Zuletzt aktualisiert am 21 August 2025

Richtlinien für die Verwendung der Informatikausrüstung

Glossar

  • SI: IT-Dienst der HES-SO//FR
  • SIU: IT-Dienst der Einheit (lokaler Dienst einer Schule, eines Studiengangs) – Liste der SIU
  • RSI: Verantwortlicher für IT-Sicherheit
  • DPO: Datenschutzbeauftragter
  • COD: Corporate Owned Device (firmeneigenes Gerät)
  • BYOD: Bring Your Own Device (eigenes Gerät mitbringen)
  • LPD: Bundesgesetz über den Datenschutz
  • LPrD: Kantonales Datenschutzgesetz
  • RGPD: Allgemeine Datenschutzverordnung

Zweck der Leitlinien

Die Politik der Fachhochschule Westschweiz//Freiburg (HES-SO//FR) hinsichtlich der Nutzung von IT-Ausrüstung war schon immer sehr offen. Diese Politik hat es den Nutzerinnen und Nutzern ermöglicht, ihre Aufgaben erfolgreich zu erfüllen. Bei der Fortführung dieser Strategie muss jedoch berücksichtigt werden, dass die Zahl der Nutzerinnen und Nutzer sowie der IT-Ausrüstungen stetig zunimmt und diese immer vielfältiger werden. Es erscheint daher notwendig, die Normen, die einen optimalen Betrieb der IT-Ressourcen ermöglichen und die Sicherheit der Daten aller gewährleisten, in Form von Richtlinien zu veröffentlichen.

Umfang

Die vorliegende Richtlinie legt die Grundsätze fest, die bei der Nutzung aller digitalen Geräte, die mit den Netzwerken der HES-SO//FR verbunden werden können (von den Schulen bereitgestellte Geräte oder BYOD), zu beachten sind.

Diese Richtlinien richten sich an alle Personen, die berechtigt sind, sich mit unseren Informationssystemen und Daten zu verbinden. Sie gelten auch für temporäre Nutzer (Praktikanten, Besucher, Teilnehmer an Kursen oder Seminaren, die in den Gebäuden der HES-SO//FR organisiert werden).

Rollen und Verantwortlichkeiten

Rolle Hauptverantwortung
Generaldirektion
  • Validiert die Annahme und Aktualisierung dieser Richtlinie
  • Fördert die Bedeutung der sicheren Nutzung von IT-Geräten innerhalb der Institution
  • Zuweisung der erforderlichen Ressourcen, um der Richtlinie nachzukommen
RSI
  • Entwicklung, Pflege und Weiterentwicklung dieser Richtlinie in Zusammenarbeit mit Interessengruppen
  • Bietet Tools, Richtlinien und Best Practices für die sichere Nutzung von IT-Geräten
  • Unterstützt und berät Nutzer und andere Interessengruppen bei der Anwendung der Richtlinie
  • Führt Audits und Compliance-Bewertungen von Gerätepraktiken durch oder koordiniert
  • diese
DPO
  • Stellt sicher, dass die Bearbeitung von Personendaten auf IT-Geräten im Einklang mit dem LDP, dem LPrD und gegebenenfalls der RGPD konform ist.
  • Beratung zu datenschutzrechtlichen Aspekten im Zusammenhang mit der Nutzung von Geräten, einschließlich Personal Devices (BYOD)
SI
  • Bereitstellung und Wartung technischer Schutzmaßnahmen für Geräte (Antivirus, Firewall, Verschlüsselung, Update-Management)
  • Überwacht die Verwendung von Geräten, die der Richtlinie entsprechen, sowie etwaige Sicherheitsanomalien
  • Unterstützt und unterstützt Benutzer bei allen Fragen oder Problemen im Zusammenhang mit der Sicherheit oder dem Betrieb ihrer Geräte
  • Meldet technische Mängel oder Abweichungen von den erwarteten Praktiken
Endbenutzer
  • Halten Sie sich strikt an diese Richtlinie und alle Sicherheitsverfahren, die mit der Verwendung von IT-Geräten verbunden sind
  • .
  • Halten Sie ihre Ausrüstung (zur Verfügung gestellt von der HES-SO//FR oder von Mitarbeitenden, die für institutionelle Aktivitäten eingesetzt werden) auf dem neuesten Stand und sicher
  • Schützen Sie ihre Ausrüstung physisch vor Diebstahl, Verlust oder Beschädigung
  • Melden Sie sofort jede Anomalie, jeden Vorfall (Verlust, Diebstahl, verdächtige Fehlfunktion) oder den Verdacht auf Missbrauch von Geräten
Externe Partner
  • Einhaltung der Anforderungen dieser Richtlinie für die Verwendung von Geräten, die auf die Netze oder Informationen der HES-SO//FR zugreifen
  • Unverzügliche Meldung von Anomalien oder Vorfällen im Zusammenhang mit den Geräten, die sie im Rahmen ihrer Beziehungen zur HES-SO//FR verwenden

