Anfang September wurden mehrere „WU Policies“ (WUPOLs) zum Thema Informationssicherheit veröffentlicht. Diese WUPOLs setzen die Vorgaben der Informationssicherheits-Richtlinie des Rektorats um und richten sich mit konkreten Vorschriften und Handlungsanweisungen an alle WU-Mitarbeitende bzw. an die fachlich verantwortlichen Dienstleistungseinheiten (IT-Services, IT-S). Diese Vorschriften und Handlungsanweisungen sind teilweise neu, teilweise eine Fortschreibung bestehender Regelungen. Für neue Maßnahmen gilt eine Übergangsfrist von sechs Monaten seit Veröffentlichung, also bis Ende Februar 2024.

Im WU-Memo wurde die Veröffentlichung dieser WUPOLs bereits vermeldet und kurz kommentiert. An dieser Stelle möchten wir zentrale Inhalte aus Sicht des wissBR herausgreifen, kurz aufbereiten und mit weiterführenden Lesehinweisen versehen. Hinweis: Die Verweise auf weiterführende Quellen (z.B. WU Wiki) setzen voraus, dass man sich im WU-Netzwerk befindet (auch via VPN).

Passwörter

Laut der WUPOL Informationssicherheitsvorgaben zur Benutzerkontensicherheit gibt es konkrete Vorgaben über die Länge und Beschaffenheit des Passworts für den WU-Account. So muss jedes „normale“ Passwort mindestens 12 Zeichen haben, Klein- und Großbuchstaben sowie mindestens eine Zahl bzw. ein Sonderzeichen beinhalten. Dieses Passwort ist einmal jährlich zu ändern , außer es wird zusätzlich durch eine Zwei-Faktoren-Authentifizierung (2FA) geschützt. Dieses Passwort darf nach der WUPOL Informationssicherheitsvorgaben für Mitarbeitende keine Verbindung zu vorhandenen öffentlichen Informationen über den*die Mitarbeiter*in enthalten (Benutzernamen, Vor- oder Nachname, Geburtstag etc.), nicht weitergegeben werden und auch nicht bei privat genutzten Konten verwendet werden. Soll das Passwort gespeichert werden, ist dafür ein Passwort-Manager zu verwenden, der eine verschlüsselte Speicherung ermöglicht. Die WU empfiehlt und stellt dazu das Open-Source-Produkt KeePass mit bestimmten Grundeinstellungen zur Verfügung. Wichtig: Die Verwendung von selbstgewählten Passwort-Managern (etwa jene des Webbrowsers) stellt nicht automatisch sicher, dass die Vorgaben eingehalten werden. Im Zweifel empfiehlt sich eine Rückfrage zum alternativen Passwort-Manager unter hotline@wu.ac.at.  Auf Aufforderung der IT-S bzw. wenn der Verdacht besteht, dass der WU-Account nicht mehr ausreichend sicher ist, ist das Passwort zu ändern, wobei sich das neue Passwort in mindestens drei Stellen vom bisherigen Passwort unterscheiden muss. Zu beachten ist dabei, dass diese Vorgaben für die Wahl von Geheimnissen (Passwörtern) grundsätzlich auch für die Verwendung WU-externer Clouddienste gilt (z.B. wenn man unter Verwendung der WU-Emailadresse ein Benutzerkonto bei einem Dienst eines Drittanbieters unterhält) sowie für die Wahl von Zugangsgeheimnissen bei gesicherten Datenträgern. Für Benutzerkonten mit privilegierten Zugriffsrechten auf ein WU-Gerät (zum Beispiel Administratorrechte auf einen Arbeitsplatzrechner), auf WU-Daten und/oder auf WU-Dienste gelten strengere Vorgaben. Eine Änderung des Passworts ist über das Controlpanel möglich. Wohl noch der Übergangszeit geschuldet wird dort allerdings derzeit bloß ein mindestens 10-stelliges Passwort verlangt. Es ist davon auszugehen, dass die dortigen Informationen in Kürze aktualisiert werden.

