Die Universität Freiburg verarbeitet im Rahmen ihrer Forschungs-, Lehr-, Transfer- und Verwaltungstätigkeiten in vielfältiger und umfangreicher Weise Informationen in digitaler und analoger Form. Dies umfasst ein breites Spektrum an Daten, darunter personenbezogene Informationen von Beschäftigten und Studierenden, sensible Betriebsdaten der IT-Infrastrukturen sowie Forschungsdaten, die Personenbezug aufweisen.
An der Universität Freiburg sind der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte und das Team für Datenschutz im Dezernat 5 – Recht für diese Aufgaben zuständig und stehen für alle Fragen zu diesen Themen zur Verfügung.
In der dynamischen Umgebung der Universität Freiburg, die Innovation in Lehre, Forschung und Verwaltung vorantreibt, ist die Sicherstellung einer sicheren und gesetzeskonformen Datenverarbeitung gemäß dem neuesten Stand der Technik eine fortlaufende Herausforderung. Daher legt die Universität Freiburg großen Wert auf robuste technische und organisatorische Maßnahmen, die nicht nur den rechtlichen Anforderungen der Datenschutz-Grundverordnung (DS-GVO), des Landesdatenschutzgesetzes (LDSG) und des Landeshochschulgesetzes (LHG) gerecht werden, sondern auch den hohen Standards von Qualität und Verantwortung entsprechen, welche das Leitbild der Universität Freiburg vorgibt.
Aktuelles zum Datenschutz und Informationssicherheit
IT-Sicherheitsmanagement der Universität Freiburg durch TÜV SÜD zertifiziert
DIN EN ISO/IEC27001-Zertifizierung bescheinigt zuverlässiges Informationssicherheits-Managementsystem (ISMS)
Empfehlungen zur Souveränität und Sicherheit der Wissenschaft im digitalen Raum
Der Wissenschaftsrat hat im Oktober 2023 Empfehlungen zur Verbesserung der Informationssicherheit an Universitäten und Hochschulen veröffentlicht
Konsultation der Europäischen Kommission zur DS-GVO
Die Europäische Kommission hat im Februar 2024 eine Konsultation zur Verbesserung der Datenschutz-Grundverordnung initiiert.
Video-Reihe Informationssicherheit
5fa2958ff635d1286904fcaaed3d1dfe
4c2ad008a0de4a9bc89460424943b068
e976e679cd3979c701fc59464a4a0333
FAQ zu Datenschutz und Informationssicherheit
Eine Datenpanne oder Datenschutzverletzung ist ein Vorfall, bei dem die Sicherheit personenbezogener Daten verletzt wird. Das bedeutet, dass Daten unbeabsichtigt oder unrechtmäßig zerstört, verloren, verändert, offenbart oder für Unbefugte zugänglich gemacht werden. Dies kann beispielsweise durch den Verlust von Akten, einen unberechtigten Zugriff auf ein E-Mail-Konto oder den Diebstahl eines Notebooks erfolgen.
Ein Informationssicherheitsvorfall liegt dann vor, wenn nachweislich Schutzmaßnahmen versagt haben, etwa weil ein Laptop gestohlen wurde oder Angreifer*innen über eine Schwachstelle ein IT-System kompromittieren konnten. Kennzeichnend für einen Vorfall ist, dass mit hoher Wahrscheinlichkeit ein Schaden vorliegt, der eines der wesentlichen Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit verletzt.
Vorfälle, die nicht bekannt werden, stellen eine zusätzliche Gefährdung dar.
Datenpannen und Informationssicherheitsvorfälle gehen oft gemeinsam einher und werden in der Praxis sowohl aus Sicht des Datenschutzes als auch der Informationssicherheit betrachtet.
Weitere Informationen finden Sie im Rundschreiben über Meldepflichten bei Datenschutz- und Informationssicherheitsvorfällen: https://intranet.uni-freiburg.de/rs/2024/4 (Intranet)
Zunächst sollte bei Inbetriebnahme des Laptops sichergestellt sein, dass die Festplatte verschlüsselt ist. Wenn ein Laptop verloren geht (Diebstahl, Verlust), bei dem dies der Fall ist, und in die Hände von Dritten gelangt, können keine Daten von der Festplatte missbräuchlich ausgelesen werden.
Dennoch ist der Verlust als Datenschutzpanne beziehungsweise Informationssicherheitsvorfall einzuordnen und entsprechend zu melden. Bei Diebstahl muss eine Anzeige erstattet werden.
Da es sich bei Laptops von Beschäftigten um Landeseigentum handelt, ist mit diesen sorgsam umzugehen. Bei leichtsinnigem Verhalten können gegebenenfalls Regressforderungen seitens der Dienststelle gestellt werden.
Weitere Informationen sind im Intranet für angemeldete Benutzer*innen verfügbar.
Betrüger*innen beziehungsweise Angreifer*innen nutzen Phishing-E-Mails in verschiedenen Formen, um an vertrauliche Daten zu kommen oder den Rechner von Nutzer*innen zu kompromittieren:
- Verlinkung einer Fake-Webseite: Dabei werden Webseiten “nachgebaut”, um das Opfer dazu zu bringen, zum Beispiel Zugangsdaten für universitäre Systeme einzugeben. Diese können dann von den Angreifer*innen genutzt werden, um etwa auf das E-Mail-Konto des Opfers zuzugreifen.
