Aktive Netzwerkscans des Hochschulrechenzentrum gegen Netzwerkteilnehmer

Ich vermute, dass das Hochschulrechenzentrum aktive Netzwerkscans (z.B Portscans, Protokollscans, Exploitscans) gegen die Rechensysteme seiner Netzwerkteilnehmer einsetzt. Dazu erbitte ich Unterlagen wie z.B. Dokumentation, Prozessbeschreibungen, Verfahrensbeschreibungen nach DSGVO, Programmskripte, aus denen mind. die folgenden Informationen hervorgehen sollten:

- Zu welchem Zweck und mit welchem Ziel werden solche Netzwerkscans durchgeführt?
- Wie häufig, wann oder aufgrund welcher Kriterien werden Netzwerkscans durchgeführt?
- Wie erfolgt die Ermittlung/Auswahl der IP-Adressen, die gescannt werden?
- Welche Ports/Protokolle/usw. werden gescannt und warum sind es genau diese?
- Wird auch auf spezifische Exploits hin untersucht? Wenn ja, auf welche und wie wird sichergestellt, dass dadurch die Integrität des Rechnersystems des Betroffenen nicht noch zusätzlich gefährdet wird?
- Welche Scanmethode wird angewandt (Fin, ping, Syn, Connect usw.)?
- Welche Werkzeuge werden für die Netzwerkscans eingesetzt?
- Welche Netzwerksegmente werden gescannt bzw. vom Netzwerkscan ausgeschlossen?
- Welche Daten werden dabei erhoben und abgespeichert?
- Welche Auswertungen werden auf/mit diesen Daten durchgeführt?
- Werden Betroffene darüber informiert (z.B. Mailingliste), wann gescannt wird?
- Wie werden Netzwerkteilnehmer darauf hingewiesen, dass diese Netzwerkscans durchgeführt werden? In Ihrer über 20 Jahre alten Satzung konnte ich lediglich finden, dass solche Netzwerkscans den Netzwerkteilnehmern selbst untersagt werden.
- Wie können Netzwerkteilnehmer bei einem von ihnen erkannten Netzwerkscan feststellen, ob dieser nicht von einem anderen Netzwerkteilnehmer sondern vom HRZ stammt?
- In dem Zusammenhang: Welche Maßnahmen seitens der Hochschule sind bei (u.U. auch berechtigten) Gegenmaßnahmen im Sinne einer Notfallsituation der Verteidigung (z.B. Polizeiliche Meldung, Gegenscan, DoS Gegenangriff) Betroffener gegen einen Netzwerkscan auf Exploits vorgesehen? Besonders, wenn aufgrund einer solchen Verteidigungsgegenmaßnahme Rechnersysteme der Hochschule ausfallen.
- Welche Angaben müssen Betroffene wo machen, um eine Auskunft nach Art. 15 DSGVO zu erhalten und damit auf das Ergebnis eines Netzwerkscans gegen ihren (auch eigenen privaten) Rechner.
- Welche Konsequenzen folgen wann, wenn (was auch immer) gefunden wurde?
- Wie wird bei erfolgten Konsequenzen dafür gesorgt, dass Betroffene informiert werden und ihr Studium/Arbeit fortführen können.
- Welche Rechtsmittel bietet die Hochschule intern an, damit Betroffene gegen möglicherweise rechtswidrige Konsequenzen vorgehen können? Formal ist es ein belastender Verwaltungsakt, gegen den Widerspruch und Klage möglich sind, aber vielleicht gibt es ja intern noch andere Möglichkeiten?
- Wie stellen Sie sicher, dass Geräte von Netzwerkteilnehmern nicht beeinträchtigt und das IT-Grundrecht nicht verletzt wird?

Ergebnis der Anfrage

Auch wenn (angeblich) keine Unterlagen vorliegen, ist dies nicht gleichbedeutend damit, dass keine Scans durchgeführt werden.
Dass die Hochschule sich zu der offensichtlichen Frage, nämlich ob sie scannt, nicht äußert legt für mich nahe, dass Scans durchgeführt werden. Formal ist sie jedoch auch nicht verpflichtet Aussagen über etwas zu treffen, sofern keine Akten nach AIG darüber vorliegen.

