Cisco Secure Endpoint ist eine cloudbasierte Anti-Virenlösung von Cisco, die von der RWTH für Mitarbeitende angeboten wird. Die Nutzung wird durch eine NRW-Landeslizenz ermöglicht.

Die angebotenen Dienste werden auf Servern bereitgestellt, die in Cloud-Rechenzentren der Fa. Cisco und nicht im Rechenzentrum der RWTH Aachen stehen. Daher hat die RWTH Aachen physisch keinen Zugriff auf die Hardware, sondern stellt lediglich den Zugang zu der Software über eine zentrale Instanz zur Verfügung.

Einrichtungen der RWTH können Cisco Secure Endpoint als zentrale Anti-Virensoftware auf den Arbeitsplätzen und Servern einsetzen. Sollten Sie als Administrator*in diese Lösung in ihrer Einrichtung einsetzen wollen, gelten dabei folgende Pflichten und Rahmenbedingungen. Diese ergeben sich unmittelbar aus den Lizenzbedingungen von Cisco sowie Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit:

• Es besteht nur die Berechtigung, die Software und Dienste während des lizenzierten Zeitraums zu nutzen. Sämtliche Software muss gelöscht bzw. Dienste dürfen nicht weiter genutzt werden, wenn die RWTH Aachen bzw. NRW den Vertrag kündigt oder vor Ablauf des lizenzierten Zeitraums keinen Folgevertrag unterzeichnet, je nachdem welches Ereignis als erstes eintritt. Aktuelles Vertragsende ist der 30.09.2029.
   
• Die initiale Einrichtung einer Cisco Instanz erfolgt zentral durch das IT Center. Sie sind für die Konfiguration und Verwaltung der bereitgestellten Instanz verantwortlich.
   
• Bei der Bereitstellung müssen die Nutzenden entsprechend über die Übermittlung der Daten an Cisco von Ihnen / der Einrichtung informiert werden
   
• Inaktive und nicht mehr benötigte Accounts müssen unverzüglich gelöscht werden.

• Als Administrator haben Sie in der Cloud-Konsole die Möglichkeit einzelne verdächtige Dateien zur Prüfung von betroffenen Computern herunterzuladen („File Fetch“) und für eine weitergehende Analyse an Cisco hochzuladen („File Analysis“). Diese Daten bleiben auch nach erfolgter Analyse in der Console für alle Administrationsaccounts ihrer Einrichtung sicht- und herunterladbar.
  Folgende Hinweise sind hierzu zu beachten:
  • Das Herunterladen verdächtiger Dateien („File Fetch“) darf nur nach vorheriger Rücksprache mit dem betroffenen Eigentümer erfolgen
  • Die Übermittlung von streng vertraulichen Daten als Sample zur Analyse (“File Analysis“) ist aufgrund des sehr hohen Schutzbedarfes nicht zulässig ist. Dazu zählen insbesondere:
    • Daten, die Informationen enthalten, die bei Veröffentlichung oder Verlust zu einem Schaden oder einer Haftung der Universität führen können, sowie personenbezogene Daten, für die die Einhaltung der Vorschriften des Datenschutzes oder die Erfüllung der Informationspflichten nicht sichergestellt werden können. Beispiele hierfür sind:
    • Personenbezogene Daten (Anwesenheitslisten oder Listen von Teilnehmern einer Veranstaltung), insbesondere Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen oder religiösen oder weltanschaulichen Überzeugungen
    • Reise- oder Lohnabrechnungen (Finanzdaten, Sozialdaten, Daten mit Bezug zur Personalakte)
    • Forschungsdaten, die nicht ohnehin für die Öffentlichkeit bestimmt sind
    • Technische Daten (Baupläne sensibler Räume; Netzwerkpläne)
    • Geschützte Daten (Krankmeldungen, Zeugnisentwürfe, Verträge)
    • Prüfungswesen (Gutachten und Korrekturen)
  • Daten, die Informationen enthalten, bei denen die unberechtigte Einsichtnahme verhindert werden muss. Dazu zählen insbesondere aufgrund vertraglicher Verpflichtung geheim zu haltende Informationen oder Informationen, die der Verschwiegenheitspflicht unterfallen.

• Eine Nutzung auf privaten Endgeräten ist nicht zulässig
   
• Eine Verwendung der Daten zur Verhaltens- und Leistungskontrolle ist untersagt.