BYOD | Richtlinie

1. Motivation

Der Einsatz von mobilen IT-Endgeräten ist heute selbstverständlich und nimmt weiter zu. Neben der privaten Nutzung gibt es eine Vielzahl von Anwendungsbereichen im professionellen Umfeld. Hochschulen und Universitäten haben die Vorteile der mobilen Endgeräte erkannt und bringen diese im Rahmen der Unterstützung und Optimierung von Geschäftsprozessen und zum mobilen Arbeiten zum Einsatz. Studierende nutzen mobile Endgeräte zur persönlichen Organisation und für eine Vielzahl von Prozessen und Serviceangebote rund um ihr Studium. Die zunehmende Verbreitung, der immer größer werdende Funktionsumfang mobiler Endgeräte und die selbstverständliche, immer tiefere Integration in bestehende Prozesse bringen auch Kehrseiten mit sich: Je mehr diese Geräte in die Systemlandschaft und die Geschäftsprozesse der Hochschule integriert und je wichtiger sie damit werden, desto höher wird ihr Gefährdungspotential für die Hochschule. Dies betrifft zum einen die IT-Sicherheit und zum anderen die Gefahr, dass dienstliche Informationen der Hochschule nur auf einem mobilen Endgerät und nicht auf dem Speicherplatz der Hochschule vorgehalten werden. Damit ist die Datensicherung nicht gewährleistet als auch die Verfügbarkeit der Daten für berechtigte Dienststellen nicht sichergestellt.

Häufig werden privat erworbene (mobile) Geräte auch für dienstliche Zwecke genutzt. In der Regel sind diese Geräte vom Hersteller nicht für einen professionellen Einsatz (bezüglich Datenschutz und IT-Sicherheit) ausgelegt. Daher ist davon auszugehen, dass die Datensicherheit nicht gewährleistet ist. Ein weiteres Problem ist, dass keine klaren Grenzen zwischen persönlichen und beruflichen Anwendungen bzw. Daten gezogen sind.

Umgekehrt werden in der Praxis auch dienstliche Geräte für private Zwecke (z. B. EMailverkehr) eingesetzt. Da prinzipiell der Zugriff der Dienststelle auf dienstliche Geräte immer erlaubt ist, muss Vorsorge getroffen werden, dass dabei nicht die Rechte der Betroffenen gemäß EU-DSGVO verletzt werden.

2. Zweck, Anwendungsbereich und Anwendende

Der Zweck dieser Richtlinie ist es, sicherzustellen, dass an allen Organisationseinheiten der TU Braunschweig IT-Geräte eingesetzt werden, die gemäß dem Stand der Technik abgesichert und gewartet sind. Dies umfasst auch dienstlich genutzte private (mobile) IT-Geräte und dienstliche Geräte mit anteiliger privater Nutzung.

Unter „mobilen IT-Geräten“ wird im Sinne dieser Richtlinie Hardware verstanden, von der aus direkt oder indirekt Daten in andere mit einem Netzwerk verbundene Systeme transferiert werden können und die nicht permanent an einem festen Ort installiert sind. Dies umfasst unter anderem Notebooks, Laptops, Tablets und Smartphones.

Ein unsachgemäßer Umgang mit IT- und Kommunikationssystemen setzt die TU Braunschweig unabsehbaren Risiken aus, welche erhebliche Konsequenzen nach sich ziehen können. Dies können für den hier betrachteten Fall u. a. Kompromittierung von Systemen, (Teil-)Netzen oder angebotenen Diensten durch Schadsoftware sein. Die Umsetzung der Vorgaben unterstützt maßgeblich die IT-Sicherheit der TU Braunschweig.

Ein weiterer Zweck dieser Richtlinie besteht darin, sicherzustellen, dass Mitglieder der TU Braunschweig bei der Nutzung von dienstlichen Geräten unter Verwendung privater Daten oder privaten Geräten unter Nutzung von dienstlichen Daten gesetzliche Regelungen einhalten, insbesondere im Hinblick auf Datenschutzgesetze und die EU-Datenschutz-Grundverordnung (EUDSGVO), und somit rechtliche Verstöße vermeiden.

