Die Security Policy der TU Wien

Aurea¹ prima sata est² aetas, quae vindice³ nullo,
sponte sua⁴, sine lege fidem rectumque colebat.

Das goldene, akademische Zeitalter des Internet ist endgültig vorbei. Mit Wehmut mag man sich die Zeiten zurück wünschen, in denen Recherchen Ergebnisse brachten, Unstimmigkeiten ohne Klagedrohungen gelöst wurden und Missbrauch nur aus der Literatur bekannt war. Die explodierende Popularität des Internet konfrontiert uns mit vollkommen neuen Sicherheitsproblemen und Streitfällen, für die Lösungen oft nur mehr von Spezialisten unter Einsatz neuester Technologien gefunden werden können. Die TU Wien hat schnell auf die neuen Begebenheiten in unserem, ehernen Zeitalter reagiert. Zuerst mit der Bestellung eines Beauftragten für Netz- und Systemsicherheit am ZID, mit vermehrtem Einsatz von Firewalls, Verschlüsselung und verwandter Technologien. Einen weiteren Schritt in der Schaffung einer Sicherheitsinfrastruktur für die TU Wien setzt jetzt der Rektor mit dem Erlass der Security Policy.

poena metusque aberant, nec verba minantia⁵ fixo⁶
aere⁷ legebantur, ...

Computersicherheit ist heutzutage ein globales Anliegen. Gerade von einer Technischen Universität werden technische Exzellenz und korrektes Verhalten bei der Verwendung elektronischer Medien erwartet. Die Erfahrung der letzten Jahre hat gezeigt, dass selbst bei bestem Willen aller Beteiligten gewisse Fragestellungen zu komplex sind, um sie "aus dem Bauch heraus" zu entscheiden. Außerdem sind solche Entscheidungsfindungsprozesse langwierig und ineffizient. Um hohes Niveau zu garantieren, brauchen wir eine allgemein anerkannte Rechtsgrundlage. Die Security Policy legt daher fest, welcher Umgangston bei der Benützung von Netzen akzeptabel ist (Netiquette), welche Verhaltensweisen nicht toleriert werden (Hackerattacken etc.) und welche Mindestsicherheitsstandards für den Betrieb eines Computers im Netz eingehalten werden müssen. Allgemeiner gesagt, werden die Rechte und Pflichten von Administratoren und Benutzern von Computern und Netzen der TU Wien definiert. Weiters wird festgeschrieben, wer Hilfe anbietet (am ZID) und wie Regelverstöße geahndet werden. Die Herausforderung bestand dabei darin, einfache Verständlichkeit und Durchsetzbarkeit zu garantieren und nicht durch übertriebenen Schutz die Produktivität zu vermindern. Der Leser, dem die Security Policy zu wenig technisch erscheint, möge diese Motivation berücksichtigen und bedenken, dass vorgesehen ist, regelmäßig, im Zweijahresabstand, organisatorische und technische Entwicklungen in eine neue Version einzuarbeiten.  Die Security Policy ist nur ein Teil der Sicherheitsinfrastruktur der TU Wien. Der ZID gibt mit dem Dokument "Die Security Policy der TU Wien - HOWTO? Kontaktadressen und Erläuterungen." einen laufend gewarteten Beitext zur Anwendung der Security Policy heraus. Weitere vom ZID erstellte Texte behandeln die Themen "Hacker" und "Computerviren". Alle Dokumente sind unter:

http://www.zid.tuwien.ac.at/security/policies/

in den Formaten HTML und PDF abrufbar.

