Betriebsregelung zur Sicherheit im Campusnetz (Network Security Policy)

1. Anliegen

Dieses Dokument enthält Festlegungen zur Benutzung und zum Betrieb von Rechnern im Campusnetz der Technischen Universität Chemnitz. Die zentrale Bedeutung des Campusnetzes für die Erfüllung der Aufgaben in Lehre, Forschung und Verwaltung erfordern einen stabilen und sicheren Betrieb des Netzes.
Die Gewährleistung des Betriebes in hoher Qualität erfordert die Mitarbeit aller Benutzer.

Im Vordergrund stehen

• die Belange des Datenschutzes,
• der Schutz der Privatsphäre,
• die Bewahrung der Integrität der Daten und
• der zweckgebundene Einsatz der Ressourcen.

2. Zweck des Campusnetzes

Das Campusnetz der Technischen Universität Chemnitz ist einer der wichtigsten Bestandteile der Kommunikationsinfrastruktur innerhalb der Universität. Darüber hinaus ermöglicht es über das Wissenschaftsnetz den Zugang zu nationalen und internationalen Informationsquellen und unterstützt die Kommunikation mit Partnern im Internet.

Der Betrieb des Campusnetzes dient ausschließlich der Forschung und Lehre sowie damit im Zusammenhang stehenden Verwaltungsaufgaben. Es steht allen Angehörigen der TU Chemnitz für diese Zwecke zur Verfügung. Andersartige - einschließlich kommerzielle - Nutzung ist untersagt.

3. Nutzer, Administratoren und Netzbetreiber

Nutzer des Campusnetzes sind alle Personen, die Rechner am Campusnetz benutzen. Der Zugang kann dabei direkt an Rechnern in Räumen der TU, vermittelt über andere Netze oder über direkte Einwahlmöglichkeiten erfolgen.

Administratoren von Rechnern am Campusnetz sind Angehörige der TU, die vom URZ eine IP-Adresse für den Betrieb eines Rechners am Campusnetz erhalten haben. Dabei ist es unerheblich, ob die Rechner an Dosenports in den Räumen der TU Chemnitz angeschlossen sind oder den Zugang über kabelgebundene Einwahlverfahren bzw. kabellose Funknetze erhalten. Ausschlaggebend ist die Benutzung einer IP-Adresse der TU Chemnitz.

Das Campusnetz wird vom Universitätsrechenzentrum betrieben. Insbesondere verwaltet das URZ die Anbindung an das Wissenschaftsnetz, alle aktiven Komponenten im Netz (z.B. Router) und die Vergabe von IP-Adressen der TU Chemnitz. Die Verwaltung einzelner Teile des Campusnetzes kann an andere Angehörige der TU übergeben werden (Verwaltungsnetz, CSN, ...).

4. Verantwortung der Nutzer

Die Nutzung des Campusnetzes muss dem Zweck des Campusnetzes entsprechen. Der sichere und stabile Betrieb ist von der Mitwirkung aller Nutzer abhängig. Als generelle Verhaltensregeln gelten:

1. Informieren Sie sich über Netzanschlüsse, Dienste, Regelungen und Zuständigkeiten, und halten Sie sich auf dem Laufenden!
2. Beachten Sie die lokalen Betriebs- und Verhaltensregeln! Respektieren Sie die in anderen Teilen der Datennetze abweichenden Regelungen!
3. Bedenken Sie, dass Sie Teil einer Solidargemeinschaft sind und Ihr Tun der Gemeinschaft nicht schaden darf!
4. Melden Sie Defizite wie z.B. technische Mängel, unabsichtlich erhaltene Informationen oder erkannte Sicherheitslücken unverzüglich dem verantwortlichen Administrator (im Zweifelsfalle dem URZ)!
5. Sprechen Sie mit einem für das Netz Verantwortlichen, bevor Sie neue Netzdienste nutzen! Einerseits können innovationsfreudige Nutzer zur Weiterentwicklung der Netze beitragen. Andererseits gilt: Fehlverhalten ist kein Kavaliersdelikt.
6. Schützen Sie sich und Ihre Ressourcen durch Überwachung der Benutzung Ihres Accounts, Verschlüsselung von vertraulichen Daten und sorgfältige Verwahrung Ihrer Passwörter!
7. Die Weitergabe von Account- und Passwortinformationen ist generell untersagt.
8. Beachten Sie die Verhältnismäßigkeit Ihres Tuns im Hinblick auf den zu erreichenden Zweck!

