Sie sind hier: Startseite Artikel Nachrichten Sichere Datenablage für Mitglieder …

Sichere Datenablage für Mitglieder der Universität

erstellt von Jan Leendertse Veröffentlicht 12.03.2019 14:10, zuletzt verändert: 01.04.2019 16:06
Das Rechenzentrum der Universität Freiburg bietet Instituten und Einrichtungen Speichersysteme, die verfügbar sind, wo die Echtheit verifizierbar gemacht wird und Vertrauenswürdigkeit hergestellt wird.

Diese drei Schutzziele – Verfügbarkeit, Authenzität und Integrität – sind Kernziele der Informationssicherheit nach BSI (Bundesamt für Sicherheit in der Informationstechnik) und den betreffenden ISO-Normen. Mit Verfüg­barkeit ist gemeint, dass Daten in dem Moment zugegriffen werden können, in dem es notwendig oder gewünscht ist. Authenzität bedeutet, dass die Daten eindeutig und unzweifelhaft einer Quelle zugeordnet werden können. Integrität bedeutet, dass Daten nach Speicherung durch den Urheber nicht verändert wurden.

Datenschutz und Schutzziele

Um der Erfüllung dieser Ziele nahe zu kommen, bietet das Rechenzentrum für Einrichtungen der Universität verschiedene Dienste an oder beteiligt sich an Verbundlösungen in Baden-Württemberg. Diese Dienste richten sich an einzelne Personen, die ihre dienstlichen Daten in einem eigenen Verzeichnis sicher speichern möchten, und an Gruppen, die eine gemeinsame Datenhaltung benötigen. Diese Gruppen können feste Einrichtungen der Universität oder sich fließend organisierende Arbeits­formen sein.

Ein Aspekt ist die Beachtung des Datenschutz, sobald sich aus Daten ein Personenbezug herstellen lässt. Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem in der Folge novellierten Landes­datenschutzgesetz (LDSG) ist die Verantwortung gewachsen, die mit der Verarbeitung untrennbar einhergeht. Diese Verantwortung ist beim Einsatz selbst beschaffter Systeme und auch bei der Nutzung beispielsweise der Ressourcen des Rechenzentrums zu tragen. Für eine juristisch tragfähige Beurteilung, wie der Datenschutz für einen konkreten Anwendungsfall auszugestalten ist, empfiehlt sich eine Beratung mit einem Datenschutz­beauftragten.

Die Entscheidung für eine der vorgestellten Speichervarianten sollte auf den datenschutzrechtlichen Erwägungen aufbauen.

Ein Vorteil der Speicherlösungen, die durch das Rechenzentrum der Universität bereitgestellt werden, ist, dass die Schutzziele Verfügbarkeit, Authenzität und Integrität bei der Planung und im Betrieb berücksichtigt sind.

Persönliche Ablage

Das Rechenzentrum bietet jedem Mitglied der Universität, das eine zugewiesene Kennung hat, die über myAccount bearbeitet werden kann, eine persönliche Dateiablage mit 20 GB Speicherplatz an. Dieser Speicher kann unter allen gängigen Betriebssystemen (Windows, MacOS, Linux) eingebunden werden. Unter Windows wird das Homedirectory mit einem Laufwerksbuchstaben versehen und ist über den Dateiexplorer bedienbar. Von den Dateien werden sogenannte Snapshots in einem festen Turnus angelegt. Mit ihnen können versehentlich geänderte oder gelöschte Dateien von den Nutzer_innen selbst zurückgespielt werden. Dafür ist keine Unterstützung durch einen Administrator mit zusätzlichen Rechten nötig.

Die Einbindung als Laufwerk kann jedes Mitglied selbständig durchführen, ohne auf die Unterstützung von IT-Betreuern oder Fachpersonal vom Rechenzentrum zurückgreifen zu müssen. Auf der Webseite des Rechen­zentrums gibt es eine Anleitung mit Screenshots, die Schritt für Schritt das Verfahren erläutert.

Gruppenlaufwerke für Universitätseinrichtungen

Mit dem gleichen technischen Verfahren können auf den allgemein verfügbaren Speichersystemen Gruppenlaufwerke eingerichtet werden. Bis zu 250 GB Speicherplatz pro Einrichtung ist die Nutzung kostenfrei. Die Bedingungen sind in einer Service­beschreibung festgehalten, die innerhalb des Universitätsnetzes abgerufen werden kann.

Auf Gruppenlaufwerke können mehrere Personen zugreifen, die alle Mitglieder der Universität sein müssen und dementsprechend einen Univer­sitätsaccount besitzen. Sie erfordern zusätzlich ein Berechtigungs­management, das initial vom Rechenzentrum einzurichten ist.

Bei der Gegenüberstellung der Aufwände für Gruppenlaufwerke zu den für selbst administrierte Speicherlösungen sollte berücksichtigt werden, dass bei Gruppenlaufwerken erheblich weniger Organisations- und Personalaufwand nötig ist. Bei der Nutzung von Gruppenlaufwerken entfällt die Beschaffung und Wartung der Hardware, es muss keine Hardware im Institut zutritts­sicher untergebracht werden, die zusätzlich selbst zu kühlen und mit Energie zu versorgen ist.

