Sicherheitskonzept für die IT-Infrastruktur

Zweck des Sicherheitskonzepts

Zweck des Sicherheitskonzepts

Zweck dieses Sicherheitskonzepts ist es, Anforderungen an die Funktionalität und die Sicherheit der IT-Infrastruktur der Universität Rostock explizit aufzuführen. Die IT-Infrastruktur ist dabei die Gesamtheit aller Gebäude, Kommunikationsdienste (Netzwerk), Hardware und Software, die zur automatisierten Informationsverarbeitung zur Verfügung gestellt werden. Ferner sollen die hieraus resultierenden Anforderungen an Benutzer und Administratoren bestimmt werden. Dadurch sind diese Personengruppen in der Lage, ihre Rechte und Pflichten bei der Arbeit mit bzw. der Betreuung der IT-Infrastruktur besser bestimmen zu können.

Anforderungen an das Sicherheitskonzept

Anforderungen an das Sicherheitskonzept

An das Sicherheitskonzept werden folgende Anforderungen gestellt:

  • Allgemein und umfassend
    Das Sicherheitskonzept soll so allgemein und umfassend gehalten sein, dass es für alle Einrichtungen der Universität Rostock gilt (inkl. Verwaltung, UB und Fakultäten).
  • Verständlich
    Das Sicherheitskonzept soll in einer verständlichen Art und Weise geschrieben sein, so dass sowohl Benutzer als auch Administratoren in der Lage sind, einfach zu erkennen, welches Verhalten von ihnen erwartet wird.
  • Realistisch
    Das Sicherheitskonzept soll den Anforderungen und Möglichkeiten der Universität gerecht werden. Es sollen keine unnötigen Einschränkungen der Funktionalität erzwungen werden oder Maßnahmen vorgeschlagen werden, die nicht im Rahmen der Möglichkeiten liegen. Das Sicherheitskonzept soll sich am tatsächlichen Vorgehen orientieren. Es soll keine Maßnahmen enthalten, die nicht vollständig durchgesetzt werden können.
  • Aktuell
    Das Sicherheitskonzept soll in einer Weise dokumentiert sein, dass eine Fortschreibung einfach möglich ist.
  • Verwendbar
    Das Sicherheitskonzept soll in einer Weise aufgeschrieben werden, dass es von den Betroffenen gelesen wird. Um den jeweiligen Anteil möglichst gering zu halten, ist der Aufbau aufgabenbezogen gehalten.

Um den Anforderungen zu entsprechen, wurde das Sicherheitskonzept in einen konzeptionellen Teil (Abschnitte 1 bis 6) und Anhänge aufgeteilt. Der konzeptionelle Teil enthält die Anforderungen, welche allgemein und beständig sind. Konkrete Anforderungen, die sich an ständig aktuellen Entwicklungen anpassen, sind in Anhängen aufgeführt – und dort unterteilt nach Anforderungen, die die Benutzer bzw. die Administration betreffen.

Anforderung an die IT-Infrastruktur
Anforderungen an die IT-Infrastruktur

Anforderungen an die IT-Infrastruktur

Die IT-Infrastruktur der Universität Rostock soll die Mitarbeiter und Studierenden im Rahmen der Forschung, Lehre und Verwaltung unterstützen. Die IT-Infrastruktur stellt dazu eine unverzichtbare Ressource dar, deren Nicht-Verfügbarkeit zu Einbußen in der Produktivität des Forschens sowie des Studierens führt und die meisten Verwaltungsprozesse erheblich beeinträchtigen würde.

Anforderungen an die Funktionalität

Anforderungen an die Funktionalität

Durch die IT-Infrastruktur soll einerseits Kommunikation und eine übergreifende gemeinsame Nutzung von Ressourcen ermöglicht werden, auf der anderen Seite sollen Benutzern geschützte Bereiche für ihre Prozesse und Daten zur Verfügung gestellt werden. Eine an Universitäten oft anzutreffende und in diesem Zusammenhang zu berücksichtigende Eigenheit der IT-Landschaft ist ihre Heterogenität. So werden auch an der Universität Rostock unterschiedliche Plattformen und Netzwerkprotokolle genutzt. Für die zukünftige Entwicklung des Benutzerverhaltens und damit der Benutzeranforderungen lässt sich annehmen, dass diese Heterogenität nicht nur erhalten bleibt, sondern durch eine zunehmende Anzahl unterschiedlicher mobiler Endgeräte erhöht wird.

Für das IT- und Medienzentrum (ITMZ) ergibt sich als zentraler Dienstleister für die Bereitstellung und Wartung der notwendigen IT-Infrastruktur hieraus die Anforderung, der steigenden Nachfrage nach Zugangspunkten zu Ressourcen der IT-Infrastruktur, dem steigenden Bedarf an Bandbreite und der Bereitstellung von gegebenenfalls aufkommenden neuen Diensten in einem angemessenen Rahmen zu entsprechen.

Anforderungen an die Sicherheit

Anforderungen an die Sicherheit

Die Komponenten der IT-Infrastruktur sind diversen Arten von Bedrohungen ausgesetzt (vgl. Anhang A Gefährdungs- und Risikoanalyse). Risiken liegen insbesondere im Verlust der Verfügbarkeit, im Missbrauch der Systeme durch autorisierte Benutzer bzw. durch externe Angreifer (z.B. für Angriffe auf Ziele innerhalb und außerhalb der Domäne) und im Verlust der Vertraulichkeit bzw. der Integrität von Daten. Aus diesen Risiken sind als Konsequenz für die Universität und seine Mitglieder der Verlust von Produktivität, Werten und Ansehen, aber auch eine Schädigung Dritter möglich.

Die Anforderungen an die Sicherheit der IT-Infrastruktur sind die Gewährleistung einer möglichst hohen Verfügbarkeit, eine weitgehende Unterbindung von Missbrauch und die Wahrung der Vertraulichkeit von Daten. Bei der Durchsetzung der Anforderungen an die Sicherheit sind die Anforderungen an die Funktionalität zu berücksichtigen. Um Sicherheit und damit auch die Funktionalität zu gewährleisten, ist ein angemessenes Verhalten der Benutzer (vgl. Abschnitt 4) und der Administratoren (vgl. Abschnitt 5) notwendig.

Anforderungen an Benutzer der IT-Infrastruktur

Anforderungen an Benutzer der IT-Infrastruktur

Alle Benutzer sind für eine effektive, effiziente, ethische und legale Nutzung der IT-Infrastruktur der Universität verantwortlich. Die Benutzungserlaubnis stellt ein Nutzungsprivileg und kein Nutzungsrecht dar. Sie kann bei Missbrauch entzogen werden. Das Nutzungsprivileg besteht ausschließlich für universitäre Zwecke. Näheres regeln die Nutzungsordnung des IT- und Medienzentrums (vgl. Anhang B) sowie Regelungen der Fakultäten und Organisationseinheiten.