Verhalten bei kurzfristigem Verlassen des Arbeitsplatzes

Wenn man seinen Arbeitsplatz verlässt, ist der Bildschirm des Arbeitsplatzrechners zu sperren (Windows: Windows-Taste + „L“, macOS: Ctrl + Befehlstaste+ „Q“). Dies ist vor allem dann zwingend erforderlich, wenn man über den eigenen WU-Account mit einem WU-Dienst verbunden ist (Mail-Client, Canvas, SAP, BACH, LEARN, etc.). Ist eine Bildschirmsperre nicht möglich, wie etwa bei den Vortragenden-PCs in den Hörsälen, bedeutet das, dass man bei zwischenzeitlichem Verlassen des Saales während einer LV-Einheit die Sitzungen auf Basis des WU-Accounts beenden muss, indem man sich ausloggt. Dies soll denMissbrauch durch Unbefugte verhindern. Dass das während der Präsenzlehre bei kurzen LV-Pausen und zeitaufwendiger Neuanmeldung mit zweitem Faktor bei z.B. Canvas schwer umsetzbar sein kann, liegt da allerdings auf der Hand. Eine entsprechende Ausnahme ist im Rahmen der Vorgaben aber nicht vorgesehen.

Grundsätzliche Verhaltensregeln

In der WUPOL Informationssicherheitsvorgaben für Mitarbeitende wird weiters darauf hingewiesen, dass jegliche Aktivitäten, die die Sicherheits-Software eines Geräts umgehen könnten (z.B. Deaktivierung von Sicherheitsmaßnahmen, Umgehungsversuche von Sicherheitsmaßnahmen), zu unterlassen sind und auch keine Programme, die dazu dienen, Schwachstellen oder Passwörter in Endgeräten oder Servern zu finden oder die Privatsphäre einer Person beeinträchtigen können, verwendet werden sollen. Egal ob digital oder physisch mit Daten gearbeitet wird, sollte immer nur jenen Personen Zugang gegeben werden, die dazu berechtigt sind. Damit sind alle Handlungen zu unterlassen, die es auch Nicht-Berechtigten ermöglichen würden Zugang zu geschützten Daten zu erhalten.

Eingehende Mails sollten immer aufmerksam geprüft werden, zusätzlich und unabhängig von technischen Gegenmaßnahmen durch den Mailklienten (z.B., Outlook, Thunderbird). Die WUPOL bzw. eine zusätzlich bereitgestellte Checkliste bieten dafür Prüfschritte. Bei Unsicherheiten, dem Verdacht einer Phishing-Mail bzw. bei vermutetem Verlust von Daten soll man sich direkt an hotline@wu.ac.at wenden. Über diesen Kontakt sollen grundsätzlich alle Informationssicherheitsverletzungen gemeldet werden, wobei die WUPOL selbst noch weitere Kontaktmöglichkeiten nennt.

Geltungsbereich der WUPOLs

Abschließend ist noch festzuhalten, dass diese Vorgaben für WU-Mitarbeitende verbindlich sind, die mit einem WU-Gerät im WU-Netzwerk arbeiten. WU-Mitarbeitende, die von der Arbeitgeberin kein WU-Gerät zur Verfügung gestellt bekommen haben und daher mit einem Privatgerät arbeiten müssen (z.B. Lehrtutor*innen), sind von den WUPOLs grundsätzlich nicht erfasst. Diesbezüglich ist zu betonen ist, dass dies eigentlich nicht vorgesehen ist, weshalb in so einem Fall Kontakt mit der Führungskraft, der Departmentleitung bzw den IT-S aufgenommen werden sollte. Grundsätzlich sollte jede/r Mitarbeiter*in mit einem WU-Gerät ausgestattet werden.

Grundsätzlich gilt die WUPOL Informationssicherheitsvorgaben für Mitarbeitende auch im Kontext von Lehre und Forschung. Sollte zu Forschungs- und/oder Lehrzwecken allerdings eine Ausnahme benötigt werden, müssen von der jeweils zuständigen Organisationseinheit (z.B. Institut, Department) entsprechende kompensierende Schutzmaßnahmen getroffen oder ein Umsetzungsplan erstellt sowie vom CISO freigegeben werden. Sollte dies nicht zu einer Einigung führen, kann eine Ausnahme durch das Rektorat genehmigt werden.

Abschließend ist noch zu betonen, dass diese und alle anderen Vorgaben der WUPOLs verbindliche Handlungsanweisungen der Arbeitgeberin darstellen. Werden sie missachtet, kann sich daraus eine Dienstpflichtverletzung ableiten, die auch individuelle Folgen haben kann. Sollten sich daher im Rahmen dieser Vorgaben Fragen oder Probleme ergeben, bemühen wir uns auch gerne um Unterstützung bei der Lösungsfindung. Entsprechende Anfragen können gerne an wiss.betriebsrat@wu.ac.at gerichtet werden.

^19.12.2023
zurück zur Übersicht