IT-Sicherheitsrichtlinie - IMC Fachhochschule Krems GmbH

IT-Sicherheitsrichtlinie 

der 

Erstellt von: Mag.(FH) Markus Bamberger 

Geprüft von: Mag.(FH) Corinna Metze 

Freigegeben von: Mag. Ulrike Prommer 

Datum: 25. Juli 2012 

IMC Fachhochschule Krems GmbH 

Piaristengasse 1 - A-3500 Krems - Austria - Europe - Tel: +43(0)2732-802-0 - Fax: +43 (0)2732-802-4 

http://www.fh-krems.ac.at - office@fh-krems.ac.at - FNB 79297 p - DVR: 0798771

IT Sicherheitsrichtlinie 

MB/Juli 2012 

Inhaltsverzeichnis 

1. Vorwort ............................................................................................ 3 

2. Ziele ................................................................................................. 4 

3. Geltungsbereich ................................................................................. 4 

4. Spezielle Bezeichnungen ..................................................................... 4 

4.1. Informationen .............................................................................. 4 

4.2. Computersysteme, Netzwerksysteme .............................................. 5 

5. Allgemeine IT-Sicherheitsrichtlinie ....................................................... 5 

6. Richtlinienkriterien ............................................................................. 6 

6.1. Verwendung der Systeme .............................................................. 6 

6.2. Individuelle Verwendung ............................................................... 6 

6.3. Regelungen zur Passwortwahl ........................................................ 7 

6.4. Tipps zur Erstellung eines schwer zu erratenden Passwortes: ............. 7 

6.5. Schutz vor Viren und anderen böswilligen Produkten ......................... 8 

6.6. Datenklassifizierung (sensitivity level) ............................................. 8 

6.7. Datenschutz .............................................................................. 10 

6.8. Regelungen bezüglich personenbezogener Informationen ................ 10 

6.9. Reaktion auf einen Sicherheitsvorfall............................................. 11 

6.10. Verfügbarkeit ............................................................................. 11 

6.11. Zugriffskontrollen ....................................................................... 12 

6.12. Überprüfung der BenutzerInnen-Zugriffsrechte .............................. 12 

6.13. Sicheres Entsorgen von Informationen .......................................... 12 

6.14. Sicheres Vernichten von Geräten .................................................. 12 

6.15. Netzwerksicherheit ..................................................................... 12 

6.16. Entfernter Zugriff ....................................................................... 13 

6.17. Software-Lizenzen und Copyright ................................................. 13 

6.18. Das Internet .............................................................................. 14 

6.19. Datenlöschung ........................................................................... 14 

6.20. Elektronische Post ...................................................................... 14 

7. Kriterien zur Richtlinien-Einhaltung .................................................... 15 

7.1. Ausnahmen dieser Sicherheitsrichtlinie .......................................... 15 

7.2. Durchsetzung und Verletzung ...................................................... 15 

7.3. Änderungen dieses Dokuments .................................................... 16 

8. Organisatorische und funktionale Verantwortlichkeiten ......................... 16 

9. Verpflichtungserklärung zur Einhaltung des Datenschutzes .................... 17 

10. Anhang ........................................................................................... 19 

10.1. IT Policy in der Fassung vom 24.07.2012 ...................................... 19 

10.2. Laptop – Nutzungsrichtlinie .......................................................... 21 

Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 2


MB/Juli 2012 

1. Vorwort 

Die IT-Sicherheitsrichtlinie ist eine Beschreibung der Verantwortlichkeiten und 

Verpflichtungen für alle MitarbeiterInnen der IMC FH Krems, um eine 

unternehmensweite sichere IT-Infrastruktur etablieren und verwalten zu können. 

Um die IT-Sicherheitsrichtlinie für alle MitarbeiterInnen der IMC FH Krems zu 

implementieren, wird sie an all jene Personen verteilt, die in einem aktiven 

Beschäftigungsverhältnis zur IMC FH Krems stehen, an der IMC FH Krems studieren 

oder durch andere vertragliche Regelungen Zugriff auf Daten und Informationen der 

IMC FH Krems haben. Ebenfalls ist die Abteilung IT Services im Auftrag der 

Geschäftsführung dazu verpflichtet, eine jährlich wiederholende Schulung mit allen 

MitarbeiterInnen und Studierenden durchzuführen und das Verstehen der IT- 

Sicherheitsrichtlinie und aller anderen Sicherheitsdokumente schriftlich bestätigen zu 

lassen. Die Unterschriftenlisten sind in der Abteilung IT Services mindestens zwei 

Jahre aufzubewahren. 

Sollte diese IT-Sicherheitsrichtlinie oder Teile davon im Konflikt mit anderen 

Sicherheitsrichtlinien innerhalb der IMC FH Krems stehen, so hat dieses Dokument 

den Vorrang und ist im Zweifelsfall zuerst anzuwenden. 

Die IT Policy sowie die Laptop Nutzungsrichtlinie der IMC FH Krems werden 

periodisch adaptiert und sind integraler Bestandteil dieser IT-Sicherheitsrichtlinie. 

Die derzeit gültige IT-Policy sowie die Laptop Nutzungsrichtlinie sind im Anhang 

ersichtlich. 

Für weitergehende Informationen steht die Abteilung IT-Services der IMC FH Krems 

gerne zur Verfügung. 

Mag. Ulrike Prommer 

Geschäftsführerin 

Mag. (FH) Markus Bamberger 

Leitung IT Services 

Krems, am 10.07.2012 



MB/Juli 2012 

2. Ziele 

Die vorrangigen Ziele der IT-Sicherheitsrichtlinie sind: 

1. Methoden hervorzuheben, um Sicherheitsrisiken effektiv zu behandeln und 

die Verantwortlichkeit innerhalb der IMC FH Krems zum Schutz von der in 

diesem Dokument beschriebenen Informationen zu kommunizieren. 

2. Das Einreichen einer verlässlichen IT-Arbeitsgrundlage und einer stabilen 

IT-Arbeitsinfrastruktur. 

3. Die Einhaltung aller anzuwendenden Gesetze und Bestimmungen zu 

gewährleisten. 

