Maßnahmenkatalog für mehr IT-Sicherheit
Immer häufiger wird in den Medien von Hackerangriffen und Sicherheitslücken berichtet. Auch die Universität Bamberg steht tagtäglich verschiedenen IT-Bedrohungen gegenüber: Der Zusammenbruch des Virtuellen Campus, die Fälschung von sensiblen Daten in FlexNow oder das unbedachte Anklicken eines Links mit Schadsoftware könnten große Schäden verursachen. Diese Risiken sollen durch die Einführung des „Informationssicherheitsmanagementsystems in 12 Schritten“ (ISIS12) eingedämmt und die Universitätsmitarbeiterinnen und -mitarbeiter fit für den Umgang mit den Informationssystemen gemacht werden.
ISIS12 wurde vom Bayerischen IT-Sicherheitscluster e.V. entwickelt, in dem Unternehmen der IT-Wirtschaft, Unternehmen, die IT-Sicherheitstechnologien nutzen, Hochschulen, weitere Forschungs- und Weiterbildungseinrichtungen sowie Juristen an gemeinsamen Zielen arbeiten. Das System beinhaltet einen Maßnahmenkatalog mit konkreten Handlungsempfehlungen zur Erhöhung der Informationssicherheit in Kommunen und Verwaltungen. „Die Universität Bamberg ist die erste bayerische Hochschule, die dieses Managementsystem für Informationssicherheit einführt und nach erfolgreichem Abschluss des Projekts eine Zertifizierung anstrebt“, erklärt Christian Kraus, Mitarbeiter des Rechenzentrums der Universität Bamberg und Leiter des ISIS12-Projekts, das von einem eigens dafür gegründeten IT-Sicherheitsteam durchgeführt wird. Aufgrund des Pilotcharakters des Projekts für andere Hochschulen wird der Aufwand der externen Projektförderung vom Bayerischen Staatsministerium für Bildung, Kultus, Wissenschaft und Kunst gefördert.
Konkreter Leitfaden hilft bei der Einrichtung des Systems
ISIS12 baut dabei auf dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik auf, der umfassende technische, infrastrukturelle, organisatorische und personelle Schutzvorkehrungen beinhaltet. Diese, für eine Universität meist zu umfangreichen, Maßnahmen wurden vom Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitsclusters reduziert, zusammengefasst und vereinfacht. Sie ergeben so einen klaren, konkret anzuwendenden Leitfaden mit drei Phasen und insgesamt 12 Schritten, der im ersten Schritt zunächst die Erstellung einer Leitlinie vorsah. Aktuell geht es nun im zweiten Schritt darum, die Mitarbeiterinnen und Mitarbeiter über die anstehenden Maßnahmen zu informieren. Ein essentieller Punkt des Maßnahmenkatalogs wird dann unter anderem ein Ist-Soll-Vergleich sein, der Aufschluss darüber gibt, in welchen Bereichen die Universität schon gut organisiert ist und wo anhand des Maßnahmenkatalogs noch Veränderungen und Optimierungen nötig sind.
Mitarbeiterinnen und Mitarbeiter Hilfestellungen geben
Ziel von ISIS12 ist es, die Vertraulichkeit, Verfügbarkeit und Unversehrtheit beziehungsweise Integrität von Daten zu gewährleisten und sie so sowohl vor Hackern als auch vor versehentlichem Fehlverhalten zu schützen. Dazu gehört es, die Mitarbeiterinnen und Mitarbeiter für die IT-Thematik zu sensibilisieren und sie in Schulungen gezielt mit den Informationssystemen vertraut zu machen. „Wir möchten den Kolleginnen und Kollegen klare und gut dokumentierte Hilfestellungen und Handlungsempfehlungen an die Hand geben, um ihnen mehr Sicherheit im Umgang mit IT-Diensten zu ermöglichen“, sagt Dr. Hartmut Plehn, Leiter des Rechenzentrums der Universität Bamberg und Mitglied des IT-Sicherheitsteams. „Benutzeranfragen haben deutlich gemacht, dass dort aktuell noch ein Defizit besteht, an dem wir mit Hilfe des ISIS12-Leitfadens nun ansetzen wollen.“ Er hofft, dass sich durch Hilfestellungen dieser Art Bedrohungen durch beispielsweise virenverseuchte Links bekämpfen lassen. „Denn wer Gefahren wie diese erkennt, kann auch verantwortungsbewusst mit ihnen umgehen und informiert uns direkt über diese Mails, statt unbedacht auf den Link zu klicken“, so Plehn.
Anwendung der Maßnahmen für 2018 geplant
Im Sommer 2018 soll die Anpassung der 12 Projektschritte auf die Universität Bamberg abgeschlossen sein. Die konkreten Maßnahmen des Managementsystems werden dann voraussichtlich im Wintersemester 2018 zum Einsatz kommen. Da sich die IT-Bedrohungen immer wieder verändern und neue hinzukommen, wird ISIS12 kein einmaliges Projekt bleiben. Vielmehr werden Maßnahmen, Richtlinien und Konzepte nach dem ersten Durchlauf immer wieder an die aktuelle Sicherheitslage angepasst werden. Am 9. November wird es in der Personalversammlung konkretere Informationen zu ISIS12 geben. Dort erfahren die Universitätsangehörigen auch, wie sie das Projekt aktiv unterstützen können.