN angebunden sind. Beide sind wesentliche Bestandteile der IT-Infrastruktur der Universität zu Köln. Die Administration und der Betrieb dieser Netze und der daran angeschlossenen IT-Systeme liegt nicht in der Verantwortlichkeit des RRZK. Das Netzwerk der medizinischen Einrichtungen - MEDLAN- wird vom Zentralbereich für Informations- und Kommunikationstechnologie des Klinikums betrieben und administriert. Es besteht aus einem Patientenverwaltungsnetz und einem Netz für die Medizinische Fakultät. Das Patientenverwaltungsnetz ist nicht an das Hochschulnetz angeschlossen, während das Netz für die Medizinische Fakultät über einen Router unter Verwendung von Netzfilterlisten an das UKLAN angebunden ist. Die administrativen Zuständigkeiten für das Verwaltungsnetz - LOVERNET- liegen beim Dezernat 3, Abt. 32. Das Netz der Universitätsverwaltung ist über ein Firewallsystem an das Hochschulnetz UKLAN angebunden.
Neben den obigen Netzen sind Wohnheime des Studentenwerks über Funkverbindungen und Festleitungen an das Hochschulnetz angebunden. Der Betrieb und die Administration der Inhousenetze in den Studentenwohnheimen wird vom Studentenwerk Köln durchgeführt bzw. ist extern beauftragt. UKLAN, LOVERNET, MEDLAN usw. zeichnen sich aufgrund unterschiedlicher Anwendungs- und Nutzerprofile durch unterschiedliche Anforderungen an Schutzbedarf und Sicherheit aus.
Für Planung, Bau und Betrieb der passiven Infrastruktur (Leitungswege, Strom, Klima) und der Infrastruktur-Räume sind die zuständigen universitätsinternen Dezernate der Verwaltungseinrichtungen und des Bau- und Liegenschaftsbetriebs NRW (BLB NRW) verantwortlich. Diese müssen bei den Überlegungen zu einer IT-Sicherheitsarchitektur mit einbezogen werden.
5. IT-Gefährdungslage und Sicherheitsziele
5.1 IT-Gefährdungslage
Schäden der IT-Infrastruktur haben Beeinträchtigungen der universitären Arbeitsabläufe zur Folge.
5.2 IT-Sicherheitsziele
Die an der Universität zu Köln angestrebten IT-Sicherheitsstandards dienen dem Schutz der in der IT-Infrastruktur der Universität verarbeiteten, übertragenen und gespeicherten Daten und Anwendungen, insbesondere im Hinblick auf
6. Organisatorische Maßnahmen und Zuständigkeiten
6.1 IT-Beauftragte der Organisationseinheiten
Auf Organisationsebene (Fakultät, Institut, zentrale Einrichtung) sind die Leiter der jeweiligen Einrichtung für den Betrieb und die Sicherheit der vernetzten IT-Systeme verantwortlich. Sie benennen eine/n IT-Beauftragte/n, der/die für den Betrieb und die Sicherheit in der jeweiligen Organisationseinheit zuständig ist. Dem/r IT-Beauftragten muss nach Möglichkeit ein/e sachkundige/r Vertreter/in zur Seite stehen. IT-Beauftragte können auch für mehrere Organisationseinheiten zugleich zuständig sein. Die Kriterien für die Benennung von IT-Beauftragten und deren Kompetenzen regeln die Fakultäten und die Leiter der zentralen Einrichtungen für ihren jeweiligen Bereich.
6.2 Sicherheitsteam und Umsetzung des Sicherheitskonzepts
Auf der Basis der hier vorgelegten Sicherheitsleitlinie sind ein Sicherheitskonzept gemäß Punkt 2.2 und die darauf aufbauenden Sicherheitsrichtlinien gemäß 2.3 zu erarbeiten. Dies wird zweckmäßig Aufgabe eines einzurichtenden Sicherheitsteams sein. Die Einzelheiten zur Stellung, Besetzung und Kompetenz des Sicherheitsteams sowie zur Deckung von unabwendbarem Personalbedarf für die Sicherheitsbelange werden in einer separaten Vereinbarung zwischen Rektorat, Fakultäten und RRZK festgelegt, die fortgeschrieben und den aktuellen Erfordernissen angepasst werden kann. Um das Sicherheitskonzept und die Richtlinien universitätsweit umzusetzen und die angestrebten IT-Sicherheitsstandards zu realisieren, sind entsprechende verbindliche Regelungen notwendig. Für den Bereich der Lehre und Forschung sind die Benutzungsordnung und die UKLAN-Betriebsregelungen des RRZK den neuen Anforderungen gemäß anzupassen und zu erweitern. Grundsätzlich wird angestrebt, vor allem durch Beratung und in Kooperation von Sicherheitsteam und den jeweiligen Einrichtungen die erforderlichen Sicherheitsstandards zu erreichen. Ferner wird angeregt, die Maßnahmen in den anderen Bereichen der Universität (insbesondere Universitätsverwaltung und Medizinische Einrichtungen) mit dem vorliegenden Sicherheitskonzept abzustimmen.