4. Methoden hervorzuheben, um die Verteilung und die Einhaltung der IT- 

Sicherheitsrichtlinie von allen MitarbeiterInnen der IMC FH Krems 

sicherzustellen. 

3. Geltungsbereich 

Die Gültigkeit der IT-Sicherheitsrichtlinie erstreckt sich auf alle aktuellen und in der 

Zukunft dazu kommenden Geschäftsstandorte, Abteilungen und 

Unternehmensbereiche der IMC FH Krems. 

Dies gilt gleichermaßen für alle MitarbeiterInnen, VertragsmitarbeiterInnen 

(ProjektmitarbeiterInnen, nebenberuflich Lehrende, etc), Zulieferer, Studierende und 

andere Personen, die Zugriff auf Informationen der IMC FH Krems haben. Die IT- 

Sicherheitsrichtlinie umfasst sämtliche Computer- und Netzwerksysteme, für die die 

IMC FH Krems die administrative Verantwortung übernommen hat (sowohl für eigene 

als auch für Kundensysteme). 

4. Spezielle Bezeichnungen 

Zusätzlich zu anderen Definitionen in diesem Dokument gelten die folgenden 

Definitionen: 

4.1. Informationen 

Informationen beinhalten Wissen, Formeln, Technik, Erfindungen, Methoden, 

Prozesse, Ideen, Produktbeschreibungen, Kundenlisten, Preisangaben, Studien, 

Erhebungen, Datenbanken, Fotos, Notizen, Analysen, Zusammenfassungen und jede 

andere Art von Daten, die von oder im Auftrag der IMC FH Krems erstellt wurden. Im 

Rahmen dieses Dokuments werden jene Daten, die der Öffentlichkeit zur Verfügung 



MB/Juli 2012 

gestellt oder der IMC FH Krems ohne Vertraulichkeitscharakter geliefert wurden, 

nicht als Information bezeichnet. 

Diese Sicherheitsrichtlinie gilt für jede Form, in der Informationen in der IMC FH 

Krems zur Verfügung gestellt werden, und zwar: Verbale Kommunikation, 

geschriebene Dokumentationen, elektronische Datenbanken, Bänder, Disketten, 

elektronisch erstellte Ausdrucke, E-Mails, Informationen auf Anrufbeantwortern, 

Faxausdrucke, Besprechungsnotizen und Arbeitspapiere. 

4.2. Computersysteme, Netzwerksysteme 

Computer- und Netzwerksysteme beinhalten Desktop Computer, Laptops, 

Computernetzwerke, Serversysteme, E-Mail-Systeme, Faxgeräte und Telefongeräte 

und –anlagen, die der Firma entweder gehören oder von ihr geleast sind. 

Diese Sicherheitsrichtlinie ist unabhängig der eingesetzten Technik und beinhaltet 

keinerlei technische Implementierungsvorschriften. 

5. Allgemeine IT-Sicherheitsrichtlinie 

Informationen gehören zu den wichtigsten Vermögenswerten der IMC FH Krems. Die 

Qualität, in der die Informationen gesichert werden, ist ein Schlüsselfaktor zur 

Erhaltung der Geschäftstätigkeit. 

Aus diesem Grund sind alle MitarbeiterInnen der IMC FH Krems dafür verantwortlich, 

dass die Verfügbarkeit, die Vertraulichkeit und die Integrität der 

Informationen gewährleistet sind. Jede/r BenutzerIn von Informationen oder 

jede Person, die Zugriff auf Informationen hat, geht die Verpflichtung ein, diese 

Vermögenswerte der IMC FH Krems zu erhalten und sie in einer verlässlichen Art zu 

schützen. Sicherheitskontrollen, die in diesem Dokument hervorgehoben werden, 

liefern den notwendigen physischen und prozess-bezogenen Schutz, um dieser 

Verpflichtung nachzukommen. 

Jede Information darf nur zu geschäftlichen Zwecken der IMC FH Krems verwendet 

werden. Informationen müssen über ihren gesamten Lebenszyklus geschützt werden 

– also von der Erstellung über die Verwendung bis hin zur autorisierten Zerstörung. 

Jede Information muss in einer sicheren und verlässlichen Art geschützt werden und 

für die autorisierte Verwendung verfügbar sein. Informationen müssen auf der für 

den Geschäftszweck basierenden Wichtigkeit entsprechend klassifiziert sein. 

Die IT-Services der IMC FH Krems ermöglichen, dass Informationen gemeinsam 

genutzt werden können, wobei gleichzeitig sichergestellt sein muss, dass sie und die 

damit verbundenen Systeme geschützt sind. Die Geschäftsführung und alle 

MitarbeiterInnen sind dafür verantwortlich, dass die jeweiligen Kontrollen eingeführt 

sind, um die Verfügbarkeit, die Vertraulichkeit und die Integrität der 

Vermögenswerte zu gewährleisten. Jede einzelne Person der IMC FH Krems ist dafür 

verantwortlich, dass alle Sicherheitsmaßnahmen eingehalten werden. 



MB/Juli 2012 

6. Richtlinienkriterien 

6.1. Verwendung der Systeme 

Für die Verwendung jedes einzelnen Systems der IMC FH Krems bedarf es 

einer Genehmigung durch die Geschäftsführung. Diese Genehmigung wird 

durch den direkten Vorgesetzten schriftlich angefordert. Die Einhaltung dieser 

Richtlinie kann stichprobenartig durch IT Services überprüft werden. 

6.2. Individuelle Verwendung 

Zur Verwendung der Systeme der IMC FH Krems ist eine individuelle 

Verantwortlichkeit erforderlich. Dies geschieht durch die Vergabe von 

individuell für alle BenutzerInnen eingerichteten Computererkennungen, also 

Benutzerkonten. Es ist eine Zustimmung der Geschäftsführung erforderlich, 

um eine/n BenutzerIn eine neue Benutzerkennung zuweisen zu können. Die 

Abteilung IT-Services muss außerdem eine Liste aller verfügbaren 

Benutzerkennungen verwalten. Jede/r BenutzerIn auf Systemen der IMC FH 

Krems darf lediglich auf jene Informationen zugreifen, für die sie/er aufgrund 

der ihr/ihm zugewiesenen Benutzerkennung autorisiert ist. Die Abteilung IT- 

Services ist verpflichtet, alle Benutzerkennungen und auf die damit 

zugegriffenen Systeme zu überwachen. Weiterhin ist die Abteilung IT-Services 

verpflichtet, entsprechende Technologien zu implementieren, um unerlaubten 

Zugriff auf Systeme oder Informationen vorzubeugen. 