 

Dokumentation / Benutzerinformationen

Zusätzlich zu dieser Richtlinie müssen die Nutzerinnen und Nutzer (siehe Abschnitt „Geltungsbereich“ oben) die Vorschriften und Regeln einhalten und anwenden, die in den vom SI erstellten technischen Dokumenten beschrieben sind. (Beispiel: Supportbedingungen Studierende der HES-SO Freiburg, Support-Regeln für Mitarbeiter/innen der HES-SO Freiburg)
Alle diese Dokumente sind auf der Website des SI (https://sinfo.hefr.ch) zu finden.
Der SI informiert die Nutzerinnen und Nutzer regelmäßig über Änderungen von Richtlinien oder Vorschriften. Es liegt jedoch in der Verantwortung der Nutzerinnen und Nutzer, die geltenden Richtlinien und Vorschriften regelmäßig zu konsultieren und sich im Zweifelsfall beim SI zu erkundigen.

Regeln für die Verwendung von Geräten

Wir unterscheiden zwischen zwei Arten von Geräten.

  • COD : Alle IT-Geräte, die ganz oder teilweise von der HES‐SO//FR zur Verfügung gestellt werden.
  • BYOD : Alle Computergeräte, die nicht zur HES-SO//FR gehören und mit dem Netz der HES-SO//FR verbunden sind (z.B. Laptops von Studenten).

Installation und Konfiguration für alle Geräte

Bei der Verbindung mit dem Schulnetzwerk müssen Benutzer die folgenden Regeln einhalten:

  • aktuelles Antivirenprogramm muss aktiviert sein (Windows, macOS, Linux);
  • automatische Updates sollten nach Möglichkeit für das Betriebssystem und die Anwendungen aktiviert werden.

Installation und Konfiguration von "COD"-Geräten

Die Installation und Konfiguration der "COD"-Ausrüstung (Hardware und Software) erfolgt durch das SI oder SIU gemäß den vom SI festgelegten Standards, einschließlich der folgenden Maßnahmen:

  • Verstärkung der Cybersicherheit: Die Workstations werden gemäß den Best Practices für die Cybersicherheit konfiguriert, einschließlich der Anwendung anerkannter Standards;
  • Erhöhung von Berechtigungen bei Bedarf: Benutzer haben keine permanenten Administratorrechte. Jede Aktion, die diese Rechte erfordert (z. B. Softwareinstallation), erfordert eine vorübergehende Erhöhung über ein sicheres Tool;

  • Zentralisierte Konfiguration: Updates, Sicherheitstools und Systemeinstellungen werden zentral verwaltet, um ein hohes Maß an Schutz zu gewährleisten.

Die Nutzer sind ohne ausdrückliche Genehmigung der SI oder einer SIU nicht berechtigt:
  • Ausrüstung bewegen;
  • Hardwarekomponenten entfernen, ändern, hinzufügen;
  • Installieren Sie Software ohne gültige Lizenz oder unterbrechen Sie offizielle Software.

Installation und Konfiguration von "BYOD"-Geräten

Benutzer, die BYOD-Geräte verwenden, müssen:

  • Stellen Sie sicher, dass ihr Computer mit den neuesten Antiviren-Signaturen und Sicherheitspatches auf dem neuesten Stand ist.
  • Führen Sie regelmäßige Virenscans durch.
  • Arbeiten Sie nicht mit Raubkopien.

