Header

Suche
Zentrale Informatik Support

IoT – Wired / Wireless

Das «Internet of Things» (IoT) bezeichnet Geräte, die ohne Benutzerinteraktion über verkabelte (wired) oder drahtlose (wireless) Netzwerke mit dem Internet oder Intranet kommunizieren. Für die Integration nutzt die UZH eigene VLANs (Virtual Local Area Network) im Netzwerk und dieSSID "uzh-iot".

Die Zentrale Informatik (ZI) bietet Beratung an und beantwortet Fragen zur Implementierung und Nutzung von IoT-Anwendungen.

Rechtliches:

Mit der Nutzung der IoT-Gateways der UZH gilt das

Je nach Nutzung können zusätzliche Reglemente und Weisungen der UZH Anwendung finden.

Seiteninhalt

1. Einleitung

1.1 Zweck dieses Dokumentes

Dieses Dokument regelt Sicherheit, Verantwortung und Zuständigkeiten zwischen dem Netzwerkbetreiber (Zentrale Informatik) und den Nutzenden (Institute, Kunden), die IoT-Geräte über das UZH-Netzwerk betreiben möchten. Die Grundlage bilden das REIM und die Weisungen Netzwerk-Sicherheit (WNS).

1.2 IoT und Sicherheit

Das Internet der Dinge bietet grosse Potenziale, z. B. für Automatisierung und Effizienzsteigerung, bringt jedoch erhöhte Sicherheitsrisiken mit sich. Oft stehen bei IoT-Herstellern Kosten und Funktionalität im Vordergrund – nicht die Sicherheit. Daher kommt es zunehmend zu Angriffen, die Schwachstellen in IoT-Geräten gezielt ausnutzen.

1.3 Beschaffung von IoT-Geräten

Vor der Beschaffung grösserer IoT-Gerätemengen wird dringend empfohlen, einen Pilotbetrieb durchzuführen. Die Zentrale Informatik unterstützt bei Testversuchen einzelner Geräte und erteilt nach erfolgreicher Prüfung eine Betriebsfreigabe.

1.4 Eigene WLAN-Netze an der UZH

Das Betreiben eigener WLAN-Netze im 2.4 GHz- oder 5 GHz-Band ist nicht erlaubt. Diese Frequenzen sind ausschliesslich für das UZH-WLAN reserviert. Bereits installierte, nicht autorisierte WLANs müssen zurückgebaut werden.

Die Zentrale Informatik investiert laufend in die WLAN-Infrastruktur – bis 2026 ist eine vollflächige Abdeckung geplant.

2. Netzbetreiber und Benutzer

2.1 Netzwerkschnittstellen

Der Netzwerkbetreiber (ZI) ermöglicht den Anschluss von IoT-Geräten über folgende Schnittstellen:

  • LAN (Local Area Network)
  • WLAN (Wireless Local Area Network)

Pro IoT-Gerät darf nur eine Schnittstelle mit dem UZH-Netzwerk verbunden sein.

2.2 Zugriffsarten

Der Netzbetreiber unterscheidet zwischen internem und externem Zugriff:

Zugriffstyp Beschreibung
Intern Zugriff nur auf das Intranet/NUZ der UZH (kein Internetzugang).
IoT-intern hat freien Zugriff auf das Intranet; vom Intranet sind nur HTTP, HTTPS, SSH erlaubt.
Extern  Zugriff ausschliesslich auf das Internet (kein Zugriff auf das Intranet/NUZ).

2.3 Peer-to-Peer-Verbindungen

Peer-to-Peer-Verbindungen zwischen IoT-Geräten im gleichen Netzwerk sind nicht erlaubt. Diese Einschränkung erhöht die Sicherheit und verhindert z. B. die Verbreitung von Malware oder Botnets.

2.4 Quality of Service (QoS)

Es wird kein QoS angeboten. Alle Datenpakete werden nach dem Best-Effort-Prinzip gleichbehandelt.

2.5 Authentisierung

IoT-Geräte werden über NAC (Network Access Control) mit MAC Authentication Bypass (MAB) zugelassen. Dazu sind erforderlich:

  • MAC-Adresse (Media-Access-Control) jedes Geräts
  • PSK (Pre-shared Key), der auf dem Gerät konfiguriert wird

Die technische Einbindung erfolgt durch die Netzwerkkoordinator:innen der Institute via IPAM Self Service.

2.6 Benutzerpflichten

Nach erfolgreicher Testphase:

  • führen Netzwerkkoordinator:innen Mutationen selbstständig über IPAM Self Service durch;
  • sind Betreiber:innen verpflichtet, Betriebssysteme und Software aktuell zu halten;
  • tragen die Verantwortung, dass REIM und WNS eingehalten werden.

2.7 Datenschutz

Betreiber:innen und Benutzer:innen der IoT-Geräte/Anwendungen sind für den Datenschutz und die Datenverarbeitung selbst verantwortlich.

2.8 Ansprechpersonen

Name Abteilung / Kontakt
Mike Langen Zentrale Informatik, Abt. IT-Infrastruktur
Pfingstweidstrasse 60B, CH-8005 Zürich
mike.langen@uzh.ch
Werner Deplazes Zentrale Informatik, Abt. IT-Infrastruktur
Pfingstweidstrasse 60B, CH-8005 Zürich
werner.deplazes@uzh.ch

Die Beschaffung von IoT-Geräten ist immer mit dem Netzwerkkoordinator des jeweiligen Instituts abzustimmen.

3. Hinweise für Betreiber und Netzwerkkoordinator:innen (vor Inbetriebnahme)

Vor dem Betrieb sind folgende Punkte zu prüfen:

  1. Welche externe Firma ist Ansprechpartnerin bei Problemen?
  2. Wer übernimmt die Wartung der Geräte?
  3. Werden Geräte regelmässig gepatcht und auf aktuellem Sicherheitsstand gehalten?
  4. Wie lange ist der Lebenszyklus (Lifecycle) der Geräte?
  5. Wo befinden sich die Geräte innerhalb der UZH?
  6. Sind Geräte stationär oder mobil im Einsatz?
  7. Welcher Zugang wird genutzt (LAN / WLAN)?
  8. Enthalten Geräte Mikrofone oder Kameras?
  9. Falls WLAN: Welche IEEE 802.11-Standards (g/a/n/ac/ax/be) werden unterstützt?
  10. Wie hoch ist die maximal erwartete Bandbreite?
  11. Ist das Gerät remote verwaltbar?
  12. Werden Daten an interne oder externe Server gesendet?