Und es entfällt die Notwendigkeit des Aufbau eines komplexen Daten­sicherungsplans, der die wachsenden Anforderungen an Informations­sicherheit zu berücksichtigen hat. Eine parallele Sicherung auf das TSM-System im Rechenzentrum ist weiterhin möglich.

Bei noch höheren Speicherbedarfen als 250 GB berät das Rechenzentrum.

Arbeitsgruppenserver

Gruppen, gebildet durch Mitglieder der Universität Freiburg, können sich über den universitätseigenen Arbeitsgruppenserver selbst organisieren. Auf ihm lassen sich Dokumente ablegen, teilen, online editieren und Arbeits­abläufe wie Gruppenkalender, Terminfindung, Umfragen etc. digital abbil­den. Für die Einrichtung einer Gruppen wird lediglich die übliche Kennung und das Passwort benötigt, mit dem man sich in z.B. myAccount einloggt. Die Einladung weiterer Gruppenteilnehmer geschieht aus dem Arbeits­gruppenserver heraus. Eine zusätzliche Administration durch IT-Betreuer oder eine Genehmigung ist nicht notwendig.

Windows-Rechner können auf die Dateien auf dem Arbeitsgruppenserver über das gängige Zugriffsprotokoll WebDAV zugreifen, das vom Datei­explorer in Windows unterstützt wird. Dateien verbleiben dabei auf dem Arbeitsgruppenserver und erfordern eine stehende Internetverbindung aus dem Universitätsnetz.

Alle Daten dieses Servers liegen auf Speichern, die in den Maschinensälen des Rechenzentrums untergebracht sind. Für den Betrieb von Ressourcen in diesen Sälen wurde die Maschinensaalbenutzungsordnung verabschiedet, in der die Betriebssicherheit gemäß der Schutzziele beschrieben ist. Die Speicherung von Daten auf dem Arbeitsgruppenserver genügt damit den Anforderungen geltender Datenschutzgesetze, sofern nicht Daten mit besonders hohem Schutzbedarf abgelegt werden.

Landesweit nutzbarer Datenspeicher bwSync&Share

Der Landesdienst bwSync&Share, an dem die Universität Freiburg beteiligt ist, verfolgt einen anderen technischen Ansatz. Durch ihn wird die Arbeit außerhalb des Universitätsnetzes besser unterstützt und die Kooperation in hochschulübergreifenden Arbeitsgruppen ermöglicht. Alle Mitglieder von Hochschulen in Baden-Württemberg sind berechtigt, diesen Dienst ohne weitere Genehmigung zu nutzen, weitere Personen können durch explizite Einladungen aus bwSync&Share hinzugefügt werden.

Die Nutzung von bwSync&Share ist der von Dropbox nachgebildet. Dropbox ist populär auch im Hochschulbereich, jedoch entspricht der Einsatz nicht den Datenschutzvorgaben für baden-württembergische Universitäten. Für alle gängigen Betriebssysteme gibt es lokal installierbare Clients, die sich mit dem zentralen Speicher synchronisieren, sobald eine vertrauenswürdige Internetverbindung hergestellt ist. Jedem autorisierten Nutzer stehen in bwSync&Share bis zu 25 Gigabyte Speicher zur Verfügung.

Ausblick

Die Auswertung von Sicherheitsvorfällen innerhalb der Universität zeigt das Risiko einer lokalen Speicherung:

  • Lokale Speicherlösungen wie NAS-Geräte oder Desktop-Rechner mit zusätzlichen Festplatten stehen in Räumen mit Publikumsverkehr oder nicht nachvollziehbaren Zutrittsberechtigungen.

  • Die Betriebssysteme solcher Speicherlösungen werden nicht regelmäßig aktualisiert, was sie für Angriffe von außen zum leichten Opfer macht.

  • Die Hardware lokaler Systeme wird über die empfohlene Dauer der Hersteller hinaus verwendet. Defekte treten zur Unzeit auf und werden durch unzureichende Ad-Hoc-Maßnahmen überbrückt.

Und die Dateiablage über externe Clouddienste wirft folgende Probleme auf:

  • Die Speicherung von Daten, besonders wenn personenbezogene Informationen enthalten sind, widerspricht in der Regel der Europäischen Datenschutzverordnung (DSGVO) oder dem für Universität Freiburg anwendbaren Landesdatenschutzgesetz (LDSG).

  • Möglicherweise sind nicht alle Mitglieder einer Arbeitsgruppe beim ausgewählten Clouddienst registriert.

  • Die Lebensdauer von Clouddiensten ist nicht einschätzbar. Bei Daten, die bis zu zehn Jahren aufzuheben sind, wie die DFG es bei von ihr geförderten Projekten verlangt, kann dies zu vorher nicht abschätzbaren Problemen führen.

  • Die Attribution von Mitarbeitenden an Daten ist von außen nicht garantiert nachzuvollziehen. Das widerspricht dem Schutzziel der Authenzität.

Um Lösungen für diese Probleme zu haben, hat das Rechenzentrum die vorgestellten Speicherdienste entwickelt oder sich an landesweiten Projekten beteiligt. Die „Entscheidungshilfe zur Auswahl eines Speichersystems“ gibt eine Orientierung, welches der vorgestellten Systeme zum Bedarf passt. Eine Bewertung datenschutzrechtlicher Aspekte sollte einer Entscheidung für eine Speichervariante vorausgehen.

Jan Leendertse