IT-Nutzungsrichtlinie

  1. Zweck
  1. Zur Erreichung der Ziele und zur Erfüllung der Aufgaben der „mdw - Universität für Musik und darstellende Kunst Wien“ (im Folgenden „mdw“) ist der Einsatz von Informations- und Kommunikationstechnologien (IT) unerlässlich.
  2. Die IT-Nutzungsrichtlinie regelt die Bedingungen für die Nutzung der dafür von der mdw durch den Zentralen Informatikdienst (ZID) zur Verfügung gestellten IT-Infrastruktur.

 

  1. Geltungsbereich
  1. Die IT-Nutzungsrichtlinie gilt für alle Benutzer*innen der von der mdw zur Verfügung gestellten IT-Infrastruktur. Benutzer*innen sind entweder Angehörige der mdw laut § 94 Universitätsgesetz 2002 (UG), oder Personen, die durch zugewiesene Accounts die Berechtigung zur Nutzung von IT-Services der mdw erhalten haben, oder Personen, die öffentlich zugängliche IT-Infrastruktur der mdw nutzen.
  2. Die IT-Nutzungsrichtlinie ersetzt die „Benutzungsordnung des Zentralen Informatikdienstes“ vom 17.05.2001.
  3. Neben dieser IT-Nutzungsrichtlinie gelten spezielle Nutzungsrichtlinien für einzelne IT-Services. Bei widersprüchlichen Regelungen gehen die speziellen Nutzungsrichtlinien dieser IT-Nutzungsrichtlinie vor.

 

  1. Begriffsbestimmungen
  1. Die IT-Infrastruktur umfasst die zentrale Infrastruktur, IT-Endgeräte, mobile Datenträger, IT-Services und Standardsoftware (Textverarbeitung, Tabellenkalkulation etc.).
  2. Die zentrale IT-Infrastruktur umfasst die Serverräume zur sicheren Unterbringung von Netzwerk-, Server- und Speichersystemen, die Netzwerkverkabelung und LAN-Verteiler, das gesamte Netzwerk der mdw (drahtgebunden und wireless) inklusive Netzwerkkomponenten, die Telekommunikationsanlagen, alle zentralen Speicher- und Serversysteme, die PC-Räume, Infoterminals und Infoscreens, die vom ZID bereit gestellten Multifunktionskopierer und Bargeldaufladestationen sowie die vom AV-Zentrum betreuten Tonstudios und bereitgestellten AV-Anlagen.
  3. IT-Endgeräte sind PCs (Desktops, Notebooks, Tablets etc.), mobile Kleingeräte (Smartphones, Mobiltelefone, Navigationsgeräte, Datenerfassungsgeräte etc.), Drucker, Scanner, Kopierer, Faxgeräte, Multifunktionsgeräte (faxen, scannen, drucken, kopieren), Telefone sowie sonstige IT-Peripheriegeräte. 
  4. Mobile Datenträger sind einfach transportable Speichermedien wie Speichersticks, Speicherkarten aller Art (auch in Multimedia-Abspielgeräten, in Kameras etc.), mobile Festplatten, CDs, DVDs, etc.
  5. IT-Services sind alle auf Software (Systemsoftware, Dienstprogramme, Datenbanken, Anwendungssoftware) beruhenden Services des ZIDs wie 
  • Basisdienste zur Nutzung der zentralen IT-Infrastruktur (DHCP, DNS, WLAN, VPN, File Services, Print Services, LDAP, E-Mail, WWW etc.),
  • Informations- und Anwendungssysteme (Campus Management, ERP, Dokumenten Management, Digital Asset Management, Software Asset Management, eLearning etc.) sowie
  • mdw-spezifische Anwendungen

und alle weiteren Services zur Nutzung der IT-Infrastruktur (mdwCard, Geräteverleih etc.).

 

