Hauptinhalt
Nutzungsbedingungen für die Zwei-Faktor-Authentisierung
(Stand 23.01.2017)
An der Philipps-Universität Marburg kann der Zugriff auf IT-Dienste durch ein stärkeres Authentifizierungsverfahren, die sogenannte Zwei-Faktor-Authentifizierung (2FA), geschützt werden. Bei der Zwei-Faktor-Authentifizierung wird zum Identitätsnachweis eines Nutzers zusätzlich zur persönlichen Benutzerkennung, bestehend aus Benutzername und Benutzerpasswort, eine weitere und insbesondere unabhängige Komponente, das sogenannte Token (z. B. Einmalpasswort-Token), abgefragt.
1. Die Berechtigung, ein Token zu nutzen, besteht dann, wenn der Nutzer Angehöriger, Partner, Dienstleister oder Gast der Universität ist, und ein von ihm zu nutzender Dienst eine Zwei-Faktor-Authentisierung voraussetzt. Der Nutzer erhält das Token mittels
(a) Ausgabe durch das Hochschulrechenzentrum (Hardware-Token)
(b) Abruf im Self-Service-Portal des Hochschulrechenzentrums (Software-Token)
2. Das Token ergänzt die Benutzerkennung. Es darf nicht anderen Personen zugänglich gemacht werden. Die Weitergabe an einen Dritten ist nicht gestattet.
3. Der Nutzer sollte sein Token wie einen Dienstschlüssel stets mit sich führen. Das Token kann an einem verschlossenen Ort hinterlegt werden. Der Nutzer muss sicherstellen, dass keine Zugangsdaten zusammen mit dem Token gelagert werden.
4. Der Nutzer ist unter folgenden Bedingungen verpflichtet, das Token unverzüglich zu sperren oder vom Hochschulrechenzentrum sperren zu lassen:
(a) Der Nutzer hat den Verdacht, dass sein Token verloren, gestohlen, offen gelegt oder anderweitig kompromittiert bzw. missbraucht wurde.
(b) Das Token wurde verloren, gestohlen, offen gelegt oder anderweitig kompromittiert bzw. missbraucht.
(c) Der Nutzer ist nicht mehr berechtigt, das Token zu nutzen. Ein Hardware-Token ist spätestens innerhalb von 14 Tagen an die ausgebende Stelle zurückzugeben.
5. Die ausgebende Stelle ist berechtigt, das Token vom Nutzer zurückzuverlangen, sofern dieses vom Nutzer (z. B. bei fehlender Berechtigung oder beim Austausch des Tokens) nicht mehr benötigt wird.
6. Jedes Gerät, auf dem der Nutzer das Token einsetzt (bei Hardware- und Software-Token) oder speichert (bei Software-Token), muss angemessen geschützt sein (z. B. durch regelmäßige Sicherheits-Updates und den Einsatz einer Anti-Virus-Software).
7. Verstöße gegen diese Regelungen können dienst- oder arbeitsrechtlich durch die Universität sanktioniert werden. Bei einem grob fahrlässigen oder vorsätzlichen Verstoß des Nutzers, insbesondere durch die Weitergabe an einen Dritten oder die Nichtsperrung des Tokens, wodurch die Sicherheit von Daten, Informationen, IKT-Systemen oder des Netzes gefährdet werden und ein Schaden für die Universität verursacht wird, können darüber hinaus Schadenersatzpflichten gegenüber der Universität entstehen.