Die nachfolgend aufgeführten Regeln sollen das Risiko für den IT-Betrieb soweit möglich minimieren, die Arbeit an und mit der IT-Infrastruktur der TU Braunschweig so sicher wie möglich machen und dabei IT-gestützte Arbeitsprozesse möglichst wenig in ihrer Effizienz beeinträchtigen.

Voraussetzung für die dienstliche Nutzung privater Geräte als auch für die private Nutzung dienstlicher Geräte ist die individuelle Unterzeichnung der entsprechenden Zusatzvereinbarung zwischen der TU Braunschweig und den Mitgliedern und Angehörigen gemäß der Grundordnung der TU Braunschweig.

Zur Vereinfachung des Anwendungsbereichs kann folgende Darstellung zur Orientierung verwendet werden:

3. Nutzung privater Geräte für dienstliche Zwecke

Die Nutzung privater IT-Geräte für dienstliche Zwecke ist grundsätzlich nur nach vorangegangener Genehmigung durch die OE-Leitung gestattet. Die Genehmigung ist zu dokumentieren und es ist eine Liste der dienstlich genutzten privaten IT-Geräte von der OE zu führen und aktuell zu halten. Die dienstliche Nutzung von privaten Geräten darf nur dann gewährt werden, wenn die*der Mitarbeitende die von der Personalstelle bereit gestellte Zusatzvereinbarung zum Arbeitsvertrag zur dienstlichen Nutzung privater IT-Geräte und zur privaten Nutzung dienstlicher IT-Geräte unterzeichnet hat, in der die Details des Zugriffs durch die Dienststelle festgelegt sind. Der Dienststelle muss darin erlaubt werden, auf die dienstlichen Daten in angemessener Frist zugreifen zu können. Ebenso muss in der Zusatzvereinbarung festgelegt sein, dass die dienstlichen Daten beim Ausscheiden aus dem Dienst sowie bei Veräußerung des privaten Geräts an die Dienststelle zurückgegeben und anschließend auf dem privaten Gerät sicher gelöscht werden. Es muss zudem in der Zusatzvereinbarung festgelegt werden, dass die in dieser Richtlinie festgelegten Regeln auch auf den privaten für dienstliche Zwecke genutzten IT-Geräten eingehalten werden (siehe nächsten Absatz). Die Verantwortung für die Einhaltung liegt bei der*dem Mitarbeitenden. Die Dienststelle muss die Einhaltung der Regeln kontrollieren können (siehe hierzu Absatz 8. Weitere Empfehlungen).

Die gesetzlichen Regelungen zum Datenschutz und der Informationssicherheit verlangen, dass die Dienststelle jederzeit die Einhaltung des Datenschutzes auf jedem IT-Gerät, auch auf dienstlich genutzten privaten IT-Geräten, sicherstellen kann. Dazu gehört insbesondere die Pflicht, auch auf diesen Geräten die Rechte der Betroffen nach der EU-DSGVO (Recht auf Löschung, Recht auf Korrektur falscher Daten, Recht auf Auskunft über die gespeicherten personenbezogenen Daten) nachweisbar umzusetzen. Ebenso muss die Dienststelle gemäß der Informationssicherheitsordnung bei Informationssicherheitsvorfällen im Rahmen der Gefahrenabwehr und zur technischen Aufklärung auch kurzfristig auf diese IT-Geräte zugreifen können.

Umgekehrt muss sichergestellt werden, dass die Dienststelle nicht ohne hinreichende Voraussetzungen (z. B. bei der Unterstützung strafverfolgender Behörden) auf die privaten Daten auf dem privaten IT-Gerät zugreift. Dies erfordert eine beim Zugriff auf das private ITGerät eine sichtbare Trennung zwischen privaten und dienstlichen Daten. Die Einrichtung dieser Trennung, z. B. durch separate Ordner, obliegt den Nutzenden. Die Dienststelle darf auf alle entweder dienstlich gekennzeichneten oder nicht als privat gekennzeichneten Daten unbeschränkt zugreifen. Beim Zugriff der Dienststelle ist die Privatsphäre der*des Mitarbeitenden zu wahren. Ein Zugriff der Dienststelle auf dienstliche genutzte Privatgeräte kann nur unter Einhaltung des Vier-Augen-Prinzips erfolgen. Der betroffenen Person ist eine Teilnahme während der Einsichtnahme zu ermöglichen.

