Hartmut Plehn, Leiter des Rechenzentrums, freut sich, dass die Universit?t Bamberg als erste deutsche Universit?t die ISIS12-Zertifizierung für IT-Sicherheit erreicht hat.
Universit?t Bamberg ist erste deutsche Hochschule mit ISIS12-Zertifizierung
Ein unbedachter Klick auf einen Link und schon kann eine versehentlich heruntergeladene Software gro?e Sch?den im IT-System anrichten. Die Universit?t Bamberg sieht sich tagt?glich mit solchen Bedrohungen konfrontiert. Das vom Rechenzentrum am ?bergang zwischen Internet und Hochschulnetz betriebene ?Intrusion Prevention System“ (IPS) registriert und blockiert sekündlich Angriffsversuche. So werden aktuell jeden Tag etwa 30.000 Angriffe abgewehrt. Mit der 2017 begonnenen Einführung des ?Informationssicherheitsmanagementsystems in 12 Schritten“ (ISIS12) wurden diese Risiken einged?mmt. Das Projekt ist seit April abgeschlossen. Im Juli kam die Urkunde von DQS, der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen, die die IT-Sicherheit und die Umsetzung der Ma?nahmen des Systems ISIS12 an der Universit?t geprüft hat. ?Wir freuen uns sehr darüber, die erste deutsche Universit?t zu sein, die die ISIS12-Zertifizierung erreicht hat und m?chten zum Start des Wintersemesters noch einmal besonders auf die Neuerungen aufmerksam machen", sagt Dr. Hartmut Plehn, Leiter des Rechenzentrums der Universit?t und Mitglied im IT-Sicherheitsteam. ?Viele andere Universit?ten haben sich noch nicht getraut, diese Schritte zur Verbesserung der IT-Sicherheit zu gehen, weil sie mit einem hohen Aufwand verbunden sind. Und dies obwohl sich alle IT-Verantwortlichen einig sind, dass man den zunehmenden Bedrohungen nur mit einem Informationssicherheitsmanagementsystem ad?quat begegnen kann."
Ziel: Sensibilisierung der Universit?tsangeh?rigen
Doch was bedeuten die Ma?nahmen, die für die Zertifizierung n?tig waren, für die Mitglieder der Universit?t? ?Das übergeordnete Projektziel war die Sensibilisierung der Universit?tsangeh?rigen für das komplexe Thema der IT-Sicherheit. Am deutlichsten zu spüren sind die Ma?nahmen wahrscheinlich bei den E-Mails", sagt Hartmut Plehn. Um zum Beispiel m?gliche Phishing-Mails, durch die unter anderem Schadsoftware in das IT-System der Universit?t gelangen kann, besser erkennen zu k?nnen, werden seit einiger Zeit alle E-Mails, die von externen Adressen an Universit?tsangeh?rige gesendet werden, mit dem Kürzel [Ext] gekennzeichnet. Au?erdem gibt es ein Versandlimit von 200 E-Mails je Tag bei pers?nlichen E-Mail Konten und 5000 E-Mails bei aufgabenbezogenen Konten. ?ber Phishing-Mails versuchen Kriminelle, sich Zugangsdaten von Universit?tsmitgliedern zu verschaffen und deren Mailaccounts zu missbrauchen, um weitere sch?dliche E-Mails und Spam an externe E-Mail Adressen zu senden. Das führte in der Vergangenheit schon mehrfach dazu, dass die Server der Universit?t zeitweise in Mailsystemen gro?er Anbieter gesperrt wurden, sodass dorthin tagelang gar keine E-Mails mehr versendet werden konnten oder diese nur sehr verz?gert zugestellt wurden.
Universit?tsmitglieder sollen IT-Dienste sicher nutzen k?nnen
?Ein weiterer Baustein des Projekts war die Unterstützung und Bef?higung der Universit?tsmitglieder zur sicheren Nutzung der IT-Dienste", erkl?rt Hartmut Plehn. Projektleiter Christian Kraus organisierte die Erstellung von Leitf?den, die den Universit?tsangeh?rigen zum Beispiel bei der Nutzung von Cloud-Diensten oder den Druckern und Kopierern helfen sollen. Ein Leitfaden erkl?rt auch, auf welche sicherheitsrelevanten Aspekte bei der Arbeit vom heimischen Schreibtisch aus zu achten ist. Das hat besonders in Corona-Zeiten zus?tzlich an Bedeutung gewonnen. Au?erdem wurden neue Richtlinien für die Nutzung der Informationsverarbeitungssysteme der Universit?t Bamberg erstellt. Im Rahmen der j?hrlich stattfindenden Arbeitssicherheitsschulung gab es bereits 2019 einen Themenblock zur Informationssicherheit. ?Gerade dieses Thema ist noch nicht abgeschlossen", sagt Plehn. In Planung seien momentan Mini-Sicherheitsunterweisungen, auf die jedes Universit?tsmitglied jederzeit online Zugriff haben soll. In einem interaktiven Format gehe es dabei zum Beispiel um die oben genannten Phishing-Mails und wie man diese erkennen kann.
IT-Sicherheit ist ein Prozess
?IT-Sicherheit ist kein Zustand, sondern ein Prozess“, erl?utert Hartmut Plehn. ?Hacker finden neue Angriffsmethoden und auch die technische Entwicklung schreitet kontinuierlich voran.“ Dementsprechend müsse auch die Universit?t reagieren. In den kommenden Jahren stehe vor allem die Sicherheit der Endger?te, also insbesondere der Computer der einzelnen Universit?tsmitarbeiterinnen und -mitarbeiter, auf der Agenda. Denn auch hier drohe beispielsweise beim Download von Software Gefahr für die IT-Sicherheit der Universit?t. Und auch die Zertifizierung wird regelm??ig auf den Prüfstand gestellt: Im kommenden Jahr gibt es einen Kontrollaudit und anschlie?end alle drei Jahre eine Reauditierung. ?Wir wollen die Universit?tsangeh?rigen mit den Ma?nahmen nicht g?ngeln, sondern eine Hilfestellung bei der sicheren Nutzung der Informationstechnik bieten“, erkl?rt Hartmut Plehn. Und bisher werde das auch sehr gut angenommen. T?glich erreichen das Rechenzentrum Hinweise aufmerksamer Besch?ftigter zu Spam- und Phishing-Mails, die als solche erkannt und nicht befolgt wurden.
Weitere Informationen zu ISIS12 und IT-Sicherheit an der Universit?t
Die neuen Nutzungsrichtlinien für die Informationsverarbeitungssysteme finden Sie hier, die Leitf?den zur IT-Sicherheit hier.