Nutzung von Netzdiensten
In den letzten Wochen ist in der Öffentlichkeit um das Thema Abhören von Internet-Kommunikation und Zugriff auf Nutzerdaten wie E-Mails etc. durch Geheimdienste eine Diskussion entbrannt und bei vielen Nutzern Verunsicherung entstanden, welche Auswirkungen diese Vorgänge für den eigenen Umgang mit Internet-Technologien haben.
Das ITMZ möchte daher auf folgende Informationen hinweisen:
Netzwerk- und Server-Infrastruktur des ITMZ
- Die vom ITMZ betriebenen Serversysteme sind vor dem Zugriff durch Dritte geschützt.
- Das ITMZ gewährt keinem unbefugten Dritten Zugriff auf Nutzerdaten.
- Alle Nutzerdaten befinden sich lokal in Rostock auf vom ITMZ selbst betriebenen Systemen und NICHT außerhalb der Infrastruktur des Rostocker Universitätsnetzes.
- Der Zugriff auf ITMZ-Dienste (Anwendungsserver, HIS, HOME, Ilias, Mailbox, SharePoint, StudIP etc.) aus dem Internet heraus erfolgt IMMER mit erzwungener Verschlüsselung und ist daher abhörsicher.
Über das Internet ausgetauschte Daten
- Während des Transports der Daten sind NUR verschlüsselte Daten vor dem Zugriff durch Dritte geschützt. Dies betrifft insbesondere den E-Mail-Verkehr, s. dazu
https://www.itmz.uni-rostock.de/anwendungsdienste/software/windows/sicherheit/grundlagen/smtp-sicherheit/
Verschlüsselte Daten sind dagegen auch beim Transport grundsätzlich vor dem Zugriff durch Dritte geschützt!
Das ITMZ empfiehlt die Nutzung von Zertifikaten, um E-Mails zu verschlüsseln.
Jeder Nutzer der Universität Rostock kann ein persönliches Zertifikat erhalten, siehe dazu
https://www.itmz.uni-rostock.de/it-sicherheit/zertifikate-und-verschluesselung/zertifikate/
- Der Sicherheit von Daten, welche im Internet bei Providern abgelegt wurden, sollte nicht ungeprüft vertraut werden.
Der Zugriff durch Dritte auf diese Daten wird immer durch die Gesetze des Heimatlandes der jeweiligen Fa. geregelt. Insbesondere der amerikanische Gesetzgeber räumt der amerikanischen Regierung weitreichende Befugnisse beim Zugriff auf die Daten von amerikanischen Firmen ein. Die Rechtsabteilung von Microsoft hat beispielhaft für andere US-Firmen zu diesem Problem Stellung genommen, s. dazu
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2013/07/16/responding-to-government-legal-demands-for-customer-data.aspx
Empfehlung zum Datenschutz bei der Nutzung von Internet-Providern
Das ITMZ empfiehlt allen Nutzern ihren Umgang mit im Internet abgelegten Daten zu überprüfen und möglichst vertrauenswürdige Anbieter zu benutzen.
Kritische und/oder datenschutzrelevante Daten sollten NICHT bei Anbietern wie Apple, Dropbox, Facebook, Google, Microsoft usw. abgelegt werden.
Das ITMZ stellt allen Nutzern automatisch mit dem Nutzerkennzeichen ein HOME-Verzeichnis zur Verfügung, siehe dazu
Zum webbasierten Datenaustausch bieten wir derzeit SharePoint zur Nutzung an, siehe dazu
In Kürze kann zum Filesharing auch Gigamove genutzt werden und an einer sync&share-Lösung ähnlich DropBox über den DFN-Verein wird gearbeitet und wird für das 4. Quartal des Jahres erwartet. Über diese Möglichkeiten wird das ITMZ bei Verfügbarkeit informieren.
Langfristige Sicherheit von asymmetrischen (Public-Key) Verschlüsselungsverfahren
Leider bietet bisher KEINES der bekannten asymmetrischen Verschlüsselungsverfahren einen zeitlich unbegrenzten Schutz.
Dies gilt auch für das Perfect Forward Secrecy-Verfahren, da die notwendigerweise in Klartext ausgetauschten Public Keys einer aufgezeichneten verschlüsselten Kommunikation theoretisch benutzt werden könnten, um die benutzte Verschlüsselung für alle Sessions der jeweiligen Kommunikation zu brechen, entsprechende zukünftige IT-Ressourcen vorausgesetzt, s.
http://tonyarcieri.com/imperfect-forward-secrecy-the-coming-cryptocalypse
Weitere Hinweise
- FAQ zur Überwachungsaffäre von der Gesellschaft für Informatik (GI)
- Gesellschaft für Informatik e.V. (GI) empfiehlt Verschlüsselung
- Rundmail des ITMZ vom 13.08.2013: Informationen zur Sicherheit von IT-Systemen und der Arbeit im Internet
- FAQ zur NSA-Affäre
Bei Fragen oder Hinweisen zu diesem Dokument melden Sie sich bitte per E-Mail bei joerg.maletzky(at)uni-rostock.de.