Ma?nahmenkatalog für mehr IT-Sicherheit

Immer h?ufiger wird in den Medien von Hackerangriffen und Sicherheitslücken berichtet. Auch die Universit?t Bamberg steht tagt?glich verschiedenen IT-Bedrohungen gegenüber: Der Zusammenbruch des Virtuellen Campus, die F?lschung von sensiblen Daten in FlexNow oder das unbedachte Anklicken eines Links mit Schadsoftware k?nnten gro?e Sch?den verursachen. Diese Risiken sollen durch die Einführung des ?Informationssicherheitsmanagementsystems in 12 Schritten“ (ISIS12) einged?mmt und die Universit?tsmitarbeiterinnen und -mitarbeiter fit für den Umgang mit den Informationssystemen gemacht werden.

ISIS12 wurde vom Bayerischen IT-Sicherheitscluster e.V. entwickelt, in dem Unternehmen der IT-Wirtschaft, Unternehmen, die IT-Sicherheitstechnologien nutzen, Hochschulen, weitere Forschungs- und Weiterbildungseinrichtungen sowie Juristen an gemeinsamen Zielen arbeiten. Das System beinhaltet einen Ma?nahmenkatalog mit konkreten Handlungsempfehlungen zur Erh?hung der Informationssicherheit in Kommunen und Verwaltungen. ?Die Universit?t Bamberg ist die erste bayerische Hochschule, die dieses Managementsystem für Informationssicherheit einführt und nach erfolgreichem Abschluss des Projekts eine Zertifizierung anstrebt“, erkl?rt Christian Kraus, Mitarbeiter des Rechenzentrums der Universit?t Bamberg und Leiter des ISIS12-Projekts, das von einem eigens dafür gegründeten IT-Sicherheitsteam durchgeführt wird. Aufgrund des Pilotcharakters des Projekts für andere Hochschulen wird der Aufwand der externen Projektf?rderung vom Bayerischen Staatsministerium für Bildung, Kultus, Wissenschaft und Kunst gef?rdert.

Konkreter Leitfaden hilft bei der Einrichtung des Systems

ISIS12 baut dabei auf dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik auf, der umfassende technische, infrastrukturelle, organisatorische und personelle Schutzvorkehrungen beinhaltet. Diese, für eine Universit?t meist zu umfangreichen, Ma?nahmen wurden vom Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitsclusters reduziert, zusammengefasst und vereinfacht. Sie ergeben so einen klaren, konkret anzuwendenden Leitfaden mit drei Phasen und insgesamt 12 Schritten, der im ersten Schritt zun?chst die Erstellung einer Leitlinie vorsah. Aktuell geht es nun im zweiten Schritt darum, die Mitarbeiterinnen und Mitarbeiter über die anstehenden Ma?nahmen zu informieren. Ein essentieller Punkt des Ma?nahmenkatalogs wird dann unter anderem ein Ist-Soll-Vergleich sein, der Aufschluss darüber gibt, in welchen Bereichen die Universit?t schon gut organisiert ist und wo anhand des Ma?nahmenkatalogs noch Ver?nderungen und Optimierungen n?tig sind.

Mitarbeiterinnen und Mitarbeiter Hilfestellungen geben

Ziel von ISIS12 ist es, die Vertraulichkeit, Verfügbarkeit und Unversehrtheit beziehungsweise Integrit?t von Daten zu gew?hrleisten und sie so sowohl vor Hackern als auch vor versehentlichem Fehlverhalten zu schützen. Dazu geh?rt es, die Mitarbeiterinnen und Mitarbeiter für die IT-Thematik zu sensibilisieren und sie in Schulungen gezielt mit den Informationssystemen vertraut zu machen. ?Wir m?chten den Kolleginnen und Kollegen klare und gut dokumentierte Hilfestellungen und Handlungsempfehlungen an die Hand geben, um ihnen mehr Sicherheit im Umgang mit IT-Diensten zu erm?glichen“, sagt Dr. Hartmut Plehn, Leiter des Rechenzentrums der Universit?t Bamberg und Mitglied des IT-Sicherheitsteams. ?Benutzeranfragen haben deutlich gemacht, dass dort aktuell noch ein Defizit besteht, an dem wir mit Hilfe des ISIS12-Leitfadens nun ansetzen wollen.“ Er hofft, dass sich durch Hilfestellungen dieser Art Bedrohungen durch beispielsweise virenverseuchte Links bek?mpfen lassen. ?Denn wer Gefahren wie diese erkennt, kann auch verantwortungsbewusst mit ihnen umgehen und informiert uns direkt über diese Mails, statt unbedacht auf den Link zu klicken“, so Plehn.

Anwendung der Ma?nahmen für 2018 geplant

Im Sommer 2018 soll die Anpassung der 12 Projektschritte auf die Universit?t Bamberg abgeschlossen sein. Die konkreten Ma?nahmen des Managementsystems werden dann voraussichtlich im Wintersemester 2018 zum Einsatz kommen. Da sich die IT-Bedrohungen immer wieder ver?ndern und neue hinzukommen, wird ISIS12 kein einmaliges Projekt bleiben. Vielmehr werden Ma?nahmen, Richtlinien und Konzepte nach dem ersten Durchlauf immer wieder an die aktuelle Sicherheitslage angepasst werden. Am 9. November wird es in der Personalversammlung konkretere Informationen zu ISIS12 geben. Dort erfahren die Universit?tsangeh?rigen auch, wie sie das Projekt aktiv unterstützen k?nnen.