Aktualisierung Reglement über den Einsatz von Informatikmitteln (REIM)

Aktualisierung Reglement über den Einsatz von Informatikmitteln (REIM)

Am 27. Oktober 2006 verabschiedete die Universitätsleitung das Reglement über den Einsatz von Informatikmitteln (REIM) sowie ergänzende Vorschriften und Merkblätter. Diese sind in Deutsch und Englisch auf den Webseiten der Zentralen Informatik und des Rechtsdiensts publiziert. Im März 2012 erfolgte die letzte Teilrevision. Per 31. Oktober 2017 wurde nun eine neue, überarbeitete Version des REIM in Kraft gesetzt. Einerseits wurde der Empfehlung der Erweiterten Universitätsleitung zum Thema Schutz vor rechtswidrigen, pornografischen, rassistischen, sexistischen oder Gewalt verherrlichenden Inhalten mit einem neuen Abschnitt im Bereich Einsatz von Informatikmitteln unter „§ 8 Bedingungen“ Rechnung getragen. Andererseits wurden zwei neuen Abschnitte betreffend Umgang mit Authentisierungsmitteln (Passwörter, Schlüssel, PINs, etc.) sowie System- und Informationszugriffen unter „§ 12 Sicherheitsvorschriften“ hinzugefügt. Bisher war der Umgang mit Authentisierungsmitteln, welche für Services der UZH verwendet werden, nicht geregelt. Werden identische Authentisierungsmittel (z.B. Mailadresse und Passwort) sowohl für UZH-Services wie für UZH-fremde Services verwendet, besteht ein erhöhtes Missbrauchsrisiko. Ein erfolgreicher Angriff auf einen UZH-fremden Service kann dazu führen, dass dessen Zugangsdaten öffentlich zugänglich werden. Beispielsweise wurden kürzlich Zugangskonten von Services wie Dropbox, LinkedIn oder Yahoo entwendet. Zum Schutz der UZH-Infrastruktur wird mit der Ergänzung die Nutzung und die Weitergabe von Authentisierungsmitteln geregelt. Ein weiterer Aspekt im Zusammenhang mit System- und Informationszugriffen ist, dass aufgrund von Fehlern in IT-Systemen (HW / SW) und an Systemkonfigurationen nicht ausgeschlossen werden kann, dass Nutzende von IT-Mitteln Zugriff auf Informationen erhalten, für welche sie an sich keine Berechtigungen haben dürften. Da bisher für solche Situationen im REIM keine Regelung bestand, hätte dies den Nutzenden zur Annahme verleiten können, dass alles was ein System seinem Benutzenden erlaubt, auch rechtens ist, und dieser auch widerrechtlich aufgerufene Informationen bearbeiten, weiterverbreiten oder löschen darf. Der neue Abschnitt schafft dazu Klarheit.

Die Entwicklungen der letzten Jahre in der Informationstechnologie beeinflusst auch die reglementarische Ebene. Verschiedene Erlasse im Bereich der Informationssicherheit und des Datenschutzes sind deshalb in Überarbeitung oder Erarbeitung. Ein einzelnes Reglement kann die vielfältigen Aspekte heute aber nicht mehr abbilden. Das Konzept des Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist der etablierte Ansatz, um die Informationssicherheit mittels Verfahren und Regeln dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Aus diesem Grund wird 2018, spätestens 2019, das REIM einer Generalrevision unterzogen und in ein ISMS integriert.

Die aktuelle Version des REIM in Deutsch kann unter dem folgenden Link abgerufen werden: https://www.uzh.ch/cmsssl/id/dam/jcr:534f506e-fcc4-43e7-be6a-a048cf358ef6/Informatik_REIM_2017-31-10_de.pdf

Die Übersetzung ins Englische erfolgt in Kürze. Sie kann, sobald publiziert, unter dem folgenden Link abgerufen werden: https://www.uzh.ch/cmsssl/id/de/dl/sicher/Vorschriften.html