Information nicht vorhanden

  • Datum
    29. Mai 2021
  • Frist
    4. August 2021
  • 0 Follower:innen
Marcel Langner
Antrag nach dem Akteneinsichts- und Informationszugangsgesetz (AIG), BbgUIG, VIG Sehr geehrte Damen und Herren, …
An Technische Hochschule Wildau (FH) Details
Von
Marcel Langner
Betreff
Aktive Netzwerkscans des Hochschulrechenzentrum gegen Netzwerkteilnehmer [#221306]
Datum
29. Mai 2021 16:26
An
Technische Hochschule Wildau (FH)
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Akteneinsichts- und Informationszugangsgesetz (AIG), BbgUIG, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Ich vermute, dass das Hochschulrechenzentrum aktive Netzwerkscans (z.B Portscans, Protokollscans, Exploitscans) gegen die Rechensysteme seiner Netzwerkteilnehmer einsetzt. Dazu erbitte ich Unterlagen wie z.B. Dokumentation, Prozessbeschreibungen, Verfahrensbeschreibungen nach DSGVO, Programmskripte, aus denen mind. die folgenden Informationen hervorgehen sollten: - Zu welchem Zweck und mit welchem Ziel werden solche Netzwerkscans durchgeführt? - Wie häufig, wann oder aufgrund welcher Kriterien werden Netzwerkscans durchgeführt? - Wie erfolgt die Ermittlung/Auswahl der IP-Adressen, die gescannt werden? - Welche Ports/Protokolle/usw. werden gescannt und warum sind es genau diese? - Wird auch auf spezifische Exploits hin untersucht? Wenn ja, auf welche und wie wird sichergestellt, dass dadurch die Integrität des Rechnersystems des Betroffenen nicht noch zusätzlich gefährdet wird? - Welche Scanmethode wird angewandt (Fin, ping, Syn, Connect usw.)? - Welche Werkzeuge werden für die Netzwerkscans eingesetzt? - Welche Netzwerksegmente werden gescannt bzw. vom Netzwerkscan ausgeschlossen? - Welche Daten werden dabei erhoben und abgespeichert? - Welche Auswertungen werden auf/mit diesen Daten durchgeführt? - Werden Betroffene darüber informiert (z.B. Mailingliste), wann gescannt wird? - Wie werden Netzwerkteilnehmer darauf hingewiesen, dass diese Netzwerkscans durchgeführt werden? In Ihrer über 20 Jahre alten Satzung konnte ich lediglich finden, dass solche Netzwerkscans den Netzwerkteilnehmern selbst untersagt werden. - Wie können Netzwerkteilnehmer bei einem von ihnen erkannten Netzwerkscan feststellen, ob dieser nicht von einem anderen Netzwerkteilnehmer sondern vom HRZ stammt? - In dem Zusammenhang: Welche Maßnahmen seitens der Hochschule sind bei (u.U. auch berechtigten) Gegenmaßnahmen im Sinne einer Notfallsituation der Verteidigung (z.B. Polizeiliche Meldung, Gegenscan, DoS Gegenangriff) Betroffener gegen einen Netzwerkscan auf Exploits vorgesehen? Besonders, wenn aufgrund einer solchen Verteidigungsgegenmaßnahme Rechnersysteme der Hochschule ausfallen. - Welche Angaben müssen Betroffene wo machen, um eine Auskunft nach Art. 15 DSGVO zu erhalten und damit auf das Ergebnis eines Netzwerkscans gegen ihren (auch eigenen privaten) Rechner. - Welche Konsequenzen folgen wann, wenn (was auch immer) gefunden wurde? - Wie wird bei erfolgten Konsequenzen dafür gesorgt, dass Betroffene informiert werden und ihr Studium/Arbeit fortführen können. - Welche Rechtsmittel bietet die Hochschule intern an, damit Betroffene gegen möglicherweise rechtswidrige Konsequenzen vorgehen können? Formal ist es ein belastender Verwaltungsakt, gegen den Widerspruch und Klage möglich sind, aber vielleicht gibt es ja intern noch andere Möglichkeiten? - Wie stellen Sie sicher, dass Geräte von Netzwerkteilnehmern nicht beeinträchtigt und das IT-Grundrecht nicht verletzt wird?
Dies ist ein Antrag nach dem Akteneinsichts- und Informationszugangsgesetz Brandenburg (AIG), dem Brandenburgischen Umweltinformationsgesetz (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz (soweit Verbraucherinformationen betroffen sind). Sollte dieser Antrag Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Meines Erachtens handelt es sich bei dieser Anfrage um einen einfachen Fall, der darum nach der Akteneinsichts- und Informationszugangsgebührenordnung (AIGGebO) kostenfrei zu beantworten ist. Mit Verweis auf § 6 Abs. 1 AIG möchte ich Sie um eine unverzügliche Antwort bitten, spätestens aber innerhalb eines Monats. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte. Mit Verweis auf AIG §7 Abs. 3 möchte ich Sie hiermit um eine Antwort per E-Mail bitten. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Marcel Langner Anfragenr: 221306 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/221306/ Postanschrift Marcel Langner << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Marcel Langner
Marcel Langner
Sehr << Anrede >> für meine Informationsfreiheitsanfrage „Aktive Netzwerkscans des Hochschulrechenzen…
An Technische Hochschule Wildau (FH) Details
Von
Marcel Langner
Betreff
AW: Aktive Netzwerkscans des Hochschulrechenzentrum gegen Netzwerkteilnehmer [#221306]
Datum
2. Juli 2021 14:54
An
Technische Hochschule Wildau (FH)
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> für meine Informationsfreiheitsanfrage „Aktive Netzwerkscans des Hochschulrechenzentrum gegen Netzwerkteilnehmer“ vom 29.05.2021 (#221306) konnte ich noch keine Antwort von Ihnen verzeichnen. Eine hohe Arbeitsbelastung scheint mir kein zureichender Grund für das Versäumen einer Frist zu sein. Die Personalplanung, Urlaubsplanung und Vertretungen liegen im Wirkbereich Ihrer eigenen Verantwortung und sollten nicht dazu führen oder dazu genutzt werden, Anfragen an Ihre Einrichtung auszuweichen oder diese zu verzögern. Mit freundlichen Grüßen Marcel Langner Anfragenr: 221306 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/221306/

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Technische Hochschule Wildau (FH)
Antwort
Von
Technische Hochschule Wildau (FH)
Via
Briefpost
Betreff
Antwort
Datum
16. Juli 2021
Status
Anfrage abgeschlossen
geschwärzt
2,3 MB