5. Verantwortung der Administratoren

Die Administration von Rechnern am Campusnetz muss kooperativ, sachgerecht und zweckgebunden erfolgen. Bei Mehrnutzersystemen ist eine abgestimmte Nutzerverwaltung erforderlich. Anonyme Benutzungsformen von Rechnern am Campusnetz sind unzulässig (Ausnahme: frei zugänglich aufgestellte Informationsrechner)
Für die Sicherheit des Rechners im Campusnetz ist der Administrator zuständig. Administratoren sind verpflichtet, Informationsquellen zu Security-Problemen zu verfolgen und auf Hinweise zur Beseitigung von Security-Lücken zu reagieren. Das URZ gibt Informationen über Security-Probleme an die Administratoren weiter.
Das Nicht-Befolgen solcher Hinweise kann das Trennen der Rechner vom Campusnetz zur Folge haben. Der Administrator muss dann nachweisen, dass geeignete Maßnahmen entsprechend der gegebenen Hinweise unternommen wurden. Darüber hinaus ist das URZ berechtigt, von Administratoren einen Nachweis ihrer Fähigkeiten zum verantwortungsbewussten Betrieb von Rechnern im Campusnetz zu fordern.
Die Organisation von Datensicherungsmaßnahmen liegt in der Verantwortung der Administratoren.

6. Verantwortung der Netzbetreiber

Das URZ als Betreiber des Campusnetzes arbeitet eng mit dem DFN-Verein als Betreiber des Wissenschaftsnetzes zusammen. Es unternimmt Maßnahmen zum Schutz des gesamten Campusnetzes bzw. einzelner Teilnetze (Firewall-Funktionen) und schafft so die Rahmenbedingungen für die sichere Kommunikation im Campusnetz.
Rechner, die den regulären Betrieb stören oder behindern, können durch das URZ vom Campusnetz getrennt oder deren Datenverkehr kann geeignet unterbunden werden. In solchen Fällen werden die Administratoren und Benutzer dieser Rechner informiert und verpflichtet, den ordnungsgemäßen Betriebszustand des Rechners wieder herzustellen.
Zu den Aufgaben der Netzbetreiber gehört weiterhin die Anleitung, Unterstützung und Weiterbildung von Administratoren in Fragen der Sicherheit im Campusnetz. Dazu können durch das URZ auch automatisierte Verfahren eingesetzt werden, die den Sicherheitszustand von Rechnern im Campusnetz überprüfen. Falls dafür Unterstützung durch die Adminstratoren erforderlich ist, sind diese verpflichtet, entsprechenden Aufforderungen des URZ nachzukommen.
Zum Zwecke der Analyse von Fehlfunktionen und zum Erkennen von Missbräuchen sind die Netzbetreiber berechtigt, Daten im Netz aufzuzeichnen, entsprechend der Festlegungen in § 5 der Benutzungsordnung des URZ.

7. Verfahren und Prozeduren

Zur Durchsetzung dieser Policy werden Verfahren und Prozeduren definiert und veröffentlicht. Darin werden aktuelle Maßnahmen und Regeln für das Verhalten der Nutzer, Administratoren und Netzbetreiber vorgegeben. Dazu können auch Normen gehören, die bestimmte Konfigurationseinstellung im Betriebssystem und den Einsatz bestimmter Software (z.B Antivirensoftware) vorschreiben.

Die zum Zwecke dieser Betriebsregelung erhobenen Daten werden, sobald sie nicht mehr zur Gewährleistung der Netzsicherheit notwendig sind, nach § 20 Abs. 1 Nr. 2 Sächs. Datenschutzgesetz gelöscht.

8. Ergänzende und weiterführende Hinweise

• Aktuelle Schutzmaßnahmen im Campusnetz
• Benutzungsordnung des DFN-Vereins

Stand: 17. Juni 2004

TU Chemnitz
Universitätsrechenzentrum
- Geschäftsführer -