Benutzern ist es grundsätzlich gestattet, über private Geräte auf die IT-Infrastruktur der Universität Rostock zuzugreifen (vgl. Anhang C). In solchen Fällen ist zu beachten, dass die Benutzungsordnung auch bei einem Zugriff über private Geräte gilt. Die Benutzer werden in diesen Fällen als die Administratoren ihrer privaten Geräte angesehen und haben geeignete Maßnahmen zu treffen, damit die Sicherheit der IT-Infrastruktur nicht durch den Anschluss ihrer Geräte gefährdet wird (vgl. Abschnitt 5)

Anforderungen an die Administration der IT-Infrastruktur

Anforderungen an die Administration der IT-Infrastruktur

An der Universität Rostock findet keine einheitliche Administration der IT-Infrastruktur statt. Neben den zentral vom ITMZ betreuten Geräten werden zum Teil in Fakultätsbereichen und anderen Organisationseinheiten Geräte von diesen in Eigenverantwortung betreut und eigene Geräte der Benutzer an die IT-Infrastruktur der Universität angeschlossen. Die Administratoren haben geeignete Maßnahmen zu treffen, damit von den von ihnen administrierten Geräten keine Gefährdung der IT-Infrastruktur ausgeht.

Pflege und Überprüfung des Sicherheitskonzeptes

Pflege und Überprüfung des Sicherheitskonzeptes

Der konzeptionelle Teil des Sicherheitskonzepts wird vom IKM-Beirat, die Anhänge des Sicherheitskonzepts durch das ITMZ erlassen. Ferner überprüft der IKM-Beirat einmal im Jahr, ob eine Anpassung des Sicherheitskonzepts notwendig ist.

Gefährdungs- und Risikoanalyse

Gefährdungs- und Risikoanalyse

Es ist davon auszugehen, dass die IT-Infrastruktur in der Universität Rostock einen hohen Stellenwert einnimmt, da sie nicht nur ein eingesetztes Werkzeug im Rahmen von Forschung, Lehre und Verwaltung darstellt, sondern auch in entsprechenden Teilgebieten der Gegenstand der Forschung und Lehre ist. Demnach ist zu bedenken, dass Fehler oder Ausfall der IT-Infrastruktur einen vermutlich hohen Schaden durch Einbußen in der Forschung und Lehre nach sich ziehen würde. Dem Schutz der IT-Infrastruktur und seiner Komponenten ist daher eine hohe Aufmerksamkeit zu schenken.

Eine Nutzung der IT-Infrastruktur findet an der Universität Rostock insbesondere zur Verarbeitung, Speicherung und Übertragung der im Rahmen der Forschung, Lehre und Verwaltung anfallenden Daten und Ergebnisse, zur Kommunikation und zur übergreifenden gemeinsamen Nutzung von Ressourcen statt. Zu betrachten als zu schützende Werte der IT-Infrastruktur sind die im Rahmen von Forschung, Lehre sowie Verwaltung genutzten

  • Daten, wie personenbezogene Daten, für die eine gesetzliche Schutzpflicht besteht, und die im Rahmen der Forschung und der Lehre anfallenden Ergebnisse und Teilergebnisse,
  • Daten, für die die Universität, das ITMZ oder die UB die Verpflichtung zur dauerhaften Verfügbarmachung übernommen haben,
  • Anwendungen, wie Textverarbeitung, Entwicklungswerkzeuge, Compiler, Datenbanken und Clients für Netzwerkdienste, sowie weitere für die Nutzung dieser Anwendungen notwendige Software, wie Betriebssysteme,
  • Dienste, wie der Email-Übertragungsdienst, Dateitransferdienste und andere Datenübertragungsdienste, sowie die zur Nutzung notwendigen weiteren Dienste, wie z.B. der Domain Name Service (DNS),
  • und schließlich die für die Erbringung der Dienste und für das Ablaufen der Software notwendige Hardware, wie die Endgeräte, Server, Peripherie und die Netzwerkinfrastruktur.

Die sich ergebenden Schutzziele umfassen die Wahrung der Vertraulichkeit (z.B. bei der Speicherung und Übertragung von personenbezogenen Daten), die Wahrung der Integrität (z.B. bei der Verarbeitung und der Übertragung von Daten) und die Wahrung der Verfügbarkeit (z.B. bei der Speicherung von Daten). Eingesetzte bzw. empfohlene Maßnahmen im Kontext des Datenschutzes werden im Anhang D beschrieben.

Den Schutzzielen wird durch das Auftreten von Vorfällen entgegengewirkt. Vorfälle entstehen durch das Aufeinandertreffen von Verwundbarkeiten und Bedrohungen. Die eingesetzte IT-Infrastruktur birgt Verwundbarkeiten, die teilweise der eingesetzten Technik inhärent zugrunde liegen, teilweise aber auch durch die Einsatzumgebung, die Administration oder die Nutzung verursacht werden. Zu diesen Verwundbarkeiten gehören

  • Fehler beim Entwurf (z.B. Nicht-Berücksichtigung von Anforderungen) oder der Konstruktion (z.B. keine Überprüfung von Eingabewerten),
  • Unangemessenheit von Schutzmechanismen bedingt durch den Einsatz in Umgebungen oder für Zwecke, die beim Entwurf nicht vorgesehen waren (vgl. z.B. das Internet Protocol (IP), das in der Version 4 keine Mechanismen für Authentizität oder Integrität vorsieht, aber trotzdem in sensiblen Bereichen eingesetzt wird),
  • Sicherheitslücken bedingt durch Fehler oder Versäumnisse bei der Administration, wie z.B. die Bereitstellung (Nicht-Deaktivierung) von nicht benötigten Diensten oder das einmalige Einrichten eines Systems ohne regelmäßiges Einspielen von Patches und ohne Durchführung von anderen Anpassungen an geänderte Anforderungen,
  • Sicherheitslücken entstanden durch Fehlverhalten bei der Nutzung, wie z.B. durch das Abschalten von Sicherheitsfeatures aus Performancegründen und die Nutzung (und daraus folgend die Bereitstellung) von inhärent unsicheren Diensten (z.B. Klartextübertragung von Passworten bei telnet, rsh, usw.),
  • die einfache Möglichkeit, große Werte zu entwenden, wie z.B. das mögliche Kopieren von Software oder Daten bzw.  der Diebstahl von kleiner oder schwerer aber wertvoller Hardware (insbesondere CPUs oder Speicherbausteine),
  • Anfälligkeit gegen Umwelteinflüsse, wie Temperatur, Staub, Wasser, Schwankungen in der Stromversorgung usw.

