Leitfaden zur mobilen IT-Nutzung

Mobil genutzte Endgeräte sind einer Reihe von besonderen Risiken ausgesetzt:

  • Der Zugang zum Gerät kann weniger gut eingeschränkt werden als es bei stationären PC-Arbeitsplätzen in abschließbaren Büros der Fall ist.
  • Die Wahrscheinlichkeit für einen Verlust des Geräts durch Diebstahl oder Verlieren ist deutlich höher als bei stationären PC-Arbeitsplätzen.
  • Die Wahrscheinlichkeit für einen Defekt des Geräts durch Sturz oder Ähnliches ist hoch.
  • Es werden in der Regel häufig Netzzugänge verwendet, die sich nicht im internen Datennetz der Universität befinden.
  • Zugangsdaten zu unterschiedlichsten Diensten werden meist auf dem Gerät abgelegt.
  • Die Geräte sind sehr eng mit kommerziellen Cloud-Diensten gekoppelt.
  • Die Geräte geben in der Regel viele Informationen über den Nutzer und die Nutzung an kommerzielle Cloud-Diensteanbieter weiter.

Es gibt dabei einige besondere Herausforderungen. Die auf mobilen Geräten besonders gewünschte einfache Nutzbarkeit geht oft zu Lasten der Sicherheit. Außerdem sind Vertraulichkeit und Verfügbarkeit bei Mobilgeräten besonders schwer gleichzeitig optimal zu gewährleisten. Die Ablage von Daten in der Cloud würde zwar die Verfügbarkeit erhöhen. Sie ist aber im Hinblick auf Datenschutz bzw. Vertraulichkeit nicht erlaubt, wenn es sich um dienstliche Daten und einen kommerziellen Cloud-Provider handelt.

Nutzung privater Endgeräte

Die Beschäftigten nutzen zu dienstlichen Zwecken ausschließlich dienstliche Geräte (AGO Freistaat Bayern, dritter Teil, Abschnitt I §10 Satz 4). In besonders geschützten Bereichen und im Umgang mit Verwaltungsdaten, wie zum Beispiel alle personenbezogenen Daten der Beschäftigten und Studierenden und Daten der Ressourcenverwaltung, ist die Benutzung von privater Hard- und Software in Verbindung mit technischen Einrichtungen der teilnehmenden Institutionen und deren Netzen nicht gestattet.

Der Einsatz von privater Hard- und Software ist an einer Universität aber nicht gänzlich vermeidbar. Sowohl die Studierenden als auch das wissenschaftliche Personal der Universität nutzen einen großen Teil der Dienste auch am eigenen Smartphone oder Laptop. Die Ausstattung aller Studierenden mit entsprechenden Geräten durch die Universität wäre nicht realisierbar. Aufgrund dieser Randbedingungen sind das Datennetz und die IT-Dienste an der Universität so ausgerichtet, dass sie auch mit beliebigen, nicht zentral administrierten Geräten genutzt werden können. Zum einen ist das Datennetz unter der Annahme konzipiert, dass sich auch im internen Netz potentiell unsichere Geräten befinden können. Hierzu wird zwischen unterschiedlichen Netzzonen für Mitarbeitende aus Lehre und Forschung oder Verwaltung, für Server, sowie hochschulöffentliche Netzwerke (eduroam, UniBamberg-802.1x, @BayernWLAN) für den Netzzugang auch für Studierende (WLAN und VPN) unterschieden. Die Übergänge zwischen diesen Netzzonen sind durch Firewalls gesichert. Zum anderen sind die Serverdienste so konzipiert, dass sie über sichere Web-Schnittstellen oder über sichere Protokolle genutzt werden können. Die Studierenden greifen quasi als „Kunden“ von ihren privaten Rechnern auf die Dienste zu.

In den für Mitarbeiterinnen und Mitarbeitende aus Forschung, Lehre und Verwaltung vorbehaltenen Netzzonen ist der Einsatz privater Hard- und Software nicht gestattet.

Die nachfolgend genannten Maßnahmen sind auch für private Geräte, mit denen Dienste der Universität genutzt werden, zu beachten.

Allgemeine Vorgaben für mobile IT-Systeme

Die folgenden Vorgaben betreffen alle dienstlich beschafften Geräte. Für private Geräte wird empfohlen, sie ebenfalls umzusetzen.

