Datenschutz und Datensicherheit

Die Informationen auf dieser Seite wurden mit dem Datenschutzbeauftragten der Universität Wien und dem IT-Security-Team des Zentralen Informatikdienstes ausgearbeitet. Im Rahmen der Nutzung von Microsoft Azure nehmen Sie die folgenden Empfehlungen zur Kenntnis und halten Sie die folgenden Maßnahmen verpflichtend ein. Bei vorsätzlichen Verstößen kann der Zugriff auf das Service mit sofortiger Wirkung entzogen werden.

Beachten Sie bei der Nutzung von Azure die Datenschutz-Richtlinie der Universität Wien.

Innerhalb der Azure-Umgebung der Universität Wien haben Sie ausschließlich Zugriff auf Azure-Rechenzentren innerhalb der Europäischen Union, die dem hohen Datenschutzstandard der DSGVO entsprechen. Aktuell sind das die Regionen:

• Nordeuropa (Irland)
• Westeuropa (Niederlande)
• Österreich Ost
• Schweden Mitte
• Frankreich Mitte

Microsoft verpflichtet sich, Daten niemals außerhalb der EU zu verarbeiten, wenn EU-Rechenzentren ausgewählt werden.

Trotz dieser Maßnahmen gelten folgende Empfehlungen des Datenschutzbeauftragten:

• Bei Projekten, bei denen personenbezogene Daten verarbeitet werden, sowie bei Forschungsprojekten sollten Sie vor der Nutzung von Microsoft Azure Rücksprache mit dem Datenschutzbeauftragten halten.
• Die Verarbeitung von personenbezogenen Daten in Microsoft Azure sollten Sie minimieren.
• Sie sollten die in Azure gespeicherten Daten verschlüsseln, wenn die technische Möglichkeit besteht.

Für Fragen zum Thema Datenschutz steht Ihnen der Datenschutzbeauftragte der Universität Wien über ein Servicedesk-Formular zur Verfügung.

Die Universität Wien bietet darüber hinaus in regelmäßigen Abständen kostenlose Webinare zu Datenschutz und Cloud-Systemen für Mitarbeiter*innen an.

Bei der Verwendung von Microsoft-Produkten kann es sein, dass von Microsoft bereits künstliche Intelligenz (KI) zur Optimierung der Produkte eingesetzt wird. Die Universität Wien überprüft natürlich auch in diesem Zusammenhang die datenschutzrechtliche Konformität der KI-unterstützten Produkte.

Insbesondere werden nur jene Produkte den Mitarbeiter*innen und/oder Studierenden der Universität Wien zur Verfügung gestellt, die aus der Sicht der Universität Wien datenschutzkonform verwendet werden können. Zudem gibt die Universität Wien bei der Verwendung von KI-basierten Produkten Nutzungsbedingungen vor, die zwingend einzuhalten sind.

Mehr Informationen über die KI-Produkte von Microsoft finden Sie auf der Website von Microsoft:

• Azure OpenAI
• Speech Studio: Text zu Sprache, Sprache zu Text

Die Stabsstelle IT Security weist Sie darauf hin, dass Sie für die Sicherheit der von Ihnen in Microsoft Azure verwalteten Daten verantwortlich sind. Azure-Ressourcen sind so zu konfigurieren, dass die größtmögliche Sicherheit der Daten gewährleistet wird. Bei allen Services der Azure-Plattform müssen Sie Maßnahmen treffen, um die in Azure gespeicherten und verarbeiteten Daten ausreichend zu schützen.

Ziel Ihrer IT-Sicherheitsmaßnahmen ist es, die

• Integrität,
• Verfügbarkeit und
• Vertraulichkeit von Daten 

bestmöglich sicherzustellen.

Für Fragen zum Thema Datensicherheit steht Ihnen das IT-Security-Team der Universität Wien via security.zid(at)univie.ac.at zur Verfügung.

