EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />
2.4. Schäden<br />
Sehr detaillierte Auflistungen von Bedrohungen und Schäden finden sich z. B. im IT-<br />
Grundschutzh<strong>an</strong>dbuch <strong>der</strong> Bundes<strong>an</strong>stalt für <strong>Sicherheit</strong> in <strong>der</strong> Informationstechnik.<br />
2.4.1. Passwort-Kompromittierung<br />
Eine Org<strong>an</strong>isation wie die <strong>Universität</strong> verfügt über eine umf<strong>an</strong>greiche IT-Infrastruktur, die im<br />
wesentlichen durch eine Nutzerkennung und nur ein Nutzerpasswort zugänglich sind.<br />
Würde m<strong>an</strong> für jeden möglichen Dienst ein <strong>an</strong><strong>der</strong>es Passwort verwenden, so würde eines<br />
<strong>der</strong> Hauptziele, nämlich die Nutzung <strong>der</strong> und Schulung in dieser Infrastruktur, erheblich<br />
erschwert werden.<br />
An<strong>der</strong>erseits verwenden viele Nutzer nur Teile dieses umf<strong>an</strong>greichen Angebotes, und wissen<br />
nicht, was ein „Kundiger“ mit einer Nutzerkennung alles <strong>an</strong>stellen k<strong>an</strong>n. Als Beispiel seien<br />
das Verschicken von Massen-Werbemails o<strong>der</strong> das Aufsetzen von IRC-Proxies unter<br />
fremden Nutzerkennungen gen<strong>an</strong>nt.<br />
Bei rechtlich relev<strong>an</strong>ten Problemen k<strong>an</strong>n <strong>der</strong> Schaden für den einzelnen Nutzer recht hoch<br />
werden.<br />
2.4.2. Denial-of-Service<br />
Darunter versteht m<strong>an</strong> ein „außer-Dienst-Setzen“ von Rechnern durch massive<br />
Daten<strong>an</strong>for<strong>der</strong>ungen aus dem Internet.<br />
Wenn Rechner <strong>der</strong> <strong>Universität</strong> sich (in <strong>der</strong> Regel ungewollt) <strong>an</strong> solchen Angriffen gegen<br />
kommerzielle Systeme beteiligen, sind in Zukunft Schadensersatzfor<strong>der</strong>ungen nicht<br />
auszuschließen.<br />
2.4.3. Rechnereinbruch<br />
Die Schäden eines Rechnereinbruchs belaufen sich unterschiedlich hoch, je nachdem,<br />
welche Bereiche betroffen sind:<br />
• Endnutzersystem mit gesicherten (bzw. zentralgespeicherten) Daten: und ca. 2-5<br />
Applikationen: Arbeitszeit zum Neueinrichten des Rechners, ca. 1/2 bis 1 Personentag<br />
• Endnutzersystem mit ungesicherten „normalen“ Daten: Neuerfassung von Texten für<br />
Publikationen o<strong>der</strong> Anträgen, von Rechenschemata etc.. Selbst hier können im<br />
ungünstigen Fall schnell hohe Schäden entstehen, wenn z. B. hierdurch Antragsfristen<br />
versäumt werden.<br />
• Endnutzersystem mit ungesicherten Forschungsdaten: Je nachdem, wie diese Daten<br />
erhoben wurden, k<strong>an</strong>n eine Wie<strong>der</strong>holung des Experimentes Tage, Wochen, Monate<br />
dauern.<br />
• Zusätzlich treten Produktivitätsverluste auf, und zwar für den Nutzer, dem <strong>der</strong> Rechner<br />
und die Daten fehlen, sowie für den, <strong>der</strong> den Schaden beheben muss.<br />
• Bei einem Serversystem sind zusätzlich die Produktivitätsverluste für alle Nutzer, ein<br />
eventueller Imageverlust für das Institut und die <strong>Universität</strong> zu bedenken.<br />
13