4. Nutzung dienstlicher Geräte für private Zwecke

Die private Nutzung dienstlicher IT-Geräte ist grundsätzlich nur gestattet, wenn diese Nutzung von der Leitung der Organisationseinheit genehmigt wurde. Die Genehmigung ist zu dokumentieren und es ist eine Liste der privat genutzten dienstlichen IT-Geräte zu führen und aktuell zu halten. Die private Nutzung darf nur dann gewährt werden, wenn die*der Mitarbeitende die von der Personalstelle bereit gestellte Zusatzvereinbarung zur dienstlichen Nutzung privater IT-Geräte und zur privaten Nutzung dienstlicher IT-Geräte unterzeichnet hat, in der die Details des Zugriffs durch die Dienststelle festgelegt sind. Ebenso muss festgelegt sein, dass die privaten Daten beim Ausscheiden aus dem Dienst sowie bei Rückgabe des dienstlichen IT-Geräts an die Dienststelle sicher gelöscht werden. Die Verantwortung für die Einhaltung liegt bei der*dem Mitarbeitenden. Die Dienststelle muss die Einhaltung der Regeln kontrollieren können (siehe hierzu Absatz 8. Weitere Empfehlungen).

Die Einrichtung dieser Trennung, z. B. durch separate Ordner, obliegt den Nutzenden. Die Dienststelle darf auf alle entweder dienstlich gekennzeichneten oder nicht als privat gekennzeichneten Daten unbeschränkt zugreifen.

Beim Zugriff der Dienststelle ist die Privatsphäre der*des Mitarbeitenden zu wahren. Ein Zugriff der Dienststelle auf privat genutzte Dienstgeräte kann nur unter Einhaltung des Vier-Augen Prinzips erfolgen. Der betroffenen Person ist eine Teilnahme während der Einsichtnahme zu ermöglichen. Bei Geräten, bei denen keine Genehmigung zur privaten Nutzung vorliegt, hat die Dienststelle unbeschränkten Zugriff.

5. Regeln für alle Nutzenden der IT-Infrastruktur der TU Braunschweig

Um auf die IT-Infrastruktur der TU Braunschweig zuzugreifen, gilt zwingend für alle unter diese Regelung fallenden Personen:

• Alle Geräte sind mit einer Zugriffssperre (Pin-Code, Kennwort o. Ä.) zu versehen, um eine unbefugte Nutzung zu verhindern.
• Eine automatisierte Sperrung des Geräts nach einer angemessenen Zeit der Inaktivität ist obligatorisch. Ein maximaler inaktiver Zeitraum von maximal 5 Minuten bei Smartphones bzw. bei Notebooks, Tablets oder ähnlichen Systemen sollte nur in begründeten Ausnahmen überschritten werden.
• Datenträger in mobilen Geräten sind zu verschlüsseln, um gespeicherte Daten bei Verlust des Gerätes zu schützen.
• Betriebssystem und Anwendungen sind regelmäßig - idealerweise automatisiert - zu aktualisieren.
• Sicherheitsrelevante Aktualisierungen sind unverzüglich zu installieren.
• Sofern zu bekannten Sicherheitslücken noch keine sicherheitsrelevanten Aktualisierungen verfügbar oder anwendbar sind aber sogenannte Workarounds bekannt sind, die die deren Ausnutzung verhindern, sind diese anzuwenden.
• Geräte, bei denen Sicherheitslücken nicht behoben wurden, dürfen in der IT-Infrastruktur der TU Braunschweig nicht betrieben werden.
• Zur Nutzung von IT-Geräten sind Benutzerkonten mit eingeschränkten Administrationsrechten zu verwenden. Benutzerkonten mit administrativen Privilegien dürfen nur temporär und ausschließlich zu administrativen Zwecken verwendet werden.
• Auf allen Geräten ist eine aktive Malware-Protection-Software („Virenscanner“, “Endpoint Protection”) aktiv zu betreiben. Eine automatisierte bzw. regelmäßige Aktualisierung ist zwingend erforderlich. Auf Geräten wo dies nicht umsetzbar ist, sind geeignete, über den CISO freigegebene alternative Maßnahmen umzusetzen.