Bedrohungen können ausgehen von autorisierten Benutzern, die Systeme missbrauchen, von externen Angreifern, Malware jeglicher Form, höherer Gewalt (z.B. Ausfall von Hard- oder Software, Eintritt von Wasser oder Ausbruch von Feuer) und Fehler in der Nutzung und in der Administration (z.B. Eingabe nicht akzeptierter Werte, versehentliches Löschen von Daten).

Unter Risiko wird in diesem Zusammenhang oft die Auftrittswahrscheinlichkeit von Vorfällen verknüpft mit dem zu erwartenden Ausmaß der Schäden verstanden. Als Schäden sind hier nicht nur einfach quantifizierbare Schäden z.B. durch Ersatzbeschaffungen, sondern insbesondere auch schwierig zu quantifizierende Schäden, wie Einbußen in der Produktivität durch die eingeschränkte Verfügbarkeit der IT-Infrastruktur oder Schädigung des Ansehens, zu berücksichtigen. Es bestehen einerseits Risiken durch die mögliche Notwendigkeit von Ersatzbeschaffungen, z.B. nach Ausfall oder Diebstahl. Andererseits bestehen aber auch nicht einfach zu quantifizierende Risiken durch Einbußen in der Produktivität, z.B. nach temporären oder dauerhaften Ausfall von dezentralen oder zentralen Komponenten der IT-Infrastruktur, sowie durch eine Schädigung des Ansehens, z.B. beim Missbrauch der IT-Infrastruktur für Angriffe auf Dritte, bei der nicht gewollten Offenlegung sensibler Daten und bei der Nicht-Einhaltung von Fristen.

Damit das Gesamtausmaß der Schäden möglichst gering gehalten wird, ist es notwendig, die Verwundbarkeiten der IT-Infrastruktur, die den Schutzzielen entgegenwirken, auf ein akzeptables Maß zu verringern. Eine Einschränkung der Verwundbarkeiten kann grundsätzlich durch eine Einschränkung des Leistungsumfangs (z.B. der bereitgestellten Dienste) oder durch den Einsatz von Schutzmaßnahmen erfolgen. Eine Einschränkung des Leistungsumfangs ist in dem hier betrachteten universitären Umfeld im Allgemeinen nicht angebracht. Wohl aber können gewisse Leistungen durch andere mit einem geringeren Risiko ersetzt werden. Dies trifft z.B. auf verschiedene Dienste zu, bei denen eine Übertragung des Passworts grundsätzlich im Klartext erfolgt (vgl. telnet). Diese können oft ohne großen Aufwand durch gleichwertige Dienste ersetzt werden, bei denen eine Verschlüsselung der übertragenen Daten oder zumindest der übertragenen Passwörter erfolgt.

Nutzungsordnung des IT- und Medienzentrums

Nutzungsordnung des IT- und Medienzentrums

Vom 15. Dezember 2010

Auf der Grundlage des § 81 Absatz 1 des Gesetzes über die Hochschulen des Landes Mecklenburg-Vorpommern (Landeshochschulgesetz – LHG M-V) vom 5. Juli 2002 (GVOBI. M-V S. 398), das zuletzt durch Artikel 9 des Gesetzes vom 17. Dezember 2009 (GVOBl. M-V S. 687) und durch Artikel 6 des Gesetzes vom 17. Dezember 2009 (GVOBl. M-V S. 729) geändert worden ist, i. V. m. § 33 Absatz 3 der Grundordnung der Universität Rostock vom 28. Oktober 2003, geändert durch die Satzung zur Änderung der Grundordnung der Universität Rostock vom 25. Juli 2008, hat die Universität Rostock die folgende Nutzungsordnung des IT- und Medienzentrums erlassen:

Präambel
Diese Nutzungsordnung soll die möglichst störungsfreie, ungehinderte und sichere Nutzung der Kommunikations- und Datenverarbeitungsinfrastruktur des IT- und Medienzentrums (ITMZ) der Universität Rostock gewährleisten. Die Nutzungsordnung orientiert sich an den gesetzlich festgelegten Aufgaben der Universität Rostock sowie an ihrem Mandat zur Wahrung der akademischen Freiheit. Sie stellt Grundregeln für einen ordnungsgemäßen Betrieb der IT-und Medieninfrastruktur auf und regelt so das Nutzungsverhältnis zwischen den einzelnen Nutzerinnen/Nutzern, Einrichtungen und dem ITMZ.

§ 1 Geltungsbereich
Diese Nutzungsordnung gilt für die Nutzung der Informationsverarbeitungs- und Medieninfrastruktur des ITMZ der Universität Rostock, bestehend aus den Datenverarbeitungsanlagen, den Kommunikationssystemen, der Medientechnik und sonstigen Einrichtungen zur rechnergestützten Informationsverarbeitung und Medienproduktion, die dem ITMZ unterstellt sind.

§ 2 Rechtsstellung und Organisation des ITMZ
(1) Das ITMZ ist eine zentrale Organisationseinheit der Universität Rostock. Es unterstützt die Universität bei der Durchführung von Datenverarbeitungsaufgaben, bei der rechnergestützten Informationsverarbeitung, der Medienproduktion und ­nutzung, dem technischen Medienservice und der Vermittlung von Medienkompetenz. Im Rahmen bestehender Kooperationsvereinbarungen nimmt das ITMZ seine Aufgaben auch für andere Hochschulen des Landes Mecklenburg-Vorpommern wahr.

(2) Das ITMZ wird von einer hautamtlichen Leiterin/einem hauptamtlichen Leiter geleitet. Die Leiterin/der Leiter wird von der Rektorin/dem Rektor nach Anhörung des Akademischen Senats ernannt und unterliegt dem Weisungsrecht der Rektorin/des Rektors. Sie/Er ist für die Erfüllung der Aufgaben des ITMZ sowie für den zweckentsprechenden Einsatz der Mitarbeiterinnen/Mitarbeiter und der Sachmittel verantwortlich.

(3) Zur Beratung der Universitätsleitung und der Fakultäten setzt die Rektorin/der Rektor einen Beirat „Information, Kommunikation und Medien“ (IKM) ein, der Empfehlungen gibt und Entscheidungen vorbereitet. Organisation und Aufgaben des Beirats IKM sind in einer Geschäftsordnung geregelt, die mit der absoluten Mehrheit der stimmberechtigten Mitglieder des Beirates geändert werden kann.