Zusammen mit der Benutzerkennung muss eine weitere 

Identifikationsüberprüfung über ein Kennwort erfolgen. Kennwörter sind 

als vertrauliche Informationen zu behandeln und dürfen nur den 

BenutzerInnen bekannt sein und nicht weitergegeben werden. Zuletzt ist 

jede/r BenutzerIn dafür verantwortlich, welche Aktivitäten unter Verwendung 

der Benutzerkennung durchgeführt werden. 



MB/Juli 2012 

6.3. Regelungen zur Passwortwahl 

Schlechte oder zu einfache Passwörter erhöhen die Möglichkeit, dass unautorisiert 

Zugang zu Computersystemen erreicht wird. Um Informationen der Fachhochschule 

Krems möglichst gut zu schützen, muss das Passwort nach folgenden Regeln gewählt 

werden. 

 

Das Passwort muss eine mindestlänge von 8 Zeichen haben. 

UND 

Hinweise: 

 

Das Passwort muss jeweils mindestens ein Zeichen der folgenden 

Gruppen enthalten: 

o Großbuchstaben (A-Z) 

o Kleinbuchstaben (a-z) 

o Nummer (0-9) 

o Sonderzeichen !“§$%&/()=+*#‘,.-;:_@ 

Passwörter sollen nicht in einem Wörterbuch vorkommen. Auch das ersetzen von 

Buchstaben durch ähnliche Zeichen ist zu vermeiden. (z.B.: P@assw0rt) 

6.4. Tipps zur Erstellung eines schwer zu erratenden Passwortes: 

Sie können recht einfach ein schwierig zu erratendes Passwort erstellen, wenn Sie 

Wörter aus Themen, die Sie interessieren mit Nummern und Symbolen kombinieren. 

Wählen Sie zum Beispiel ein Passwort, das mit Ihren Interessen oder Hobbies zu tun 

hat. Das macht es einfacher eines auszusuchen und es ist auch leichter zu merken. 

Aber verwenden Sie bitte nicht die hier angeführten Beispiele: 

 

 

 

Nehmen Sie zwei Worte und eine Nummer, trennen Sie diese mit einem 

Sonderzeichen 

Schu-3-geschäft (wo gehen Sie gerne hin) 

1/rote-Tomate (wächst in meinem Garten) 

Kombinieren Sie ein Wort oder Initialen von etwas, das Sie interessiert 

mit Sonderzeichen 

456=mein-Audi (wenn Sie 456 in Ihrem Kennzeichen haben) 

Haus-13-krems (dort wohne ich) 

London/2012 (dort war ich auf Urlaub) 

Benutzen Sie ein Zitat, eine Liedzeile oder ein Gedicht 

Iam_from_Austria 

Last:Christmas! 



MB/Juli 2012 

 

Kürzen Sie einen Satz mit dessen Anfangsbuchstaben ab 

Ich habe am 8. Jänner Geburtstag 

Iha8.JG 

6.5. Schutz vor Viren und anderen böswilligen Produkten 

Da eine Vielzahl an BenutzerInnen Zugriff auf Informationen der IMC FH Krems 

haben, ist die Wahrscheinlichkeit des Befalls mit einem Computervirus, eines 

Netzwerkwurms oder anderen böswilligen Programmen hoch. Dies kann zur 

zeitweiligen Unterbrechung einzelner oder aller Systeme führen. 

Deshalb ist die kontinuierliche Verwendung von Antiviren-Software notwendig. 

Antiviren-Software ist daher auf allen Systemen installiert und wird durch die 

Abteilung IT-Services regelmäßig aktualisiert. Die Systeme müssen und werden 

damit nach Viren überprüft. Alle Dateien, die im Netzwerk verwendet werden und der 

IMC FH Krems von extern geliefert werden, muss vor deren Verwendung auf Viren 

untersucht werden. 

6.6. Datenklassifizierung (sensitivity level) 

Die IMC FH Krems möchte eine Datenklassifizierung einführen. Abteilungs- und 

StudiengangsleiterInnen sind verantwortlich für die Festlegung der 

Sicherheitsanforderungen für jede der zugewiesenen Informationsgruppen bezüglich 

der drei Bereiche: Geheimhaltung, Vollständigkeit und Verfügbarkeit (confidentiality, 

integrity, availability) 

Um den Prozess der Festlegung zu vereinfachen und um sicherzustellen, dass an der 

gesamten Fachhochschule dieselben Kriterien verwendet werden, sollen 

Informationsgruppen nach folgenden Kriterien kategorisiert werden: 

Die Geheimhaltungsanforderung für eine Informationsgruppe wird wie folgt definiert: 

Öffentlich: Informationen können an Mitglieder und Nichtmitglieder 

der IMC FH Krems weitergegeben werden ohne Autorisierung durch die 

zuständige Führungskraft. 

Intern: Informationen können an Mitglieder der IMC FH Krems 

weitergegeben werden. Die Weitergabe solcher Informationen benötigt 

die Freigabe durch die zuständige Führungskraft. 

Abteilungsdaten: Informationen können an MitarbeiterInnen der 

Abteilung weitergegeben werden, welche die Daten besitzt. 

Vertraulich: Informationen dürfen nur an MitarbeiterInnen 

weitergegeben werden, die diese benötigen und zuvor durch die 

zuständige Führungskraft per Name oder Funktion autorisiert wurden. 



MB/Juli 2012 

 

Geheim: Informationen dürfen nur an eine begrenzte Anzahl von 

MitarbeiterInnen weitergegeben werden, die diese benötigen und zuvor 

durch die zuständige Führungskraft autorisiert wurde. 

