Informationssicherheit
Die ETH Zürich geht mit Informationsbeständen aus Forschung, Lehre und Management so um, dass ihre Verfügbarkeit, Vertraulichkeit und Integrität stets bedarfsgerecht gewährleistet sind.
Alle Mitarbeitenden halten sich an die:
- Benutzungsordnung für Informations- und Kommunikationstechnologie (BOT),
- Weisung Informationssicherheit an der ETH Zürich, wichtig vor allem in Bezug auf die Regelungen zur Klassifizierung von Informationsbeständen, wie sie dort im Abschnitt 5 und insbesondere in den Anhängen dargelegt werden,
- IT-Richtlinien und IT-Grundschutzvorgaben, inkl. der Regelungen zur Nutzung externer Cloud-Dienste,
- Vorgaben und Weisungen des Chief Information Security Officer (CISO),
- Bestimmungen zur Datenbearbeitung, Aufbewahrung und Löschung von Informationsbeständen.
Alle Mitarbeitenden sind in ihrem Aufgabenbereich für den sorgfältigen Umgang mit Informationsbeständen, Applikationen und IT- Komponenten verantwortlich.
Pro Departement und Abteilung fungiert ein Information Security Officer (ISO) als fachliche Anlaufstelle für alle Fragen zur Informationssicherheit.
Zuständig für die ETH-Zürich-weite Koordination der Informationssicherheit ist der Chief Information Security Officer (CISO).
- Download vertical_align_bottom Benutzungsordnung für Informations- und Kommunikationstechnologie (RSETHZ 203.21, BOT)
- Download vertical_align_bottom Weisung «Informationssicherheit an der ETH Zürich» (RSETHZ 203.25)
- Download vertical_align_bottom IT-Richtlinien und IT-Grundschutzvorgaben (RSETHZ 203.23)
- Download vertical_align_bottom Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ)
- Beratung bei Cyberangriffen und Cyberbetrug
Bei Verdacht auf z.B. Phishing, Viren, Cyberbetrug, CEO-Fraud wenden Sie sich sofort an den Service Desk oder die für Sie zuständige IT-Service-Gruppe (ISG) Ihres Departements. Geben Sie Unbekannten niemals vertrauliche Informationen, keine Passwörter, kein Geld oder Finanzdaten (auch nicht in Form von Onlinegeschenkkarten) und keinen Zugang zu sensitiven Räumlichkeiten. - E-Mail-Sicherheit
Prüfen Sie Absender von E-Mails und Links, z.B. indem Sie mit der Maus darüberfahren, bevor Sie Links anklicken. Öffnen Sie keine Anhänge von unbekannten Absender:innen. Nutzen Sie möglichst PKI-Zertifikate für E-Mails (Beantragung im Self-service, Ihr zuständiger IT-Support hilft weiter). - Klassifizierung
Kennzeichnen Sie die Vertraulichkeit von Dokumenten, Datensammlungen etc. bereits bei deren Erstellung. Sie legen so fest, wie stark das jeweilige Dokument zu schützen ist. Bei Unklarheiten kontaktieren Sie den oder die ISO. Es gibt vier Klassifizierungsstufen: ÖFFENTLICH, INTERN, VERTRAULICH und STRENG VERTRAULICH. Dokumente, die VERTRAULICH oder STRENG VERTRAULICH sind, müssen als solche gekennzeichnet werden. Weitere Informationen finden Sie in der Weisung Informationssicherheit. - Cloud-Dienste
Lagern Sie vertrauliche Daten der ETH Zürich (z.B. Forschungsdaten, die einer Geheimhaltung unterliegen, Finanzdaten, personenbezogene Mitarbeitenden- oder Studierendendaten, Gutachten etc.) nur in entsprechend geprüfte und dafür freigegebene Cloud-Dienste, oder nutzen Sie die ETH Zürich polybox. Weitere Informationen finden Sie in den IT-Richtlinien und
IT-Grundschutzvorgaben. - Daten auf mobilen Geräten
Smartphones, Notebooks, Tablets etc. können abgehört werden oder verloren gehen und eignen sich nicht ohne Weiteres für die Speicherung vertraulicher Daten. Mobile Geräte müssen mindestens mit einem Passwort oder einer PIN geschützt sein. Alle geschäftlichen Daten sollten nach aktuellem Stand der Technik sicher verschlüsselt werden. - Datensicherung
Stellen Sie sicher, dass die Betreiber Ihrer Datenspeicher die Daten regelmässig sichern und dass Sie die Daten aus dem Back-up wiederherstellen können. - Aktuelle Software
Sorgen Sie dafür, dass auf allen Ihren Systemen stets die aktuellen Betriebssystem- und Software-versionen installiert sind und alle Security Patches unmittelbar durch einen Neustart installiert werden. Lassen Sie auf Ihren Systemen ein stets aktuelles Virenschutzprogramm laufen. - Clear Desk und Clear Screen
Schützen Sie Ihre Daten vor Einsicht durch Unbefugte, indem Sie die Bildschirmsperre aktivieren, wenn Sie den Arbeitsplatz verlassen. Verwenden Sie abschliessbare Schränke für die Aufbewahrung von vertraulichen Unterlagen. - Passwörter
Schützen Sie alle Ihre Benutzerkonten mit sicheren und unterschiedlichen Passwörtern. Ändern Sie Ihre Passwörter, wenn sie von anderen eingesehen wurden oder Sie den Verdacht haben, dass sie gestohlen wurden. Geben Sie Passwörter niemals preis, und speichern Sie diese ausschliesslich sicher verschlüsselt, z.B. in einem Passwort-Manager.