§ 3 Aufgaben des ITMZ
(1) Das ITMZ ist als zentrale Organisationseinheit eine Serviceeinrichtung für die gesamte Universität und verantwortlich für die universitätsweite Bereitstellung der IT- und Medieninfrastruktur für Studium, Lehre, Forschung und Verwaltung.

(2) Dem ITMZ obliegen insbesondere folgende Aufgaben:

  • Planung, Realisierung und Betrieb der Datenverarbeitungsanlagen des ITMZ für Aufgaben in Studium, Lehre, Aus-und Weiterbildung, Forschung und Verwaltung,
  • Planung, Realisierung und Betrieb der universitätsweiten Informations- und Kommunikationsnetze einschließlich der Telekommunikationssysteme, der notwendigen Netzwerkdienste und der technischen Mediensysteme und Anlagen,
  • Bereitstellung und Betreuung von Softwaresystemen und Diensten zur IT-Unterstützung von Prozessen in Studium, Lehre, Aus- und Weiterbildung, Forschung und Verwaltung der Universität,
  • Betreuung der für die Universität verfügbaren Datenverarbeitungsressourcen, der stationären technischen Mediensysteme und die betriebsfachliche Aufsicht über alle Datenverarbeitungsanlagen in der Hochschule, soweit dies nicht Aufgabe anderer Organisationseinheiten oder Einrichtungen der Universität ist,
  • Koordinierung der Beschaffung von Datenverarbeitungsanlagen, Anwendungssystemen und technischen Mediensystemen,
  • Reparatur, Service und Wartung medientechnischer Anlagen in Lehrräumen der Universität,
  • zentrale Technikausleihe mit Nutzerberatung,
  • Auswahl, Erwerb, Verwaltung, Dokumentation, Pflege und Weiterentwicklung von Software, insbesondere Hochschul- und Campuslizenzen,
  • Beratung und Unterstützung der Mitarbeiterinnen/Mitarbeiter und Studierenden bei der Nutzung der IT- und Medieninfrastruktur und der Anwendungssysteme,
  • Durchführung von Schulungs-und Fortbildungsmaßnahmen für Mitarbeiterinnen/Mitarbeiter der Universität sowie Unterstützung anderer Fachbereiche bei DV-bezogenen Lehrveranstaltungen,
  • Vermittlung von praktischer Medienkompetenz für Mitarbeiterinnen/Mitarbeiter und Studierende,
  • Mitarbeit in verschiedenen landes- und bundesweiten Gremien und Programmen, insbesondere im Hinblick auf die kooperative Nutzung von IT-Ressourcen.

 (3) Zur Gewährleistung eines ordnungsgemäßen Betriebes des Informations- und Kommunikationsnetzes sowie der Datenverarbeitungssysteme und Medientechnik, die dem ITMZ zugeordnet sind, kann die Leiterin/der Leiter des ITMZ weitere Regeln für die Nutzung der Anlagen des ITMZ erlassen, wie z. B. Betriebsregelungen und Nutzungsbedingungen für das Kommunikationsnetz der Universität, die Nutzung der Rechner-Pools und technisch-organisatorische Vorgaben zu Servern und Diensten des ITMZ.

§ 4 Nutzungsberechtigung und Zulassung zur Nutzung
(1) Zur Nutzung der Dienste des ITMZ können zugelassen werden

  • Mitglieder und Einrichtungen der Universität Rostock,
  • externe Personen, die von der Universität Rostock mit der Ausführung von Dienstaufgaben betraut sind,
  • Mitglieder anderer Hochschulen des Landes Mecklenburg-Vorpommern oder staatlicher Hochschulen außerhalb des Landes Mecklenburg-Vorpommern aufgrund besonderer Vereinbarungen,
  • sonstige staatliche Forschungs- und Bildungseinrichtungen und Behörden des Landes Mecklenburg-Vorpommern aufgrund besonderer Vereinbarungen,
  • Studentenwerke im Land Mecklenburg-Vorpommern.

(2) Die Zulassung erfolgt ausschließlich zu wissenschaftlichen Zwecken in Forschung, Lehre und Studium, zu Zwecken der Bibliothek und der universitären Verwaltung, zur Aus- und Weiterbildung sowie zur Erfüllung sonstiger Aufgaben der Universität Rostock bzw. weiterer Einrichtungen entsprechend Absatz 1. Eine hiervon abweichende Nutzung kann zugelassen werden, wenn sie geringfügig ist und die Zweckbestimmung des ITMZ sowie die Belange der anderen Nutzerinnen/Nutzer nicht beeinträchtigt werden.

(3) Die Zulassung zur Nutzung der Einrichtungen und Dienste des ITMZ erfolgt durch Erteilung einer Nutzungserlaubnis. Angehörige der Universität im Sinne des § 50 Absatz 3 des Landeshochschulgesetzes besitzen grundsätzlich eine Nutzungserlaubnis. Mitglieder der Universität Rostock erhalten die Nutzungserlaubnis mit der Begründung der Mitgliedschaft automatisch. Sie gilt bis zur Beendigung der Mitgliedschaft an der Universität Rostock. In Absatz 1 bezeichnete weitere Personen und Einrichtungen erhalten die Nutzungserlaubnis auf schriftlichen Antrag an das ITMZ.

(4) Der Antrag soll unter Verwendung eines vom ITMZ vorgegebenen Formblatts erfolgen. Antragstellerin/Antragsteller ist grundsätzlich ein Mitglied der Universität, in der Regel die Leiterin/der Leiter einer Einrichtung oder eines Projektes, bei dem das Vorhaben thematisch angesiedelt ist und die/der die berechtigte Ausnahmesituation entsprechend Absatz 1 bezeugt. Die Beantragung der Nutzungserlaubnis aufgrund besonderer Vereinbarungen nach Absatz 1 bedarf keines expliziten Antragstellers. Mitantragstellerin/Mitantragsteller ist die Nutzerin/der Nutzer. Das Formblatt sollte folgende Angaben enthalten:

  • Name, Anschrift und Unterschrift der Nutzerin/des Nutzers,
  • Name, Einrichtung und Unterschrift der Antragstellerin/des Antragstellers,
  • Beschreibung des Nutzungszwecks bzw. des geplanten Vorhabens, gewünschte Ressourcen,
  • Erklärung zur Verarbeitung personenbezogener Daten durch die Nutzerin/den Nutzer,
  • Erklärung, dass die Antragstellerin/der Antragsteller sich mit seiner Unterschrift einverstanden erklärt, dass das ITMZ die Sicherheit der System-/ Benutzerpasswörter und der Nutzerdaten durch regelmäßige manuelle oder automatisierte Maßnahmen überprüfen und notwendige Schutzmaßnahmen, z. B. Änderung leicht zu erratender Passwörter, durchführen wird, um die DV-Ressourcen und Benutzerdaten vor unberechtigten Zugriffen Dritter zu schützen,
  • Erklärung, dass die betroffene Nutzerin/der betroffene Nutzer unverzüglich über die erforderliche Änderung ihres/seines Nutzerpassworts, der Zugriffsberechtigung auf ihre/seine Nutzerdateien und sonstige nutzungsrelevante Schutzmaßnahmen in Kenntnis gesetzt wird,
  • Anerkennung dieser Nutzungsordnung sowie der nach § 3 Absatz 4 erlassenen Betriebsregelungen als Grundlage des Nutzungsverhältnisses,
  • schriftliche oder elektronische Einverständniserklärung der Nutzerin/des Nutzers zur Verarbeitung ihrer/seiner personenbezogenen Daten,
  • Hinweis auf die Möglichkeiten einer Dokumentation des Nutzerverhaltens und der Einsichtnahme in die Nutzerdateien nach Maßgabe dieser Nutzungsordnung (vgl. § 7).

Weitere Angaben dürfen nur erhoben werden, soweit dies zur Entscheidung über den Zulassungsantrag erforderlich ist.

(5) Die Nutzungserlaubnis ist auf das beantragte Vorhaben beschränkt und kann zeitlich befristet werden.

(6) Zur Gewährleistung eines ordnungsgemäßen und störungsfreien Betriebs kann die Nutzungserlaubnis überdies mit einer Begrenzung der Rechen- und Onlinezeit sowie mit anderen nutzungsbezogenen Bedingungen und Auflagen verbunden werden.

(7) Das ITMZ kann die Zulassung zur Nutzung überdies vom Nachweis bestimmter Kenntnisse über die Benutzung der gewünschten Datenverarbeitungssysteme, Medientechnik und DV-Dienste abhängig machen.

(8) Wenn die Kapazitäten der DV-Ressourcen nicht ausreichen, um allen Nutzungsberechtigten gerecht zu werden, können die Betriebsmittel für die einzelnen Nutzerinnen/Nutzer entsprechend der Reihenfolge in Absatz 1 kontingentiert werden, da die Zulassung nur im Rahmen der verfügbaren Kapazitäten erfolgen kann.

(9) Die Nutzungserlaubnis kann ganz oder teilweise versagt, widerrufen oder nachträglich beschränkt werden, insbesondere wenn

  • kein ordnungsgemäßer Antrag vorliegt oder die Angaben im Antrag nicht oder nicht mehr zutreffen,
  • die Voraussetzungen für eine ordnungsgemäße Benutzung der Einrichtungen nicht oder nicht mehr gegeben sind,
  • die nutzungsberechtigte Person nach § 6 von der Benutzung ausgeschlossen worden ist,
  • das geplante Vorhaben der Nutzerin/des Nutzers nicht mit den Aufgaben des ITMZ und den in Absatz 2 genannten Zwecken vereinbar ist,
  • die vorhandenen Ressourcen für die beantragte Nutzung ungeeignet oder für besondere Zwecke reserviert sind,
  • die Kapazität der Ressourcen, deren Nutzung beantragt wird, wegen einer bereits bestehenden Auslastung für die geplante Nutzung nicht ausreicht,
  • die zu benutzenden DV-Komponenten an ein Netz angeschlossen sind, das besonderen Datenschutzerfordernissen genügen muss und kein sachlicher Grund für die geplante Nutzung ersichtlich ist,
  • zu erwarten ist, dass durch die beantragte Nutzung andere berechtigte Vorhaben in unangemessener Weise beeinträchtigt werden.

§ 5 Rechte und Pflichten der Nutzerinnen/Nutzer
(1) Die nutzungsberechtigten Personen (Nutzerinnen/Nutzer) haben das Recht, die Einrichtungen, Datenverarbeitungsanlagen und Informations-und Kommunikationssysteme des ITMZ im Rahmen der Zulassung und nach Maßgabe dieser Nutzungsordnung sowie der nach § 3 Absatz 3 erlassenen Regeln zu nutzen. Eine hiervon abweichende Nutzung bedarf einer gesonderten Zulassung.

(2) Die Nutzerinnen/Nutzer sind verpflichtet,

(Allgemein)

  • die Vorgaben der Nutzungsordnung zu beachten und die Grenzen der Nutzungserlaubnis einzuhalten, insbesondere die Nutzungszwecke nach § 4 Absatz 2 zu beachten,
  • alles zu unterlassen, was den ordnungsgemäßen Betrieb der DV-Einrichtungen des ITMZ stört,
  • alle Datenverarbeitungsanlagen, Informations- und Kommunikationssysteme, Medientechnik und sonstigen Einrichtungen des ITMZ sorgfältig und schonend zu behandeln,

 (Umgang mit Benutzerkennungen)

  • ausschließlich mit den Benutzerkennungen zu arbeiten, deren Nutzung ihnen im Rahmen der Zulassung gestattet wurde,
  • dafür Sorge zu tragen, dass keine anderen Personen Kenntnis von den Benutzerpasswörtern erlangen, sowie Vorkehrungen zu treffen, damit unberechtigten Personen der Zugang zu den DV-Ressourcen des ITMZ verwehrt wird; dazu gehört auch der Schutz des Zugangs durch ein geheim zu haltendes und geeignetes, d. h. nicht einfach zu erratendes Passwort, das möglichst regelmäßig geändert werden sollte,
  • fremde Benutzerkennungen und Passwörter weder zu ermitteln noch zu nutzen,
  • keinen unberechtigten Zugriff auf Informationen anderer Nutzerinnen/Nutzer zu nehmen und bekanntgewordene Informationen anderer Nutzerinnen/Nutzer nicht ohne Genehmigung weiterzugeben, selbst zu nutzen oder zu verändern,

(Softwarenutzung, Urheberrechte)

  • bei der Benutzung von Software, Dokumentationen und anderen Daten die gesetzlichen Vorgaben, insbesondere zum Urheberrechtsschutz, einzuhalten und die Lizenzbedingungen, unter denen Software, Dokumentationen und Daten vom ITMZ zur Verfügung gestellt werden, zu beachten,
  • vom ITMZ bereitgestellte Software, Dokumentationen und Daten weder zu kopieren noch an Dritte weiterzugeben, sofern dies nicht ausdrücklich erlaubt ist, noch zu anderen als den erlaubten Zwecken zu nutzen,