Die Anforderungen an Vollständigkeit und Verfügbarkeit für eine Informationsgruppe 

werden wie folgt definiert: 

Informationen sind „Non-critical“ wenn durch unberechtigte Veränderung, Verlust 

oder Zerstörung nur kurzfristige Schwierigkeiten für die BenutzerInnen dieser 

Informationen sowie der IT-Services verursacht werden und der Schaden geringe 

Kosten verursacht. Es müssen angemessene Maßnahmen zum Schutz von 

Informationen in versperrbaren Kästen und /oder Büros zu verwahren, getroffen 

werden und die Benutzung von Standard Zutritts- und Zugriffsmechanismen die es 

verhindern, dass unautorisierte Personen Informationen verändern. Regelmäßige 

Backups sind zu organisieren. 

Informationen sind „critical“ wenn durch deren unautorisierte Veränderung, Verlust 

oder Zerstörung durch bösartige Aktivitäten, unabsichtlich oder verantwortungsloses 

Handeln die IMC FH Krems einen größeren finanziellen Schaden oder einen Schaden 

an Reputation erleiden könnte, nicht mehr Gesetzes- oder Vertragskonform agiert 

oder die Kunden der Fachhochschule dadurch Nachteile erleiden. 

Zusätzliche Maßnahmen für „critical“ Informationen: 

„Critical“ Informationen müssen regelmäßig überprüft werden. Ein 

Notfallvorsorgeplan zur Wiederherstellung von „critical“ Informationen welche 

zerstört oder beschädigt wurden wird von IT Services entwickelt, dokumentiert, 

eingeführt und jährlich getestet werden. 



MB/Juli 2012 

6.7. Datenschutz 

Die IMC FH Krems besitzt in geltender Fassung persönliche Daten einzelner 

Personen. (Studierendendaten, etc.) Der Schutz persönlicher Daten ist von 

äußerster Wichtigkeit. Von allen MitarbeiterInnen der IMC FH Krems ist 

sicherzustellen, dass die Privatsphären-Richtlinie (Art. 7 der Charta der Grundrechte 

der EU) und diesbezügliche gesetzliche Bestimmungen im Datenschutzgesetz 

eingehalten werden. MitarbeiterInnen mit Kenntnis von und Zugriff auf persönliche 

Daten sind verpflichtet, die Vertraulichkeit dieser persönlichen Daten zu 

respektieren. 

Der Besitz und die Verwaltung persönlicher Daten (inklusive Kundendaten) müssen 

folgendermaßen verwaltet werden: 

 

 

 

BenutzerInnen der IT Systeme müssen die Möglichkeit haben, ungenaue 

oder unvollständige Daten anzufechten und eine weitere Verwendung 

außerhalb des angegebenen Zwecks zu untersagen. 

Die DatenverwalterInnen müssen vernünftige Kontrollen implementieren, um 

die Integrität der Daten zu schützen. 

Die Daten dürfen nur für den Zeitraum gespeichert bleiben, wie es das 

Gesetz oder ähnliche Bestimmungen vorsehen. Sozialversicherungsnummern 

von Studierenden müssen 6 Monate nach ausscheiden oder Abschluss 

gelöscht werden. An der IMC FH Krems wird dies automatisch durch das 

Verwaltungssystem erledigt. 

6.8. Regelungen bezüglich personenbezogener Informationen 

Personenbezogene Informationen sind Informationen, die dazu benutzt werden 

können um eine bestimmte Person zu identifizieren oder zu kontaktieren. 

Beispiele dafür sind der Name, die Sozialversicherungsnummer, die Adresse, 

Geburtsdatum oder Telefonnummer. 

Alle personenbezogene Daten sind als vertraulich zu behandeln, außer: 

 

 

Die Informationen wurden als „Adressbuchinformationen“ von der zuständigen 

Führungskraft definiert (z.B. Vorname, Nachname, Studiengang, die im Outlook 

Adressbuch aufscheinen) 

Die zuständige Führungskraft hat die Veröffentlichung von Informationen 

autorisiert. 



MB/Juli 2012 

Folgende personenbezogene Informationen dürfen nicht gesammelt, gespeichert 

oder benutzt werden außer es ist für die Geschäftsprozesse notwendig (z.B. 

Personalverwaltung, Studierendenverwaltung) 

o 

o 

o 

o 

o 

o 

Sozialversicherungsnummer 

Geburtsort 

Geburtsdatum 

Lediger Name 

Kreditkartennummer 

Kontonummer 

AbteilungsleiterInnen müssen sicherstellen, dass ihre MitarbeiterInnen die 

Notwendigkeit diese Informationen zu schützen verstehen. Zugriff auf Informationen 

dieser Art dürfen nur dann gewährt werden, wenn diese Informationen zur 

Durchführung der aufgetragenen Aufgaben notwendig sind. 

6.9. Reaktion auf einen Sicherheitsvorfall 

Alle BenutzerInnen der IT-Systeme der IMC FH Krems müssen darauf vorbereitet 

sein, Sicherheitsvorfälle wie Einbrüche oder Attacken, aber auch Schwachstellen der 

Systeme und andere Bedrohungen bei Erkennen weiterzuleiten. Alle erkannten oder 

vermuteten Sicherheitsvorfälle sind der Stelle „IT-Services“ so schnell wie möglich zu 

melden. Dies kann per E-Mail, telefonisch oder persönlich erfolgen. 

6.10. Verfügbarkeit 

Informationen müssen zur autorisierten Verwendung auf einfache Weise zur 

Verfügung gestellt werden. Es müssen geeignete Prozesse zur leichten und schnellen 

Wiederherstellung defekter, fehlender oder zerstörter Informationen entwickelt und 

implementiert werden. Dies gilt für jedes in der IMC FH Krems eingesetzte 

Betriebssystem. Es ist in jedermanns Verantwortung, geeignete 

Sicherungskopien seiner Informationen, die auf der persönlichen Arbeitsstation 

gespeichert sind, herzustellen. Es ist ein wiederkehrender Test einzuführen, der die 

korrekte Funktionalität der Sicherungs- und Wiederherstellungs-Programme sowie 

der wichtigsten Systeme überprüft. Diese Prozesse sind im QM der IMC FH Krems 

implementiert und werden dort regelmäßig „Reviews“ unterzogen. 



MB/Juli 2012 

6.11. Zugriffskontrollen 

Die Abteilung IT-Services hat physische und logische Zugriffskontrollen 

implementiert um Informationen und andere Vermögenswerte entsprechend ihrer 

Klassifikation und ihres Verlustrisikos leicht wieder herstellen zu können. 