6.3 Benutzungsordnung und Betriebsregelungen
Die Benutzungsordnung für das RRZK wird so erweitert, dass auf Missbrauchsfälle, Hackerangriffe, Verletzung der Betriebsregelungen usw. effektiv und schnell in rechtlich abgesicherter Weise reagiert werden kann. Die aus dem Sicherheitskonzept entwickelten Sicherheitsrichtlinien gelten als Betriebsregelungen für das UKLAN bzw. das RRZK, so dass deren Einhaltung für alle Nutzer verbindlich ist. Dies umfasst sowohl Regelungen zur Gefahrenintervention bei Gefahr im Verzug, also für den akuten Notfall, als auch vorbeugende Regelungen zur Gefahrenvermeidung (proaktive Kontrolle). Über diese Regelungen hinaus kann die Gefährdung oder Schädigung der Universität durch grob fahrlässiges oder vorsätzliches Fehlverhalten entsprechende weitere rechtliche Konsequenzen gegen die Verursacher nach sich ziehen.
6.4 Regelungen zur Gefahrenintervention
Bei Gefahr im Verzug können die IT-Beauftragten die sofortige vorübergehende Stilllegung betroffener IT-Systeme in ihrem Bereich veranlassen, sofern davon auszugehen ist, dass ein voraussichtlich gravierender Schaden - insbesondere für andere Einrichtungen oder für die IT-Infrastruktur der Universität in Teilen oder insgesamt - nicht anders abgewendet werden kann. Die Leiter/innen der betroffenen Einrichtungen und das Sicherheitsteam sind hierüber umgehend zu benachrichtigen.
Soweit das Sicherheitsteam Gefahr im Verzug feststellt, kann es Netzanschlüsse - notfalls auch ohne vorherige Benachrichtigung der Betroffenen - vorübergehend sperren, sofern davon auszugehen ist, dass ein voraussichtlich gravierender Schaden - insbesondere für andere Einrichtungen oder für die IT-Infrastruktur der Universität in Teilen oder insgesamt - nicht anders abgewendet werden kann.
Vor der Wiederinbetriebnahme vorübergehend stillgelegter Systeme bzw. gesperrter Netzanschlüsse ist in der Regel die Durchführung hinreichender Sicherheitsmaßnahmen unerlässlich. Die Maßnahmen werden zwischen dem Sicherheitsteam und den Leiter/innen der betroffenen Einrichtungen sowie der Leitung des RRZK abgestimmt. Im Konfliktfall entscheidet der Vorsitzende der IuK-Kommission.
6.5 Regelungen zur Gefahrenvorbeugung
Auch ohne Gefahr im Verzug kann die Nichteinhaltung oder bewusste Verletzung von Sicherheitsrichtlinien zu vorbeugenden Maßnahmen gegen Verursacher von Sicherheitsrisiken führen, wenn dies im Interesse der Sicherheit der universitätsweiten IT notwendig ist. Möglich sind z.B. der Entzug von privilegierten Zugriffsrechten, die Sperrung von Serviceports am Internetzugang, die Sperrung des Subnetzes und die Abschaltung von Servern. Die Maßnahmen werden zwischen dem Sicherheitsteam und den Leiter/innen der betroffenen Einrichtungen sowie der Leitung des RRZK abgestimmt. Im Konfliktfall entscheidet der Vorsitzende der IuK-Kommission.
Ausgefertigt aufgrund des Beschlusses des Senats der Universität vom 04. Februar 2004.
Der Rektor der Universität zu Köln Köln, den 16. Februar 2004
gez. Professor Dr. Tassilo Küpper
Contact
If you have any questions or problems, please contact the RRZK-Helpdesk