(Nutzung der Einrichtungen, Rechner-Pools)

  • in den Räumen des ITMZ den Weisungen des Personals Folge zu leisten und die Hausordnung des ITMZ zu beachten,
  • Störungen, Beschädigungen und Fehler an DV-Einrichtungen, Medientechnik und Datenträgern des ITMZ nicht selbst zu beheben, sondern unverzüglich den ITMZ-Mitarbeiterinnen/-mitarbeitern zu melden
  • ohne ausdrückliche Einwilligung des ITMZ keine Eingriffe in die Hardwareinstallation des ITMZ vorzunehmen und die Konfiguration der Betriebssysteme, der Systemdateien, der systemrelevanten Nutzerdateien und des Netzwerks nicht zu verändern,

(Nutzung entliehener Technik)

  • entliehene Technik des ITMZ ist sorgfältig zu behandeln,
  • bei der Ausleihe ist eine ausreichende Qualifizierung im Umgang mit der Technik nachzuweisen,
  • jede während der Ausleihe entstandene Funktionsstörung, innere oder äußere Beschädigung sind bei der Abgabe unaufgefordert anzuzeigen,
  • jegliche Weitergabe entliehener Technik an andere Personen ist untersagt,
  • die Nutzung entliehener Technik für private Zwecke ist untersagt,

(Sonstiges)

  • der ITMZ-Leitung auf Verlangen in begründeten Einzelfällen - insbesondere bei begründetem Missbrauchsverdacht und zur Störungsbeseitigung - zu Kontrollzwecken Auskünfte über Programme und benutzte Methoden zu erteilen sowie Einsicht in die Programme zu gewähren,
  • eine Verarbeitung personenbezogener Daten mit dem ITMZ abzustimmen und - unbeschadet der eigenen datenschutzrechtlichen Verpflichtungen der Nutzerin/des Nutzers - die vom ITMZ vorgeschlagenen Datenschutz- und Datensicherheitsvorkehrungen zu berücksichtigen.

(3) Auf die folgenden Straftatbestände wird besonders hingewiesen:

  • Ausspähen von Daten (§ 202a StGB),
  • Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB),
  • Computerbetrug (§ 263a StGB),
  • Verbreitung pornographischer Darstellungen (§§ 184 ff. StGB), insbesondere Verbreitung, Erwerb und Besitz kinderpornographischer Schriften (§ 184b StGB) und die Verbreitung pornographischer Darbietungen durch Rundfunk, Medien-oder Teledienste (§ 184c StGB),
  • Verbreitung von Propagandamitteln verfassungswidriger Organisationen (§ 86 StGB) und Volksverhetzung (§ 130 StGB),
  • Ehrdelikte wie Beleidigung oder Verleumdung (§§ 185 ff. StGB),
  • Strafbare Urheberrechtsverletzungen, z. B. durch urheberrechtswidrige Vervielfältigung von Software (§§ 106 ff. UrhG) bzw. verwendeter Medien (ohne nachweisbarer eigener Rechte).

§ 6 Ausschluss von der Nutzung
(1) Nutzerinnen/Nutzer können vorübergehend oder dauerhaft in der Benutzung der DV-Ressourcen beschränkt oder hiervon ausgeschlossen werden, wenn sie 

  • schuldhaft gegen diese Nutzungsordnung, insbesondere gegen die in § 5 aufgeführten Pflichten, verstoßen (missbräuchliches Verhalten) oder
  • die Ressourcen des ITMZ für strafbare Handlungen missbrauchen oder
  • der Universität durch sonstiges rechtswidriges Nutzerverhalten Nachteile entstehen.

(2) Maßnahmen nach Absatz 1 sollen erst nach vorheriger erfolgloser Abmahnung erfolgen. Der Betroffenen/dem Betroffenen ist Gelegenheit zur Stellungnahme zu geben. Sie/er kann die Vorsitzende/den Vorsitzenden des Beirates IKM um Vermittlung bitten. In jedem Fall ist ihr/ihm Gelegenheit zur Sicherung seiner Daten einzuräumen 

(3) Vorübergehende Nutzungseinschränkungen, über die die Leiterin/der Leiter des ITMZ entscheidet, sind aufzuheben, sobald eine ordnungsgemäße Nutzung wieder gewährleistet erscheint.

(4) Eine dauerhafte Nutzungseinschränkung oder der vollständige Ausschluss einer Nutzerin/eines Nutzers von der weiteren Nutzung kommt nur bei schwerwiegenden oder wiederholten Verstößen i. S. v. Absatz 1 in Betracht, wenn auch künftig ein ordnungsgemäßes Verhalten nicht mehr zu erwarten ist. Die Entscheidung über einen dauerhaften Ausschluss trifft die Kanzlerin/der Kanzler auf Antrag des Leiters des ITMZ und nach Anhörung des Beirates IKM durch Bescheid. Mögliche Ansprüche des ITMZ aus dem Nutzungsverhältnis bleiben unberührt.

§ 7 Rechte und Pflichten des ITMZ
(1) Das ITMZ erfasst die Benutzer- und Mailkennungen der zugelassenen Nutzerinnen/Nutzer. Folgende Daten werden dazu für den Zeitraum der Nutzungsberechtigung gespeichert: 

Name, Vorname, Geburtsdatum, Benutzerkennung, E-Mail-Adresse

(2) Soweit dies zur Störungsbeseitigung, zur Systemadministration und -erweiterung oder aus Gründen der Systemsicherheit sowie zum Schutz der Nutzerdaten erforderlich ist, kann das ITMZ die Nutzung seiner Ressourcen vorübergehend einschränken oder einzelne Nutzerkennungen vorübergehend sperren. Sofern möglich, sind die betroffenen Nutzerinnen/Nutzer hierüber im Voraus zu unterrichten.

(3) Sofern tatsächliche Anhaltspunkte dafür vorliegen, dass eine Nutzerin/ein Nutzer auf den Servern des ITMZ rechtswidrige Inhalte zur Nutzung bereithält, kann das ITMZ die weitere Nutzung verhindern, bis die Rechtslage hinreichend geklärt ist.

(4) Das ITMZ ist berechtigt, die Sicherheit der System-/Benutzerpasswörter und der Nutzerdaten durch regelmäßige manuelle oder automatisierte Maßnahmen zu überprüfen und notwendige Schutzmaßnahmen, z. B. Änderungen leicht zu erratender Passwörter, durchzuführen, um die DV-Ressourcen und Benutzerdaten vor unberechtigten Zugriffen Dritter zu schützen. Bei erforderlichen Änderungen der Benutzerpasswörter, der Zugriffsberechtigungen auf Nutzerdateien und sonstigen nutzungsrelevanten Schutzmaßnahmen ist die Nutzerin/der Nutzer hiervon unverzüglich in Kenntnis zu setzen. 

