Dies ist eine alte Version des Dokuments!
Institute und Einrichtungen dürfen IT selbst betreiben und sind daher auch in der Lage und in der Pflicht, die Arbeitsplatzrechner und sonstigen Clients in ihrem Bereich einzurichten und zu pflegen. Es wird empfohlen, dass dies nach den hier aufgeführten Grundsätzen erfolgt, natürlich unter Berücksichtigung der Erfordernisse des jeweiligen Instituts bzw. Einrichtung.
IT-Sicherheit ist keine Sache der einmaligen Einrichtung, es ist ein laufender Prozess. Daher muss man sich immer wieder fragen:
Sofern die Daten dieses Geräts erhaltenswert sind bzw. überhaupt lokal Daten gespeichert werden, muss ein Backup eingerichtet werden. Dies kann bei auf verschiedene Arten geschehen
In allen Fällen muss darauf geachtet werden, dass nicht nur ein geordnetes und regelmäßiges Backup erfolgt, sondern auch immer wieder überprüft und geübt wird, dass auch ein Restore der Daten reibungslos funktioniert. Welche Backup-Lösung für den Einzelfall angemessen ist, entscheidet der zuständige DV Koordinator eigenverantwortlich.
Selbstverständlich müssen die Endgeräte ausreichend gegen Viren- und Malwarebefall geschützt sein. Die eingesetzten Produkte und Signaturdatenbanken müssen regelmäßig updated werden, Signaturdatenbanken täglich (oder auch öfter, sofern der Anbieter häufigere Updates bereitstellt).
Es wird empfohlen, wichtige Daten verschlüsselt zu speichern, insbesondere sollten Notebooks mit beispielsweise Bitlocker verschlüsselt werden. Außerdem sollten – sofern der Einsatz von eigenen Geräten wie Smartphones für dienstliche Zwecke erlaubt ist – auch auf diesen Geräten die dienstlichen Daten verschlüsselt abgelegt werden, wenn sie denn überhaupt dort gespeichert werden. Dies gilt natürlich auch für dienstliche E-Mails und deren Anhänge. Sicherer ist es, dort keine dienstlichen Daten zu speichern und allenfalls Browser-Online- Zugänge zu nutzen.
Siehe dazu die entsprechenden Empfehlungen zu Verschlüsselung.
Für Endgeräte ohne Spezialsoftware ist es empfehlenswert, die vom Betriebssystemhersteller angebotenen Sicherheitsupdates vollautomatisch einspielen zu lassen. In Fällen, wo dies nicht sinnvoll ist (Spezialsoftware, Server, keine permanente Netzverbindung, …), muss der Administrator dies zeitnah nach Erscheinen der Updates manuell tun.
Weiterhin ist es dringend empfehlenswert, auch alle weiteren Updates für Betriebssystem und Anwendungssoftware möglichst zeitnah, ggf. nach Überprüfung der Funktionalität, einzuspielen. Technische Angriffe nutzen häufig veraltete Funktionen und Versionen diverser Anwendungssoftware aus, das generelle Risiko wird vermindert durch möglichst aktuelle Software.
Auch wenn es für den Anwender bequemer ist, einfach „alles“ auf dem Endgerät installiert zu haben, so ist es doch zu empfehlen, bei der Einrichtung zunächst nur einen Grundstock an benötigten Programmen zu installieren und weitere Software nur bei Bedarf nachzuinstallieren.
Sofern es möglich ist, einen „Standardrechner“ zu definieren, vereinfacht der Einsatz einer „maßgeschneiderten“ Installation (z.B. per Installations-Image oder auch Script, je nach Betriebssystem) die Installation und sorgt gleichzeitig für ein definiertes Anfangs-Sicherheitsniveau.
Außerdem sollten alle nicht benötigten Dienste, die von außen erreichbar sind, abgeschaltet werden. Was nicht erreichbar ist, kann auch nicht gehackt werden.
Aus IT-Sicherheitssicht ist es dringend zu empfehlen, nur die vom GITZ angebotenen oder ggf. vom Institut oder Einrichtung selbst betriebenen Cloud-Dienste zu verwenden und keinesfalls „öffentliche“ Dienste wie Google Drive, OneDrive, DropBox, Amazon Cloud etc.
Das GITZ bietet hierzu im Dienstleistungskatalog u.a. die Positionen 3104 (Cloud Storage), 4201 (Groupware), 3102 (File Services), 4205 (Webserver), 4207 (Webhosting) an.
Es sollten nur die Nutzerkonten eingerichtet werden, die auch tatsächlich gebraucht werden. Ein reguläres Arbeiten mit Administrator bzw. root Rechten ist zu vermeiden, dies sollte nur erfolgen, wenn es notwendig ist.
Es sollte gewährleistet sein, dass eine Bildschirmsperre (mit Passwort oder anderem Schutz) eingerichtet ist. Je nach Einsatzzweck kann es sinnvoll sein, dass sich der Bildschirm nach einer bestimmten Zeit automatisch sperrt.
Insbesondere auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) finden sich viele weitergehende, konkrete und ausführliche Informationen zur Konfiguration von Endgeräten vielen weiteren Themen rund um IT-Sicherheit.
Besonders hingewiesen sei auf die folgenden Seiten bzw. Dokumente:
Ärger haben auch die Unternehmen, in deren Namen die Betrüger auftreten. Denn sie erleiden oft einen Image-Schaden. Phishing zu bekämpfen ist schwer, da sich die gefälschten von den echten Seiten kaum unterscheiden und somit viele Nutzer sich täuschen lassen. In einigen Ländern haben sich viele Firmen bereits zur Anti-Phishing Working Group http://www.antiphishing.org/ zusammengetan. Auf ihrer Internetseite kann man Phishing-Mails melden und nachlesen, welche schon bekannt sind. In Deutschland hat sich eine neue interdisziplinäre Vereinigung aus Wissenschaftlern der Ruhr-Universität Bochum des Phishing-Problems angenommen. Die „Arbeitsgruppe Identitätsmissbrauch im Internet“ (A-I3) stellt auf ihrem Online-Portal https://www.a-i3.org/ nicht nur aktuelle Informationen zu Themen der IT-Sicherheit bereit, sondern auch konkrete Hilfestellungen und Tools.