  1. Grundsätze der Nutzung
  1. Die IT-Infrastruktur der mdw dient primär der Erfüllung der universitären Aufgaben im Sinne der §§ 1-3 UG. Bei der Nutzung sind die Grundsätze der Wirtschaftlichkeit, Sparsamkeit und Zweckmäßigkeit zu beachten, um die Belastung der IT-Infrastruktur zu minimieren. Eine private Nutzung oder eine Verwendung für private kommerzielle oder gewerbliche Zwecke sind, mit Ausnahme der unter 5.1 genannten Regelungen, nicht gestattet.
  2. Die Benutzer*innen haben dafür Sorge zu tragen, dass die ihnen zur Verfügung gestellte IT-Infrastruktur nicht von Dritten in unzulässiger Weise verwendet wird.
  3. Die Nutzung der IT-Infrastruktur zur Übertragung, Verarbeitung, Speicherung und Veröffentlichung von Daten und Programmen, welche
    1. gegen bestehende Gesetze verstößt oder die öffentliche Ordnung und Sicherheit oder die Sittlichkeit gefährdet,
    2. Schutzrechte anderer (z.B. Datenschutz, Urheberrecht, Lizenzen etc.) verletzt,
    3. andere Benutzer*innen behindert, belästigt oder verängstigt (z.B. SPAM, Kettenbriefe etc.),
    4. schädliche Komponenten (z.B. Viren, Trojaner, Spyware etc.) enthält,
    5. zur Erlangung eines unautorisierten Zugriffs dient (z.B. Portscan, Passwort-Scan, Phishing, Ausnützung von Systemschwächen etc.),
    6. eine Beeinträchtigung der IT-Services beabsichtigt (z.B. bewusstes Herbeiführen eines Systemabsturzes, DoS Attacken etc.) oder
    7. die Integrität der Daten gefährdet (z.B. durch Manipulation)

ist unzulässig.

  1. Bei Verdacht auf missbräuchliche Verwendung der IT-Infrastruktur ist der ZID umgehend zu verständigen.
  2. Die Benutzer*innen sind verpflichtet, alle einschlägigen Nutzungsregelungen zu beachten und den Anordnungen des autorisierten ZID-Personals Folge zu leisten.
  3. Mitarbeiter*innen des ZID ist in dringenden Fällen zur Erfüllung ihrer Aufgaben der Zutritt zu Räumlichkeiten der mdw zu gewähren.

 

  1. Private Nutzung
  1. Die private Nutzung des Internetzugangs der mdw, der persönlichen mdw-Mailbox und der IT-Endgeräte der mdw durch die Benutzer*innen wird von der mdw bis auf Widerruf geduldet, sofern das Ausmaß geringfügig ist, dadurch die Erfüllung dienstlicher Pflichten nicht behindert wird, der Ressourcenbedarf gering ist, keine strafrechtlichen Bestimmungen verletzt werden und nicht die materiellen und immateriellen Interessen der mdw beeinträchtigt werden. Allenfalls entstandene private Daten (Dateien, E-Mails etc.) sind in als "privat" gekennzeichneten Ordnern abzulegen.
  2. Die Benutzer*innen sind für die Sicherung privater Inhalte selbst verantwortlich. Die mdw übernimmt keine Haftung für den Verlust von privaten Daten.

 

  1. Accounts - Berechtigungen
  1. Accounts ermöglichen einen authentifizierten Zugriff auf Teile der IT-Infrastruktur und bestehen aus einem Benutzer*innennamen, Authentifizierungsattributen (Kennwörter, PINs, TANs etc.) und Berechtigungen (IT-Service, Rolle). Der Benutzer*innenname dient als Schlüssel zur eindeutigen Identifizierung einer Person. 
  2. Teilbereiche der IT-Infrastruktur sind nur für Benutzer*innen mit entsprechenden Accounts nutzbar.
  3. Die Weitergabe von Kennwörtern an Dritte ist nicht gestattet. Die Benutzer*innen sind für den Schutz ihrer Accounts verantwortlich.
  4. Die von den Benutzer*innen selbst gewählten Kennwörter müssen mindestens 10 Zeichen lang sein und dürfen weder Vornamen, Nachnamen, Geburtsdatum, mdw-Funktion oder andere leicht zu erratende Begriffe aus dem Umfeld der Benutzer*innen oder Zeichenfolgen (z.B. 1234, 2222, abc..., asdf..., etc.) enthalten. Abhängig von den IT-Services können für Kennwörter auch strengere Anforderungen verlangt werden.
  5. Kennwörter sind von den Benutzer*innen geheim zu halten und mindestens jährlich abzuändern. Der ZID hat das Recht, die Änderung von Kennworten auch in kürzeren Abständen zu verlangen.
  6. Kennwörter müssen so gewählt werden, dass sie sich signifikant von anderen eigenen Kennwörtern unterscheiden.
  7. Kennwörter für IT-Services der mdw dürfen nicht für private Accounts verwendet werden.
  8. Bei Verdacht auf missbräuchliche Verwendung von Accounts sind von den Accountinhaber*innen die Kennwörter ihrer mdw-Accounts umgehend zu ändern und der ZID zu verständigen.
  9. Bei Verdacht auf widerrechtliche Nutzung von Accounts, hat der ZID das Recht diese Accounts zu sperren, worüber die*der Datenschutzbeauftragte und, soweit möglich, die Accountinhaber*innen  zu informieren sind.
  10. Die Gültigkeit eines Accounts endet nach Ablauf einer vereinbarten Gültigkeitsdauer (Zugehörigkeit zur mdw, Projektende etc.), auf Antrag der Benutzer*innen oder nach einer mehr als sechsmonatigen Nichtnutzung oder Sperre.
  11. Ungültige Accounts werden gelöscht. Die im jeweiligen mit dem Account verbundenen IT-Service gespeicherten Daten, dürfen vom ZID gelöscht werden, sofern in den speziellen Nutzungsrichtlinien des IT-Services keine andere Regelung gilt. 

