IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
2.2.6.2. Netz<strong>zu</strong>gänge (M2.204 / M5.124)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Der Anschluss von Systemen an das Datennetz der teilnehmenden Institutionen hat<br />
ausschließlich über die dafür vorgesehene Infrastruktur <strong>zu</strong> erfolgen. Die eigenmächtige<br />
Einrichtung oder Benut<strong>zu</strong>ng von <strong>zu</strong>sätzlichen Verbindungen (Modems<br />
o.ä.) ohne Absprache mit dem <strong>IT</strong>-Verantwortlichen der Organisationseinheit und<br />
ggf. mit dem Datenschutzbeauftragten ist un<strong>zu</strong>lässig.<br />
2.2.6.3. Personenbezogene Kennungen (Authentisierung) (M2.7)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Alle <strong>IT</strong>-Systeme und Anwendungen sind so ein<strong>zu</strong>richten, dass nur berechtigte Benutzer<br />
die Möglichkeit haben, mit ihnen <strong>zu</strong> arbeiten. Infolgedessen ist eine Anmeldung<br />
mit Benutzerkennung und Passwort erforderlich. Die Vergabe von Benutzerkennungen<br />
für die Arbeit an <strong>IT</strong>-Systemen soll in der Regel personenbezogen erfolgen.<br />
Die Arbeit unter der Kennung einer anderen Person ist un<strong>zu</strong>lässig. Dem Benutzer<br />
ist untersagt, Kennungen und Passwörter weiter<strong>zu</strong>geben.<br />
Redundanzen bei der Benutzerverwaltung sind <strong>zu</strong> vermeiden. Die Zuordnung von<br />
mehreren Kennungen <strong>zu</strong> einer Person innerhalb eines <strong>IT</strong>-Systems sollte nur in begründeten<br />
Ausnahmefällen erlaubt sein, wie beispielsweise für Systemadministratoren.<br />
Die Einrichtung und Freigabe einer Benutzerkennung dürfen nur in einem<br />
bereichsintern geregelten Verfahren erfolgen. Die Einrichtung und Freigabe sind <strong>zu</strong><br />
dokumentieren.<br />
2.2.6.4. Administratorkennungen (M2.26)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Das Verwenden von Benutzerkennungen mit weitreichenden Administrationsrechten<br />
muss auf die dafür notwendigen Aufgaben beschränkt bleiben. Die Administratoren<br />
erhalten für diese Aufgaben eine persönliche Administratorkennung. Für die<br />
alltägliche Arbeit sind Standard-Benutzerkennungen <strong>zu</strong> verwenden. Administrator-<br />
Konten sind nach Möglichkeit um<strong>zu</strong>benennen, damit deren Bedeutung nicht sofort<br />
ersichtlich ist.<br />
43 von 75