Rechtszentren, Kabelschränke und Server müssen physisch vor unberechtigtem 

Zugriff geschützt werden. Zusätzlich dazu müssen Software-Mechanismen und 

entsprechende Prozesse eingeführt werden, damit sichergestellt ist, dass nur 

autorisierte Personen Zugriff auf diese Ressourcen haben. 

6.12. Überprüfung der BenutzerInnen-Zugriffsrechte 

IT Services kontrolliert periodisch (mindestens alle 12 Monate) die 

Zugriffsmöglichkeiten der BenutzerInnen um festzustellen, ob die BenutzerInnen die 

Notwendigkeit erfüllen, auf jene Informationen zuzugreifen, für die sie autorisiert 

sind. 

6.13. Sicheres Entsorgen von Informationen 

Vernichten von Informationen, welche aktuelle Gesetze oder Geschäftsgrundlagen 

der IMC FH Krems verletzen würde, ist nicht erlaubt. Grundsätzlich gilt an der IMC 

FH Krems, dass Daten nur auf Anweisung und nur durch die Abteilung IT-Services 

gelöscht werden. 

6.14. Sicheres Vernichten von Geräten 

Alle Geräte, die Speichermedien wie zum Beispiel Festplatten enthalten, müssen vor 

ihrer Vernichtung daraufhin untersucht werden, dass keine sensitiven Daten oder 

aktuelle Programmlizenzen mehr darauf enthalten sind. Diese darf nur von 

autorisierten MitarbeiterInnen der Abteilung IT-Services durchgeführt werden. 

6.15. Netzwerksicherheit 

Das Verbinden mit dem Computernetzwerk der IMC FH Krems muss in einer sicheren 

Art hergestellt werden, damit die Integrität des Netzwerks, die darin 

übertragenen Daten und dessen ständige Verfügbarkeit gewährleistet ist. 

Müssen Kunden, Lieferanten oder andere externe Partner auf das Firmennetzwerk 

der IMC FH Krems zugreifen, muss ein Repräsentant dieser Geschäftspartner… 



MB/Juli 2012 

 

 

 

der IT-Sicherheitsrichtlinie der IMC FH Krems schriftlich zustimmen, bevor 

eine Netzwerkverbindung hergestellt wird, 

die Vertraulichkeit von Informationen innerhalb des Netzwerks schriftlich 

akzeptieren und 

ist für jegliche Verletzung dieser Richtlinie verantwortlich. Jeder externe 

Zugriff auf das Netzwerk der IMC FH Krems bedarf einer vorherigen 

schriftlichen Genehmigung durch die Abteilung IT-Services der IMC FH 

Krems. 

6.16. Entfernter Zugriff 

Um entfernt auf das Netzwerk der IMC FH Krems zuzugreifen, bedarf es der 

schriftlichen Genehmigung der Geschäftsführung. Dies ist nur in Ausnahmefällen 

möglich. Um eine eindeutige Zuordnung der Zugriffe auf Personen zu ermöglichen, 

muss die Identifikation und die Authentizität der Person überprüft werden, die Zugriff 

auf das Netzwerk verlangt. Jeder entfernte Zugriff muss überwacht werden, solange 

die Verbindung bestehen bleibt. 

Um entfernten Zugriff auf das Netzwerk der IMC FH Krems zu erlagen, dürfen 

ausschließlich jene Tools und Programme verwendet werden, die dazu von der IMC 

FH Krems angeboten werden. Die Verwendung anderer, firmenfremder Software und 

Programme sind nicht erlaubt. 

6.17. Software-Lizenzen und Copyright 

Grundsätzlich gilt, dass auf Firmeneigenen Computern nur MitarbeiterInnen der 

Abteilung IT-Services Software installieren können. Lizenzierte Software darf nur 

dann kopiert oder dupliziert werden, wenn es dazu eine gesonderte Genehmigung 

innerhalb des Lizenzabkommens gibt. Keinerlei Programme oder Dateien, die 

außerhalb der IMC FH Krems bezogen werden (dies gilt auch für das Internet) dürfen 

– selbst wenn sie lizenziert sind – für persönliche Zwecke erworben und auf 

Systemen der IMC FH Krems ohne vorherige schriftliche Genehmigung der IT- 

Services installiert werden. 



MB/Juli 2012 

6.18. Das Internet 

Das Internet steht den MitarbeiterInnen der IMC FH Krems uneingeschränkt zu 

geschäftlichen Zwecken zur Verfügung, wenn folgende Regeln beachtet werden: 

 

 

 

Es dürfen nur wesentliche Netzwerk-Ressourcen verbraucht werden. 

Die Benutzung des Internets darf die Produktivität der MitarbeiterInnen nicht 

beeinträchtigen. 

Die Benutzung des Internets darf Sicherheits- und andere Richtlinien der IMC 

FH Krems nicht verletzen. 

Die IMC FH Krems ermutigt seine MitarbeiterInnen das Internet zu benutzen. Hier 

sind viele wichtige Daten, Illustrationen, Erklärungen und andere Kommentare zu 

finden, die für geschäftliche Belange Verwendung finden können. 

Allerdings beinhalten einige Seiten des Internets solches Material, das unanständig 

ist; zum Beispiel gibt es dort Seiten, die sexuellen, Gewalt verherrlichenden oder 

diskriminierenden Inhalt verbreiten. Es ist verboten, auf solcherlei Seiten 

zuzugreifen. 

Die IMC FH Krems toleriert den Missbrauch von unternehmenseigenen 

Ressourcen nicht. Um die Einhaltung dieser Richtlinie zu gewährleisten, wird die 

individuelle Verwendung des Internets überwacht und aufgezeichnet. 

6.19. Datenlöschung 

MitarbeiterInnen, Lehrenden, Studierenden und AbsolventInnen ist es nicht gestattet 

Daten, über die sie nicht allein verfügungsberechtigt sind ohne den entsprechenden 

Auftrag oder Berechtigungen zu löschen. Die IMC FH Krems kommen 

uneingeschränkte Nutzungsrechte über Daten die ein/e DienstnehmerIn in Erfüllung 

der dienstvertraglichen Verpflichtungen geschaffen hat, zu. 

