Regelwerke

Die Benutzungsordnung für IT-Systeme der TU Darmstadt wurde am 01.10.2019 vom Präsidium genehmigt und in der Satzungsbeilage 2019-V vom 19.12.2019 veröffentlicht.

• Die vollständige Satzungsbeilage (wird in neuem Tab geöffnet) finden Sie beim Dezernat II unter dem Menüpunkt „Hochschul- und Universitätsrecht“ > „Satzungsbeilagen“, Seite 12.
• Einen Auszug der Satzungsbeilage 2019-V, S. 12-23 können Sie hier (wird in neuem Tab geöffnet) herunterladen.

Die Leitlinie zur Informationssicherheit der TU Darmstadt wurde am 15. Oktober 2020 verabschiedet. Sie bildet eine für alle Organisationseinheiten verbindliche Basis für den IT-Sicherheitsprozess der TU Darmstadt und die dafür erforderliche Organisationsstruktur.

Die Leitlinie zur Informationssicherheit der TU Darmstadt definiert Aufgaben und Verantwortlichkeiten, um die Vertraulichkeit sowie die Integrität und Verfügbarkeit der Daten und IT-Systeme unter Berücksichtigung der datenschutzrechtlichen und sonstigen gesetzlichen Vorgaben – zu erreichen.

Die Leitlinie bildet einen ersten Meilenstein in einem kontinuierlichen IT-Sicherheitsprozess für die TU Darmstadt. Weitere konkrete Schritte und Maßnahmen werden folgen.

IT-Sicherheitsleitlinie herunterladen (wird in neuem Tab geöffnet)

Informationssicherheitsleitlinie für die Hessische Landesverwaltung, auf die die Benutzungsordnung für IT-Systeme der Technischen Universität Darmstadt verweist ist nachzulesen im Staatsanzeiger für das Land Hessen, Ausgabe 31/2016, Punkt 621.

E-Mail-Services an der TU Darmstadt entsprechen den aktuellen Sicherheitsstandards. Um diese einzuhalten, bedarf es Regeln (Beschluss vom 25.09.2007), die über Ausführungsbestimmungen konkretisiert werden:

Sämtliche ein- und ausgehende E-Mails werden über den zentralen E-Mail-Server des HRZ geleitet.

Der Zugriff von außerhalb auf den SMTP-Port der TU Darmstadt ist nur für explizit angemeldete Mailserver möglich.

Die Rechner der TU Darmstadt sind demnach weitgehend geschützt gegen

• ein-/ausgehende virenbelastete E-Mails und
• eingehende Spam (Markierung).

Das Internet ist geschützt gegen

• virenbelastete Rechner der TU Darmstadt.

Entsprechend der IT-Benutzerordnung entbinden die genannten Sicherheitsmaßnahmen Nutzer_innen nicht von der Verantwortung, E-Mail-Anhänge vor dem Öffnen kritisch zu betrachten.

Sperrung alter Office-Formate und Makros

Da über alte Office-Formate und darin enthaltene Makros leicht Viren eingeschleust werden können, ist der Empfang von E-Mails mit solchen Dokumenten seit Anfang 2020 nicht mehr möglich. Betroffen sind die Formate doc, .docm, .dot, .dotm, .pot, .potm, .ppa, .pps, .ppt, .pptm, .xll, .xlm, .xls, .xlsb, .xlsm, .xlt, .xltm, .xlw sowie .exe.

Details siehe News des HRZ vom 30.03.2020 und 14.01.2020.

Stand: März 2011

Das Ziel dieser Richtlinie (Policy) ist die Sicherstellung eines notwendigen Sicherheitsniveaus für den Einsatz von Benutzername/Passwort-Verfahren. Die dazu notwendigen grundlegenden Regelungen und Handlungsanweisungen sind neben spezifischen zusätzlichen Regelungen für einzelne Systeme im Folgenden angeführt. Es obliegt jedem Systembetreiber darüber hinaus, für die von ihm eingesetzten Systeme selbst härtere und schärfere Regeln zu definieren und umzusetzen.

Gestaltungsrichtlinie

• Die Länge des Passwortes muss mindestens 9 Zeichen betragen.
• Es dürfen keine Namen oder bekannte Wörter aus einem Wörterbuch verwendet werden – auch nicht von Fremdsprachen.
• Das Passwort darf den Accountnamen nicht enthalten.
• Das Passwort darf keinen Bezug zum Nutzer (Geburtsdatum, Name der Freundin/des Freundes …) besitzen.
• Das Passwort sollte aus einer Mischung von Groß-, Kleinbuchstaben und Ziffern bestehen. Sonderzeichen sind auch zulässig.
• Das Passwort sollte nicht notiert werden. Ein vergebenes Erstpasswort ist so schnell wie möglich zu ändern.
• Durch Administrator*innen gesetzte Passwörter sind unverzüglich zu ändern.
• Die Struktur des Passworts sollte nicht zu erraten sein.
• Das Passwort sollte gut merkbar sein.

