Wenn Sie als IT-Administrator an Ihrem Institut oder Ihrer Einrichtung für die Mitarbeiter einen sicheren Zugang für's Home Office oder für das Arbeiten unterwegs (mobiles Arbeiten) einrichten möchten, sind einige Regeln zu beachten. Diese Regeln beziehen sich darauf, die Mitarbeiter in die Lage zu versetzen, ihre Dienstgeschäfte von unterwegs oder zu hause zu erledigen und den dafür nötigen Zugriff auf dienstliche Daten oder Dienste am Institut oder anderen Stellen der Universität Stuttgart von außerhalb der Netze der Uni. Die formalen Regelungen sind in der Richtline für das mobile oder das Arbeiten von zuhause ("Home Office") zu finden.
Wenn Sie als Administrator am Institut ein Rechnersystem für das mobile Arbeiten eines Mitarbeiters oder einer Mitarbeiterin einrichten, oder wenn Sie es als Mitarbeiterin oder Mitarbeiter selbst administrieren und einrichten, sind einige Regeln zu beachten:
Die Daten und Dienste, auf die für das Arbeiten im Home Office oder von unterwegs zugegriffen werden sollen, müssen auf den sie bereitstellenden Systemen an der Universität Stuttgart vor unerlaubtem Zugriff geschützt werden. Hierzu müssen technische Maßnahmen getroffen werden, die die Systeme schützen und folgende Anforderungen erfüllen:
Der Zugriff auf die Dienste und Daten von unterwegs oder zuhause muss so abgesichert werden, dass weder Dritte davon Kenntnis erlangen können ("Vertraulichkeit") noch die Datenübertragung verändern oder verfälschen können ("Integrität"). Dies kann nur durch einen VPN-Tunnel oder die Absicherung der Dienste per TLS oder ähnlichen Protokollen sichergestellt werden.
Zur Realisierung eines VPN-Tunnels gibt es prinzipiell zwei Lösungen:
Nutzung des VPN-Clients des IZUS/TIK: IZUS/TIK stellt für mobile Systeme einen VPN-Client bereit, mittels dessen Hilfe ein VPN-Tunnel zu einem Server im Uni-Netz aufgebaut werden kann. Das Gerät erhält dabei eine IP-Adresse der Universität und kann auf alle Dienste und Systeme, die von innerhalb der Uni-Netze erreichbar sind, direkt zugreifen. Auch sämtlicher Internetverkehr von und zum Gerät erfolgt über das Uninetz, so dass es in den Genuss der zentralen Sicherheitsmaßnahmen, insbesondere der Uni-Firewall kommt.
Aufbau einer eigenen VPN-Lösung am Institut: Hierbei setzt das Institut oder die Einrichtung einen eigenen VPN-Server auf, über den mobile Geräte oder Geräte im Home Office auf die Systeme und Dienste des Instituts und ggf. der Universität zugreifen. Dafür sind entsprechende Freischaltungen an der Uni-Firewall erforderlich, die beim RUS-CERT beantragt werden können. Im Rahmen der Beantragung muss die vorgesehene VPN-Lösung zur Begutachtung ihrer Sicherheit beschrieben werden. Sofern diese Lösung nicht aus technischen Gründen unabdingbar ist, sollte die unter 1. beschriebene Lösung des IZUS/TIK gewählt werden. Sofern erforderlich oder gewünscht, lassen sich die beiden Lösungen auch kombinieren: Es kann ein VPN-Tunnel zum Institut im VPN-Tunnel ins Uninetz mittels des VPN-Clients des IZUS/TIK etabliert werden. Hierbei sind keine Freischaltungen erforderlich. Sofern die eigene Lösung zu netzbetriebstechnischen Problemen führt, kann sie von IZUS/TIK bis zu deren Lösung außer Betrieb genommen werden.
Sofern es ausreicht, dass zur Erfüllung der Dienstaufgaben auf Dienste und Systeme am Institut über kryptographisch abgesicherte Protokolle zugegriffen wird (etwa HTTPS oder SSH), können diese mit den entsprechenden Freischaltungen genutzt werden.
Unabdingbar bei all diesen Lösungen ist die Anwendung starker kryptographischer Verfahren nach dem Stand der Technik, also Verschlüsselungsverfahren, deren Krytogramme mit heutigen Kenntnissen und Methoden ohne Kenntnis des Schlüssels nicht entschlüsselt werden können.