(5) Das ITMZ ist nach Maßgabe der nachfolgenden Regelungen berechtigt, die Inanspruchnahme der Datenverarbeitungssysteme durch die einzelnen Nutzerinnen/Nutzer zu dokumentieren und auszuwerten, jedoch nur soweit dies erforderlich ist:

  • zur Gewährleistung eines ordnungsgemäßen Systembetriebs,
  • zur Ressourcenplanung und Systemadministration,
  • zum Schutz der personenbezogenen Daten anderer Nutzerinnen/Nutzer,
  • zu Abrechnungszwecken,
  • für das Erkennen und Beseitigen von Störungen sowie
  • zur Aufklärung und Unterbindung rechtswidriger oder missbräuchlicher Nutzung.

(6) Unter den Voraussetzungen von Absatz 5 ist das ITMZ auch berechtigt, unter Beachtung des Datengeheimnisses Einsicht in die Benutzerdateien zu nehmen, soweit dies erforderlich ist zur Beseitigung aktueller Störungen oder zur Aufklärung und Unterbindung von Missbräuchen, sofern hierfür tatsächliche Anhaltspunkte vorliegen. Eine Einsichtnahme in die Nachrichten- und E-Mail-Postfächer ist jedoch nur zulässig, soweit dies zur Behebung aktueller Störungen im Nachrichtendienst unerlässlich ist. In jedem Fall ist die Einsichtnahme zu dokumentieren, und die betroffene Nutzerin/der betroffene Nutzer ist nach Zweckerreichung unverzüglich zu benachrichtigen.

(7) Unter den Voraussetzungen von Absatz 5 können auch die Verkehrs- und Nutzungsdaten im Nachrichtenverkehr (insbesondere Mail-Nutzung) dokumentiert werden. Es dürfen jedoch nur die näheren Umstände der Telekommunikation - nicht aber die nicht-öffentlichen Kommunikationsinhalte - erhoben, verarbeitet und genutzt werden. Die Verkehrs- und Nutzungsdaten der Online-Aktivitäten im Internet und sonstigen Telediensten, die das ITMZ zur Nutzung bereithält oder zu denen das ITMZ den Zugang zur Nutzung vermittelt, sind frühestmöglich, spätestens unmittelbar am Ende der jeweiligen Nutzung, zu löschen, soweit es sich nicht um Abrechnungsdaten handelt.
Vgl. § 96 Abs. 1 TKG, §§ 15 Abs. 1, 13 Abs. 4 Nr. 2 TMG.

(8) Nach Maßgabe der gesetzlichen Bestimmungen ist das ITMZ zur Wahrung des Telekommunikations- und Datengeheimnisses verpflichtet.
Vgl. § 88 TKG sowie z.B. § 6 DSG NW.

§ 8 Haftung der Nutzerin/des Nutzers
(1) Die Nutzerin/der Nutzer haftet für alle Nachteile, die der Universität durch missbräuchliche oder rechtswidrige Verwendung der DV-Ressourcen, Medientechnik und der Nutzungsberechtigung oder dadurch entstehen, dass die Nutzerin/der Nutzer schuldhaft seinen Pflichten aus dieser Nutzungsordnung nicht nachkommt.

(2) Die Nutzerin/der Nutzer haftet auch für Schäden, die im Rahmen der ihr/ihm zur Verfügung gestellten Zugriffs-und Nutzungsmöglichkeiten durch Drittnutzung entstanden sind, wenn sie/er diese Drittnutzung zu vertreten hat, insbesondere im Falle einer Weitergabe ihrer/seiner Benutzerkennung an Dritte. In diesem Fall kann die Universität von der Nutzerin/vom Nutzer nach Maßgabe der Entgeltordnung ein Nutzungsentgelt für die Drittnutzung verlangen.

(3) Die Nutzerin/der Nutzer hat die Universität von allen Ansprüchen freizustellen, wenn Dritte die Universität wegen eines missbräuchlichen oder rechtswidrigen Verhaltens der Nutzerin/des Nutzers auf Schadensersatz, Unterlassung oder in sonstiger Weise in Anspruch nehmen. Die Universität wird der Nutzerin/dem Nutzer den Streit verkünden, sofern Dritte auf Grund dieser Ansprüche gegen das ITMZ gerichtlich vorgehen.

§ 9 Haftung der Universität
(1) Die Universität übernimmt keine Garantie dafür, dass das System fehlerfrei und jederzeit ohne Unterbrechung läuft. Eventuelle Datenverluste infolge technischer Störungen sowie die Kenntnisnahme vertraulicher Daten durch unberechtigte Zugriffe Dritter können nicht ausgeschlossen werden.

(2) Die Universität übernimmt keine Verantwortung für die Richtigkeit der zur Verfügung gestellten Programme. Die Universität haftet auch nicht für den Inhalt, insbesondere für die Richtigkeit, Vollständigkeit und Aktualität der Informationen, zu denen sie lediglich den Zugang zur Nutzung vermittelt.

(3) Im Übrigen haftet die Universität nur bei Vorsatz und grober Fahrlässigkeit ihrer Mitarbeiterinnen/Mitarbeiter, es sei denn, dass eine schuldhafte Verletzung wesentlicher Pflichten vorliegt, deren Einhaltung für die Erreichung des Vertragszwecks von besonderer Bedeutung ist (Kardinalpflichten). In diesem Fall ist die Haftung der Universität auf typische, bei Begründung des Nutzungsverhältnisses vorhersehbare Schäden begrenzt, soweit nicht vorsätzliches oder grob fahrlässiges Handeln vorliegt.

(4) Mögliche Amtshaftungsansprüche gegen die Universität bleiben von den vorstehenden Regelungen unberührt.

§ 10 Inkrafttreten
Diese Ordnung tritt mit Wirkung vom 1. Januar 2011 in Kraft. Gleichzeitig tritt die bisherige Nutzerordnung des URZ außer Kraft.

Ausgefertigt aufgrund des Beschlusses des Akademischen Senats der Universität Rostock vom 1. Dezember 2010 und der Genehmigung des Rektors vom 15. Dezember 2010.