6.20. Elektronische Post 

Die Nutzung des E-Mail-System der IMC FH Krems, sowohl bei interner als auch bei 

externer Kommunikation, ist nur zu geschäftlichen Zwecken erlaubt. 

Alle elektronischen Nachrichten, die verschickt, empfangen oder gespeichert werden, 

sind als Eigentum der IMC FH Krems zu betrachten. Sie können jederzeit von den IT- 

Services eingesehen werden. Die Verwendung des E-Mail-Systems der IMC FH 

Krems unterliegt nicht der Privatsphäre. 

Die MitarbeiterInnen der IMC FH Krems könnten unter Umständen Empfänger von 

unerwünschten E-Mails sein, die nichts mit der geschäftlichen Tätigkeit zu tun haben. 



MB/Juli 2012 

Die einfachste Antwort auf solcherlei E-Mails ist das Ignorieren. Erhalten 

BenutzerInnen wiederholend unerwünschte E-Mails von einem einzelnen Absender, 

so sollten sie die IT-Services darüber informieren. Die IMC FH Krems behält sich 

dann das Recht vor, Kontrollmechanismen einzusetzen, um den Absender 

identifizieren zu können und diesen auch die weitere Übermittlung zu verwehren. 

7. Kriterien zur Richtlinien-Einhaltung 

Die Einhaltung dieser IT-Sicherheitsrichtlinie ist Pflicht. Schon während der 

Einstellungsphase neuer MitarbeiterInnen muss auf diese Richtlinie und deren 

Einhaltung hingewiesen werden. Dies gilt ebenfalls für das Abschließen von 

Verträgen mit externen MitarbeiterInnen. Jede/r interne und externe MitarbeiterIn, 

der Zugriff auf Informationen der IMC FH Krems hat, muss seine eigene Rolle und 

Verantwortlichkeit bezüglich sicherheitsrelevanter Sachverhalte kennen und 

verstehen. Dies gilt ohne Ausnahme auch für den Schutz und den Erhalt der 

informellen Vermögenswerte der IMC FH Krems. 

7.1. Ausnahmen dieser Sicherheitsrichtlinie 

Um eine Ausnahme bei der Einhaltung dieser Sicherheitsrichtlinie zu erwirken, ist 

eine schriftliche Begründung einzureichen, die von der Geschäftsführung freigegeben 

wird. Diese schriftliche Begründung muss an die IT-Services gerichtet werden. Die 

IT-Services speichern die Begründung zusammen mit der Zustimmung zur 

Ausnahme ab und bewahren sie revisionssicher auf. Die einmalige Gewährung einer 

Ausnahme bedeutet nicht die generelle Zusage zu dieser Ausnahme. 

7.2. Durchsetzung und Verletzung 

Jede Verletzung der Richtlinie muss an die Leitung des betroffenen 

Unternehmensbereichs und die IT-Services gemeldet werden. Jede Verletzung der 

IT-Sicherheitsrichtlinie zieht disziplinarische Folgen nach sich. Die Art dieser 

disziplinarischen Folgen wird von der Geschäftsführung in Zusammenarbeit mit den 

IT-Services festgelegt. Sie hängt stark von der Wirkung und dem entstandenen 

Schaden ab. 

Abhängig von der Verletzung der Richtlinie kann es sein, dass ein 

Sicherheitsvorfall-Bericht erstellt werden muss. Weiterhin muss entschieden 

werden, ob die Zugriffsrechte einzelner Personen auf Informationen der IMC FH 

Krems entzogen werden müssen. Elektronisch und automatisch erstellte 

Sicherheitsvorfall-Berichte müssen an die Geschäftsführung, die Personalabteilung 

und die IT-Services weitergeleitet werden. 



MB/Juli 2012 

7.3. Änderungen dieses Dokuments 

Jede/r MitarbeiterIn der IMC FH Krems kann eine Änderung dieser 

Sicherheitsrichtlinie beantragen. Änderungs- und Verbesserungsvorschläge hierfür 

müssen in schriftlicher Form an die IT-Services gerichtet werden, die den Vorschlag 

nach Erhalt prüft. Die Gültigkeit der geänderten Richtlinie beginnt mit dem Zeitpunkt 

der Verteilung an der Einbindung ins QM-System. 

8. Organisatorische und funktionale Verantwortlichkeiten 

Die folgenden Abschnitte erklären in Kürze die organisatorische Struktur der IMC FH 

Krems, damit die Einhaltung der Richtlinie gewährleistet ist: 

IT Services 

Die IT-Services der IMC FH Krems hat die Gesamtverantwortung darüber, die 

Implementierung, Verbesserung, die Überwachung und das Einhalten dieser 

Sicherheitsrichtlinie sicherzustellen. Die IT-Services sind der zentrale 

Ansprechpartner, wenn es um sicherheitsrelevante Fragen geht. Sie arbeiten eng 

mit allen Unternehmensbereichen zusammen. Die IT-Services geben in 

Sicherheitsfragen Empfehlungen ab und machen Vorschläge, wie entsprechende 

Sicherheitsvorkehrungen innerhalb der IMC FH Krems getroffen werden können. Die 

IT-Services sind bei einem Sicherheitsvorfall dafür verantwortlich, dass alle Schritte 

zur Aufklärung und Wiederherstellung des Betriebs koordiniert werden. 

Sicherheitsadministratoren 

Sicherheitsadministratoren sind dafür verantwortlichen, dass diese Richtlinie 

entsprechend administriert, Bedrohungen identifiziert und analysiert sowie 

entsprechende Maßnahmen bei einem Verstoß gegen diese Richtlinie eingeleitet 

werden. Die Personen, die zur Gruppe der Sicherheitsadministratoren gehören, 

haben administrative Rechte für alle Betriebssysteme und Benutzerkennungen 

innerhalb der IMC FH Krems. 