Weiterhin gilt:

• Die Funktion der Installation von Software aus vertrauenswürdigen Quellen ist zu nutzen (z.B. Stores der großen Anbieter Google (Play Store), Apple (App Store), Microsoft (Microsoft Store)). Sofern dies nicht möglich ist, muss die Vertrauenswürdigkeit der Quelle durch geeignete, andere Maßnahmen sichergestellt werden. Bei Android-Geräten ohne Zugriff auf den offiziellen Google Play Store wird F-Droid als App-Store empfohlen, es sei denn eine Arbeitsanweisung empfiehlt anderes. Die Vertrauenswürdigkeit anderer Quellen sollte technisch nachvollziehbar sein, was beispielsweise über kryptographische Signatur, Originalverpackung, Hersteller-Webseite o. Ä. nachweisbar ist. Vom sonstigen Sideloading von Software und dem Bezug über Online-Auktionshäuser, Tauschbörsen, Webseiten von dritten Personen ist dringend abzuraten, wenn nicht sichergestellt werden kann, dass ein unverfälschtes Produkt bezogen wird.
• Bei der Installation von Software sind die Berechtigungen der zu installierenden Software zu überprüfen. Software, die Rechte ohne erkennbaren Bezug zur Funktionalität erfordert, sollte vermieden oder die angeforderten Rechte auf das Nötigste beschränkt werden (beispielhaft sei eine fiktive Taschenlampen-App mit Zugriff auf den Standort oder eine TaschenrechnerApp mit Zugriff auf Kalender und Kontakte genannt). Vorsicht ist insbesondere bei kleinen und/oder kostenlosen Programmen, z. B. Spielen, Taschenlampen, aber auch E-Mail- und Kalender-Clients geboten. Hier sollte immer das Geschäftsmodell hinterfragt werden. Häufig droht ein unberechtigter Datenabgriff, das Einschleusen von Malware oder ein nicht EUDSGVO-konformer Abfluss von Daten zu Dritten. E-Mail- und Kalender-Programme speichern oft die Kontodaten der Mailkonten in einer HerstellerCloud. Dies ist nach EUDSGVO nicht zulässig.
• Mobile Geräte müssen stets an der Person oder an einem sicheren Ort verwahrt werden, um Diebstahl oder Verlust vorzubeugen (für Notebooks im Büro oder auf Tagungen haben sich beispielsweise Kensington-Locks zur Absicherung gegen Gelegenheitsdiebstähle bewährt). Die einfachste Maßnahme ist das Abschließen des Büros.
• Geräte dürfen im öffentlichen Raum nie unbeaufsichtigt bleiben, um physischen Manipulationen und Diebstahl vorzubeugen. (Beispielsweise besteht im geschlossenen Fahrzeug für offen sichtbare Geräte ein erhöhtes Diebstahlrisiko.)
• Es dürfen grundsätzlich nur vertrauenswürdige und dem Stand der Technik entsprechende verschlüsselte WLAN-Zugangspunkte verwendet werden. Kann dies nicht sichergestellt werden, so ist die von der TU Braunschweig bereitgestellte VPN-Verbindung mit Verschlüsselung des gesamten Datenverkehrs zu verwenden. Ausnahmen für problematische Drittstaaten werden in einer Arbeitsanweisung geregelt. (Beispielsweise müssen WLAN-Zugangspunkte mindestens eine dem WPA2-Standard entsprechende Verschlüsselung besitzen. Das VPN der TU ist mit der Einstellung „Tunnel-All-Traffic“ zu verwenden. Die Verwendbarkeit von VPN in bestimmten Drittstaaten kann problematisch sein.)
• Die Platzierung von kompromittierten Datenträgern (z. B. USB-Sticks) ist ein bekanntes Einfallstor für die Einbringung von Schadsoftware. Daher ist die Nutzung und der Anschluss von Datenträgern und (USB-)Geräten aus unbekannter oder nicht vertrauenswürdiger Herkunft nicht erlaubt. Fremde Datenträger und (USB-)Geräte müssen, vor der Verwendung auf ihre Unbedenklichkeit hin untersucht werden. Dies betrifft insbesondere Datenträger aus unbekannter oder problematischer Herkunft, die zuvor mit einem Scan-Programm (z. B. Desinfect des Heise-Verlags) oder an Scan-Stationen bzw. Datenschleusen bekannter Hersteller vor einer Verbindung mit der IT-Infrastruktur der TU Braunschweig zu prüfen sind.
• Mobile Geräte sollten nicht ohne Schutzmaßnahmen vor Angriffen per USB/Lightning an fremde Infrastruktur angeschlossen werden, auch nicht, um den Akku des Gerätes zu laden. (Beispielsweise sollte für das Aufladen an Flughäfen, in Hotels, Ports fremder Geräte wie Powerbanks etc. immer ein USB Data Blocker verwendet werden, um diese aufzuladen. Die Verwendung des eigenen Ladegerätes ist die einfachste Methode zum Schutz.)
• Es sollten grundsätzlich nur notwendige Apps bzw. Anwendungen installiert werden; Apps bzw. Anwendungen, welche nicht mehr benötigt werden, sollten deinstalliert werden, da jede installierte Anwendung einen möglichen Angriffspunkt darstellt, über den beispielsweise Daten abfließen können oder ein Angreifender Zugriff auf das Gerät erlangen kann.
• Nicht benötigte Schnittstellen und Funktionen sollten nur aktiviert sein, während sie benötigt werden. Dies schließt sie als mögliche Angriffsfläche aus. (Beispielsweise sollten Bluetooth, Apple AirDrop, WLAN, NFC, Entwicklermodi, USB-Entwicklungsmodus ausgeschaltet sein, sofern diese nicht in Verwendung sind.)

