Informatikdienste Direktion ETH Zürich Dr. Rui Brandao Head of IT Services STB J 19 Stampfenbachstrasse 69 8092 Zurich, Switzerland Phone +41 44 632 21 50 [email protected] www.id.ethz.ch

IT Best Practice Rules

Versionskontrolle Version

Historie / Status

Datum

Autor/in

1.0

Initial Version

27.08.2013

Autorengemeinschaft Informatikdienste

1.1

New Content Version

06.09.2016

Dieter Gut, Informatikdienste

1.2

Minor adjustments

17.01.2017

Dieter Gut, Informatikdienste

Informatikdienste

© 2017 Informatikdienste der ETH Zürich

Seite 1 / 6

IT Best Practice Rules

Diese Regeln richten sich an: Betreiber/Nutzer von selbstadministrierten mobilen Geräten, welche der ETH gehören und/oder direkt mit dem ETH-Netz verbunden sind bzw. mit Daten der ETH synchronisiert werden. Dies beinhaltet alle Smartphones und Tablets/Pads. Betreiber von «BYOD» (Bring Your Own Device), also selbst administrierten Systemen welche direkt oder indirekt mit dem ETH-Netz verbunden sind. Dies beinhaltet private PC’s mit Zugriff auf ETH-Daten (VPN). Betreiber von Serversystemen wie Webserver, Datenbanksysteme und Betreiber von IT- Infrastrukturen für Benutzergruppen.

Die Symbole helfen Ihnen, die für Sie relevanten Regeln zu erkennen. Diese Regeln werden aus der Benutzungsordnung für Telematik (BOT, RSETHZ 203.21) referenziert. Es handelt sich dabei um Empfehlungen, die jedoch nur mit guten Gründen nicht beachtet werden sollten. Bei Vorfällen wird deren Einhaltung überprüft.

Informatikdienste

© 2017 Informatikdienste der ETH Zürich

Seite 2 / 6

IT Best Practice Rules

1. Installieren Sie aktuelle Firmware und ein aktuelles Betriebssystem. Installieren Sie keine Betriebssysteme oder Applikationen, für welche die Hersteller keine Unterstützung (Updates) mehr liefern. Ausnahmen müssen in einem besonders geschützten Netzwerk betrieben werden. Installieren Sie prinzipiell nur Software aus vertrauenswürdigen Quellen.

Prüfen Sie regelmässig, ob der Hersteller Ihres Smartphones auf seiner Webseite Korrekturen oder neue Releases für Ihr Gerät anbietet. Viele Geräte sind beim Kauf bereits nicht mehr auf dem neuesten Stand.

2. Halten Sie Ihr Betriebssystem und Software aktuell. Nutzen Sie, wenn möglich, Update-Automatismen oder legen Sie regelmässige Wartungsfenster zur Systempflege fest. Sie sind gemäss Rechtserlass RSETHZ 203.23 zur zeitnahen Aktualisierung verpflichtet. Vorsicht: Software «out of the box» ist oft bereits stark veraltet und muss nach der Installation zuerst auf den neuesten Stand gebracht werden.

3. Stellen Sie sicher, dass auf Ihrem System nur sichere Passwörter verwendet werden. Stellen Sie sicher, dass ausnahmslos alle Accounts mit einem sicheren Passwort, einer nicht trivialien PIN oder ähnlichen Mechanismen geschützt sind. Tipps für sichere Passwörter stehen in den SafeIT-Hausregeln: http://www.safeit.ethz.ch/. Die aktuell gültigen technischen Passwortvorgaben für die ETH Passwörter bei der Änderung des NETHZ Passworts angezeigt. Für die Zugänge zu ETH fremden Systemen, wie z.B. Online-Shops, Lieferantenzugänge, private Accounts, e-Banking, soziale Netzwerke (Facebook, LinkedIn, …), private E-Mail Accounts, etc. dürfen nicht dieselben Passwörter verwendet werden wie für ETH-Systeme. Bestehen gleich lautende Passwörter entgegen dieser Regel müssen die Passwörter der ETH-Systeme umgehend geändert werden.

Informatikdienste

© 2017 Informatikdienste der ETH Zürich

Seite 3 / 6

IT Best Practice Rules

Es ist empfohlen, Passwort-Policies in Kraft zu setzen und die Passwortqualität zu erzwingen.

4. Sichern Sie die Nutzerdaten und Konfigurationen Ihres Systems regelmässig und prüfen Sie gelegentlich die Wiederherstellbarkeit von Backups.