 

  1. IT-Endgeräte und mobile Datenträger
  1. Die Benutzer*innen sind verpflichtet, dass auf den von Ihnen genutzten IT-Endgeräten der mdw oder IT-Endgeräten, die die zentrale Infrastruktur der mdw nutzen, zeitgemäße Sicherheitsvorkehrungen angewandt werden. Dazu gehören unter anderem, sofern vom IT-Endgerät unterstützt:
    1. Account-geschützte Zugriffe,
    2. Aktivierung automatischer Zugriffssperren nach spätestens 10 Minuten Inaktivität (z.B. Sperrbildschirm) oder manuell bei Verlassen des Geräts,
    3. Nutzung von Schadsoftwarescannern,
    4. Aktivierung von erkennbar sicherheitsrelevanten Einstellungen sowie 
    5. Aktuellhaltung des Betriebssystems und der installierten Software in Bezug auf Sicherheitsupdates.
  2. Das Neustarten (Booten) von IT-Endgeräten der mdw oder das Starten von Programmen auf IT-Endgeräten der mdw von mobilen Datenträgern, die nicht vom ZID dafür frei gegeben wurden, ist nicht gestattet.
  3. Die erstmalige Inbetriebnahme von IT-Endgeräten der mdw ohne Freigabe durch den ZID ist unzulässig.
  4. Der ZID hat das Recht auf den IT-Endgeräten der mdw Tools (Dienstprogramme) zur Unterstützung der Gerätewartung, Softwarewartung und Lizenzverwaltung, sowie zur Gewährleistung der Systemsicherheit und Systemfunktionalität zu installieren. Eine Entfernung oder Manipulation dieser Tools ist unzulässig.
  5. Wenn es zur Wartung, Reparatur, Wiederherstellung oder aus Sicherheitsgründen notwendig ist, hat der ZID das Recht auf IT-Endgeräten und mobilen Datenträgern der mdw Daten und Programme ohne vorherige Sicherung zu löschen. 
  6. Bei entlehnten Geräten hat der ZID das Recht, Daten und Programme nach der Rückgabe ohne vorherige Sicherung zu löschen.

 

  1. Zentrale IT-Infrastruktur und Ressourcenzuteilung
  1. Der ZID sorgt als Betreiber der zentralen IT-Infrastruktur der mdw im Rahmen der ihm zugeteilten Ressourcen für das reibungslose Funktionieren des Gesamtsystems sowie aller zugehörigen Komponenten.
  2. Jede Erweiterung oder Änderung der zentralen IT-Infrastruktur oder das Anbieten von IT-Services über die zentrale IT-Infrastruktur bedarf der Zustimmung des ZID.
  3. Der ZID stellt mit der zentralen IT-Infrastruktur die für die IT-Services nötigen IT-Ressourcen (Netzwerkbandbreite, Speicherplatz und Server-CPUs) entsprechend den Notwendigkeiten und vorhandenen Kapazitäten (z.B. mittels Quotas) bereit.
  4. Bei berechtigtem Bedarf können mit dem ZID Sonderregelungen über die Ressourcenzuteilung vereinbart werden.
  5. Reicht die verfügbare Kapazität nicht aus oder treten störungsbedingte Ressourcenengpässe auf, wird zunächst der Betrieb von Systemen zum Schutz von Personen und hernach für gesetzlich vorgeschriebene termingebundene Arbeiten vorrangig behandelt.