6. Regeln für alle Beschäftigte der TU Braunschweig

Zusätzlich zu den vorhergehenden Regeln gelten die folgenden Regeln verbindlich für alle Beschäftigten der TU Braunschweig, sowohl für dienstliche mobile und nicht-mobile IT-Geräte als auch für private mobile und nicht-mobile IT-Geräte, die dienstlich genutzt werden.

Wenn die nachfolgenden Regeln nicht eingehalten werden können, darf das betreffende Gerät nicht dienstlich genutzt werden.

• Es dürfen nur notwendige Apps und Anwendungen installiert werden. Apps und Anwendungen, welche nicht mehr benötigt werden, müssen deinstalliert werden. Jede installierte Anwendung stellt einen möglichen Angriffspunkt dar, über den beispielsweise Daten abfließen können oder Angreifende Zugriff auf das Gerät erlangen können.
• Auf Mehrbenutzersystemen ist sicherzustellen, dass jede*r Benutzende nur genau die Privilegien erhält, die sie*er zur Erfüllung ihrer*seiner Dienstaufgaben benötigt. Benutzerkonten, die nicht mehr verwendet werden, sind unverzüglich aus dem System zu entfernen.
• Die Funktion der Installation von Software aus vertrauenswürdigen Quellen ist ausschließlich zu nutzen (z.B. Stores der großen Anbieter Google (Play Store), Apple (App Store), Microsoft (Microsoft Store)). Bei Android-Geräten ohne Zugriff auf den offiziellen Play Store von Google (z.B. LineageOS, /e/OS, …) ist F-Droid als AppStore zu verwenden. Die Vertrauenswürdigkeit muss dabei technisch nachvollziehbar sein (kryptographische Signatur, Originalverpackung, etc). Die Verwendung von Sideloading Apps und der Bezug von Software über Online-Auktionshäuser und Tauschbörsen ist nicht gestattet, wenn nicht sichergestellt werden kann, dass ein unverfälschtes und lizenzrechtlich zulässiges Produkt bezogen wird.
• Mobile Datenträger (USB-Sticks, SD-Karten, externe SSD Festplatten etc.) sind zu verschlüsseln, sobald Dokumente der Klassifikation TLP:AMBER, TLP:AMBER+STRICT oder TLP:RED (bzw. eine vergleichbare Einstufung eines anderen Klassifikationssystems) oder personenbezogene Daten der Schutzstufe8 D oder E gespeichert werden. Auch bei geringerer Schutzstufe ist eine Verschlüsselung angeraten. Darüber hinaus gelten die gesetzlichen Regelungen gemäß Geheimschutz.
• Nur mit der Meldung des Verlustes eines dienstlich genutzten (auch privaten) Gerätes können die zugehörigen Haftungsfragen auf die TU Braunschweig übergehen und ggf. eine persönliche Haftung vermieden werden. Für die Meldung ist der jeweils veröffentlichte Meldeprozess9 einzuhalten, insbesondere müssen die einschlägigen Stellen wie die zuständige IT-Administration bzw. die vorgesetzte Stelle unter Einbeziehung der Person des Informationssicherheitsbeauftragten und ggf. die Person des Datenschutzbeauftragten und das Datenschutzmanagement informiert werden.
  
