Regel 1: Leitlinie der Hochschulleitung zur IT-Sicherheit

Zielgruppe : Instituts- und Einrichtungsleiter

Motivation

Während die IT in einigen Bereichen der Universität den Forschungs- und Lehrbetrieb nur unterstützt, sind andere Bereiche von der Verfügbarkeit der IT sowie der Integrität und Authentizität der verarbeiteten Informationen hochgradig abhängig. Nach der Feststellung relevanter IT-Systeme müssen Bedrohungen und Risiken festgestellt, geeignete Gegenmaßnahmen gefunden und implementiert werden.

Verbindliche Anforderungen

Folgende IT-Sicherheitsziele sind für die Einrichtungen der Universität richtungsweisend:

• In den einzelnen Einrichtungen der Universität ist ein IT-Sicherheitsniveau zu gewährleisten, dass den jeweils erforderlichen Schutz der IT und der verarbeiteten Daten angemessen sicherstellt.

Dazu ist sicherzustellen, dass

• Vertrauliche Daten für Unbefugte nicht zugänglich sind (Prinzip Vertraulichkeit);

• Daten dürfen nicht unerwünscht manipuliert werden können (Prinzip Integrität);

• IT-Einrichtungen und Daten gemäß Erforderlichkeit verfügbar sind (Prinzip Verfügbarkeit);

• Urheberschaft und Unverfälschtheit wichtiger Daten zweifellos nachvollziehbar sind (Prinzip Authentizität);

• wichtige IT-Systeme verlässlich, beherrschbar und revisionsfähig sind;

• Systemnutzer verantwortungsbewusst, sensibilisiert und mit dem erforderlichen Know-how ausgestattet sind;

• Bei einem Höchstmaß an Sicherheit keine unangemessene Einschränkung der Arbeitsmöglichkeiten erfolgt.

Daneben sind

• die rechtlichen Bestimmungen des Datenschutzes einzuhalten;

• Kosten im Schadens- oder Missbrauchsfall gering zu halten;

• gesetzliche Bestimmungen beim Transfer von Know-How, das der Proliferation unterliegt, einzuhalten;

• die Interessen von Vertragspartnern im Rahmen von Drittmittelprojekten zu wahren.

Um diese Ziele erreichen zu können, richtet die Leitung der Universität ein IT-Sicherheitsmanagement ein und übergibt ihm die Organisation folgender grundlegender Aufgaben:

1. Analyse der IT und Netze der Institute orientiert am IT-Grundschutzmodell des Bundesamts für Sicherheit in der Informationstechnik (BSI).

2. Feststellung besonders schutzbedürftiger IT-Systeme, ihrer besonderen Risiken und ihres aktuellen Sicherheitsstatus'.

3. Bestimmung der für die jeweilige Einrichtung notwendigen Sicherheitsmaßnahmen.

4. Beratung durch das RRZE bei der Erstellung lokaler Sicherheitskonzepte in den Instituten;

5. Weitgehender Rückgriff auf vorhandene Dienstleistungen des RRZE bei der Durchführung der erforderlichen und geeigneten Maßnahmen.

Empfehlungen zur Umsetzung

1. IT-Sicherheit muss ein gemeinsames Anliegen aller Bestandteile der Universität sein. Die Unterstützung des IT-Sicherheitsmanagements liegt aber auch im Eigeninteresse jeder einzelnen Einrichtung.

2. Jede Einrichtung kann durch aktive Mitarbeit (unter anderem im IT-Sicherheitsforum) Bedeutung, Ziele und Aktivitäten des IT-Sicherheitsmanagements konstruktiv mitgestalten und mitsteuern.

Letzte Änderung: 13. Maerz 2012, Historie