Sicheres Home Office, bzw. Zugang für das mobile Arbeiten für Mitarbeiter einrichten

Wenn Sie als IT-Administrator an Ihrem Institut oder Ihrer Einrichtung für die Mitarbeiter einen sicheren Zugang für's Home Office oder für das Arbeiten unterwegs (mobiles Arbeiten) einrichten möchten, sind einige Regeln zu beachten. Diese Regeln beziehen sich darauf, die Mitarbeiter in die Lage zu versetzen, ihre Dienstgeschäfte von unterwegs oder zu hause zu erledigen und den dafür nötigen Zugriff auf dienstliche Daten oder Dienste am Institut oder anderen Stellen der Universität Stuttgart von außerhalb der Netze der Uni. Die formalen Regelungen sind in der Richtline für das mobile oder das Arbeiten von zuhause ("Home Office") zu finden.

Inhalt

• Geräte für das Home Office bzw. das mobile Arbeiten
• Dienste und Daten am Institut
• Zugriff auf Dienste und Daten am Institut

Geräte für das Home Office bzw. das mobile Arbeiten

Wenn Sie als Administrator am Institut ein Rechnersystem für das mobile Arbeiten eines Mitarbeiters oder einer Mitarbeiterin einrichten, oder wenn Sie es als Mitarbeiterin oder Mitarbeiter selbst administrieren und einrichten, sind einige Regeln zu beachten:

• Für das Arbeiten zuhause oder unterwegs sind grundsätzlich nur Dienstgeräte zugelassen.
• Während der Corona-Krise ist ausnahmsweise die Nutzung von Privatgeräten unter bestimmten Voraussetzungen erlaubt. Dies gilt nicht für Beschäftigte der Zentralen Verwaltung.
• Die für das mobile oder das Arbeiten von zuhause verwendeten Geräte müssen unter der vollständigen administrativen und physischen Kontrolle der Universität stehen. Das heißt, sie müssen entweder vom Systemadministrator des Institutes oder der Person, die es nutzt, administriert werden. Diese Person muss Mitarbeiter/in der Universität Stuttgart sein. Mindestens in der Zeit der Nutzung für das "Home Office" (bei Privatgeräten) darf das System keinem Dritten (auch keinem Familienmitglied) zugänglich gemacht werden. Dienstgeräte dürfen zu keiner Zeit Dritten zugänglich gemacht werden.
• Das System ist aktuell. Das heißt, dass sowohl das Betriebssystem als auch die Anwendungen auf dem System zu jeder Zeit die aktuellsten sicherheitsrelevanten Updates bzw. Patches installiert sein müssen.
• Das System ist minimal konfiguriert. Das heißt, dass nur die Software installiert ist und die Dienste konfiguriert sind, die für die vorgesehenen Zwecke nötig sind. Auch Benutzer und deren Berechtigungen sind auf das Nötige zu beschränken.
• Es ist ein aktueller Virenscanner installiert und wirksam.
• Mindestens die auf Festplatte oder anderen Speichermedien gespeicherten Daten sind kryptographisch stark verschlüsselt.
• Eine personal Firewall muss die Netzwerkkommunikation des Systems auf das Notwendige beschränken.
• Die Nutzer befolgen die Regeln für das mobile oder das Arbeiten von zuhause im Home Office.

Dienste und Daten am Institut

Die Daten und Dienste, auf die für das Arbeiten im Home Office oder von unterwegs zugegriffen werden sollen, müssen auf den sie bereitstellenden Systemen an der Universität Stuttgart vor unerlaubtem Zugriff geschützt werden. Hierzu müssen technische Maßnahmen getroffen werden, die die Systeme schützen und folgende Anforderungen erfüllen:

• Das System und die Dienste stehen unter der vollständigen administrativen und physischen Kontrolle der Universität. Das heißt, es muss vom Systemadministrator des Instituts administriert werden und nur ihm/ihr, bzw. berechtigten Personen physisch zugänglich sein.
• Das System und die Dienste sind minimal zu konfigurieren. Das heißt, dass nur die Software installiert ist und die Dienste konfiguriert sind, die für die vorgesehenen Zwecke nötig sind. Auch Benutzer und deren Berechtigungen sind auf das Nötige zu beschränken. Nicht (mehr) für die Arbeit benötigte Benutzer und Berechtigungen sind zu entfernen.
• Das System und die Dienste sind aktuell. Betriebssystem und Anwendungen müssen vom Hersteller gewartet sein und alle sicherheitsrelevanten Aktualisierungen müssen installiert und wirksam sein.
• Eine Firewall schützt das System vor unerwünschter Kommunikation. Hierbei kann es sich um einen Paketfilter vor dem Institutsnetz ("Institutsfirewall") oder um eine Firewall auf dem System selbst (z.B. iptables) handeln. Unabhängig davon wird ein Basisschutz durch die Universitätsfirewall gewährt, deren Freischaltungen sich für die Adresse des Systems auf das Nötigste beschränken sollen ("Minimalität" auch hier).

Zugriff auf Dienste und Daten am Institut

Der Zugriff auf die Dienste und Daten von unterwegs oder zuhause muss so abgesichert werden, dass weder Dritte davon Kenntnis erlangen können ("Vertraulichkeit") noch die Datenübertragung verändern oder verfälschen können ("Integrität"). Dies kann nur durch einen VPN-Tunnel oder die Absicherung der Dienste per TLS oder ähnlichen Protokollen sichergestellt werden.

Zur Realisierung eines VPN-Tunnels gibt es prinzipiell zwei Lösungen:

1. Nutzung des VPN-Clients des IZUS/TIK: IZUS/TIK stellt für mobile Systeme einen VPN-Client bereit, mittels dessen Hilfe ein VPN-Tunnel zu einem Server im Uni-Netz aufgebaut werden kann. Das Gerät erhält dabei eine IP-Adresse der Universität und kann auf alle Dienste und Systeme, die von innerhalb der Uni-Netze erreichbar sind, direkt zugreifen. Auch sämtlicher Internetverkehr von und zum Gerät erfolgt über das Uninetz, so dass es in den Genuss der zentralen Sicherheitsmaßnahmen, insbesondere der Uni-Firewall kommt.

2. Aufbau einer eigenen VPN-Lösung am Institut: Hierbei setzt das Institut oder die Einrichtung einen eigenen VPN-Server auf, über den mobile Geräte oder Geräte im Home Office auf die Systeme und Dienste des Instituts und ggf. der Universität zugreifen. Dafür sind entsprechende Freischaltungen an der Uni-Firewall erforderlich, die beim RUS-CERT beantragt werden können. Im Rahmen der Beantragung muss die vorgesehene VPN-Lösung zur Begutachtung ihrer Sicherheit beschrieben werden. Sofern diese Lösung nicht aus technischen Gründen unabdingbar ist, sollte die unter 1. beschriebene Lösung des IZUS/TIK gewählt werden. Sofern erforderlich oder gewünscht, lassen sich die beiden Lösungen auch kombinieren: Es kann ein VPN-Tunnel zum Institut im VPN-Tunnel ins Uninetz mittels des VPN-Clients des IZUS/TIK etabliert werden. Hierbei sind keine Freischaltungen erforderlich. Sofern die eigene Lösung zu netzbetriebstechnischen Problemen führt, kann sie von IZUS/TIK bis zu deren Lösung außer Betrieb genommen werden.

   Sofern es ausreicht, dass zur Erfüllung der Dienstaufgaben auf Dienste und Systeme am Institut über kryptographisch abgesicherte Protokolle zugegriffen wird (etwa HTTPS oder SSH), können diese mit den entsprechenden Freischaltungen genutzt werden.

Unabdingbar bei all diesen Lösungen ist die Anwendung starker kryptographischer Verfahren nach dem Stand der Technik, also Verschlüsselungsverfahren, deren Krytogramme mit heutigen Kenntnissen und Methoden ohne Kenntnis des Schlüssels nicht entschlüsselt werden können.