Das SI ist nicht für die Verwaltung und Konfiguration von BYOD-Geräten verantwortlich. Der SI stellt lediglich die Verbindungen zu den Ressourcen der Schulen der HES-SO//FR sicher.

Software

Nach dem Urheberrechtsgesetz, das am 1. Juli 1993 in Kraft getreten ist, ist das Kopieren von Software verboten. Der Benutzer verpflichtet sich, keine Kopien der ihm zur Verfügung gestellten lizenzierten Software im Netzwerk der Schule oder in den Labors zu erstellen, noch verpflichtet er sich, die ihm zur Verfügung gestellte Software zu löschen, wenn er die HES-SO//FR verlässt.
Die Installation von Software auf Geräten der HES-SO//FR ist nur zulässig, wenn die HES-SO//FR (bzw. der Benutzer, bei einzelnen Geräten) über eine gültige Lizenz verfügt. Die Installation und Verwendung von "Raubkopien" ist untersagt.
Der Kauf von Software über die verschiedenen Plattformen, die von der HES-SO//FR zur Verfügung gestellt werden, unterliegt besonderen Vorschriften. Es liegt in der Verantwortung der Nutzer, sich auf jeder Plattform über die geltenden Regeln zu informieren, bevor sie einen Kauf tätigen.

Zugang zu Computern

Die Bedingungen für den Zugang zu Computerausrüstung werden vom SI festgelegt. "Benutzernamen" und "Passwörter" werden auf persönlicher Basis vergeben. Sie sind streng vertraulich und sollten nicht an Dritte weitergegeben werden.

Die Konten sind durch MFA (Multi-Faktor-Authentifizierung) geschützt. Die Nutzer müssen sich mit einem privaten Gerät (BYOD) ausstatten, das eine Zwei-Faktor-Authentifizierung ermöglicht. (Handy, Sicherheitsschlüssel, ...)

Passwort

Die Benutzer wenden die IS-Regeln bezüglich der Komplexität und Lebensdauer von Passwörtern an. Der Nutzer muss sich verpflichten, alle erforderlichen Maßnahmen zu ergreifen, um eine betrügerische Nutzung seines Computerkontos zu verhindern. Für den Fall, dass der Nutzer den Sicherheitshinweisen nicht nachgekommen ist, ist er für den Missbrauch seines persönlichen Kontos verantwortlich.

Datensicherung

Standardmäßig werden lokale Daten (PC-Festplatten, Laptops) nicht gesichert. Um eine adäquate Sicherung zu gewährleisten, sind die Nutzerinnen und Nutzer dafür verantwortlich, die beruflichen Daten auf den Servern der HES-SO//FR zu kopieren oder zu speichern.
Im Falle der Nichteinhaltung dieser Praxis kann die SI nicht haftbar gemacht werden.

Zugriff auf Daten und Systeme

Der Zugang zu Daten und IT-Systemen ist während der Dauer der Tätigkeit der HES-SO//FR gewährleistet. Der Zugriff auf die Systeme wird 3 Monate nach Ende der Serviceberichte oder Studien komplett gesperrt. Der Benutzer ist dafür verantwortlich, seine Daten zu sichern oder Daten zu übertragen, die für die Schule nützlich sein können. Er wird seinem Vorgesetzten die Informationen übermitteln, die für den Zugriff auf die zu speichernden Daten erforderlich sind. Ohne Auskunft werden Daten und Zugänge innerhalb der gesetzten Frist gelöscht. Jeder Antrag auf Befreiung wird vom Leiter des Fachbereichs, der Schule oder des Kurses an die Verwaltung weitergeleitet, der die Informationen an die IT-Abteilung weiterleitet.

Datenspeicherung in der Cloud

Jeder Nutzer ist für die von ihm verarbeiteten Daten verantwortlich.
Die Nutzung von Public-Cloud-Diensten muss den geltenden Rechtsvorschriften (insbesondere dem LPrD und den Anforderungen des LSI) sowie den internen Weisungen der HES-SO//FR entsprechen.
Dokumente, die als vertraulich eingestuft sind oder sensible Daten enthalten, müssen auf den internen Infrastrukturen der HES-SO//FR gespeichert werden.
Die Nutzung von Public Cloud-Diensten ist strikt auf Lösungen beschränkt, die zuvor von der HES-SO//FR validiert wurden (Microsoft OneDrive und SwitchDrive). Diese Lösungen bieten ausreichende Garantien für die Datenlokalisierung, die Einhaltung gesetzlicher Vorschriften und die Sicherheit.

