Nutzungsbedingungen Sophos Central
Sophos Central ist eine cloudbasierte Anti-Virenlösung von Sophos, die von der RWTH für Mitarbeitende und Studierende in unterschiedlichem Umfang angeboten wird. Die Nutzung wird durch eine NRW-Landeslizenz ermöglicht.
Die angebotenen Dienste werden auf Servern bereitgestellt, die in Cloud-Rechenzentren der Fa. Sophos und nicht im Rechenzentrum der RWTH Aachen stehen. Daher hat die RWTH Aachen physisch keinen Zugriff auf die Hardware, sondern stellt lediglich den Zugang zu der Software über eine zentrale Instanz zur Verfügung.
Administrator*innen der RWTH – Bereitstellung von Sophos Central für eine Einrichtung
In einigen Einrichtungen der RWTH wird Sophos als zentrale Anti-Virensoftware auf den Arbeitsplätzen und Servern eingesetzt. Sollten Sie als Administrator*in diese Lösung in ihrer Einrichtung einsetzen wollen, gelten dabei folgende Pflichten und Rahmenbedingungen. Diese ergeben sich unmittelbar aus den Lizenzbedingungen von Sophos sowie Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit:
- Es besteht nur die Berechtigung, die Software und Dienste während des lizenzierten Zeitraums zu nutzen. Sämtliche Software muss gelöscht bzw. Dienste dürfen nicht weiter genutzt werden, wenn die RWTH Aachen bzw. NRW den Vertrag kündigt oder vor Ablauf des lizenzierten Zeitraums keinen Folgevertrag unterzeichnet, je nachdem welches Ereignis als erstes eintritt. Aktuelles Vertragsende ist der 30.09.2024.
- Die initiale Einrichtung einer Sophos Central Instanz erfolgt zentral durch das IT Center. Sie sind für die Konfiguration und Verwaltung der bereitgestellten Instanz verantwortlich. Bitte beachten Sie, dass die Voreinstellung des IT Centers hinsichtlich der automatischen Malware-Proben-Einreichung ( Globale Einstellungen -> Malware-Proben-Einreichung ) hierbei nicht verändert werden darf.
- Die Web Control Richtlinie ist zentral vorgegeben und die Komponente damit standardmässig deaktiviert. Bei konkretem Bedarf und nach eingehender Prüfung können Sie diese Einstellung mit einer eigenen Richtlinie überschreiben. In diesem Fall ist jedoch zwingend die Einstellung „Ereignisse protokollieren“ auszuschalten.
- Bei der Bereitstellung müssen die Nutzenden entsprechend über die Übermittlung der Daten an Sophos Central von Ihnen / der Einrichtung informiert werden
- Inaktive und nicht mehr benötigte Accounts müssen unverzüglich gelöscht werden.
Mitarbeiter*innen der RWTH – Nutzung im Kontext der Tätigkeit an einer Einrichtung der RWTH
Sollte ihre Einrichtung Sophos Central einsetzen, gelten für Sie folgende Pflichten und Rahmenbedingungen. Diese ergeben sich unmittelbar aus Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit:
- Es gibt die Möglichkeit, einzelne verdächtige Dateien zur Prüfung an Sophos Central zu übermitteln („Samples“). Bitte beachten Sie, dass die Übermittlung von streng vertraulichen Daten als Sample aufgrund des sehr hohen Schutzbedarfes nicht zulässig ist. Dazu zählen insbesondere:
- Daten, die Informationen enthalten, die bei Veröffentlichung oder Verlust zu einem Schaden oder einer Haftung der Universität führen können, sowie personenbezogene Daten, für die die Einhaltung der Vorschriften des Datenschutzes oder die Erfüllung der Informationspflichten nicht sichergestellt werden können. Beispiele hierfür sind:
- Personenbezogene Daten (Anwesenheitslisten oder Listen von Teilnehmern einer Veranstaltung), insbesondere Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen oder religiösen oder weltanschaulichen Überzeugungen
- Reise- oder Lohnabrechnungen (Finanzdaten, Sozialdaten, Daten mit Bezug zur Personalakte)
- Forschungsdaten, die nicht ohnehin für die Öffentlichkeit bestimmt sind
- Technische Daten (Baupläne sensibler Räume; Netzwerkpläne)
- Geschützte Daten (Krankmeldungen, Zeugnisentwürfe, Verträge)
- Prüfungswesen (Gutachten und Korrekturen)
- Daten, die Informationen enthalten, bei denen die unberechtigte Einsichtnahme verhindert werden muss. Dazu zählen insbesondere aufgrund vertraglicher Verpflichtung geheim zu haltende Informationen oder Informationen, die der Verschwiegenheitspflicht unterfallen.
- Daten, die Informationen enthalten, die bei Veröffentlichung oder Verlust zu einem Schaden oder einer Haftung der Universität führen können, sowie personenbezogene Daten, für die die Einhaltung der Vorschriften des Datenschutzes oder die Erfüllung der Informationspflichten nicht sichergestellt werden können. Beispiele hierfür sind:
Mitarbeitende und Studierende der RWTH – private Nutzung
Es ist grundsätzlich möglich im Rahmen des Lizenzvertrags eine kostenlose Version von Sophos Home Premium privat zu verwenden. Die Anleitung dazu finden Sie Registrierung Sophos Home.
Bei der Nutzung ergeben sich folgende Pflichten und Rahmenbedingungen. Diese ergeben sich unmittelbar aus den Lizenzbedingungen von Sophos sowie Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit:
- Die Nutzung ist nur für aktive Mitarbeitenden und Studierenden erlaubt. Eine Nutzung nach Ausscheiden aus der RWTH ist nicht zulässig.