  • Ein Sperrcode bzw. eine Bildschirmsperre sind zu aktivieren.
  • Der Zugriff auf die Mailbox ist durch eine PIN vor unbefugtem Zugriff zu schützen.
  • PIN, PIN2, PUK, PUK2 oder Einschaltkennwörter dürfen nicht zusammen mit dem mobilen Gerät bzw. der SIM-Karte aufbewahrt werden.
  • Wenn Daten auf Geräten transportiert werden, müssen diese verschlüsselt werden, sofern diese als „nur für den Dienstgebrauch“, „vertraulich“ oder „geheim" eingestuft sind. Dies gilt sowohl nur für aktiv genutzte Geräte, als auch für mobile Datenträger (USB-Sticks, mobile Festplatten, etc.). Manche Geräte erlauben die Verwendung eines Festplattenkennworts – es wird empfohlen, von dieser Möglichkeit Gebrauch zu machen. Wenn der Speicher des Gerätes über Speicherkarten (zum Beispiel SD-Karte) erweitert wird, ist auch der Inhalt dieser Karten nach Möglichkeit zu verschlüsseln.
  • Mobile Geräte sind nach Möglichkeit physisch zu sichern (zum Beispiel mit einem Kensingtonschloss), um einen Gelegenheitsdiebstahl zu vermeiden.
  • Lassen Sie das Gerät nie unbeaufsichtigt.
  • Die Weitergabe des Geräts an Dritte oder Fremde ist (auch vorübergehend) nicht zulässig.
  • Das Gerät ist außerhalb der Nutzungszeiten zu sperren.
  • Dienstliche Daten dürfen nicht bei kommerziellen Cloud-Dienstleistern abgelegt werden.
  • Der Verlust eines dienstlichen Geräts ist umgehend zu melden. Dies gilt auch, falls sich Geräte nach kurzer Zeit wieder auffinden. Nur mit dieser Meldung kann in der Situation entsprechend reagiert werden (zum Beispiel durch Sperrung der SIM-Karte oder Neu-Initialisierung des Geräts). Weitere Hinweise zum korrekten Verhalten bei Entwendung eines Gutes werden vom Justitiariat im Dokument „Umgang mit Diebstählen“ zur Verfügung gestellt.
  • Sämtliche unbenötigten Schnittstellen (WLAN, USB, Bluetooth, Infrarot, etc.) sind permanent bzw. nach einer erforderlichen Nutzung sofort wieder zu deaktivieren. 
  • Die Zugangsdaten zu den Diensten der Universität sind bei Verlust eines Geräts umgehend zu ändern.
  • Falls das Gerät abgegeben wird, d.h. vor Außerbetriebnahme eines Gerätes, sind die auf dem Gerät gespeicherten Daten bei Bedarf entsprechend zu sichern und in jedem Fall unwiederbringlich und vollständig zu löschen. Die Konfiguration des Gerätes ist zurückzusetzen, so dass mit dem Gerät nicht mehr auf geschützte Universitätsressourcen (zum Beispiel VPN-Zugang) zugegriffen werden kann.
  • Die universitären Benutzerdaten (BA-Nummer, Passwort und E-Mail-Adresse) dürfen nur für dienstliche Aufgaben genutzt werden. Sie dürfen insbesondere nicht bei externen Dienstleistern zur Authentifizierung hinterlegt werden.
  • Es ist eine Antivirensoftware einzurichten.
  • Die Personal Firewall muss aktiviert sein.

Allgemeine Nutzungsempfehlungen

Folgende Maßnahmen sollten angemessen umgesetzt oder berücksichtigt werden:

  • Allgemeine Vorkehrungsmaßnahmen gegen Diebstahl sollten getroffen werden. Auch in verschlossenen Fahrzeugen dürfen Geräte nicht sichtbar gelagert werden.
  • Datensparsamkeit: Wenn Daten unbedingt auf mobilen Geräten benötigt werden, sollte die Auswahl der Daten auf das Nötigste beschränkt werden.
  • Die Applikationen sollten nur die Berechtigungen haben, die benötigt werden.
  • Aus nicht vertrauenswürdigen Quellen sollten keine Anwendungen heruntergeladen und installiert werden.
  • Installierte Anwendungen sind möglichst aktuell zu halten.
  • Alle Daten sollten verschlüsselt abgelegt werden.
  • Von den Geräteherstellern vorgesehene Sicherheitsfunktionen sollten verwendet und nicht (bspw. per Jailbreaking oder Rooting) umgangen werden.
  • Beim Zugang ins Internet von öffentlichen Zugangspunkten aus (Hotel-WLANs usw.) hat besondere Vorsicht zu walten. In diesen Netzen sollten nur verschlüsselte Protokolle eingesetzt werden. Am besten ist es, einen VPN-Zugang zum Universitätsnetz aufzubauen und dadurch die gesamte Kommunikation zu verschlüsseln. Es wird insbesondere darauf hingewiesen, dass die Speicherung von Passwörtern im Klartext nicht zulässig ist.
  • Es sollten sichere und datenschutzrechtlich unbedenkliche Cloud-Dienste wie die BayernCloud zur Speicherung der Daten verwendet werden.
  • Im Rahmen von Gastaufenthalten an anderen Hochschulen (weltweit) empfiehlt sich die Verwendung des WLAN-Netzes eduroam. eduroam stellt sicher, dass sowohl für den Austausch der Zugangsdaten als auch für die sonstige Kommunikation ein vertrauenswürdiger verschlüsselter Kommunikationskanal zum WLAN-Accesspoint verwendet wird. Es empfiehlt sich auch hier, einen VPN-Zugang zum Universitätsnetz aufzubauen und dadurch die gesamte Kommunikation zu verschlüsseln.

Smartphones

Auf Smartphones gibt es einige empfehlenswerte spezifische Einstellungen bzw. Funktionalitäten:

  • Das Gerät sollte so konfiguriert sein, dass nach mehrmaliger fehlerhafter Eingabe der Zugangsdaten alle Daten auf dem Gerät gelöscht werden.
  • Darüber hinaus sollte die Möglichkeit eingerichtet sein, das Gerät bspw. nach Verlust zurückzusetzen bzw. die Daten zu löschen (Remote Wipe). Die Verwendung des Exchange-Dienstes der Universität hat als Voraussetzung, dass der Nutzer zustimmt, dass ein Remote Wipe vom Exchange Server ausgelöst werden kann.
  • Die Übermittlung von Standort- und anderen Nutzungsdaten sollte auf das notwendige Maß minimiert werden.

Laptop/Tablets

Einige Vorgaben, die für alle PC-Systeme der Universität Bamberg gleichermaßen gelten, sind unabhängig von der mobilen Nutzung auch für Laptops verbindlich:

  • Das Gerät soll ins Active Directory eingebunden sein, um sicherstellen zu können, dass sicherheitsrelevante Gruppenrichtlinien wie gewünscht aktiviert sind und bleiben.
  • Das Gerät muss den Windows Server Update Service (WSUS)-Dienst verwenden, damit sicherheitsrelevante Aktualisierungen zeitnah eingespielt werden.
  • Das vom IT-Service bereitgestellte Virenschutz-System ist zu verwenden und darf nicht deaktiviert werden.

Darüber hinaus ergeben sich einige besondere Maßnahmen aus der mobilen Nutzung:

  • Es ist sicherzustellen, dass bei Verlust keine dienstlichen Daten ausgelesen werden können. Dies kann bspw. erreicht werden, indem die Festplatte (bspw. per BitLocker) vollständig verschlüsselt wird, indem ein verschlüsselter Container für die dienstlichen Daten verwendet wird oder indem die Festplatte mit einem Zugriffschutzpasswort versehen wird.
  • Es empfiehlt sich das BIOS ebenfalls per Passwort zu schützen.
  • Der IT-Service bietet mehrere Möglichkeiten an, auf dem Gerät gespeicherte Daten mit einem zentralen Netzlaufwerk synchron zu halten, auch wenn das Gerät nicht immer online ist. Es wird nachdrücklich empfohlen, eine dieser Möglichkeiten (Work Folders, Onedrive for Business, Offline-Verfügbarkeit, BayernCloud) je nach Einsatzszenario zu verwenden.
  • Bei Verwendung des Geräts in öffentlichen Bereichen wie Bahnhöfen, Flughäfen oder Zügen empfiehlt es sich, eine Sichtschutzfolie auf dem Bildschirm aufzubringen. Diese verhindert, dass der Bildschirm von seitlich mitgelesen werden kann.

Sie haben noch Fragen?