Erläuterungen zum Zweck der Datenerfassung

Das HRZ bittet die (Fach)Bereiche, über dieses Formular alle neu in die HTW IT-Infrastruktur einzubindenden IT-Systeme und -Services an das HRZ zu melden. Gleiches gilt natürlich auch für die bereits laufenden Lösungen.

Unser gemeinsames Ziel muss sein, bei zu erwartenden steigenden Cyberangriffen schnell und präzise handeln und ggf. die richtigen Maßnahmen einleiten zu können. Das bedeutet, je besser wir alle über die in der HTW IT-Infrastruktur betriebenen Systeme Kenntnis haben, umso besser können wir diese schützen.

Nehmen Sie dies bitte sehr ernst und etablieren bzw. verstetigen Sie in ihren Verantwortungsbereichen die notwendigen Verfahren und Verantwortlichkeiten.

Notwendige Informationen zu Netzwerkgeräten an der HTW Berlin

- Systembezeichnung
- verantwortliche Personen
- Enddatum der Registrierung
- Betriebssystem
- System-Typ (Client / Server)
- Aufgabe(n) des Systems
- Zuordnung zu einer Organisationseinheit
- ggf. Zuordnung zu einem Projekt / Team / Studiengang

Registrierung eines neuen Systems

Um ein neues Netzwerkgerät in der HTW Berlin zu registrieren, müssen Sie zunächst das Registrierungsformular ausfüllen und die notwendigen Informationen ausfüllen. Wenn das System einem Drittmittelprojekt zugeordnet wird, ergibt sich das Enddatum der Registrierung automatisch aus dem Projektende und die Projektleitenden werden automatisch als verantwortliche Personen zu dem System hinzugefügt. Sobald Sie ein System registriert haben, erhalten Sie auf der Übersichtsseite für das Netzwerkgerät weitere Informationen, die im Netzwerk der HTW Berlin dazu vorliegen. Dazu gehören:

- Informationen über die IP-Adresse oder DNS-Namen aus Infoblox, 
- Informationen über Netzwerkzugriffe aus der Netzwerkzugangskontrolle (NAC),
- Einen Sicherheitscheck vom Nessus Scanner,
- Informationen aus dem vCenter (wenn das Netzwerkgerät eine virtuelle Maschine ist),
- Informationen über die Netzwerkverbindung aus Pathfinder.

Zuordnung durch die Administrator_innen

Wenn Sie die Informationen zu einem neuen Netzwerkgerät eingegeben haben und diese plausibel sind, wird Ihre Systemregistrierung einem Eintrag aus der Netzwerkzugangskontrolle der HTW Berlin zugeordnet. Das System ist damit vollständig registriert. Die Systemregistrierung steht somit als Informationsgrundlage zur Verfügung, um im Falle von Sicherheitsvorfällen zeitnah die verantwortlichen Personen kontaktieren zu können und notwendige Sicherheitsvorkehrungen zu kommunizieren.

Konflikte und Warnungen

Folgende Warnungen können auftreten:

- Wenn eine verantwortliche Person für ein System in den nächsten 30 Tagen die HTW Berlin verlässt. In diesem Fall sollte eine Nachfolge bestimmt werden.
- Wenn das Enddatum der Systemregistrierung in den nächsten 30 Tagen erreicht wird.
- Wenn der Nessus Sicherheitsscan schwerwiegende Sicherheitslücken entdeckt hat. Diese Sicherheitslücken sollten nach Möglichkeit behoben werden oder das System soweit wie möglich im HTW Netzwerk isoliert werden.

Folgende Konflikte können auftreten:

- Wenn das Enddatum der Systemregistrierung erreicht wurde. In diesem Fall sollte eine Folgeregistrierung mit einem neuen Enddatum beantragt werden oder die Abschaltung / Deaktivierung des Systems im Netzwerk der HTW Berlin vorbereitet werden.
- Wenn das System nicht mehr in der Netzwerkzugangskontrolle der HTW Berlin gefunden wurde. In diesem Fall setzen Sie sich bitte mit den Administrator_in(nen) Ihrer Organisationseinheit auseinander.
- Wenn keine verantwortliche Person mehr zugeordnet ist oder die verantwortlichen Personen alle die HTW Berlin verlassen haben. In diesem fall müssen neue verantwortliche Personen für das Netzwerkgerät ernannt werden oder die Abschaltung / Deaktivierung des Systems im Netzwerk der HTW Berlin vorbereitet werden. 

Registrierung eines bestehenden Systems

Die Administrator_innen der Organisationseinheiten sehen in einer weiteren Liste in der Übersicht alle Einträge aus der Netzwerkzugangskontrolle der HTW Berlin, die bisher noch keiner gültigen Netzwerkgeräteregistrierung zugeordnet sind. Sie sind angehalten, diese unzugeordneten Einträge den Personen zuzuordnen, die für diese verantwortlich sind, damit diese anschließend die Registrierungsdaten eingeben, so wie es auch bei neu zu registrierenden Netzwerkgeräten der Fall ist. Für die Personenzuordnung stehen als Anhaltspunkte zur Verfügung:

- Die verantwortliche Person, die in einem Freitextfeld in Infoblox oder im vCenter hinterlegt ist.
- Bei physischen Geräten die Netzwerkdose, über die das System mit dem Netzwerk der HTW Berlin verbunden ist.

Alle weiteren Einträge müssen anhand des DNS-Namens oder anderer Anhaltspunkte einem Personenkreis oder Projekt zugeordnet werden.