Sicherheit

Alle Benutzer, die mit dem Netzwerk der HES-SO//FR verbunden sind, halten sich an die Sicherheitsmechanismen, die die Geräte und Daten der Computerkonten der HES-SO//FR und anderer Benutzer schützen.
Dazu gehören insbesondere folgende Verbote:

  • Programme zu installieren, um die Passwörter anderer Benutzer zu ermitteln;
  • Spoofing des "Benutzernamens" und/oder des "Passworts" eines anderen Benutzers;
  • unbefugt in die Server der HES-SO//FR einzudringen;
  • die Parameter der Sicherheitssysteme, die auf den Geräten der HES-SO//FR installiert sind, zu neutralisieren oder zu ändern;
  • die geltenden Sicherheitsmaßnahmen zu umgehen/zu umgehen;
  • Verleihen Sie Ihren Ausweis (Access Card), dieser ist streng persönlich;
  • Der Zugriff auf eine Arbeitsstation erfolgt ohne Anmeldesperre, wodurch Daten unbefugter Nutzung ausgesetzt werden.

Wenn Zweifel an der ordnungsgemäßen Funktion einer Maschine oder der Sicherheit des Zugriffs auf die Daten bestehen, sollten sich die Benutzer sofort an die IT-Abteilung wenden.

Nutzungsbedingungen

Die Geräte, die den Nutzern zur Verfügung gestellt werden, sind für den professionellen oder akademischen Gebrauch bestimmt. Die HES-SO//FR übernimmt keine Haftung bei nicht regelkonformer Nutzung oder Missbrauch ihrer IT-Infrastruktur und behält sich das Recht vor, allfällige geeignete Massnahmen zu ergreifen.
Eine eingeschränkte persönliche Nutzung wird toleriert, sofern sie die folgenden Bedingungen erfüllt:

  • Die physische und logische Konfiguration des Geräts wird dadurch nicht geändert (siehe Abschnitt Installation und Konfiguration von COD-Geräten und Installation und Konfiguration von BYOD-Geräten oben)
  • sie verursacht keine direkten Kosten für die HES‐SO//FR;
  • Es greift nicht in die Arbeit anderer Benutzer ein;
  • sie schadet weder den Interessen noch dem Image der HES-SO//FR;
  • sie belastet die Ausrüstung der HES‐SO//FR nicht erheblich und benachteiligt auch nicht die Nutzerinnen und Nutzer, die an die Netze der HES‐SO//FR angeschlossen sind.

Dokumente privater Natur müssen eindeutig als solche gekennzeichnet werden, z. B. indem sie in einer "privaten" Akte abgelegt werden.
Die Teilnahme an «Online-Spielen», das Hören von «Online-Radios» oder das Ansehen von «Online-Filmen» sind ausserhalb des Lehrbetriebs oder der Projekte der HES-SO//FR strengstens untersagt.

Rechtliche Rahmenbedingungen der Nutzung

Die Nutzer sind verpflichtet, die Bestimmungen zum Datenschutz und zur IT-Sicherheit einzuhalten, die für die Nutzung, den Besitz, die Anzeige oder die Verbreitung von Computerdaten gelten.
Die Nutzerinnen und Nutzer dürfen keine Computerdokumente besitzen, anzeigen oder verbreiten, die gegen das Schweizerische Strafgesetzbuch verstossen. Darüber hinaus stellen sie sicher, dass Texte, die für den professionellen Gebrauch bestimmt sind, nicht gegen Bestimmungen über geistiges Eigentum, Datenschutz oder andere Gesetze zum Schutz der Interessen Dritter verstoßen.
Jeder, der einen Verstoss oder eine Nichteinhaltung dieser Richtlinien feststellt, ist verpflichtet, dies der IT-Abteilung der HES-SO//FR zu melden, die die erforderlichen Massnahmen ergreifen wird.