Besitzer von Informationen 

Jeder Information muss ein/ eindeutige/r BesitzerIn von Informationen zugewiesen 

werden. Diese Personen legen fest, wer Zugriff auf diese Information bekommt und 

mit welchen Rechten dieser Zugriff eingerichtet wird (Lesen, Schreiben und so 

weiter). Diese Zugriffsrechte müssen in Einklang mit der 

Tätigkeitsbeschreibung der entsprechenden MitarbeiterInnen sein. Besitzer von 

Informationen müssen diese Informationen ihrer Wichtigkeit entsprechend 

klassifizieren. Diese Einstufung kann zwar delegiert werden, die Verantwortung dazu 

bleibt jedoch bei der/dem BesitzerIn der Informationen. 

Alle BenutzerInnen sind verpflichtet, diese Richtlinie, die Sicherheitsstandards, 

Implementierungsvorschriften und alle anderen sicherheitsrelevanten Dokumente 

einzuhalten; sie müssen Verletzung dieser Richtlinie an die Geschäftsführung und IT- 

Services melden. 



MB/Juli 2012 

9. Verpflichtungserklärung zur Einhaltung des Datenschutzes 

Verpflichtungserklärung zur Einhaltung des Datenschutzgesetztes 

(DSG) 2000 

Verpflichtungserklärung für Dienstnehmer – die für die IMC 

Fachhochschule Krems (privatrechtliche Bildungseinrichtung) tätig sind 

– zur Einhaltung des Datengeheimnisses gemäß § 15 Datenschutzgesetz 

2000 und zur Verschwiegenheit bezüglich sonstiger bekannt gewordener 

Dienst- und Amtsvorgänge. 

Im Zuge Ihres Dienstverhältnisses erhalten Sie voraussichtlich Kenntnis über 

Personen und personenbezogene Umstände und Daten sowie über technische 

Daten betreffend die technische Infrastruktur und den strukturellen Aufbau von 

Datenanwendungen. 

Alle diese Daten sind absolut vertraulich zu behandeln und unterliegen den 

Bestimmungen des österreichischen Datenschutzgesetzes. 

Sie verpflichten sich, 

 

 

das Datengeheimnis gemäß den Bestimmungen des Datenschutzgesetzes 

i.d.g.F., insbesondere § 15 DSG (Datengeheimnis) zu wahren; 

zu absoluter Verschwiegenheit über alle, Ihnen anlässlich Ihrer Tätigkeit 

bekannt gewordenen, nicht von den zuständigen Personen ausdrücklich als 

unbedenklich bezeichneten Dienst- und Amtsvorgänge. 

Sie verpflichten sich weiters, 

 

 

 

unbefugten Personen oder zuständigen Stellen die Kenntnisnahme von Daten, 

die Ihnen in Ausübung Ihres Dienstes bekannt geworden sind, nicht zu 

ermöglichen, sowie solche Daten nicht zu einem anderen als dem zum 

jeweiligen rechtmäßigen Aufgabenvollzug gehörenden Zweck zu verwenden; 

Automationsunterstützte oder manuell verarbeitete Daten, die Ihnen auf 

Grund Ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich 

geworden sind, unbeschadet sonstiger Verschwiegenheitspflichten, nur auf 

Grund einer ausdrücklichen mündlichen oder schriftlichen Zustimmung des 

Dienstgebers oder dessen Beauftragten zu verwenden; 

diese Verpflichtung auch nach Beendigung Ihres Mitarbeiterverhältnisses und 

dem Ausscheiden aus der Firma einzuhalten. 

Sie nehmen zur Kenntnis, 

 

dass weiterreichende andere Bestimmungen über die Geheimhaltungspflicht 

von der oben angeführten Verpflichtung unberührt bleiben, sofern sie nicht 

mit dem Datenschutzgesetz im Widerspruch stehen; 



MB/Juli 2012 

 

 

dass als Dienst- und Amtsvorgänge insbesondere jene zur Kenntnis gelangten 

Vorgänge zu verstehen sind, die dienstinterner Natur sind, oder die Rechte 

Dritter berühren; 

dass Verstöße gegen die oben angeführte Verpflichtung zu entsprechender 

strafrechtlicher Verfolgung führen können, schadenersatzpflichtig machen und 

auch arbeitsrechtliche Folgen haben können (z.B. Entlassung gemäß § 27 

Angestelltengesetz). 

Sie verpflichten sich, 

Daten und Verarbeitungsergebnisse ausschließlich dem Dienstgeber 

zurückzugeben oder nur nach dessen schriftlichem Auftrag zu übermitteln. 

Desgleichen bedarf eine Verwendung der überlassenen Daten für eigene 

Zwecke eines schriftlichen Auftrages; 

 

 

 

Alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der 

Tätigkeit zur Wahrung des Datengeheimnisses im Sinne des § 15 DSG 2000 

zu verpflichten. Insbesondere bleibt die Verschwiegenheitsverpflichtung der 

mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer 

Tätigkeit und Ausscheiden beim Dienstnehmer aufrecht. Die Verpflichtung zur 

Verschwiegenheit ist auch für Daten von juristischen Personen und 

handelsrechtlichen Personengesellschaften einzuhalten; 

Ausreichende Sicherheitsmaßnahmen im Sinne des § 14 DSG 2000 ergriffen 

zu haben, um zu verhindern, dass Daten ordnungswidrig verwendet oder 

Dritten unbefugt zugänglich werden; 

Nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und 

Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in 

dessen Auftrag für ihn weiter vor unbefugter Einsicht gesichert 

aufzubewahren oder auftragsgemäß zu vernichten. 

Weiters verpflichtet sich der Dienstnehmer, 

 

 

Für die technischen und organisatorischen Voraussetzungen Vorsorge zu 

tragen, dass der Auftraggeber die Bestimmungen der § 26 (Auskunftsrecht) 

und § 27 (Recht auf Richtigstellung oder Löschung) DSG 2000 gegenüber 

dem Betroffenen innerhalb der gesetzlichen Fristen jederzeit erfüllen kann 

und er überlässt dem Auftraggeber alle die dafür notwendigen Informationen; 

Der Dienstnehmer ist nicht berechtigt, einen Subverarbeiter heranzuziehen. 



MB/Juli 2012 

10. Anhang 

10.1. IT Policy in der Fassung vom 24.07.2012 

Um die Sicherheit des Computernetzwerkes gewährleisten zu können, verpflichten sich 

die MitarbeiterInnen und Studierenden zur Einhaltung folgender Benutzerregeln: 

Den Studierenden ist die Benutzung der den Studenten zugewiesenen Computer erlaubt. 