  Die Positionen sind unter den folgenden Adressen zu erreichen:
  - der/die Informationssicherheitsbeauftragte*r soc(at)tu-braunschweig.de,
  - der/die Datenschutzbeauftragte datenschutz(at)tu-braunschweig.de,
  - das Datenschutzmanagement dsmgmt(at)tu-braunschweig.de.
  
  Ferner sind unmittelbar alle Berechtigungsnachweise (Passwörter, kryptographische Schlüssel usw.), die auf einem verlorenen Gerät verwendet wurden, zu ändern oder die entsprechenden Zugänge zu deaktivieren, um eine unberechtigte Nutzung auszuschließen. Gerätefreigaben auf Basis von Zertifikaten oder Hardware-Merkmalen sind umgehend zu sperren. Nach Möglichkeit ist eine Fernlöschung des Gerätes z.B. über ActiveSync, das MDM (Mobile Device Management), die Geräte-Hersteller (Apple iCloud, Google Account) oder den Mobilfunkanbieter einzuleiten. Für private Geräte oder privat genutzte dienstliche Geräte, die seitens der TU Braunschweig zurückgesetzt werden, ist das Einverständnis der / des Beschäftigten notwendig.
• Verlorene, abgeflossene oder kompromittierte Zugangsdaten, Berechtigungsnachweise und Hardwaretokens sind umgehend zu melden und durch das zuständige Personal für den Zugriff auf die IT-Infrastruktur der TU Braunschweig umgehend zu sperren, Passwörter müssen unverzüglich geändert werden. Der begründete Verdacht ist meldepflichtig. Im Übrigen gilt das oben genannte Vorgehen.
• Wenn bei einem mobilen Gerät nicht ausgeschlossen werden kann, dass es sich zwischenzeitlich im Zugriff einer unbefugten Person (mit potenziellem Zugriff auf die Daten auf dem Gerät) befunden hat, sind dieselben Abläufe einzuhalten, wie bei Verlust eines mobilen Gerätes. Auf eine Geräte-Löschung kann im Einzelfall verzichtet werden, wenn eine Manipulation des Gerätes (z. B. Aufspielen von Schadsoftware oder versteckten Remote Zugriff) ausgeschlossen und die Integrität der gespeicherten Daten sichergestellt werden kann.
• Die Weitergabe eines entsperrten dienstlichen oder dienstlich genutzten privaten Gerätes an Dritte (oder das auch fahrlässige Zulassen des Zugriffs auf Daten durch Dritte) ist untersagt. Die Weitergabe eines dienstlichen oder dienstlich genutzten privaten Gerätes an Dritte ist nur unter Aufsicht der*s Beschäftigten gestattet, wenn diese*r sicherstellt, dass kein Zugriff auf oder Einsicht in dienstliche Daten erfolgt.
• Es ist ausschließlich Software zu installieren und zu nutzen, für welche die benötigten Lizenzen vorhanden sind.
• Die Installation von nicht dienstlich genutzter Software auf dienstlichen Geräten ist nicht gestattet.
• Sofern vorhanden, sind von der TU Braunschweig vorgegebene Listen10 mit zu nutzender oder nicht gestatteter Software auf dienstlichen wie auf privaten Geräten zu beachten.
• Jedwede Veränderung oder Manipulation des Betriebssystems zur Erlangung administrativer Rechte (sogenanntes „Jailbreak“ oder „rooting“) von dienstlich genutzten Geräten ist nicht gestattet. Nach erfolgter Anzeige bei der*dem Informationssicherheitsbeauftrage*n können hiervon Geräte ausgenommen werden, deren dienstliche Nutzung administrative Rechte in zwingend erfordern. Der Ausnahme kann jederzeit widersprochen werden.
• Vor Außerbetriebnahme – insbesondere auch bei dienstlich genutzten privaten Geräten – sind die auf dem Gerät gespeicherten dienstlichen Daten bei Bedarf entsprechend zu sichern und in jedem Fall unwiederbringlich zu löschen. Die Konfiguration des Gerätes ist zurückzusetzen, so dass mit dem Gerät nicht mehr auf geschützte Ressourcen – etwa EMail-Zugänge, Dateiablagen oder VPN-Zugänge – zugegriffen werden kann. Dies gilt auch für Verkauf und Weitergabe dienstlich genutzter (privater) Geräte.
• Die Sicherung (Backup) der dienstlichen Daten auf Systeme der Hochschule, beispielsweise durch die Nutzung der Freigaben oder TU Braunschweig eigenen Cloud, muss sichergestellt sein. Synchronisationsmechanismen in die Cloud des Betriebssystemherstellers des mobilen Gerätes sind, soweit technisch möglich, zu minimieren bzw. zu vermeiden.
• Der Zugriff mobiler Geräte von Besucher*innen, Gästen und Studierenden ist auf spezielle Netze (eduroam, Gästenetz, temporäre Konferenz etc.) innerhalb der IT-Infrastruktur der Hochschule zu beschränken, die durch Sicherheitsmaßnahmen (Firewalls, etc.) vom Rest der IT-Infrastruktur getrennt sind. In diesen Netzen sind ausschließlich die Angebote verfügbar zu machen, die diese Personenkreise für die Erfüllung ihrer Aufgaben benötigen (z.B. Zugriff aufs Internet, auf spezielle Server, die zum Studium gebraucht werden, Konferenzserver etc.).