... nec supplex⁸ turba timebat
iudicis ora⁹ sui, sed erant sine vindice tuti.¹⁰

Die Wiener Volksweisheit "wir werden kan Richter brauchen" verliert in Zeiten globaler Vernetzung zunehmend an Gültigkeit. Unterschiedliche Rechtsauffassungen über den korrekten Umgang mit Computer und Netzen prallen aufeinander. Es ist auf jeden Fall nötig, den eigenen Standpunkt klar darzustellen und bei Bedarf darauf zu verweisen. Probleme werden im besten Fall institutsintern gelöst. Falls das nicht möglich ist, sieht die Security Policy den Beauftragten für Netz- und Systemsicherheit am ZID als zentrale Anlaufstelle und fachlich kompetente Entscheidungsgewalt in erster Instanz vor. Sollte auch seine Entscheidung für die streitenden Parteien nicht akzeptabel sein, entscheidet der Leiter des ZID. Dem aufmerksamen Leser der Security Policy wird auffallen, dass als Strafmaßnahme bei Verstößen vor allem zeitlich begrenzter Entzug von Zugangsberechtigungen vorgesehen ist, ohne jedoch dessen Ausmaß festzulegen. Wir glauben, dass diese Entscheidung am besten auf Institutsebene getroffen werden kann. Sollte sich jemand ungerecht behandelt fühlen, kann er natürlich die nächsthöhere Instanz damit befassen.

nondum caesa¹¹ suis, peregrinum ut viseret¹² orbem,
montibus in liquidas¹³ pinus¹⁴ descenderat¹⁵ undas,
nullaque mortales¹⁶ praeter sua litora norant.¹⁷

Wo ist die Security Policy gültig? Wer ist betroffen?

Die Security Policy ist verbindlich für alle Angehörigen der Technischen Universität Wien sowie Personen, denen durch Vereinbarungen die Benutzung von Computern und Netzen der Technischen Universität Wien möglich ist. Administratoren, die Zugangsberechtigungen vergeben, sind angehalten, neue Benutzer auf die Security Policy hinzuweisen. Gewisse Services der TU Wien sind über das Internet weltweit verfügbar. Auch externe Benutzer solcher Services müssen sich an die Security Policy halten. Es wird daher auch eine englischsprachige Version geben.

nondum praecipites¹⁸ cingebant¹⁹ oppida fossae,²⁰
non tuba directi,²¹ non aeris cornua flexi²²,
non galeae,²³ non ensis²⁴

Es ist sicherlich übertrieben zu behaupten, im Internet herrsche Krieg. Trotzdem wird sich die TU Wien in Zukunft noch mehr mit Sicherheitsaspekten beim Betrieb von Computern und Netzen beschäftigen müssen. Die Angriffe werden häufiger, deren Tragweite immer größer (siehe Virenproblematik). Nur eine organisatorische Aufrüstung wird es der TU Wien erlauben, diese Anforderungen zu meistern.

... sine militis usu²⁵
mollia²⁶ securae²⁷ peragebant²⁸ otia²⁹ gentes.

Von der verbesserten Sicherheitsinfrastruktur und im Besonderen von den in der Security Policy definierten Kommunikationskanälen erwarten wir uns, dass das Fachwissen des ZID von den Angehörigen der TU Wien verstärkt in Anspruch genommen wird und ihnen damit mehr Zeit für ihre eigentlichen Aufgaben bleibt.

Literatur

1 aureus 3: golden
2 sero 3, sevi satus: pass.: entstehen;
3 vindex, icis m.: Richter;
4 sponte sua : freiwillig, von selbst;
5 minor 1: drohen;
6 figo 3 fixi , fixus : anschlagen, aufstellen;
7 aes , aeris n.: (eherne) Gesetzestafeln;
8 supplex , icis : flehend, bittend;
9 os , oris n.: Mund, Antlitz (pars pro toto);
10 tutus 3: sicher;
11 caedo 3 cecidi , caesus : fällen;
12 viso 3 visi , visus : aufsuchen;
13 liquidus 3: klar;
14 pinus , i fem . : Fichte
15 descendo 3 -scendi , -scensus : herabsteigen;
16 mortalis , is m.: Mensch;
17 nosco 3 novi , notus : kennen lernen (Perf. novi : ich habe kennen gelernt = ich kenne) - no(ve)rant ;
18 praeceps , itis : steil;
19 cingo 3 cinxi , cinctus : umgeben;
20 fossa , ae : Graben;
21 directus 3: gerade;
22 flexus 3: gebogen;
23 galea , ae : Helm;
24 ensis , is m.: Schwert;
25 usus , us m.: Gebrauch, Verwendung;
26 mollis , e : angenehm;
27 securus 3: sicher;
28 perago 3 -egi , -actus : verbringen;
29 otium , i : Ruhe, Friede.

Übersetzung von Johann Heinrich Voß (1798):