EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />
Verteilerschränke <strong>an</strong> <strong>der</strong> Uni sind vergleichsweise „einfach“ gesichert: Es h<strong>an</strong>delt sich meist<br />
um St<strong>an</strong>dard-Schlösser (Dirak (1)333, Rittal 3524), diese Schlüssel werden auch <strong>an</strong><br />
Netzbeauftragte ohne Quittung ausgegeben. Es gibt auch viele Verteilerschränke ohne<br />
Schloss, die in einem eigenem Raum untergebracht sind. Der Zug<strong>an</strong>g zu solchen Räumen<br />
erfolgt oft mit Technik/Putzraum-Schlüsseln, den auch <strong>an</strong><strong>der</strong>e (auch von Fremdfirmen)<br />
haben. Im Bereich des Klinikum-Datennetzes ist eine aufwändige Klinikums-eigene<br />
Schließ<strong>an</strong>lage installiert.<br />
Betreffs <strong>der</strong> Etagen-/Zimmerverteilung hat das URZ i. d. R. keinen Zug<strong>an</strong>g zum Verteiler,<br />
wohl aber viele Instituts<strong>an</strong>gehörige.<br />
3.7.3. Ebenen 2 und 3<br />
Hier geht es vor allem um den Tr<strong>an</strong>sport <strong>der</strong> Daten über das Netz, um Themen wie IP, IP-<br />
Spoofing, DoS, Datenverschlüsselung (VPN, ssh, ssl):<br />
Ein echter Schutz vor „Tunneln“ ist heute nicht möglich, da Programme und Protokolle<br />
existieren, die Daten beliebig in <strong>an</strong><strong>der</strong>e Protokolle/Informationen verpacken und versenden<br />
können.<br />
Um die Gefahr des Aushorchens und Missbrauchs von Netzen, in denen sich ein<br />
kompromittierter Rechner befindet, zu verringern, ist eine entsprechende Konfiguration und<br />
Wartung <strong>der</strong> Netzkomponenten und entsprechende fernbedienbare Geräte (wie sie in den<br />
letzten Jahren vom URZ empfohlen wurden) erfor<strong>der</strong>lich. Auch dies kostet Zeit und Arbeit.<br />
3.7.4. Ebenen 5 bis 7: Anwendungen, Rechner<br />
Auf <strong>der</strong> Ebene des Schutzes von Anwendungen bzw. dem Rechnersystem wären die<br />
folgenden Maßnahmen zum Schutz „vor dem Netz“ zu beachten.<br />
• Virenschutz, d. h. Untersuchung von einkommenden Dateien auf schädlichen<br />
Programmcode, wie er vom URZ auch empfohlen ist und bereitgestellt wird.<br />
• „Personal Firewalls“, d. h. Anwendungsprogramme, die die einkommenden Datenpakete<br />
vor je<strong>der</strong> <strong>an</strong><strong>der</strong>en Anwendung <strong>an</strong>alysieren und filtern sollen. Diese führen immer wie<strong>der</strong><br />
zur Verunsicherung <strong>der</strong> Nutzer und zu zeitaufwändigen Rückfragen. An<strong>der</strong>erseits können<br />
solche Meldungen d<strong>an</strong>n Sinn machen, wenn eine zentrale Verteilung, Konfiguration und<br />
auch Auswertung <strong>der</strong> Meldungen im Rahmen eines kollektiven Intrusion-Detection-<br />
Systems möglich wäre. Wir erwarten zukünftig eine Integration von Virenschutz- mit<br />
Personal-Firewall-Software. Entsprechende Angebote am Markt wären zu beurteilen, und<br />
Uni-weit <strong>an</strong>zubieten und zu implementieren. Ein solcher Ansatz geht über die bisherige<br />
Software-Verteilung hinaus und ist wesentlich personalintensiver.<br />
• Es gibt auch spezielle Programme um sicherzustellen, dass die Systemdateien auf dem<br />
Rechner nicht verän<strong>der</strong>t wurden, z. B. Tripwire auf unix-/linux-Systemen.<br />
• Ebenso gibt es Programme, die verhin<strong>der</strong>n sollen, dass nicht unbefugt Informationen zur<br />
Profilbildung verschickt werden, z. B. Ad-Aware auf Windows-Systemen.<br />
Die Schädlinge kommen<strong>der</strong> Zeiten werden natürlich bemüht sein, die <strong>Sicherheit</strong>s-Software<br />
auf dem Endsystem (PC, Server) zu umgehen bzw. abzuschalten. Dies wird immer vor allem<br />
d<strong>an</strong>n erfolgreich sein, wenn Nutzer mit hohen Privilegien arbeiten, o<strong>der</strong> die <strong>Sicherheit</strong>s-<br />
Software entsprechende <strong>Sicherheit</strong>smängel aufweist.<br />
23