Sobald zu einem unregistrierten Eintrag aus der Netzwerkzugangskontrolle der HTW Berlin mindestens eine verantwortliche Person ernannt wurde, wird das System der Liste Zu bearbeitende Netzwerkgeräteregistrierungen dieser Person angezeigt.

Registrierungsprozess

Solange zu einem Netzwerkgerät valide Registrierungsinformationen vorliegen, wird das System in Ihrer Liste Ihnen zugewiesene Netzwerkgeräteregistrierungen angezeigt. Sollten zu dem System Registrierungsdaten eingegeben werden müssen oder sich das System im Konfliktstatus befinden (bspw. weil das Registrierungsende erreicht wurde), wird es in Ihrer Liste Zu bearbeitende Netzwerkgeräteregistrierungen angezeigt. Bitte sorgen Sie mit dafür, dass diese Liste möglichst immer leer ist (und damit aus der Gesamt-Übersicht verschwindet), in dem Sie die Registrierungsdaten zu allen Ihnen zugeordneten Netzwerkgeräten aktuell halten. 

Sie finden ggf. auf der Übersichtsseite auch noch die Liste Von Ihnen bearbeitete Netzwerkgeräteregistrierungen. Hier finden Sie auch alle Registrierungen, an denen Sie mitgearbeitet haben, die Ihnen aber ggf. nicht als verantwortliche Person zugeordnet sind.

Wenn es Neuigkeiten zu Ihren Netzwerkgeräteregistrierungen gibt, erhalten Sie einmal wöchentlich per Email eine Übersicht. Darin sehen Sie die Netzwerkgeräteregistrierungen, die in den letzten 7 Tagen angelegt oder bearbeitet wurden, bestehende Warnung und Konflikte sowie alle Registrierungen, die auch in Ihrer Liste Zu bearbeitende Netzwerkgeräteregistrierungen angezeigt werden.

Funktionen für Administrator_innen

- Um einer neuen Netzwerkregistrierung mit dem Status Zuweisung von NAC-Datensatz erforderlich einen Eintrag aus der Netzwerkzugangskontrolle (NAC) zuzuordnen, stehen mehrere Möglichkeiten zur Verfügung:

1. Wenn die für das System verantwortliche Person eine Mac-Adresse in den Registrierungsdaten eingetragen hat und zu der Mac-Adresse ein Eintrag in der Netzwerkzugangskontrolle gefunden wurde, wird für die Registrierung dieser Eintrag aus der NAC angezeigt. Im Bereich Informationen aus der Netzwerkzugangskontrolle (NAC) wird ein grünes Häkchen angezeigt mit dem Titel NAC-Eintrag diesem System zuweisen. Wenn Sie dieses grüne Häkchen betätigen, werden die beiden Datensätze einander zugeordnet und die Registrierung für das System ist abgeschlossen.

2. Wenn keine Mac-Adresse eingegeben wurde, oder die eingegebene Adresse falsch ist, können Sie unter Aktionen aus den Mac-Adressen, die in der Netzwerkzugangskontrolle zu Ihrer Organisationseinheit gefunden wurden, das Eingabe-/Suchfeld Diesem Netzwerkgerät eine MAC-Adresse aus der NAC hinzufügen benutzen. Geben Sie die Mac-Adresse des Systems an und bestätigen, um die Registrierung für das System abzuschließen.

3. Analog zur Eingabe einer Mac-Adresse, können Sie auch den Hostnamen in der Liste von bekannten Hostnamen suchen. Benutzen Sie hierzug unter Aktionen das Eingabe-/Suchfeld Diesem Netzwerkgerät einen Host-Namen aus der NAC hinzufügen.

4. Alternativ können Sie auch eine eventuell falsch eingegebene Mac-Adresse aus den Registrierungsdaten löschen und dort die korrekte Mac-Adresse eingeben und speichern. Wird zu der Mac-Adresse ein passender Eintrag in der NAC gefunden, ist das System anschließend vollständig registriert.

- Es besteht die Möglichkeit, die Registrierung oder Personenzuordnungen von bestehenden Systemen über eine Excel-Datei vorzunehmen und damit eine große Anzahl bestehender unzugeordneter Netzwerkgeräte auf einmal zuzuordnen. Dazu wählen Sie im Menü der Netzwerkgeräteverwaltung den Menüpunkt Excel-Import, laden sich dort die Excel-Vorlage herunter, tragen in diese alle vorhandenen Informationen zu den dort aufgelisteten unzugeordneten Netzwerkgeräten ein, speichern die Datei und laden diese gespeicherte Version anschließend auf der gleichen Seite wieder hoch.
- Außerdem besteht die Möglichkeit, im Falle eines Sicherheitsvorfalls, alle verantwortlichen Personen zu bestimmten Systemen per Email zu kontaktieren. Dieser Email-Versand wird ebenfalls über einen Excel-Import realisiert. Sie können die Email-Vorlage für den Massenversand unter dem Menüpunkt Administration im Menü der Netzwerkgeräteverwaltung herunterladen.

- Sollten Sie Daten in der Netzwerkzugangskontrolle geändert haben, werden diese standardmäßig erst über Nacht in die Datenbank der Netzwerkregistrierungen synchronisiert. Um einen bestehenden Datensatz bereits vorher manuell zu aktualisieren, können Sie den Eintrag zu der Mac-Adresse in der Netzwerkgeräteverwaltung suchen und dort die Schaltfläche NAC-Daten aktualisieren (Lupen-Symbol) benutzen.