Regelwerke

Informationssicherheitsleitlinie für die Hessische Landesverwaltung

Informationssicherheitsleitlinie für die Hessische Landesverwaltung, auf die die Benutzungsordnung für IT-Systeme der Technischen Universität Darmstadt verweist ist nachzulesen im Staatsanzeiger für das Land Hessen, Ausgabe 47/2021, Punkt 1082 (wird in neuem Tab geöffnet) . [Quelle: Staatsanzeiger für das Land Hessen]

Hessisches IT-Sicherheitsgesetz – HITSiG

Das Hessische Gesetz zum Schutz der elektronischen Verwaltung vom 29. Juni 2023 steht hier zum Download bereit: HITSiG (wird in neuem Tab geöffnet)

Mit dem Hessischen IT-Sicherheitsgesetz werden für das 2019 gegründete Hessen CyberCompetenceCenter (Hessen3C) Rechtsgrundlagen geschaffen, die zum effektiven Schutz der Informationstechnik der Verwaltung vor Cyberangriffen erforderlich sind. Gleichzeitig stellt das Gesetz mit den auch für Hochschulen geltenden Verpflichtungen (insb. § 8-11) eine Rechtsgrundlage für die zentralen Informationssicherheitsmaßnahmen an der TU Darmstadt dar.

Die Leitlinie zur Informationssicherheit der TU Darmstadt wurde am 15. Oktober 2020 verabschiedet. Sie bildet eine für alle Organisationseinheiten verbindliche Basis für den IT-Sicherheitsprozess der TU Darmstadt und die dafür erforderliche Organisationsstruktur.

Die Leitlinie zur Informationssicherheit der TU Darmstadt definiert Aufgaben und Verantwortlichkeiten, um die Vertraulichkeit sowie die Integrität und Verfügbarkeit der Daten und IT-Systeme unter Berücksichtigung der datenschutzrechtlichen und sonstigen gesetzlichen Vorgaben – zu erreichen.

Die Leitlinie bildet einen ersten Meilenstein in einem kontinuierlichen IT-Sicherheitsprozess für die TU Darmstadt. Weitere konkrete Schritte und Maßnahmen werden folgen.

Leitlinie zur Informationssicherheit herunterladen (wird in neuem Tab geöffnet)

Die Benutzungsordnung für IT-Systeme der TU Darmstadt wurde am 01.10.2019 vom Präsidium genehmigt und in der Satzungsbeilage 2019-V vom 19.12.2019 veröffentlicht.

• Die vollständige Satzungsbeilage (wird in neuem Tab geöffnet) finden Sie beim Dezernat II unter dem Menüpunkt „Hochschul- und Universitätsrecht“ > „Satzungsbeilagen“, Seite 12.
• Einen Auszug der Satzungsbeilage 2019-V, S. 12-23 können Sie hier (wird in neuem Tab geöffnet) herunterladen.

E-Mail-Services an der TU Darmstadt entsprechen den aktuellen Sicherheitsstandards. Um diese einzuhalten, bedarf es Regeln (Beschluss vom 25.09.2007), die über Ausführungsbestimmungen konkretisiert werden:

Sämtliche ein- und ausgehende E-Mails werden über den zentralen E-Mail-Server des HRZ geleitet.

Der Zugriff von außerhalb auf den SMTP-Port der TU Darmstadt ist nur für explizit angemeldete Mailserver möglich.

Die Rechner der TU Darmstadt sind demnach weitgehend geschützt gegen

• ein-/ausgehende virenbelastete E-Mails und
• eingehende Spam (Markierung).

Das Internet ist geschützt gegen

• virenbelastete Rechner der TU Darmstadt.

Entsprechend der IT-Benutzerordnung entbinden die genannten Sicherheitsmaßnahmen Nutzer_innen nicht von der Verantwortung, E-Mail-Anhänge vor dem Öffnen kritisch zu betrachten.

Sperrung alter Office-Formate, Makros, ausführbarer Dateien

Da über alte Office-Formate und darin enthaltene Makros leicht Viren eingeschleust werden können, ist der Empfang von E-Mails mit solchen Dokumenten seit Anfang 2020 nicht mehr möglich. Betroffen sind die Formate doc, .docm, .dot, .dotm, .pot, .potm, .ppa, .pps, .ppt, .pptm, .html, .htm, .xll, .xlm, .xls, .xlsb, .xlsm, .xlt, .xltm, .xlw sowie .exe.

Details siehe News des HRZ vom 30.03.2020 und 14.01.2020.

Das HRZ bietet hochschulweit Zugang zum WLAN eduroam. Sollten Sie ein eigenes WLAN an Ihrem Institut oder Ihrer Einrichtung betreiben, beachten Sie bitte Folgendes:

Für den Betrieb eines Wireless LANs neben der Infrastruktur des Hochschulrechenzentrums müssen für einen reibungslosen Betrieb und ein störfreies Nebeneinander Randbedingungen erfüllt werden.

Folgende Randbedingungen gelten für den Betrieb der WLAN-Infrastruktur:

• Kein freier Netzzugang (Zugang nur mit Authentisierung).
• Die Authentisierung erfolgt über die Nutzerkennung und nicht aufgrund von Hardware- oder IP-Adressen.
• Datenverkehr ist verschlüsselt (abhörsicher). Es dürfen keine Klartext-Passworte über das Netz gehen.
• Die Technik unterstützt nebeneinander maximal 3 sich überlagernde WLAN-Zellen (Abdeckung der Frequenzbereiche).
• Es gilt die „Benutzungsordnung für IT-Systeme der Technischen Universität Darmstadt“ (z.B. gilt auch hier das Verbot der Weitergabe der Nutzerkennung).
• Einzelne Institute/Fachgebiete der TU Darmstadt dürfen eigene Gateways betreiben, die über das WLAN erreichbar sind.
• Das Hochschulrechenzentrum bietet flächendeckend das zentral betriebene WLAN eduroam an. Bereits vorhandene Instituts-Gateways können dann darin aufgenommen werden.
• Im Konfliktfall hat das zentrale, vom HRZ betriebene WLAN Vorrang vor einem Instituts-WLAN.
• Das WLAN muss auch in Instituten ein eigenes, abgeschlossenes Subnetz sein.
• Im WLAN dürfen (außer dem Gateway) keine Server betrieben werden.
• Verbindungsdaten (IP, Nutzerkennung, Zeit) werden generell mitprotokolliert. Auch Institute, die ein entsprechendes Gateway betreiben, sind angehalten, entsprechende Maßnahmen durchzuführen.
• Im 2,4GHz-Bereich dürfen ausschließlich die Kanäle 1,6 und 11 verwendet werden.
• Im 2,4GHz-Bereich darf keine Kanalbündelung verwendet werden.
• Im Empfangsbereich um Hörsäle dürfen keine dezentralen WLANs im 2,4GHz-Bereich betrieben werden.
• Es wird empfohlen, alte Kodierungsverfahren, insbesondere 802.11b, zu deaktivieren.