Mehr Sicherheit für die IT-Infrastruktur der ETH
Um die IT-Sicherheitsmassnahmen an der ETH zu verbessern, sollen in Zukunft IT-Geräte, die ans ETH-Netzwerk angeschlossen sind, regelmässig auf technische Schwachstellen überprüft werden. Dies steigert die Sicherheit im ETH-Netzwerk und trägt zum Schutz der Daten aller ETH-Angehörigen bei.
Es ist schnell passiert, eine auf den ersten Blick harmlos aussehende Mail, man drückt auf den Link darin, und schon installiert sich im Hintergrund eine Ransomware auf dem Computer, die die Daten des Computers oder im schlimmsten Fall grosser Teile der IT-Geräte und Speichersysteme verschlüsselt. Dahinter stehen Cyberkriminelle, die damit die Einzelperson oder die entsprechende Organisation zu erpressen versuchen, und gegen hohe Geldsummen die angeblich passende Entschlüsselungssoftware anbieten. Im Normalfall können über Back-Ups und Sicherungstools die Daten wieder gerettet werden, aber dafür müssen sie zuvor entsprechend gesichert worden sein.
Wenn der eigene Computer zum Risiko wird
Wenn der eigene Computer auf dem neuesten Stand der Virenschutz-Software ist und alle Updates und Patches der Apps und des Betriebssystems aktuell sind, dann sind die Chancen gut, dass gängige Ransomware-Angriffe, und natürlich andere Schadsoftware, erkannt werden und sich gar nicht erst installieren können.
Ist das aber nicht der Fall, sind nicht nur die eigenen Daten in Gefahr, sondern auch die aller anderen, die in der gleichen Netzwerkzone arbeiten. Ein Rechner, der mit Ransomware oder einer anderen Malware infiziert und im ETH-Netz ist (sei es direkt oder via VPN (Virtual Private Network)), ist eine ernsthafte Gefahr für andere IT-Geräte und die Daten der ETH-Angehörigen. Dies ist unabhängig davon, ob es sich um ein privates IT-Gerät wie Laptop, Handy oder Tablet handelt oder eines, das der ETH gehört.
Wie können solche Schwachstellen in der IT-Infrastruktur erkannt werden, bevor Angreifer*innen diese grossflächig ausnutzen? Nur wenn diese potenziellen Einfallstore für Attacken schnell identifiziert und geschlossen werden können, kann das Risiko, Opfer einer Cyberattacke zu werden, deutlich verringert werden.
Wie soll die IT-Infrastruktur an der ETH besser geschützt werden?
Um Schwachstellen durch nicht gepatchte IT-Geräte im ETH-Netzwerk zu erkennen, und mit dem Stand der Technik und den Anforderungen der IT-Sicherheit auf der Höhe zu bleiben, wird an der ETH nun untersucht, wie ein technisches System zum Auffinden solcher Schwachstellen eingeführt werden kann.
Um dies rechtlich entsprechend abzustützen, wurde die «Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich» (BOT) einer Teilrevision unterzogen. Sie ist seit 1. Juni 2021 in Kraft und enthält Regelungen, die es möglich machen, den technischen Stand der IT-Infrastruktur besser auf Schwachstellen zu überprüfen (Abschnitt 6, Art. 18-20bis BOT).
Werden solche Schwachstellen identifiziert, können die zuständigen IT-Betreiber (z.B. die IT-Supportgruppe des Departements) oder die IT-Security Officer der Informatikdienste in akuten Bedrohungslagen die sofortige Sicherheitsaktualisierung von IT-Systemen im Auftrag des Chief Information Security Officers (CISO) anordnen. Dies ist in der BOT ausdrücklich so geregelt (Art. 20bis Abs. 3 BOT), um die IT-Infrastruktur an der ETH Zürich vor gefährlichen Angriffen zu schützen.
Kontrolliert die ETH also zukünftig, was ich auf meinem Computer tue?
Nein. Schwachstellenmanagement hat nichts mit einer Einsicht in Ihre privaten Daten oder der Kontrolle Ihrer Arbeitsaktivitäten zu tun. Es wird ausschliesslich der technische Zustand der IT-Geräte überprüft, die im ETH-Netzwerk unterwegs sind.
Wie kann in Zukunft überprüft werden, ob ein IT-Gerät mit Schwachstellen ans ETH-System angeschlossen wird?
Gemäss der neuen Bestimmung, Anhang BOT Ziffer 3 Abs. 1bis, dürfen die Informatikdienste permanent nicht personenbezogene (anonyme, pseudonyme) Auswertungen zur Überprüfung des technischen Zustands der IKT-Mittel im Auftrag des CISO vornehmen (z.B. Patch-Stände, Virenschutzmeldungen, Schwachstellenscans) und zur Gewährleistung der IKT-Sicherheit Randdaten über deren Nutzung aufzeichnen.
Muss ich sonst noch etwas wissen?
Die revidierte BOT gilt nicht nur die Nutzung der gesamten ETH-eigenen IT-Infrastruktur und alle -Geräte, sondern auch für ausgelagerte Dienstleistungen, z.B. Cloud-Lösungen (Art. 3 BOT). Ausserdem für private IT-Geräte jedweder Art, die im Datennetz der ETH genutzt werden.
Tipps, um Ihre Daten zu schützen
- Installieren Sie auf allen Geräten regelmässig die Aktualisierungen (Updates) der Firmware, des Betriebssystems und aller installierten Anwendungen und Apps immer möglichst sofort.
- Nutzen Sie ein Virenschutzprogramm, und achten Sie darauf, dass das Programm regelmässig, mindestens stündlich, aktualisiert wird.
- Gehen Sie sicher, dass für Ihre Daten immer Backups ausgeführt werden, die möglichst regelmässig durchgeführt, sowie an unterschiedlichen Orten abgelegt sind. Prüfen Sie sporadisch, ob Sie die Daten aus dem Backup wiederherstellen und nutzen können. Nutzen Sie möglichst einen professionell verwalteten Backup-Service (von den Informatikdiensten oder Ihrer Informatiksupportgruppe). Dies ist die beste und zuverlässigste Art und Weise, um Ihre Daten zu sichern.
- Nutzen Sie sichere Passwörter und ändern sie diese sofort (auf einem sicheren Computer), wenn sie den Verdacht haben, Schadsoftware auf Ihrem Computer zu haben! Nutzen sie niemals dieselben Passwörter!