Aktive Netzwerkscans des Hochschulrechenzentrum gegen Netzwerkteilnehmer
Ich vermute, dass das Hochschulrechenzentrum aktive Netzwerkscans (z.B Portscans, Protokollscans, Exploitscans) gegen die Rechensysteme seiner Netzwerkteilnehmer einsetzt. Dazu erbitte ich Unterlagen wie z.B. Dokumentation, Prozessbeschreibungen, Verfahrensbeschreibungen nach DSGVO, Programmskripte, aus denen mind. die folgenden Informationen hervorgehen sollten:
- Zu welchem Zweck und mit welchem Ziel werden solche Netzwerkscans durchgeführt?
- Wie häufig, wann oder aufgrund welcher Kriterien werden Netzwerkscans durchgeführt?
- Wie erfolgt die Ermittlung/Auswahl der IP-Adressen, die gescannt werden?
- Welche Ports/Protokolle/usw. werden gescannt und warum sind es genau diese?
- Wird auch auf spezifische Exploits hin untersucht? Wenn ja, auf welche und wie wird sichergestellt, dass dadurch die Integrität des Rechnersystems des Betroffenen nicht noch zusätzlich gefährdet wird?
- Welche Scanmethode wird angewandt (Fin, ping, Syn, Connect usw.)?
- Welche Werkzeuge werden für die Netzwerkscans eingesetzt?
- Welche Netzwerksegmente werden gescannt bzw. vom Netzwerkscan ausgeschlossen?
- Welche Daten werden dabei erhoben und abgespeichert?
- Welche Auswertungen werden auf/mit diesen Daten durchgeführt?
- Werden Betroffene darüber informiert (z.B. Mailingliste), wann gescannt wird?
- Wie werden Netzwerkteilnehmer darauf hingewiesen, dass diese Netzwerkscans durchgeführt werden? In Ihrer über 20 Jahre alten Satzung konnte ich lediglich finden, dass solche Netzwerkscans den Netzwerkteilnehmern selbst untersagt werden.
- Wie können Netzwerkteilnehmer bei einem von ihnen erkannten Netzwerkscan feststellen, ob dieser nicht von einem anderen Netzwerkteilnehmer sondern vom HRZ stammt?
- In dem Zusammenhang: Welche Maßnahmen seitens der Hochschule sind bei (u.U. auch berechtigten) Gegenmaßnahmen im Sinne einer Notfallsituation der Verteidigung (z.B. Polizeiliche Meldung, Gegenscan, DoS Gegenangriff) Betroffener gegen einen Netzwerkscan auf Exploits vorgesehen? Besonders, wenn aufgrund einer solchen Verteidigungsgegenmaßnahme Rechnersysteme der Hochschule ausfallen.
- Welche Angaben müssen Betroffene wo machen, um eine Auskunft nach Art. 15 DSGVO zu erhalten und damit auf das Ergebnis eines Netzwerkscans gegen ihren (auch eigenen privaten) Rechner.
- Welche Konsequenzen folgen wann, wenn (was auch immer) gefunden wurde?
- Wie wird bei erfolgten Konsequenzen dafür gesorgt, dass Betroffene informiert werden und ihr Studium/Arbeit fortführen können.
- Welche Rechtsmittel bietet die Hochschule intern an, damit Betroffene gegen möglicherweise rechtswidrige Konsequenzen vorgehen können? Formal ist es ein belastender Verwaltungsakt, gegen den Widerspruch und Klage möglich sind, aber vielleicht gibt es ja intern noch andere Möglichkeiten?
- Wie stellen Sie sicher, dass Geräte von Netzwerkteilnehmern nicht beeinträchtigt und das IT-Grundrecht nicht verletzt wird?
Ergebnis der Anfrage
Auch wenn (angeblich) keine Unterlagen vorliegen, ist dies nicht gleichbedeutend damit, dass keine Scans durchgeführt werden.
Dass die Hochschule sich zu der offensichtlichen Frage, nämlich ob sie scannt, nicht äußert legt für mich nahe, dass Scans durchgeführt werden. Formal ist sie jedoch auch nicht verpflichtet Aussagen über etwas zu treffen, sofern keine Akten nach AIG darüber vorliegen.
Information nicht vorhanden
-
Datum29. Mai 2021
-
4. August 2021
-
0 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!