- Es besteht nur die Berechtigung, die Software und Dienste während des lizenzierten Zeitraums zu nutzen. Sämtliche Software muss gelöscht bzw. Dienste dürfen nicht weiter genutzt werden, wenn die RWTH Aachen bzw. NRW den Vertrag kündigt oder vor Ablauf des lizenzierten Zeitraums keinen Folgevertrag unterzeichnet, je nachdem welches Ereignis als erstes eintritt. Aktuelles Vertragsende ist der 30.09.2024.
- Eine dienstliche Nutzung von Sophos Home Premium ist nicht zulässig
- Bereitstellung, Betrieb und Support erfolgt ausschließlich durch die Fa Sophos.
- Es gelten die Lizenzbestimmungen zu Sophos Home Premium und Datenschutzhinweise des Herstellers
Übertragung von Daten an Sophos
Um die Funktionalität von Sophos Central nutzen zu können, werden Daten an Sophos zur Analyse übertragen. Dies geschieht entweder automatisch beim durch die Software, oder z.B. im Rahmen einer manuellen Übermittlung einer zu prüfenden Datei („Sample“). Eine Auflistung der konkreten Daten finden Sie in der folgenden Liste:
Art der übermittelten Daten | Automatisch | manuell (z.B. im Rahmen eines Support Tickets) |
Benutzernamen | + | + |
Vor- und Nachname | +4) | + |
Computernamen | + | + |
distinguishedName | +4) | |
Customer ID | + | + |
Machine ID | + | + |
Prozessnamen | +3) | + |
genutzte Anwendungen | +3) | + |
Installierte Browser Add-Ins | +3) | + |
Dateinamen, prüfsummen, pfade | +3) | |
Dateinhalte | +1) | + |
Systemlogs | + | + |
| aufgerufene URLs | +5) | |
E-Maildaten | +2) | |
IP Adressen und Ports | +3) | + |
MAC Adressen | +3) | + |
IDs angeschlossener Geräte | +6) |
- Automatische Übermittlung von Samples, im Default eingeschaltet, haben wir zentral abgeschaltet, der Administrator kann es technisch aber wieder einschalten
- E-Maildaten können im Rahmen von Dateiinhalts-Samples anfallen
- Die Daten werden üblicherweise temporär im Rahmen des Liveschutzes erhoben und nur bei Erkennung eines Vorfalls oder im Falle einer aktiven Regelentsprechung (bspw bei einer expliziten Zulassung eines ansonsten als ungewollt eingestuften Elements („PSexec.exe zugelassen“) dauerhaft in Form eines Logeintrag abgelegt.
- Diese Daten werden nur dann übertragen, wenn vom Administrator eine automatische Synchronisierung der Objekte mit der lokalen Benutzerverwaltung des Instituts eingerichtet wurde, im Standardfall wird lediglich der Benutzername erhoben.
- Das Feature „Sophos Web Control“, das diese Daten erhebt, ist standardmässig deaktiviert, kann aber von einem Administrator wieder eingeschaltet werden. Die Protokollierung blockierter URLs ist gemäß den oben beschriebenen Nutzungsbedingungen für Administratoren auszuschalten.
- Die Protokollierung muss aktiv eingeschaltet werden und wird benötigt, wenn eine Einschränkung der Peripheriegeräte erfolgen soll, die an ein Gerät angeschlossen werden dürfen. (bspw. nur registrierte USB Sticks).
Wer hat Zugriff auf die Daten?
Die erhobenen Daten können von einem Einrichtungsadministrator für Geräte und Benutzer seiner Einrichtung in Form von Protokolleinträgen, einem Dashboard, das aktive „Alarme“ (kritische Ereignisse, die Aufmerksamkeit erfordern) anzeigt, sowie spezifischen Berichten auf Basis des Protokolls eingesehen werden. Hierzu zählen insbesondere Berichte zu
- Virenfunden und deren technischem Kontext (in Zusammenhang mit dem kritischen Prozess registrierte Datei- und Registryzugriffe, Netzwerkverbindungen)
- Erkennungen von erlaubten/blockierten Anwendungen
- angeschlossene Geräte
- Zusammenfassungen nutzer-/gerätespezifischer Ereignisse.
Administratoren des IT Centers, die für die Einrichtung der Sophos Central Instanzen und die Verwaltung der Lizenzen zuständig sind, haben technisch ebenfalls Zugriff auf die Instanzen der Einrichtungen und damit auch auf die enthaltenen Daten.
Wie lange werden die Daten aufbewahrt?
Protokolldaten werden für 90 Tage aufbewahrt. Daten zu Objekten, die für den Betrieb notwendig sind (bspw. Benutzernamen, Gerätenamen) werden nach ihrer Löschung durch den Einrichtungsadministrator in Sophos Central nach 90 Tagen endgültig gelöscht.
Wo werden die Daten noch verarbeitet?
Die folgende Tabelle ist ein Auszug aus der Liste der Sophos Sub-Verarbeiter und stellt nur die für die Nutzung an der RWTH relevanten Inhalte dar. Eine vollständige Liste ist hier zu finden: https://www.sophos.com/en-us/legal/sub-processor
SuB-Processor | Location of processing | Purpose | Relevancy |
Amazon Web Services* | USA, UK, Ireland, Germany | Data center services | All Sophos products |
EU | Storage of log files | Sophos Central and various products administered via Sophos Central | |
GlobalLogic | UK | Technical support helpdesk | All Sophos products |
ReversingLabs | Croatia | Threat detection and analysis services | Manually submitted samples |
OneTrust | USA | Data subject rights request processing | All customers and marketing contacts |
* Hier ist die Lokation beim Anlegen eines Tenants bestimmbar. Wir haben diese auf „Germany“ fest gelegt.