Folgende wichtige Grundlagen und Prinzipien der Datensicherheit müssen Sie bei der Nutzung von Microsoft Azure einhalten:

• Minimalprinzip (Least Privilege): Berechtigungen sind nach dem Minimalprinzip zu vergeben. Das heißt Administrator*innen und Nutzer*innen Ihrer Azure-Ressourcen sollten nur die Berechtigungen erhalten, die für ihre Tätigkeit notwendig sind. Stellen Sie sicher, dass nicht mehr benötigte Berechtigungen umgehend entzogen werden, etwa wenn Mitarbeiter*innen ausscheiden oder ihre Tätigkeit ändern.
• Passwortsicherheit: Es gelten die Nutzungsbedingungen Passwort. Passwörter für administrative Tätigkeiten sollten möglichst lang und zufällig gewählt sein. Als ausreichend sicher in diesem Kontext gilt ein zufallsgeneriertes Passwort auf der Basis von mindestens 62 Zeichen (a–z, A–Z, 0–9) und einer Mindestlänge von 16 Zeichen. Der ZID empfiehlt die Verwendung eines Passwort-Managers wie KeePass, der Passwörter speichert und sichere Passwörter zufällig generiert. Für jeden Dienst bzw. für jedes Service muss ein eigenes Passwort vergeben und verwendet werden.
• Netzwerksicherheit: Stellen Sie sicher, dass alle Ihre notwendigen Ressourcen (etwa Server, Datenbanken) durch Firewalls gesichert werden und der Netzwerkverkehr durch diese gefiltert wird (vor allem eingehender Verkehr, wo möglich auch ausgehender Verkehr). Azure Network Security Groups müssen nach dem Minimalprinzip konfiguriert werden. Beachten Sie, dass der Netzwerkverkehr Ihrer Azure-Ressourcen nicht durch die Firewall der Universität Wien (inklusive Intrusion Prevention System) gefiltert wird.
• Patch-Management: Sie tragen die Verantwortung für das Patch-Management der von Ihnen verwendeten Ressourcen. Stellen Sie sicher, dass Sicherheitsupdates zeitnah eingespielt werden. Der ZID empfiehlt zudem die Mailinglisten von CERT.at zu abonnieren, da hier umgehend über wichtige Sicherheitslücken informiert wird, die auch Ihre Cloud-Ressourcen (Server, Datenbanken etc.) betreffen könnten.
• Verschlüsselung: Speichern und übertragen Sie Daten (Verbindungsdaten und ruhende Daten) verschlüsselt, wo immer dies technisch möglich ist. Die Verschlüsselung sollte clientseitig (eigene Verwaltung der Schlüssel) stattfinden. Alternativ können Sie auch die Verschlüsselungsmechanismen innerhalb von Azure (Verwaltung der Schlüssel durch Microsoft) nutzen. Aufgrund der Funktionsweise vieler Azure-Services, insbesondere der Software-as-a-Service-Dienste, ist jedoch eine Verschlüsselung der Daten oft nicht möglich. Achten Sie in solchen Fällen unbedingt darauf, welche Daten Sie in die Cloud hochladen.
• Know-how: Informieren Sie sich über Best Practices im Zusammenhang mit der Konfiguration Ihrer Cloud-Ressourcen, etwa über die Empfehlungen des ZID bei der Nutzung von Cloud-Speicherdiensten oder die Sicherheitsempfehlungen von Microsoft.

Wenn Sie bei der Nutzung von Azure den Verdacht haben, dass ein Sicherheitsvorfall vorliegt, wenden Sie sich an das IT-Security-Team via security.zid(at)univie.ac.at.

Der ZID nimmt bei IT-Sicherheitsvorfällen unter Umständen Sofortmaßnahmen (etwa Sofortabschaltung) vor und kann bei fahrlässiger Nutzung oder Konfiguration der Ressourcen die Nutzung derselben untersagen. Beachten Sie: Sicherheitsvorfälle können durch den Missbrauch von Azure-Ressourcen enorme Kosten für Ihre Kostenstelle verursachen.