- Schadhafte Anhänge: Dokumente im Anhang von E-Mails, die unter Umständen Schadsoftware auf dem Rechner installieren (Virus, Trojaner) und so die Kontrolle des betroffenen Rechners ermöglichen.
- Scamming: Angreifer*innen gaukeln die Identität einer bekannten Person vor, um das Opfer in einen Dialog zu verwickeln. In dessen Verlauf wird das Opfer dann gebeten, etwas zum Vorteil der Angreifer*innen zu tun, wie etwa Geld überweisen, Geschenkgutscheine kaufen oder persönliche Daten weitergeben.
Phishing-E-Mails versuchen oft, Zeitdruck aufzubauen und damit das Opfer zu unbedachten Handlungen zu verleiten.
Wurden Zugangsdaten weitergegeben, so ist dies als meldepflichtiger Vorfall zu betrachten.
Bei Kompromittierung des Rechners durch einen Virus/Trojaner, sollte der Rechner umgehend vom Netzanschluss (Internet, WLAN) getrennt werden und die*der lokale IT-Administrator*in informiert werden. Es muss dann geprüft werden, ob es zum Abfluss von Daten oder einem anderen Schaden gekommen ist.
Im Intranet stehen für eingeloggte Nutzer*innen weitere Materialien zur Verfügung:
Das Arbeiten außerhalb der dienstlichen Räumlichkeiten bringt einige Gefährdungsmöglichkeiten mit sich, die berücksichtigt werden müssen, damit auch im Home-Office und beim mobilen Arbeiten Daten und die Systeme der Universität ausreichend geschützt sind. Einige Systeme erfordern z.B. die Einwahl in ein VPN (Virtual Private Network), um darauf zugreifen zu können. Auch der Einsatz einer Zwei-Faktor-Authentifzierung hilft, solchen Gefährdungen entgegen zu wirken.
Ausführliche Empfehlungen zum sicheren Arbeiten – die auch für das normale Büro gelten – finden sich für eingeloggte Nutzer*innen im Intranet.
Eine wichtige, präventive Überlegung ist, wie man die Daten, mit denen man arbeitet, sicher speichert. Mit „sicher“ ist gemeint, dass
- der Zugriff auf die Daten geregelt ist und nur diejenigen Zugriff auf die Daten haben, die sie auch für ihre Arbeit benötigen;
- die Daten verfügbar sind, in dem Moment wo sie benötigt werden;
- die Daten wiederhergestellt werden können, wenn sie gelöscht wurden oder anderweitig nicht mehr direkt verfügbar sind (z.B. Verlust das Laptops);
- Änderungen an den Daten dokumentiert und nachvollziehbar sind.
Es empfiehlt sich daher, reguläre Arbeitsprozesse daraufhin abzustimmen, dass die notwendigen Daten sicher gespeichert sind.
Weitere Informationen enthält die Richtlinie zur sicheren Datenablage und Verschlüsselung mobiler Datenträger im Intranet. Empfehlungen zur Datenträgerentsorgung ergänzen diese (Intranet).
Zunächst sollte überlegt werden, ob es nicht Alternativen zur Nutzung eines USB-Sticks gibt. Hier bieten sich gemeinsame Datenablagen oder das persönliche Netzlaufwerk an. Die Richtlinie zur sicheren Datenablage und Verschlüsselung mobiler Datenträger (Intranet) beschreibt entsprechende Möglichkeiten. Falls die Nutzung eines USB-Sticks dennoch notwendig wird, sollte überlegt werden, die Daten auf dem Stick zu verschlüsseln, zumindest wenn es sich um sensible und vertrauliche Daten handelt. Innerhalb der Einrichtung sollten Entsorgungsprozesse etabliert sein, über die USB-Sticks sicher entsorgt werden können (siehe hierzu die Empfehlungen im Intranet). Sprechen Sie die*den lokalen IT-Administrator*in darauf an oder die*den Entsorgungsbeauftragte*n.
Sichere Passwörter zeichnen sich durch ihre Komplexität aus, d.h. tendenziell lange Passwörter, in denen verschiedene Zeichenarten (Buchstaben klein/groß, Zahlen, Sonderzeichen) kombiniert werden. Ergänzend spielt die Art und Weise, wie man Passwörter verwaltet, eine wichtige Rolle. Statt Passwörter auf gelben Zetteln am Monitor zu notieren, sollte ein Passwortmanager wie etwa KeePass genutzt werden. Weitere Informationen finden sich auf dieser Seite des Rechenzentrums.
Vorgaben zur Passwörtern macht die Passwortrichtlinie (Intranet).
Ansprechpartner*innen
Zur Erfüllung gesetzlicher Vorgaben als auch zum Schutz der Universität gibt es zentrale Meldestellen, die im Fall von Datenpannen und Informationssicherheitsvorfällen zu kontaktieren sind.
Weitere Informationen stehen dazu im Intranet bereit:
Kontakt
Für (vertrauliche) Anfragen betroffener Personen zur Datenverarbeitung und Wahrnehmung ihrer Datenschutzrechte,
Anlaufstelle für Aufsichtsbehörden: Datenschutzbeauftragter@zv.uni-freiburg.de
Meldung von Datenschutzverletzungen, Wahrnehmung von Betroffenenrechten, Informationen zum Datenschutz: Datenschutz@zv.uni-freiburg.de
Meldung von Sicherheitsvorfällen, Hinweise auf Schwachstellen: security@uni-freiburg.de