EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />
Netz-seitigen Bedrohungen und Schutzmaßnahmen eingeg<strong>an</strong>gen werden. Aber auch<br />
elementare „klassische“ Maßnahmen sollen erwähnt und müssen in einem umfassenden<br />
<strong>EDV</strong>-<strong>Sicherheit</strong>skonzept bedacht werden.<br />
12<br />
2.3. Bedrohungen und <strong>Sicherheit</strong>sprobleme <strong>an</strong> <strong>der</strong> Uni<br />
Im folgenden wollen wir nur einige Punkte aufzählen, die <strong>an</strong> <strong>der</strong> <strong>Universität</strong> immer wie<strong>der</strong><br />
vorkommen und eine Bedrohung <strong>der</strong> <strong>Sicherheit</strong>, insbeson<strong>der</strong>e <strong>der</strong> Passwörter o<strong>der</strong> <strong>der</strong><br />
Daten bedeuten.<br />
• sorgloses Nutzer-Verhalten: Surfen, Email, Passwortweitergabe, Gefahr des „social<br />
engineering“<br />
• m<strong>an</strong>gelndes Schulungskonzept für Nutzung <strong>der</strong> Büroautomation<br />
• unzureichend gewartete Endnutzerrechner:<br />
- keine Datensicherung<br />
- kein Virenschutz<br />
- keine „sicheren“ St<strong>an</strong>dardeinstellungen für Browser und Email-Client (bzw. alte<br />
Versionen, die noch vergleichsweise unsichere St<strong>an</strong>dardeinstellungen haben)<br />
- keine Updates <strong>der</strong> <strong>an</strong>greifbaren St<strong>an</strong>dardprogramme, z. T. weil das mit <strong>der</strong><br />
vorh<strong>an</strong>denen Hardware nicht möglich ist<br />
• kein Passwortschutz im Netz („Ich wollte nur dem Kollegen die Daten zur Verfügung<br />
stellen, und habe d<strong>an</strong>n vergessen, die Freigabe / den Dienst wie<strong>der</strong> abzustellen“, o<strong>der</strong><br />
auch das SQL-Server-Problem in 2002, wo in vielen <strong>an</strong> das Internet <strong>an</strong>gebundenen<br />
Datenb<strong>an</strong>k-Systemen seit <strong>der</strong> Installation einfach kein Administrator-Passwort<br />
eingetragen war.)<br />
• Klartext-Passwörter in leicht abhörbaren (mit Hubs statt Switches aufgebauten „shared“)<br />
Netzen<br />
• Neue Dienste, z. B. Peer-to-peer-“Netze“: Einerseits stellen diese für heutige Nutzer eine<br />
Innovation dar, <strong>an</strong><strong>der</strong>erseits sind diese entst<strong>an</strong>den, um privaten Interessen zu dienen.<br />
(M<strong>an</strong> beachte hier den Unterschied zum WWW/http-Dienst, <strong>der</strong> direkt für den<br />
wissenschaftlichen Informationsaustausch entwickelt wurde.) Es entstehen zum Teil<br />
hohe Kosten, wenn Nutzdaten-abhängige Abrechnung für die Internet-Verbindung<br />
festgelegt ist, o<strong>der</strong> ein Ausbau <strong>der</strong> Anbindung nötig wird, um ständig verstopfte<br />
Verbindungen zu verbessern. Außerdem besteht ein Risiko für die Daten, z. B. ist die<br />
versehentliche Bereitstellung aller Daten einer Festplatte leicht möglich. Durch die<br />
„Subkultur“ ist zudem nicht auszuschließen, ob in solche Software nicht „Hintertüren“<br />
eingebaut sind.<br />
Beson<strong>der</strong>s bedrohlich werden diese Nachlässigkeiten, wenn Insi<strong>der</strong> mit Wissen über die<br />
internen Strukturen bewusst Schaden <strong>an</strong>richten wollen.