Universität Bamberg ist erste deutsche Hochschule mit ISIS12-Zertifizierung
Ein unbedachter Klick auf einen Link und schon kann eine versehentlich heruntergeladene Software große Schäden im IT-System anrichten. Die Universität Bamberg sieht sich tagtäglich mit solchen Bedrohungen konfrontiert. Das vom Rechenzentrum am Übergang zwischen Internet und Hochschulnetz betriebene „Intrusion Prevention System“ (IPS) registriert und blockiert sekündlich Angriffsversuche. So werden aktuell jeden Tag etwa 30.000 Angriffe abgewehrt. Mit der 2017 begonnenen Einführung des „Informationssicherheitsmanagementsystems in 12 Schritten“ (ISIS12) wurden diese Risiken eingedämmt. Das Projekt ist seit April abgeschlossen. Im Juli kam die Urkunde von DQS, der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen, die die IT-Sicherheit und die Umsetzung der Maßnahmen des Systems ISIS12 an der Universität geprüft hat. „Wir freuen uns sehr darüber, die erste deutsche Universität zu sein, die die ISIS12-Zertifizierung erreicht hat und möchten zum Start des Wintersemesters noch einmal besonders auf die Neuerungen aufmerksam machen", sagt Dr. Hartmut Plehn, Leiter des Rechenzentrums der Universität und Mitglied im IT-Sicherheitsteam. „Viele andere Universitäten haben sich noch nicht getraut, diese Schritte zur Verbesserung der IT-Sicherheit zu gehen, weil sie mit einem hohen Aufwand verbunden sind. Und dies obwohl sich alle IT-Verantwortlichen einig sind, dass man den zunehmenden Bedrohungen nur mit einem Informationssicherheitsmanagementsystem adäquat begegnen kann."
Ziel: Sensibilisierung der Universitätsangehörigen
Doch was bedeuten die Maßnahmen, die für die Zertifizierung nötig waren, für die Mitglieder der Universität? „Das übergeordnete Projektziel war die Sensibilisierung der Universitätsangehörigen für das komplexe Thema der IT-Sicherheit. Am deutlichsten zu spüren sind die Maßnahmen wahrscheinlich bei den E-Mails", sagt Hartmut Plehn. Um zum Beispiel mögliche Phishing-Mails, durch die unter anderem Schadsoftware in das IT-System der Universität gelangen kann, besser erkennen zu können, werden seit einiger Zeit alle E-Mails, die von externen Adressen an Universitätsangehörige gesendet werden, mit dem Kürzel [Ext] gekennzeichnet. Außerdem gibt es ein Versandlimit von 200 E-Mails je Tag bei persönlichen E-Mail Konten und 5000 E-Mails bei aufgabenbezogenen Konten. Über Phishing-Mails versuchen Kriminelle, sich Zugangsdaten von Universitätsmitgliedern zu verschaffen und deren Mailaccounts zu missbrauchen, um weitere schädliche E-Mails und Spam an externe E-Mail Adressen zu senden. Das führte in der Vergangenheit schon mehrfach dazu, dass die Server der Universität zeitweise in Mailsystemen großer Anbieter gesperrt wurden, sodass dorthin tagelang gar keine E-Mails mehr versendet werden konnten oder diese nur sehr verzögert zugestellt wurden.
Universitätsmitglieder sollen IT-Dienste sicher nutzen können
„Ein weiterer Baustein des Projekts war die Unterstützung und Befähigung der Universitätsmitglieder zur sicheren Nutzung der IT-Dienste", erklärt Hartmut Plehn. Projektleiter Christian Kraus organisierte die Erstellung von Leitfäden, die den Universitätsangehörigen zum Beispiel bei der Nutzung von Cloud-Diensten oder den Druckern und Kopierern helfen sollen. Ein Leitfaden erklärt auch, auf welche sicherheitsrelevanten Aspekte bei der Arbeit vom heimischen Schreibtisch aus zu achten ist. Das hat besonders in Corona-Zeiten zusätzlich an Bedeutung gewonnen. Außerdem wurden neue Richtlinien für die Nutzung der Informationsverarbeitungssysteme der Universität Bamberg erstellt. Im Rahmen der jährlich stattfindenden Arbeitssicherheitsschulung gab es bereits 2019 einen Themenblock zur Informationssicherheit. „Gerade dieses Thema ist noch nicht abgeschlossen", sagt Plehn. In Planung seien momentan Mini-Sicherheitsunterweisungen, auf die jedes Universitätsmitglied jederzeit online Zugriff haben soll. In einem interaktiven Format gehe es dabei zum Beispiel um die oben genannten Phishing-Mails und wie man diese erkennen kann.
IT-Sicherheit ist ein Prozess
„IT-Sicherheit ist kein Zustand, sondern ein Prozess“, erläutert Hartmut Plehn. „Hacker finden neue Angriffsmethoden und auch die technische Entwicklung schreitet kontinuierlich voran.“ Dementsprechend müsse auch die Universität reagieren. In den kommenden Jahren stehe vor allem die Sicherheit der Endgeräte, also insbesondere der Computer der einzelnen Universitätsmitarbeiterinnen und -mitarbeiter, auf der Agenda. Denn auch hier drohe beispielsweise beim Download von Software Gefahr für die IT-Sicherheit der Universität. Und auch die Zertifizierung wird regelmäßig auf den Prüfstand gestellt: Im kommenden Jahr gibt es einen Kontrollaudit und anschließend alle drei Jahre eine Reauditierung. „Wir wollen die Universitätsangehörigen mit den Maßnahmen nicht gängeln, sondern eine Hilfestellung bei der sicheren Nutzung der Informationstechnik bieten“, erklärt Hartmut Plehn. Und bisher werde das auch sehr gut angenommen. Täglich erreichen das Rechenzentrum Hinweise aufmerksamer Beschäftigter zu Spam- und Phishing-Mails, die als solche erkannt und nicht befolgt wurden.
Weitere Informationen zu ISIS12 und IT-Sicherheit an der Universität
Die neuen Nutzungsrichtlinien für die Informationsverarbeitungssysteme finden Sie hier, die Leitfäden zur IT-Sicherheit hier.