28. November 2022 - IT-SicherheitNeue Basis für Informationssicherheit an der Universität
Ob Datenklau, Spionage oder Erpressung – Hochschulen und Forschungseinrichtungen sind attraktive Angriffsziele für Cyberkriminelle. Dies gilt umso mehr für forschungsstarke Standorte wie die Universität Heidelberg. Mit einer neuen Informationssicherheitsleitlinie hat die Universität nun ein rechtliches Fundament geschaffen, um den vielschichtigen Herausforderungen des digitalen Zeitalters proaktiv begegnen zu können
Die neue Leitlinie wurde am 04.10.2022 vom Senat verabschiedet und tritt ab sofort in Kraft. Die Notwendigkeit für diesen Schritt liegt in der zunehmend umfassenden Digitalisierung an der Universität, zuletzt beschleunigt durch die Corona-Pandemie: Digitale Dienste, Prozesse und Daten sind inzwischen ein ähnlich integraler Bestandteil des Studien-, Forschungs- und Arbeitsalltags wie Hörsäle, Seminarräume oder Büros. Für letztere gibt es schon immer Sicherheitsvorgaben, etwa zum Brand- und Unfallschutz. Die Leitlinie schafft nun die Voraussetzung, um solche Schutz- und Verhaltensmaßnahmen in Form von regelmäßig eingeführten Richtlinien auch für die digitalen Handlungsfelder an der Universität etablieren und durchsetzen zu können.
Das Ziel: Verfügbarkeit, Vertraulichkeit, Integrität
Die Schaffung von Informationssicherheit ist ein hochkomplexer, universitätsweiter Prozess, bei dem neben technischen Gegebenheiten (durch die IT-Sicherheit) auch organisatorische Abläufe unter die Lupe genommen und überarbeitet werden müssen. Die Leitlinie ist dafür der erste Schritt: Sie definiert das angestrebte Sicherheitsniveau für die gesamte Universität, benennt die diesem Niveau zugrundeliegende Normen und regelt die Zuständigkeiten für deren Durchsetzung.
„Natürlich schützen wir schon immer Informationen und die Systeme, die diese Informationen speichern und verarbeiten,“ erläutert Prof. Dr. Vincent Heuveline, Geschäftsführender Direktor des URZ und Chief Information Officer (CIO) der Universität. „Mit der neuen Leitlinie wird dieser Schutz jedoch universitätsweit harmonisiert und weiter ausgebaut. Wir definieren einen Goldstandard der Sicherheit, den wir alle gemeinsam einhalten müssen.“
Dieser Goldstandard hat drei klare Ziele für den Schutz von Informationen: Verfügbarkeit aufrechterhalten, Vertraulichkeit wahren, Integrität sicherstellen. Als Messlatte dienen dabei die Grundschutzstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie die internationalen Normen DIN ISO/IEC 27001 ff. Darüber hinaus wird Informationssicherheit gemäß BSI-Empfehlung ganzheitlich verstanden und etabliert: Auch der Schutz nicht digital erfasster Informationen, etwa in Notizen, Briefen oder Gesprächen, soll berücksichtigt werden.
Was Sie erwartet: Richtlinien, Support und Schulungen
Basierend auf der Leitlinie werden nun unter Federführung CIO und CISO (Chief Information Security Officer) konkrete Richtlinien erarbeitet, die Vorgaben und Best Practices für ganz konkrete Arbeitsgebiete liefern und so die Umsetzung der definierten Sicherheitsstandards einleiten.
Was bedeutet das für Sie als Nutzer:in? Keine Sorge, Sie werden in Zukunft nicht gezwungen sein, komplexe Rechtstexte oder Vorschriften zu lesen, um in Ihrem Arbeitsbereich für Informationssicherheit zu sorgen. Die Maßnahmen sollen die Nutzerakzeptanz berücksichtigen. Für alle universitären Nutzer:innen sollen dann auf Basis dieser Richtlinien verständliche und gut umzusetzende Handreichungen erstellt sowie Schulungen und Support zur Informationssicherheit angeboten werden.
Informationssicherheit: Eine gemeinsame Aufgabe
Wichtige Beratungs-, Schulungs- und Support-Angebote werden dabei auch durch die Landesföderation zur Informationssicherheit bwInfoSec bereitgestellt. Da sich die Hochschulen des Landes Baden-Württemberg ähnlichen Herausforderungen zum Thema Informationssicherheit stellen müssen, wurde bereits 2019 die Förderation bwInfoSec ins Leben gerufen. Die Kernteams dieser Föderation beraten die beteiligten Hochschulen und stellen Schulungs- und Informationsangebote für deren Nutzer:innen zur Verfügung. Das für die Universitäten zuständige Kernteam ist am URZ verortet.
Informationssicherheit können wir als Universität nur gemeinsam herstellen. Jede:r Einzelne von Ihnen kann dabei mithelfen – wie genau, werden wir Ihnen in zukünftigen Artikeln, Tutorials und Schulungen erläutern. Wir bedanken uns schon jetzt für Ihre Mithilfe!