7. Ausnahmen

Grundsätzlich ist die Anzahl der Ausnahmen von dieser Regelung im Sinne der Aufrechterhaltung der Informationssicherheit an der Technischen Universität Braunschweig auf ein tatsächlich notwendiges Minimum zu beschränken. Damit die aktuelle Situation in den Ausnahmebereich fällt, muss sie also der folgenden Definition entsprechen.

"Ausnahme": die gemeinte Ausnahme ist nicht, dass man ein Privatgerät nutzt, sondern es ist gemeint, dass man eine der konkreten Regeln Absatz 3-6 nicht erfüllen kann.

Soll aufgrund technischer oder organisatorischer Gründe von den oben genannten Regelungen (Absatz 3-6) abgewichen werden, so wird eine entsprechende Anzeige durch eine mit der DVKoordination beauftragte Person der Stabsstelle CISO gegenüber formlos abgegeben.

Diese Anzeige umfasst mindestens:

• zwei Ansprechpersonen (Namen, Mail-Adresse, Durchwahl) innerhalb der OE,
• Name der anzeigenden OE,
• Kurzbeschreibung des Geräts,
• Kennzeichnende Merkmale des Geräts,
• Nutzende Person(en),
• Art der verarbeiteten Daten,
• Konkretisierung der Abweichung von der Richtlinie,
• Grund der Abweichung von der Richtlinie,
• Beschreibung der vorgesehenen Maßnahmen zur Mitigation von Risiken, die durch die Abweichung entstehen,
• Umsetzungsstand der vorgesehenen Maßnahmen inkl. zeitlicher Abschätzung der verbleibenden Umsetzung,
• Prognostizierte Dauer der Abweichung.

Neben einem triftigen Grund wird erwartet, dass eine Anzeige einer Ausnahme vor der Inanspruchnahme der Abweichung erfolgt und diese sowohl inhaltlich, zeitlich und räumlich auf das notwendige Maß beschränkt wird.