Kontrolle der Nutzung

Um die Einhaltung der Nutzungsregeln (alle Punkte im Kapitel Regeln für die Verwendung von Geräten) zu überprüfen, wurden automatisierte Überwachungs-, Filter- und Protokollierungsmittel eingerichtet (Firewall, IPS, URL-Filterung (Internetadressen)...).
Diese Mittel ermöglichen es, die meisten Sicherheitsbedrohungen, die unerlaubte Nutzung und das "verdächtige" Verhalten zu verhindern, wie z. B.:

  • Schädigung des Rufs und/oder der Privatsphäre von Einzelpersonen und/oder der Institution;
  • Computer-Hacking und/oder Spionage;
  • Offenlegung vertraulicher Daten;
  • Unrechtmäßiger Zugriff und/oder unrechtmäßige Übertragung von Informationen;
  • etc...

Diese Kontrollsysteme ermöglichen es, Daten zu sammeln und Personen (automatische Korrespondenz zwischen einem identifizierten Benutzer und dem Datenverkehr im Zusammenhang mit seiner Netzwerkkennung) und/oder seine Aktivitäten zu identifizieren. Die betroffenen Geschäftsführer sind aufgrund ihres Arbeitsvertrags zur "Geheimhaltung und Vertraulichkeit der Daten" verpflichtet.

Verleih von Ausrüstung

Der Benutzer, der eine Ausleihe von Geräten erhalten möchte, muss ein Formular ausfüllen. Folgende Bedingungen müssen vor Erhalt des Materials vereinbart werden:

  • Der Nutzer verpflichtet sich, dieses Gerät innerhalb der mit dem in der Leihinformation angegebenen IT-Techniker vereinbarten Zeit in gutem Zustand zurückzugeben und im Falle von Beschädigung, Verlust oder Diebstahl die Kosten für die Reparatur oder Entschädigung zu übernehmen.
  • Der Nutzer ist sich bewusst, dass diese Vermietung streng persönlich und daher nicht übertragbar ist.
  • Im Falle der Nichteinhaltung der Fristen für die Rückgabe des Geräts reicht die Institution eine Beschwerde ein und die Daten werden den Behörden nach 2 Erinnerungen (nach Ablauf der Frist für das Rückgabedatum) zur Verfügung gestellt.
  • Der Benutzer ist dafür verantwortlich, seine persönlichen Daten von dem Gerät zu löschen, bevor er es zurückgibt
  • Der Nutzer ist allein verantwortlich für seine Daten. Er nimmt zur Kenntnis, dass bei Rückgabe des Geräts alle seine Daten gelöscht werden, ohne dass eine Wiederherstellung möglich ist.

Das Internet und seine Nutzung

Die HES‐SO//FR spricht sich für die Nutzung des Internets aus, das ein leistungsfähiges und wertvolles Instrument für die Suche und Beschaffung von Informationen ist. Der Internetzugang ist individuell. Es wird allen Benutzern zur Verfügung gestellt.
Der Internetzugang wird als solches nicht als Recht angesehen. Sie kann daher jederzeit abgelehnt oder storniert werden. Die HES‐SO//FR ist berechtigt, alle erforderlichen Massnahmen zu ergreifen, um den Zugang zu Websites zu sperren, deren Inhalte als ungeeignet erachtet werden.

Allgemeine Grundsätze

Die Internetnutzung ist nicht anonym. Wann immer sich die Nutzer in elektronischer Kommunikation befinden (E-Mail, Konversationsraum, soziales Netzwerk usw.), kann die HES-SO//FR als Kommunikationsquelle identifiziert werden. Jede unkontrollierte Nutzung des Internets birgt somit Risiken für die HES‐SO//FR, sowohl für ihre Reputation als auch aus rechtlicher Sicht. 
Der Zugriff auf das Internet ist dem Nutzer nur zu beruflichen oder akademischen Zwecken und im Rahmen der ihm übertragenen Aufgaben oder Aufgaben gestattet.

Missbrauch

Der Benutzer kann für alle Schäden, die die Nutzung des Netzwerks für den Drittanbieter des Zugangs verursachen kann, haftbar gemacht oder verklagt werden. Dies gilt insbesondere, wenn der Verdacht besteht, dass die Dienste missbräuchlich zur Durchführung oder Unterstützung strafbarer Handlungen verwendet werden, einschließlich unerlaubter Glücksspiele, Verbreitung oder Zugänglichmachung von rechtswidrigen oder sittenwidrigen Darstellungen, wie z.B. Gewaltdarstellungen, sog. Hardpornografie, Aufstachelung zu Straftaten oder Gewalt, Verletzungen der Glaubens- und Religionsfreiheit oder Akte der Rassendiskriminierung.