5. Systeme dürfen nicht ohne Malwareschutz betrieben werden. Sie könnten sonst Ihr eigenes oder andere Systeme gefährden und ungewollt zur Verbreitung von schädlicher Software und zur Cyberkriminalität beitragen. Schutzprogramme müssen zeitnah aktualisiert werden.

Kostenlose Schutzprogramme sind auch für Smartphones verfügbar und empfohlen (Beispiele: «Avira Free Android Security», «Lookout» für Android und Apple iPhones). Diese erwähnten Produkte scannen auch regelmässig alle installierten Apps und melden zuverlässig Sicherheitsprobleme.

Entstehen auf Servern durch den Einsatz eines Virenschutzes funktionelle oder dynamische Probleme, können diese durch die richtige Konfiguration des Schutzes eliminiert werden.

6. Verhindern Sie die Benutzung Ihrer Systeme durch Fremde, Freunde oder Angehörige und geben Sie niemals Ihre Credentials (Accounts, Passwörter, Codes, PINs) weiter.

Informatikdienste

© 2017 Informatikdienste der ETH Zürich

Seite 4 / 6

IT Best Practice Rules

7. Verschlüsseln Sie mobile Geräte wie Laptops, Tablets und Pads, Smartphones oder Memory Sticks vollständig, sofern technisch möglich. So können Fremde bei einem Verlust des Gerätes nicht so einfach auf Ihre persönlichen Daten oder die Daten der ETH zugreifen. Klassifizierte bzw. sensitive Daten gehören nicht auf mobile Geräte.

8. Entfernen Sie Ihr System bei Verdacht auf Kompromittierung sofort vom ETH-Netz und/oder Internet. Schliessen Sie es erst wieder an, wenn Sie sichergestellt haben, dass Ihr System (wieder) in Ordnung ist und keine Gefahr für andere darstellt.

9. Scannen Sie Ihr System regelmässig auf vorhandene oder neu entstandene Schwachstellen und beheben Sie diese. Benutzen Sie dafür nur Software aus vertrauenswürdigen Quellen (Empfehlung: «Personal Software Inspector» von Flexera Software).

10. Wenn Sie einen neuen Server installieren wollen, legen Sie vorher folgendes fest: - Welche Daten kommen auf den Server? - Welche Sensivität haben die Daten? - Von wem und von wo aus sollen sie einsehbar sein? Lassen Sie sich von [email protected] beraten, wo das System im Netzwerk platziert werden soll. Dokumentieren Sie Ihre Risikoerwägungen.

11. Trennen Sie, wenn möglich, exponierte Systeme von Systemen mit sensitiven Daten (z.B. Webserver von Servern mit Enduser-Daten). Wird ein aus dem Internet sichtbarer Server kompromittiert, sind die eigentlichen Daten auf einem besser geschützten System immer noch sicher.

Informatikdienste

© 2017 Informatikdienste der ETH Zürich

Seite 5 / 6

IT Best Practice Rules

12. Entfernen oder sperren Sie nicht benötigte Dienste und Applikationen vollständig. Ein Webserver gehört z.B. nur auf Systeme, die Web-Dienstleistungen anbieten.

13. Schränken Sie die Zugriffsrechte auf Verzeichnisse mit Nutzdaten und auf die Nutzdaten selber soweit wie möglich ein. Überlegen Sie genau, wer ändern oder lesen muss und entziehen Sie allen anderen diese Rechte.

14. Benutzen Sie produktive Serversysteme nur für den vorgesehenen Zweck. Test und Surfsessions gehören nicht auf produktive Serversysteme.

15. Für administrative Fernzugriffe dürfen nur sichere Quellsysteme benutzt werden. Verboten ist der Zugriff von fremdadministrierten Servern (z.B. Internetcafé) oder mobilen Systemen (Handy, Tablet, …) aus, weil Keylogger installiert sein können oder weil die Verbindung nicht abhörsicher ist. Benutzen Sie für administrative Zugriffe ausschliesslich verschlüsselte Verbindungen.

16. Überprüfen Sie die Vergabe von Zugriffsrechten periodisch und entfernen Sie die Rechte von Personen, die ausgetreten sind oder andere Aufgaben übernommen haben. Es ist empfohlen, diese Überprüfungen zu dokumentieren.

17. Bei WLAN-Verbindungen auf mobilen Geräten, z.B. mit EDUROAM, müssen die Zertifikate importiert und die Überprüfung der Zertifikate aktiviert sein. Damit wird verhindert, dass das mobile Gerät auf einen gefälschten, bösartigen Accesspoint mit dem gleichen Namen hereinfällt und Datenverbindungen von Dritten mitgelesen werden können.

Informatikdienste

© 2017 Informatikdienste der ETH Zürich

Seite 6 / 6