Die Prüfung der eingebrachten Anzeige obliegt der Stabsstelle CISO oder einer beauftragten Person. Die Stabsstelle CISO prüft, ggf. unter Beratung durch das GITZ, das Datenschutzmanagement und der*des Datenschutzbeauftragten den Grund und die vorgeschlagenen Maßnahmen hinsichtlich Notwendigkeit, technischer Machbarkeit und Unbedenklichkeit. Eingebrachte Anzeigen können zum Zweck einer Ergänzung an die Erstellenden zurückgegeben, mit zusätzlichen Auflagen belegt oder gänzlich verwehrt werden. Die Stabsstelle CISO berichtet dem IT-Security Board regelmäßig über eingebrachte Anzeigen und Entscheidungen über Ausnahmen.

Die Stabsstelle CISO führt zur Dokumentation aller vorhandenen Ausnahmen ein Verzeichnis und leitet eine jährliche Revision zur Erneuerung ein. Die namentlich benannten Ansprechpersonen werden zu diesem Zweck für eine Aktualisierung aufgefordert.

8. Weitere Empfehlungen

• Auf mobilen Geräten sollten so wenig dienstliche Daten wie möglich gespeichert werden. Zur Datenhaltung ist eine Einbindung von Netzlaufwerken oder cloudbasierten Diensten der Hochschule (“on premise”) angeraten.
• Die Nutzung von außerhalb der Hochschule angebotenen Cloud-Diensten (“off premise”) ist zu Gunsten der durch die Universität angebotenen Cloud-Dienste wenn möglich zu vermeiden.
• Bei Dienstreisen außerhalb der EU sind ergänzend zu dieser Richtlinie weitere Maßnahmen umzusetzen (siehe Fußnote zu Empfehlungen des BSI). Insbesondere ist auf die Speicherung dienstlicher Daten auf den mitgeführten Mobilgeräten nach Möglichkeit zu verzichten, um einen Abgriff dienstlicher Daten durch ausländische Geheim- bzw. Nachrichtendienste oder andere Stellen zu verhindern. Entgegen der o.a. verbindlichen Vorgabe, die Daten grundsätzlich zu verschlüsseln, muss je nach Reiseziel aus juristischen Gründen entgegen der generellen Vorgabe auf eine Verschlüsslung ggf. verzichtet werden. In diesen Fällen dürfen nur die absolut notwendigen Daten auf dem Gerät gespeichert sein. In keinem Fall dürfen vertrauliche oder geheime Daten auf dem Gerät gespeichert sein. Es wird dringend empfohlen, IT-Geräte bei Reisen in solche Länder nach der Rückkehr komplett neu aufzusetzen.
• Wenn Mitarbeitende technische Hilfe bei der Einhaltung der Regeln benötigen, wenden sie sich an die in Ihrer Organisationseinheit zuständigen AdministrationsPersonen/DVKoordinierende, um Rat und Unterstützung zu erhalten. Stellt sich nach der technischen Unterstützung heraus, dass es technisch nicht möglich ist, die Regel einzuhalten, dann ist das Gerät für das hybride Nutzungsformat nicht geeignet. Wenn das Gerät weiterhin dienstlich verwendet wird, muss ein Ausnahmeverfahren durchgeführt werden. (siehe hierzu Absatz 7. Ausnahmen)

9. Schlussbemerkungen

Alle anderen Richtlinien zur IT-Sicherheit bzw. Informationssicherheit und Datenschutz sowie alle anderen Richtlinien zur Nutzung von IT finden auch bei mobilen Endgeräten entsprechend Anwendung und gelten zusätzlich zu dieser Richtlinie.

Nutzende, deren (mobile) Geräte den hier formulierten technischen Mindestanforderungen nicht genügen oder deren Nutzungsverhalten der hier formulierten Empfehlung nicht entspricht, können/dürfen technisch und/oder organisatorisch von der Nutzung der Hochschulinfrastruktur ausgeschlossen werden. Dies gilt auch für den Zeitraum, in dem ggf. arbeitsrechtliche Maßnahmen geprüft werden.