IT-Sicherheitsbelehrung

IT-Sicherheitsbelehrung zum Einsatz privater IT zu dienstlichen Zwecken bei der Nutzung des San-Netzes

 

Falls Sie das San-Netz mittels eines privaten Endgerätes (Smartphone, Tablet, Laptop etc.) nutzen, sind Sie verpflichtet das entsprechende Gerät gem. folgender Regeln abzusichern:

  • Die Geräte und die dazugehörigen Speicherkarten dürfen nicht mit Rechnern/Netzen des IT-SysBw verbunden werden.

  • Die Geräte sind je nach Typ mit entsprechender Antivirus-Software zu schützen, falls vorhanden. Die Aktualisierung der Datenbank der Antivirus-Software auf neue Signaturen ist regelmäßig durchzuführen.

  • Die Geräte sollten möglichst je nach Typ mit entsprechender lokalen Firewall geschützt werden, falls vorhanden. Die Firewall-Regeln sind nur auf die notwendigsten Verbindungen einzuschränken. Dies sind grundsätzlich nur ausgehende und verwandte Verbindungen. Eingehende neue Verbindungen sollten unterbunden werden.

  • Das Betriebssystem des Gerätes und vorhandene Software sind gemäß Herstellervorgaben regelmäßig zu aktualisieren (Updates).

  • Die Geräte sind mit erforderlicher Software gegen Diebstahl abzusichern. Bei der Nutzung der Geräte ist der Nutzer zu besonderer Sorgfalt verpflichtet, um Diebstahl oder unerkannte Manipulation (auch im eigenen Interesse) zu vermeiden.

  • Bei Verdacht der Manipulation der Geräte ist die Nutzung der Dienste des Projektes San-Netz sofort einzustellen. Auch grundsätzliche weitere Nutzung sollte möglichst vermieden werden. IT-SiBe Proj ist zu informieren.

  • Bei Verlust/Diebstahl ist IT-SiBe Proj zu informieren.

  • Die Geräte sind mit einem entsprechenden Passwort oder einer Fingerabdruck-Sperre zu schützen und die selbsttätige Aktivierungssperre ist zu aktivieren..

  • Die Web-Browser sind so einzustellen, dass alle Cookies und Cache-Daten der Domain san-netz.de nach der Beendigung der Session bereinigt werden. Speichern des Passwortes für San-Netz im Browser-Passwort-Speicher oder in der Cloud ist nicht zugelassen.

  • Die Weitergabe der eigenen Zugangsdaten ist untersagt.

  • Die explizite Speicherung von offenen Informationen (z.B. per PDF-Download über Web-Browser aus dem San-Netz) sollte auf das nötigste eingeschränkt und zeitlich befristet sein. Sind die Informationen nicht mehr erforderlich, sind sie umgehend zu bereinigen. Die Speicherung von Informationen mit der Einstufung VS-NfD oder höher ist nicht zulässig.

  • Die Geräte sollten möglichst eine Verschlüsselung bei der Datenspeicherung nutzen.

  • Zum Freischalten der Geräte ist meistens eine E-Mail-Adresse erforderlich. Dabei darf nicht die dienstliche E-Mail/LoNo-Adresse verwendet werden.

  • Die Nutzer sind verpflichtet vor der Nutzung des San-Netzes, die Geräte gem. obiger Regeln entsprechend abzusichern. Die Nichtbefolgung der entsprechenden Regeln stellt einen Verstoß gegen die Nutzungsbedingungen des Projektes San-Netzes im Rahmen der freiwilligen Nutzung dar und führt zum sofortigen Sperren der entsprechenden Benutzerkonten. Eine Sperrung kann bereits bei Verdacht von Manipulation oder Missbrauch erfolgen, die durch den Nutzer u.U. nicht rechtzeitig erkannt wurde.

Falls Sie den Chat (Rocket.Chat) oder Videochat (Jitsi) Client Apps nutzen, sind Sie verpflichtet, die folgenden Regeln zu beachten:

  • Die Client Apps müssen von einer vertrauenswürdigen Installationsquelle bezogen werden.
  • Die Client Apps sind regelmäßig auf Updates zu prüfen.
  • Die Client Apps sollten nicht gleichzeitig für San-Netz und private Anwendungen genutzt werden (separate Installationen).
  • Bei Löschung des San-Netz Accounts ist auch die Client App zu löschen bzw. die Inhalte und Nutzungsdaten zu entfernen.


Falls Sie den Videochat (Jitsi) nutzen, sind Sie verpflichtet, die folgenden Regeln zu beachten:

  • Entsprechend der Nutzungsbedingungen des San-Netzes sind auch über Jitsi keine Inhalte zu besprechen und keine Bildschirminhalte zu teilen, die VS-NfD oder höher eingestuft sind. Es ist darauf zu achten, dass dies auch nicht fahrlässig geschehen kann (bspw. dadurch, unbeabsichtigt eine falsche Datei auf dem Bildschirm zu teilen).
  • Es ist darauf zu achten, dass durch die Übertragung von Audio und Video keine Inhalte aus Gesprächen oder dem Kamerahintergrund übertragen werden, die VS-NfD oder höher eingestuft sind, oder gegen Persönlichkeitsrechte verstoßen (bspw. ungefragte Personen im Hintergrund). Bei Zweifeln ist für die Audio-/Videokonferenz der Standort zu wechseln.
  • Eine eigene Aufzeichnung von Audio oder Video mit separater Software darf nur mit dem expliziten Einverständnis aller Teilnehmenden erfolgen. Die Aufnahme muss entsprechend sicher gespeichert werden.
  • Der Initiator bzw. Moderator sollte sich davon überzeugen, dass keine unberechtigten Teilnehmenden der Konferenz beiwohnen.
  • Es ist darauf zu achten, dass nicht Systeme zur Sprachsteuerung o.ä. durch die Audioübertragung aktiviert werden können oder Systeme Audiosignale aufnehmen können, die allgemein Audiosignale zur Interpretation aufzeichnen. Beispiele sind Sprachsteuerungsassistenten in Smartphones und Laptops und Anwendungen für Smart Home (Google Assistant, Apple Siri, Microsoft Cortana, Amazon Alexa, …). Die Funktion sollte während dienstlicher Gespräche deaktiviert werden. Die Besprechungen sollten nicht in einem Raum stattfinden, in dem sich aktive Geräte zur Aufzeichnung befinden.