Herunterladen von Informationen

Das Herunterladen von Daten und Dateien aus dem Internet ist nur zu beruflichen oder akademischen Zwecken und in Übereinstimmung mit dem schweizerischen Recht gestattet.

Teilnahme an Gesprächsräumen (Chatroom, Forum)

Es ist den Nutzerinnen und Nutzern nicht gestattet, interaktive Verbreitungsmöglichkeiten aktiv zu nutzen (mit Ausnahme der in den folgenden Absätzen erwähnten internen Konversationsräume für die Nutzerinnen und Nutzer der HES-SO//FR), d.h. Nachrichten oder Notizen zu senden, die die HES-SO//FR identifizieren. Eine Ausnahme von dieser Regel bildet die Teilnahme an Konversationsräumen, die für die Bedürfnisse der HES-SO//FR notwendig sind.

Offizielle elektronische Nachrichten (E-Mail)

Die offizielle elektronische Nachrichtenübermittlung (E-Mail), Outlook, ist der wichtigste Kommunikations- und Benachrichtigungskanal innerhalb der HES-SO//FR, der vor allem für berufliche Zwecke im Zusammenhang mit der Tätigkeit der Institution bestimmt ist. Die Verwendung von E-Mails für persönliche Zwecke wird toleriert, sofern sie nicht in die berufliche Tätigkeit eingreift, die Systeme nicht überlastet und alle Regeln der HES-SO//FR und die geltenden Gesetze einhält. Um die Vertraulichkeit und die ordnungsgemäße Datenverwaltung zu gewährleisten, sollten private Nachrichten in einem speziellen "privaten" Ordner abgelegt werden. Der Inhaber einer persönlichen E-Mail-Adresse ist verpflichtet, sein Postfach regelmäßig zu überprüfen.

Die Verwendung von Verteilerlisten (z. B. eine Liste einer Klasse, eines Dienstes oder einer Schule) muss die folgenden Bedingungen erfüllen:

  • Für das Personal ist die Nutzung ausschließlich professionell;
  • Für die Studierenden bedeutet die Nutzung eine systematische Aufforderung an eine verantwortliche Person (Professorin oder Professor oder Lehrveranstaltungsleiterin);
  • Jeder Missbrauch kann zu Maßnahmen führen.

Eine elektronische Nachricht unterliegt den gleichen Anforderungen an die Einhaltung von Gesetz, Ethik und Anstand wie jedes andere schriftliche Dokument. Untersagt sind insbesondere Nachrichten verleumderischer, diffamierender, beleidigender, rassistischer, sexistischer, gewaltverherrlichender oder pornografischer Art.

E-Mail-Sicherheit

Um die Sicherheit der E-Mail-Kommunikation zu gewährleisten, sollten Benutzer:

  • Seien Sie äußerst wachsam gegenüber Bedrohungen: Seien Sie besonders wachsam bei verdächtigen E-Mails (Phishing), nicht verifizierten Links und unerwarteten Anhängen. Klicken Sie nicht auf Links und öffnen Sie keine Anhänge fragwürdiger Herkunft.

Berichterstattung und Überwachung

Bei Hinweisen auf eine Sicherheitsverletzung, einen Missbrauch oder den Verdacht auf einen Sicherheitsvorfall (z.B. Phishing-Versuch, Empfang von Malware) behält sich die HES-SO//FR das Recht vor, die Nutzung der E-Mail-Konten der Benutzer stichprobenartig zu überprüfen. Jeder Vorfall oder jede verdächtige E-Mail muss unverzüglich der IT-Abteilung gemeldet werden

