Mehr Sicherheit für die IT-Infrastruktur der ETH
Um die IT-Sicherheitsmassnahmen an der ETH zu verbessern, sollen in Zukunft IT-Ger?te, die ans ETH-Netzwerk angeschlossen sind, regelm?ssig auf technische Schwachstellen überprüft werden. Dies steigert die Sicherheit im ETH-Netzwerk und tr?gt zum Schutz der Daten aller ETH-Angeh?rigen bei.
Es ist schnell passiert, eine auf den ersten Blick harmlos aussehende Mail, man drückt auf den Link darin, und schon installiert sich im Hintergrund eine Ransomware auf dem Computer, die die Daten des Computers oder im schlimmsten Fall grosser Teile der IT-Ger?te und Speichersysteme verschlüsselt. Dahinter stehen Cyberkriminelle, die damit die Einzelperson oder die entsprechende Organisation zu erpressen versuchen, und gegen hohe Geldsummen die angeblich passende Entschlüsselungssoftware anbieten. Im Normalfall k?nnen über Back-Ups und Sicherungstools die Daten wieder gerettet werden, aber dafür müssen sie zuvor entsprechend gesichert worden sein.
Wenn der eigene Computer zum Risiko wird
Wenn der eigene Computer auf dem neuesten Stand der Virenschutz-Software ist und alle Updates und Patches der Apps und des Betriebssystems aktuell sind, dann sind die Chancen gut, dass g?ngige Ransomware-Angriffe, und natürlich andere Schadsoftware, erkannt werden und sich gar nicht erst installieren k?nnen.
Ist das aber nicht der Fall, sind nicht nur die eigenen Daten in Gefahr, sondern auch die aller anderen, die in der gleichen Netzwerkzone arbeiten. Ein Rechner, der mit Ransomware oder einer anderen Malware infiziert und im ETH-Netz ist (sei es direkt oder via VPN (Virtual Private Network)), ist eine ernsthafte Gefahr für andere IT-Ger?te und die Daten der ETH-Angeh?rigen. Dies ist unabh?ngig davon, ob es sich um ein privates IT-Ger?t wie Laptop, Handy oder Tablet handelt oder eines, das der ETH geh?rt.
Wie k?nnen solche Schwachstellen in der IT-Infrastruktur erkannt werden, bevor Angreifer*innen diese grossfl?chig ausnutzen? Nur wenn diese potenziellen Einfallstore für Attacken schnell identifiziert und geschlossen werden k?nnen, kann das Risiko, Opfer einer Cyberattacke zu werden, deutlich verringert werden.
Wie soll die IT-Infrastruktur an der ETH besser geschützt werden?
Um Schwachstellen durch nicht gepatchte IT-Ger?te im ETH-Netzwerk zu erkennen, und mit dem Stand der Technik und den Anforderungen der IT-Sicherheit auf der H?he zu bleiben, wird an der ETH nun untersucht, wie ein technisches System zum Auffinden solcher Schwachstellen eingeführt werden kann.
Um dies rechtlich entsprechend abzustützen, wurde die ?Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich? (BOT) einer Teilrevision unterzogen. Sie ist seit 1. Juni 2021 in Kraft und enth?lt Regelungen, die es m?glich machen, den technischen Stand der IT-Infrastruktur besser auf Schwachstellen zu überprüfen (Abschnitt 6, Art. 18-20bis BOT).
Werden solche Schwachstellen identifiziert, k?nnen die zust?ndigen IT-Betreiber (z.B. die IT-Supportgruppe des Departements) oder die IT-Security Officer der Informatikdienste in akuten Bedrohungslagen die sofortige Sicherheitsaktualisierung von IT-Systemen im Auftrag des Chief Information Security Officers (CISO) anordnen. Dies ist in der BOT ausdrücklich so geregelt (Art. 20bis Abs. 3 BOT), um die IT-Infrastruktur an der ETH Zürich vor gef?hrlichen Angriffen zu schützen.
Kontrolliert die ETH also zukünftig, was ich auf meinem Computer tue?
Nein. Schwachstellenmanagement hat nichts mit einer Einsicht in Ihre privaten Daten oder der Kontrolle Ihrer Arbeitsaktivit?ten zu tun. Es wird ausschliesslich der technische Zustand der IT-Ger?te überprüft, die im ETH-Netzwerk unterwegs sind.
Wie kann in Zukunft überprüft werden, ob ein IT-Ger?t mit Schwachstellen ans ETH-System angeschlossen wird?
Gem?ss der neuen Bestimmung, Anhang BOT Ziffer 3 Abs. 1bis, dürfen die Informatikdienste permanent nicht personenbezogene (anonyme, pseudonyme) Auswertungen zur ?berprüfung des technischen Zustands der IKT-Mittel im Auftrag des CISO vornehmen (z.B. Patch-St?nde, Virenschutzmeldungen, Schwachstellenscans) und zur Gew?hrleistung der IKT-Sicherheit Randdaten über deren Nutzung aufzeichnen.
Muss ich sonst noch etwas wissen?
Die revidierte BOT gilt nicht nur die Nutzung der gesamten ETH-eigenen IT-Infrastruktur und alle -Ger?te, sondern auch für ausgelagerte Dienstleistungen, z.B. Cloud-L?sungen (Art. 3 BOT). Ausserdem für private IT-Ger?te jedweder Art, die im Datennetz der ETH genutzt werden.
Tipps, um Ihre Daten zu schützen
- Installieren Sie auf allen Ger?ten regelm?ssig die Aktualisierungen (Updates) der Firmware, des Betriebssystems und aller installierten Anwendungen und Apps immer m?glichst sofort.
- Nutzen Sie ein Virenschutzprogramm, und achten Sie darauf, dass das Programm regelm?ssig, mindestens stündlich, aktualisiert wird.
- Gehen Sie sicher, dass für Ihre Daten immer Backups ausgeführt werden, die m?glichst regelm?ssig durchgeführt, sowie an unterschiedlichen Orten abgelegt sind. Prüfen Sie sporadisch, ob Sie die Daten aus dem Backup wiederherstellen und nutzen k?nnen. Nutzen Sie m?glichst einen professionell verwalteten Backup-??Service (von den Informatikdiensten oder Ihrer Informatiksupportgruppe). Dies ist die beste und zuverl?ssigste Art und Weise, um Ihre Daten zu sichern.
- Nutzen Sie sichere Passw?rter und ?ndern sie diese sofort (auf einem sicheren Computer), wenn sie den Verdacht haben, Schadsoftware auf Ihrem Computer zu haben! Nutzen sie niemals dieselben Passw?rter!