Die Rahmenbedingungen für die IT-Sicherheit

Die Maßnahmen der IT-Sicherheit an der Universität Graz bewegen sich zwischen einem starken Bekenntnis zur Serviceorientiertheit auf der einen Seite und den sicherheitstechnischen, finanziellen und rechtlichen Rahmenbedingungen auf der anderen Seite.

Bekenntnis zur Serviceorientiertheit

Erfolge in Lehre und Forschung sind nicht zuletzt auch ein Resultat einer flexiblen Arbeitsumgebung mit vielen Freiheiten, wie sie von den Bediensteten und Studierenden der Universität Graz vorgefunden wird.

Einschränkende Rahmenbedingungen

Ressourcenknappheit und rechtliche Rahmenbedingungen bilden die Einschränkungen auf der anderen Seite. Sicherheitstechnische Rahmenbedingungen sind meist unbequem (z.B. müssen alle netzwerkfähigen Geräte durch ausreichend sichere Passwörter geschützt sein), aber notwendig. Sicherheitstechnische Maßnahmen werden zum Teil sogar vom Gesetzgeber vorgeschrieben.

Beschränkte Ressourcen

Da für IT-sicherheitstechnische Maßnahmen nur wenig Budget zur Verfügung steht, müssen viele IT-sicherheitstechnische Maßnahmen stringenter ausfallen, die man mit mehr Geld servicefreundlicher gestalten könnte. Um Geld sparen zu können setzen wir auch Open Source und Free Ware Lösungen ein. Diese Lösungen sind oftmals von vergleichbarer Qualität zu kommerziellen Lösungen, sind aber mit höherem personellem Aufwand verbunden.

Rechtliche Rahmenbedingungen

Die wichtigsten Gesetzesgruppen für den Bereich der IT-Sicherheit sollen im Folgenden kurz und einfach erklärt werden.

• UrhG - Das Urheberrecht: Kommerzielle Software und Multimediainhalte (Filme, Musikstücke, eBooks, etc.) sind nach Österreichischem Recht durch das Urheberrecht geschützt. Die Installation nicht lizensierter Software auf einem Personalcomputer ist ein Straftatbestand. Ebenso verhält es sich mit dem Speichern und der Weitergabe illegal erworbener Multimediainhalte. Wir als Universität müssen natürlich, wie jeder andere Staatsbürger auch, bei einer Anfrage eines Gerichts Rechtshilfe leisten und werden daher auch jedem Österreichischen Gericht die entsprechenden Daten zur Beweissicherung übergeben. Dies muss die Universität insbesondere auch wegen dem Verbandsverantwortlichkeitsgesetz (manchmal auch Verbandshaftungsgesetz) tun. Dieses Gesetz heißt im vollen Wortlaut
• VbVG - Bundesgesetz über die Verantwortlichkeit von Verbänden für Straftaten: Es regelt die Verantwortlichkeit von Verbänden für die Straftaten ihrer Verbandsmitglieder. Können bei einem strafbaren Tatbestand die Schuldigen im Einzelnen nicht festgemacht werden, so haftet nach dem VbVG der Verband für die Straftaten seiner Verbandsmitglieder.
• TKG - Telekommunikationsgesetz: Dieses Gesetz regelt im Wesentlichen alle kritischen Belange aus den Bereichen Telefonie und dem elektronischen Briefverkehr. Als Universität sind wir zwar noch nicht von den gesetzlichen Regelungen zur Vorratsdatenspeicherung (Data Retention Law) betroffen, die es bereits als EU-Recht und auch im nationalen Recht gibt, aber auch das kann in Zukunft der Fall werden. Diese Erweiterung des TKG regelt die Speicherung von Verbindungsdaten auf einen bestimmten Zeitraum, damit die Exekutive bei einem vorgefallenen Delikt auf Daten zur Beweissicherung zugreifen kann.
• DSG – Datenschutzgesetz: Dieses regelt im Wesentlichen den Umgang mit Daten. Es ist ein sehr umfangreiches Gesetz im Verfassungsrang und sichert vor allem die persönlichen Rechte der Bürger.
• Pornographiegesetz: Viele Inhalte des Internets enthalten pornographische Darstellungen, deren Import, Besitz und Weitergabe im Pornographiegesetz geregelt sind.
• IT-Security Policy der Universität Graz: Die Vorgaben in der IT-Security Policy sind für alle Studierenden, Bediensteten, Kooperationspartner und Dienstleister der Universität Graz bindend.