Zusätzliche Regelungen bei spezifischen Systemen

Für einige System- und Accountarten sind zu den oben genannten Punkten noch weitere Punkte einzuhalten.

Passwort für Proxy- und Gateway-Accounts

• Die Länge muss mindestens 16 Zeichen betragen.
• Das Passwort stammt aus einem Random-Passwortgenerator (zum Beispiel pwgen 16).
• Das Passwort darf nur den Personen bekannt sein, die es zur Erledigung der ihnen übertragenen Aufgaben benötigen.

SAP Zugang

• mindestens eine Ziffer und ein Sonderzeichen,
• das erste Zeichen darf kein Sonderzeichen sein,
• die ersten drei Zeichen dürfen weder identisch noch Teile der Benutzerkennung enthalten,
• Änderung maximal einmal pro Tag,
• die letzten 15 Passworte sind unzulässig,
• Entsperrung nur durch eine*n Administrator*in zulässig.

Sicherstellungs- und Auditmaßnahmen für Betreiber

Der Betreiber eines Authentisierungssystems hat für sein System einige grundlegende Regelungen einzuhalten und kann darüber hinaus auch weitere Schutzmechanismen etablieren.

Speicherung und Zugriff

• Der Zugriff auf den Passwortspeicher ist stark einzuschränken.

Intrudersperre und Angriffsschutz

• Eine automatische Accountsperre muss nach 5 Fehleingaben des Passwortes in Kraft treten.
• Sperrfrist des Accounts bei einer automatischen Sperrung beträgt mindestens 5 Minuten.
• Die automatisch erteilte Accountsperre darf (ggf. automatisiert) frühestens nach der Sperrfrist wieder aufgehoben werden.

Qualitätssicherung der Passworte

• Der Betreiber kann direkt beim Setzen eines Passwortes technische Maßnahmen zum Überprüfen der geltenden Policy einsetzen. Hierbei ist unter anderem ein Plausibilitätstest, der trivial oder leicht erratbare Passworte verhindern soll, möglich.
• Der Betreiber kann automatisierte Testprogramme über seinen Nutzerstamm laufen lassen. Diese müssen aber so gestaltet sein, dass er zu keinem Zeitpunkt Kenntnis der konkreten Passwörter seiner Nutzer*innen erhält. Sollten hierbei ungültige oder unsichere Passworte detektiert werden, so darf der dazugehörige Account direkt gesperrt werden. Die/der entsprechende Nutzer*in muss zur Änderung des Passwortes aufgefordert werden.

Das HRZ bietet hochschulweit Zugang zum WLAN eduroam. Sollten Sie ein eigenes WLAN an Ihrem Institut oder Ihrer Einrichtung betreiben, beachten Sie bitte Folgendes:

Für den Betrieb eines Wireless LANs neben der Infrastruktur des Hochschulrechenzentrums müssen für einen reibungslosen Betrieb und ein störfreies Nebeneinander Randbedingungen erfüllt werden.

Folgende Randbedingungen gelten für den Betrieb der WLAN-Infrastruktur:

• Kein freier Netzzugang (Zugang nur mit Authentisierung).
• Die Authentisierung erfolgt über die Nutzerkennung und nicht aufgrund von Hardware- oder IP-Adressen.
• Datenverkehr ist verschlüsselt (abhörsicher). Es dürfen keine Klartext-Passworte über das Netz gehen.
• Die Technik unterstützt nebeneinander maximal 3 sich überlagernde WLAN-Zellen (Abdeckung der Frequenzbereiche).
• Es gilt die „Benutzungsordnung für IT-Systeme der Technischen Universität Darmstadt“ (z.B. gilt auch hier das Verbot der Weitergabe der Nutzerkennung).
• Einzelne Institute/Fachgebiete der TU Darmstadt dürfen eigene Gateways betreiben, die über das WLAN erreichbar sind.
• Das Hochschulrechenzentrum bietet flächendeckend das zentral betriebene WLAN eduroam an. Bereits vorhandene Instituts-Gateways können dann darin aufgenommen werden.
• Im Konfliktfall hat das zentrale, vom HRZ betriebene WLAN Vorrang vor einem Instituts-WLAN.
• Das WLAN muss auch in Instituten ein eigenes, abgeschlossenes Subnetz sein.
• Im WLAN dürfen (außer dem Gateway) keine Server betrieben werden.
• Verbindungsdaten (IP, Nutzerkennung, Zeit) werden generell mitprotokolliert. Auch Institute, die ein entsprechendes Gateway betreiben, sind angehalten, entsprechende Maßnahmen durchzuführen.
• Im 2,4GHz-Bereich dürfen ausschließlich die Kanäle 1,6 und 11 verwendet werden.
• Im 2,4GHz-Bereich darf keine Kanalbündelung verwendet werden.
• Im Empfangsbereich um Hörsäle dürfen keine dezentralen WLANs im 2,4GHz-Bereich betrieben werden.
• Es wird empfohlen, alte Kodierungsverfahren, insbesondere 802.11b, zu deaktivieren.