 

  1. Abschaltungen
  1. Der ZID kann für Wartungsarbeiten an der IT-Infrastruktur nach vorheriger Ankündigung Abschaltungen am gesamten System oder von Teilbereichen vornehmen. Die Abschaltungen haben dabei nur solange zu dauern, bis ein fehlerfreier Betrieb wieder gewährleistet ist. Schwerwiegende Bedürfnisse der Benutzer*innen sind bei der Planung der Abschaltungen nach Möglichkeit zu berücksichtigen.
  2. Werden in Teilen der IT-Infrastruktur der mdw in grober Weise störende Aktivitäten, fehlerhaftes oder die Sicherheit gefährdendes Verhalten festgestellt, so hat der ZID umgehend Maßnahmen einzuleiten, die zur Aufrechterhaltung oder Wiederherstellung eines geordneten Betriebs führen. Sollte es erforderlich sein, ist der ZID berechtigt, zum Erreichen dieses Ziels, vorübergehend Teile der IT-Infrastruktur abzuschalten und Accounts zu sperren.

 

  1. Logging
  1. Für die Aufrechterhaltung eines geordneten Betriebs der IT-Infrastruktur sowie als Nachweis im Sinne technisch-organisatorischer Maßnahmen gemäß Artikel 32 DSGVO ist die Protokollierung von Ereignissen (Logging) erforderlich, d.h. die IT-Systeme erstellen automatisiert Ereignisprotokolle von Prozessen (Logdateien).
  2. Zur Sicherung der IT-Infrastruktur vor unbefugten Zugriffen, Manipulation von Daten, unzulässiger Verwendung und zur Erkennung von SPAM, Malware (Viren, Würmer, Trojaner, etc.) sowie weiterer schädlicher Software werden zusätzlich Programme eingesetzt, die den Datenverkehr automatisiert überwachen.
  3. Aufzeichnungen bzw. Auswertungen personenbezogener Logdaten werden nur für folgende Zwecke durchgeführt bzw. verwendet:
    1. Einhaltung der Bestimmungen der europäischen Datenschutz-Grundverordnung und des österreichischen Datenschutzgesetzes zur Datensicherheit,
    2. Gewährleistung der Systemsicherheit,
    3. Gewährleistung der Systemfunktionalität,
    4. Analyse und Korrektur von technischen Fehlern im System,
    5. Optimierung der Systemleistung sowie
    6. Leistungsverrechnung für den Systembetrieb.
  4. Eine Auswertung der Logdaten im Hinblick auf das Verhalten einzelner Personen ist untersagt, es sei denn, sie ist im Einzelfall zur Erfüllung der in Punkt 10.3. genannten Zwecke erforderlich oder die Auswertung ist zur Erfüllung gesetzlicher Pflichten erforderlich (z.B. Weitergabe an Ermittlungsbehörden).

 

  1. Datensicherung
  1. Für die vom ZID betreuten zentralen Server- und Speichersysteme führt der ZID in periodischen Abständen (zumindest täglich) Datensicherungsläufe durch. Die gesicherten Daten stehen mindestens 14 Tage zur Rücksicherung zur Verfügung. Darüber hinaus gehende Sicherungen liegen in der Verantwortung der Benutzer*innen.
  2. Die Verantwortung für die Datensicherung aller anderen Daten wie z.B. auf IT-Endgeräten oder mobilen Datenträgern obliegt den Benutzer*innen selbst.

 

12. Maßnahmen bei Verstößen
  1. Bei widerrechtlicher Nutzung der IT-Infrastruktur oder Verstößen gegen die IT-Nutzungsrichtlinie oder spezielle Nutzungsrichtlinien von IT-Services der mdw durch die Benutzer*innen ist der ZID berechtigt, durch Sperrung von Accounts oder sonstige zielführende Maßnahmen diese von der Nutzung der IT-Services und IT-Ressourcen oder von Teilen derselben auszuschließen, worüber das Rektorat zu informieren ist. Die verantwortlichen Benutzer*innen haften für daraus an die mdw gestellte Ansprüche und haben diese schad- und klaglos zu halten. In besonders schwerwiegenden Fällen, bei denen die unzulässige Nutzung eine Verletzung von geltendem Recht darstellt, können displizinäre, zivil- oder strafrechtliche Schritte eingeleitet werden. 
  2. Wenn die mdw auf strafbare Inhalte von Dateien stößt oder von dritter Seite darauf aufmerksam gemacht wird, hat sie das Recht, diese Dateien zu löschen oder den Zugang dazu zu sperren.

 

Die IT-Nutzungsrichtlinie wurde am 3.12.2019 vom Rektorat beschlossen und am 18.12.2019 im Mitteilungsblatt veröffentlicht.