EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />
Bei „NAT“ (Netzwerk-Adressen-Umsetzung/Tr<strong>an</strong>slation) werden nicht via Internet<br />
vermittelbare Adressen verwendet. In vielen Firewall-Implementierungen gehört NAT zur<br />
Grundausstattung, im Rahmen <strong>der</strong> <strong>Universität</strong> bedeutet dies einen hohen<br />
Umstellungsaufw<strong>an</strong>d, und <strong>der</strong> Verlust vieler direkter Möglichkeiten im Internet (RFC 2775,<br />
„Internet Tr<strong>an</strong>sparency“)<br />
Die allgemeine <strong>Sicherheit</strong>sdiskussion führte bei vielen Anwen<strong>der</strong>n zur Einrichtung von<br />
<strong>Sicherheit</strong>s-Lösungen auf dem Arbeitsplatz-PC, wie Virenschutz o<strong>der</strong> Personal-Firewall.<br />
Siehe dazu auch weiter unten.<br />
3.4.2. Uni-Firewall<br />
Gewisse Schutzmech<strong>an</strong>ismen können und sollten Uni-weit einheitlich vorgesehen werden:<br />
• Netzwerkkomponenten sollen i. a. nicht von außerhalb <strong>der</strong> <strong>Universität</strong> zugänglich sein.<br />
• Leicht missbrauchbare LAN-Protokolle sollten nicht nach außen gegeben werden.<br />
• Datenpakete von innerhalb <strong>der</strong> Uni sollten nicht fremde Absen<strong>der</strong>-IP-Adressen tragen.<br />
• Bestimmte IP-Adressen (z. B. private Netze) von außen sollten nicht auf das HD-Net<br />
zugreifen dürfen bzw. als Zieladresse nach außen gegeben werden.<br />
• Nur bestimmte Rechner im HD-Net sollten als Server <strong>an</strong>gesprochen werden können.<br />
Allerdings h<strong>an</strong>delt es sich dabei nur um einen groben Filter, <strong>der</strong> nicht die Detailwünsche<br />
nach „mehr Schutz“ für einzelne Institute abdecken k<strong>an</strong>n.<br />
Auch muss bei einem so zentralen Filter die Freiheit von Forschung und Lehre <strong>an</strong>gemessen<br />
berücksichtigt werden. Eine <strong>Universität</strong> ist keine B<strong>an</strong>k mit rigiden Tresorwänden; neuen<br />
Entwicklungen muss Raum gegeben werden.<br />
3.4.3. Instituts-Firewall<br />
Die Anfor<strong>der</strong>ungen <strong>an</strong> den Datenschutz, insbeson<strong>der</strong>e bei Verarbeitung personenbezogener<br />
Daten, hat in mehreren Teilnetzen innerhalb <strong>der</strong> <strong>Universität</strong> schon seit längerem zum Einsatz<br />
von institutseigenen Firewalls geführt. Insbeson<strong>der</strong>e in <strong>der</strong> zentralen <strong>Universität</strong>sverwaltung,<br />
dem Klinikum o<strong>der</strong> in einem Projekt <strong>der</strong> juristischen Fakultät mussten Firewalls mit z. T.<br />
aufwändiger Hard- und Software eingerichtet werden. Auch <strong>an</strong><strong>der</strong>e Institute betreiben eine<br />
Firewall in Eigenregie.<br />
Wo diese Firewall nicht einfach komplett den Datenverkehr blockiert, berichten diese Institute<br />
von einem hohen erfor<strong>der</strong>lichen Personalaufw<strong>an</strong>d, nicht nur zum Einarbeiten und Einrichten,<br />
son<strong>der</strong>n auch zur Wartung und Inst<strong>an</strong>dhaltung <strong>der</strong> Firewall, sowie zur Reaktion auf<br />
Nutzerwünsche.<br />
18