Steuerung

Die HES-SO//FR behält sich das Recht vor, den Internetverkehr ihrer Nutzer zu kontrollieren. Diese Kontrolle ist eine unabdingbare Voraussetzung für die Gewährleistung des Zugangs zum Internet für alle seine Nutzer.
Die eingerichteten Kontrollverfahren entsprechen den Grundsätzen des Schutzes der Privatsphäre und des Datenschutzes, die in den geltenden Gesetzen und Vorschriften vorgeschrieben sind. Die Untersuchungen des Mißbrauchs des Internet werden von der IT‐Abteilung koordiniert, die bei Feststellung eines Verstoßes gegen diese Richtlinie konsultiert wird.
Ein schwerwiegender oder wiederholter Verstoß gegen die Bestimmungen dieser Richtlinie kann zu einer Einschränkung oder zum Entzug des Zugangs zu IT-Geräten führen. Vorbehalten bleiben mögliche Disziplinarstrafen oder rechtliche Schritte.

Bewusstsein für Informationssicherheit

Im Rahmen unseres Engagements zur Stärkung der Informationssicherheit werden alle Benutzer regelmäßig eingeladen, an Sensibilisierungskampagnen teilzunehmen, die dazu beitragen:

  • Verbessern Sie die Reflexe gegen Cyber-Bedrohungen, insbesondere gegen Phishing-Versuche.
  • Stellen Sie realistische Szenarien in Form von Übungen im Briefkasten bereit.
  • Sofortiges und lehrreiches Feedback für jede Benutzeraktion zu geben.

  • individuellen und kollektiven Fortschritt beim Verständnis von Best Practices zu überwachen.

Die Teilnahme an diesen Kampagnen wird dringend empfohlen und ist ein wichtiger Bestandteil der Prävention von Sicherheitsvorfällen. Sie ermöglicht es jedem Einzelnen, als starkes Glied in der Sicherheitskette zu agieren. Es wird eine Liste der Teilnehmerinnen und Teilnehmer dieser Sensibilisierungsmaßnahmen geführt.

Folgen einer nicht vorschriftsmäßigen Verwendung

Annahmeklausel

Die Annahme dieser Richtlinie ist eine notwendige Voraussetzung für den Zugang zu internen digitalen Ressourcen. Im Falle einer Verweigerung oder eines nachgewiesenen Verstosses behält sich die HES-SO//FR das Recht vor, den Zugang einzuschränken oder auszusetzen.

Verwaltungs- oder Disziplinarmaßnahmen

Benutzerinnen und Benutzer, die sich nicht an die oben genannten Regeln halten, müssen mit technischen und/oder administrativen Massnahmen rechnen. Diese Massnahmen hängen vom Ausmass des Verstosses ab. Zusätzlich zu den Disziplinarstrafen gemäss LPers (vorübergehende Suspendierung oder Versetzung, Verwarnung, Entlassung) können folgende technische Massnahmen ergriffen werden:

  • vorübergehende oder endgültige Einschränkung des Netzzugangs;
  • Ausschluss aus dem IT-System und Aufforderung zur Rückgabe der Geräte.

Technische Maßnahmen

Es wird keine Unterstützung durch die SI oder die SIU geleistet.
Im Falle von Problemen ist eine Neuinstallation des betreffenden Geräts erforderlich.

Beteiligung an den Kosten der HES‐SO//FR

Hat der HES-SO//FR durch den Missbrauch von EDV‐Geräten Kosten verursacht, behält sich diese das Recht vor, vom Verursacher des Missbrauchs eine Rückerstattung dieser Kosten zu verlangen.

Beteiligung an Gebühren, die von Dritten erhoben werden

Werden der HES-SO//FR infolge des Missbrauchs von Computergeräten Gebühren von Dritten in Rechnung gestellt, behält sich diese das Recht vor, vom Urheber des Missbrauchs die Rückerstattung dieser Kosten sowie die Deckung der internen Kosten zu verlangen, die durch die nicht konforme Verwendung verursacht wurden.

Strafbare Handlungen

Diese internen Sanktionen hindern die HES‐SO//FR nicht daran, im Falle von Verstössen allfällige strafrechtliche Schritte einzuleiten.

Überprüfung und Aktualisierung der Richtlinie

Diese Richtlinie über die Nutzung von EDV-Geräten ist ein lebendiges Dokument. Um ihre Relevanz, Wirksamkeit und Übereinstimmung mit technologischen Entwicklungen, Nutzungspraktiken, rechtlichen Anforderungen und Sicherheitsrisiken sicherzustellen, wird sie regelmäßig überprüft und aktualisiert.