Das Downloaden von Programmen und deren Installation ist während der Benutzung der 

Computer der IMC Fachhochschule Krems verboten. 

Für die Vertraulichkeit der den Studierenden übermittelten Benutzerkennung ist Sorge zu 

tragen. 

Die Sicherung der lokal auf einem Einzelplatz–PC gehaltenen Daten hat in 

Eigenverantwortung zu erfolgen. 

Die Studenten haften für die Einhaltung der gesetzlichen Vorschriften, insbesondere 

betreffend Urheberrecht bei Verwendung der Computer der IMC FH Krems. 

Die Benutzung von Tauschbörsen für Dateien jeder Art ist allenfalls unzulässig. 

Weiters nimmt der Studierende die Erklärung zur Einhaltung des Datengeheimnisses 

gemäß § 15 Datenschutzgesetz 2000 nachweislich zur Kenntnis. 

Der Studierende verpflichtet sich, hausexternen Personen keinen Zutritt zu den 

Computer- und Seminarräumen zu gewähren und der Anordnung, dass Essen und 

Trinken in diesen Räumen nicht gestattet ist, Folge zu leisten. 

Der Studierende verpflichtet sich, das Inventar in den Computerräumen mit größter 

Sorgfalt zu behandeln und das vom Studiengang erhaltene persönliche Passwort nicht 

weiterzugeben. 

Nachfolgende Einschränkungen gelten für die den Studierenden zur Verfügung gestellten 

elektronischen Ressourcen: 

 

Speicherplatzbeschränkungen: 

- Z:\ Laufwerk – max. 425MB 

- Mailpostfachgröße gesamt – max. 500 MB 

- Keine Daten auf LAB-PCs 



MB/Juli 2012 

 

Verpflichtend für alle Studenten sind nachstehende Punkte: 

- Pflege des Z:\Laufwerkes (Aufräumen, etc.) 

- Pflege des Mail Accounts (Postfach) 

- Anerkennung der auferlegten Speicherplatzbeschränkungen 

- Sofortige Bekanntgabe von eventuell auftretenden Sicherheitslücken an 

support@imc-krems.ac.at 

 

Jedem Studenten sind folgende Punkte strengstens untersagt: 

- Verändern der zur Verfügung gestellten Hardware (Lab-PCs, Surfstations, etc.) 

- Versenden von Spam Mails (Mails an mehr als 5 Empfänger, ohne direkten 

Zusammenhang mit LVAs) 

- Weitergabe von Passwörtern jeglicher Art 

- Verwendung von Passwörtern die nicht der Passwortrichtlinie in der IT- 

Sicherheitsrichtlinie entsprechen. 

- Übermäßiges Speichern von Privatdaten auf dem Z:\Laufwerk 

- Jeglicher Versuch, diverse Sicherheitsmechanismen zu umgehen 

- Speichern fremder Software auf Lab PCs 

 

Außerdem ist Folgendes zu beachten: 

- Allgemeine Umgangsformen am eDesktop 

Im Falle eines Verstoßes gegen die Benutzerregeln wird umgehend die Benutzerkennung 

des jeweiligen Studierenden für mindestens 5 Werktage gesperrt. 



MB/Juli 2012 

10.2. Laptop – Nutzungsrichtlinie 

Bei Ausgabe eines Firmen-Laptops wird vom/von der MitarbeiterIn eine Unterschrift 

eingefordert. Die Ausgabe des Laptops erfolgt ausschließlich persönlich an den/die 

MitarbeiterIn. 

Sie haben von der IMC Fachhochschule Krems GmbH 

am 

______________________ 

1 Laptop der Marke ______________________ 

mit der Seriennummer 

______________________ 

erhalten und bestätigen mit Ihrer Unterschrift die Übernahme der folgenden Rechte, 

Verantwortungen und Pflichten: 

 

 

 

 

 

 

 

 

 

 

 

 

 

grundsätzlich sollte das o.a. Gerät für firmenmäßige Zwecke verwendet werden; 

die Nutzung von einschlägigen und pornografischen Internetseiten ist strengstens 

untersagt; 

durch den/die DienstnehmerIn ist zu gewährleisten, dass firmeninterne Daten, auf 

denen ein möglicher Zugriff besteht geschützt werden; 

eine Weitergabe an Dritte ist nicht erlaubt; 

der/die DienstnehmerIn hat das Gerät unter Einhaltung der Sorgfalt zu verwenden; 

ein sorgsamer Umgang zur Vermeidung von Beschädigungen und Fehlfunktionen ist 

einzuhalten (Akku, Temperaturen,…); 

bei Störungen oder Beschädigungen am Gerät ist der/die LeiterIn der IT-Abteilung 

bzw. dessen Stellvertretung zu kontaktieren; 

Lokal gesicherte Daten sollten regelmäßig extern gesichert werden, bzw. generell auf 

dem persönlichen Laufwerk (Z:); 

Auf die Sicherheit und den Schutz vor Diebstahl muss geachtet werden, speziell bei 

Dienstreisen. Generell sollte das Gerät nie unbeaufsichtigt sein und im Auto so 

verstaut sein, dass es von außen nicht sichtbar ist; 

Bei Verlust oder Diebstahl des Geräts ist ebenfalls der/die LeiterIn der IT-Abteilung 

bzw. dessen Stellvertretung zu kontaktieren; 

Software darf nur vom Admin installiert werden, kontaktieren Sie dazu die IT- 

Abteilung; 

Änderungen an der Hardware sowie den Systemdateien (z.B. in der Registry) sind 

verboten; 

Auf ausreichenden Anti-Virus Schutz muss geachtet werden, Firewall Einstellungen 

werden vom Admin vorgenommen Regelmäßige Software Updates! (auch zur 

Sicherheit des Firmen-Netzwerks); 

Mit Ausscheiden aus dem Unternehmen ist das Gerät mit allem Zubehör an die 

Personalabteilung oder IT-Abteilung zurück zu geben.

IT-Sicherheitsrichtlinie - IMC Fachhochschule Krems GmbH

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?