Rostock, den 15. Dezember 2010

Der Rektor
der Universität Rostock
Prof. Dr. Wolfgang D. Schareck

Betrieb eigener Geräte

Betrieb eigener Geräte

Um Mitarbeitern und Studierenden die Möglichkeit zu bieten, auch ihre privaten Notebooks/Rechner auf dem Campus für die Nutzung zu universitären Zwecken an das Datennetz anbinden zu können, stehen standortsbedingt WLAN Access Points oder Festnetz-Anschlussplätze zur Verfügung. Das auf den Geländen betriebene öffentliche Zugangsnetz kann von allen Studierenden, Mitarbeitern und Gästen mit einer gültigen Benutzerkennung des ITMZ genutzt werden. Die im Antrag auf Erteilung einer Benutzungserlaubnis akzeptierten Benutzungsbestimmungen behalten auch im öffentlichen Zugangsnetz ausdrücklich ihre Gültigkeit!

Es muss ausdrücklich darauf hingewiesen werden, dass insbesondere im Wireless-Bereich bekanntermaßen die Möglichkeiten für einen aus Sicht des einzelnen Benutzers sicheren Betrieb sehr begrenzt sind. Um sowohl einen Schutz gegen das Abhören der übertragenen Daten als auch gegen gezielte Angriffe aus dem Zugangsnetz auf den eigenen Rechner sicherstellen zu können, sind unbedingt entsprechende Maßnahmen durch den Benutzer selbst vorzunehmen. Es wird daher dringend empfohlen, eine persönliche Firewall mit möglichst restriktiven Einstellungen zu nutzen!

Beschreibung der Sicherheitsmaßnahmen zum Datenschutz

Beschreibung der Sicherheitsmaßnahmen zum Datenschutz

Zentrale Verwaltungseinheiten der Universität Rostock, das ITMZ und die Universitätsbibliothek befolgen eine Reihe technischer und organisatorischer Sicherheitsmaßnahmen, um die IT-Infrastruktur und die Prozesse bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten zu schützen. Wesentliche technische Ausführungen durch das ITMZ sind dabei Konsolidierungen, Virtualisierungen sowie Cloud Computing (einschließlich Infrastructure as a Service [IaaS]).

Entsprechend der verschiedenen Aspekte des Datenschutzes werden Maßnahmen und Empfehlungen im Folgenden gezielt behandelt:

1) Vertraulichkeit
Um Befugnisse hinsichtlich einer übertragenen Nachricht oder gespeicherten Information zu sichern, sind insbesondere im Umgang mit personenbezogenen Daten folgende Mittel einzusetzen:

  • Verschwiegenheitserklärung der Mitarbeiter,
  • entsprechendes Rechte- und Rollenmanagement innerhalb der Software für unterschiedliche Nutzergruppen,
  • Zugriffserteilung nach Bestätigung durch übergeordnete Stellen,
  • Verschlüsselung bei digitaler Datenübertragung (HTTPS, SSH, Passwortschutz, etc.),
  • Digitale Zugangsbeschränkung via IP-Adressen,
  • Zugangsbeschränkungen bei papiergebundenen Datenträgern.

2) Integrität
Mit der Zielstellung, gespeicherte Daten in ihrer Unversehrtheit und Vollständigkeit vor unbeabsichtigten oder böswilligen Änderungen zu schützen, werden folgende Schritte empfohlen:

  • System-interne Prüfung auf Vollständigkeit anwenden (sofern möglich),
  • Plausibilitätsregelwerke (bei Eingabe und Änderungen) innerhalb der eingesetzten Software,
  • Kontinuierliche Pflege von Systemen und Datenbanken (inklusive redundanter und zum Teil logbasierter Speicher-Anordnung und Fehlerkorrektur),
  • Gewissenhafte Zuarbeit durch andere Verwaltungsstellen.

3) Verfügbarkeit
Für die Gewährleistung des Zugriffs und der erforderlichen Bearbeitungszeit bezüglich einzelner Verfahren sind folgende Funktionalitäten adäquat:

  • Systembedingte Internet-Schnittstelle (Web-Interface inklusive dezidierter Freigabe),
  • Netzwerk-Beschränkungen auf IP-Basis,
  • Nutzerkonten-Bindung an IP-Adresse des Rechners,
  • lokale Installation spezialisierter Software,
  • unterbrechungsfreie Stromversorgung zentraler Systemkomponenten (inklusive logisch und physisch redundanter Speicherung sowie Wegeführung).

4) Authentizität der Daten
Sowohl die Herkunft der Akten zu dokumentieren als auch deren Echtheit (bei vertretbarem Aufwand) sicherzustellen, liegt im Verantwortungsbereich der Stellen, die an der Datenerhebung beteiligt sind. Des Weiteren wird zu folgenden Ansätzen geraten:

  • Unterschriftsbefugnisse beachten,
  • Vorlage von Original-Dokumenten oder beglaubigten Kopien,
  • Erklärungsschreiben bezüglich der Richtigkeit der Angaben,
  • 4-Augen-Prinzip bei konventioneller Aktenführung,
  • Signatur-Optionen bei E-Mail-Verkehr,
  • TAN-Nummern-Verfahren (sofern möglich).

5) Revisionsfähigkeit
Die Protokollierung von Datenänderungen wird im Zusammenhang der Bearbeitung von personenbezogenen Daten empfohlen und sollte überwiegend zentral durch entsprechende Backup-Strategien für Datenbanken und Systeme erfolgen. Die Protokoll-Daten sind ausreichend gegen Manipulation und Verlust zu schützen.

6) Transparenz
Die Gewährleistung der Transparenz geschieht vorwiegend über organisatorische Prozesse. Dazu gehören beispielsweise Support, Angaben über Protokollierung (Logging) von Zugriffen oder Änderungen – beispielsweise auf Webseiten oder via Bekanntmachungen, Erklärungen  und Ordnungen.  Dies bedarf einer ausreichenden Dokumentation (z.B. Richtlinien, Anleitungen, Formulare, Impressum, Quellenangaben, Dienstvereinbarungen).
Die Dokumentation der Prozesse im Kontext personenbezogener Datenverarbeitung ist im Verfahrensverzeichnis der Universität Rostock öffentlich einsehbar.

Zusammenfassung

Innerhalb dieses Sicherheitskonzeptes für die IT-Infrastruktur der Universität Rostock werden Ziele und Hinweise aufgeführt, welche sich im Rahmen der Forschung, Lehre und Verwaltung an die IT-Infrastruktur in Bezug auf Funktionalität und Sicherheit ergeben. Zudem konkretisieren Anhänge dieses Sicherheitskonzepts analytische Ergebnisse, Vorschriften und Empfehlungen für Benutzer und Administratoren der IT-Infrastruktur.