Überprüfen Sie die Häufigkeit und Auslöser

Die Richtlinie wird mindestens einmal jährlich überprüft.

Zusätzlich zu dieser geplanten jährlichen Überprüfung wird in den folgenden Situationen eine Überprüfung und eine mögliche Aktualisierung ausgelöst:

  • Technologische Entwicklung: Einführung neuer Arten von Geräten (z. B. mobile Geräte, IoT), Betriebssysteme, Software oder Dienste, die Nutzungspraktiken oder erforderliche Sicherheitsmaßnahmen ändern.
  • Sich entwickelnde Bedrohungen: Auftreten neuer Bedrohungen oder Schwachstellen, die speziell mit IT-Geräten zusammenhängen (z. B. neue Formen von Malware, Phishing-Techniken, die auf Geräte abzielen).
  • Regulatorische oder gesetzliche Änderungen: Einführung neuer Gesetze, Vorschriften oder Richtlinien (z. B. LPrD/LPD, LSI und OSI), die sich auf die sichere Nutzung von Geräten oder die Verwaltung der darin enthaltenen Daten auswirken.
  • Feedback (REX): Lehren aus Sicherheitsvorfällen mit IT-Geräten (z. B. Geräteverlust/-diebstahl, Malware-Infektion).
  • Auditergebnisse: Empfehlungen aus internen oder externen Audits, die sich speziell auf die Gerätesicherheit oder die Benutzerpraktiken beziehen.
  • Rückmeldungen der Nutzer: Vorschläge oder Schwierigkeiten, auf die die Nutzer bei der Anwendung der Richtlinie gestoßen sind.

Überprüfungs- und Validierungsprozess

Die Überarbeitung dieser Richtlinie umfasst die folgenden wichtigen Schritte:

  • Vorbereitung: Der RSI ist in Zusammenarbeit mit der SI für die Koordination des Begutachtungsprozesses zuständig. Sie sammeln Benutzerfeedback, analysieren die notwendigen Änderungen und erstellen einen Update-Vorschlag.
  • Konsultation: Der Vorschlag wird mit den wichtigsten Interessenträgern, einschließlich der IT-Abteilung und des DSB, in Bezug auf Aspekte im Zusammenhang mit personenbezogenen Daten auf Geräten geteilt und konsultiert.
  • Validierung: Jede wesentliche Änderung dieser Richtlinie muss von den RSI und, wenn es sich um schwerwiegende Auswirkungen handelt oder wesentliche Änderungen an den Grundprinzipien vorgenommen werden, von der Generaldirektion und dem Direktionsausschuss der HES-SO//FR validiert und genehmigt werden.
  • Veröffentlichung und Kommunikation: Nach der Validierung wird die neue Fassung der Richtlinie veröffentlicht und allen betroffenen Personen (Mitarbeitende, Studierende, Partner, die die Geräte der HES-SO//FR oder ihre persönlichen Geräte nutzen) über die entsprechenden Kanäle (Intranet, E-Mail, Informationsveranstaltungen) mitgeteilt.

Versionsgeschichte

Es wird eine detaillierte Historie der Überarbeitungen der Richtlinie geführt, um die Rückverfolgbarkeit der Änderungen zu gewährleisten und das Verständnis ihrer Entwicklung zu erleichtern.

Datum Verantwortlich Zusammenfassung der Änderung Validierung
22.05.2018 SI Erstellen der Direktive Genehmigt vom Exekutivkomitee
19.03.2019 SI Änderung §4.8 Genehmigt vom Exekutivkomitee
24.05.2022 SI Hinzugefügt §4.13 Genehmigt vom Exekutivkomitee
15.07.2025 RSI Jährliche Überprüfung, Hinzufügung von Bewusstsein, Überprüfung und verschiedene Änderungen gemäß Mitteilung der GD vom 30.06.2025 Genehmigt vom Exekutivkomitee
Danke für Ihren Kommentar
Feedback

Ihre Meinung zählt! Helfen Sie uns, die Seite zu verbessern, indem Sie Ihr Feedback zu Inhalt, Design oder Übersetzungen mitteilen.

Willkommen