Ein Jahr im Zeichen der Informationssicherheit
Ich könnte diese Liste nach einem Jahr aktualisieren. Aber wenn ich auf das 2. Jahr im Amt schaue, dann ist ein Thema deutlich in den Vordergrund getreten: Informationssicherheit (=Infosec).
Seit dem 02.02.2022 haben wir einen Chief Information Security Officer – CISO. Prof. Dr.-Ing. Michael Tielemann ist Sonderbeauftragter der Universitätsleitung für Informationssicherheit. Was das genau bedeutet hat er im Interview mit den Kolleg:innen der Pressestelle ausführlich erklärt. Das waren zu dem Zeitpunkt für mich sehr abstrakte Begriffe, die aber in meinem Arbeitsalltag deutlich greifbarer geworden sind. Deswegen hier eine neue Aufstellung der aktuellen Themen:
- Awareness: Awareness bedeutet, dass Mitarbeiter:innen sensibilisiert werden für das Thema Informationssicherheit. Für die Awareness gab es z.B. Vorstellungen in den Fakultätsräten der Fakultäten, in den Abteilungen der ZUV, außerdem anlassbezogene Rundmails. Die wichtigsten Informationen, was Nutzer:innen tun können, um sich selbst und die IT-Infrastruktur der FAU zu schützen, habe ich auf der Intranetseite Awareness zusammen getragen. In Vorbereitung sind noch mehrere Awareness-Kampagnen, z.B. über Poster, weitere Rundschreiben, aber auch systematisierte Awareness-Schulungen.
- CISO-Sprechstunden: Seit März 2023 bietet der CISO eine Sprechstunde an, in der alle aktuellen Themen rund um die Informationssicherheit an der FAU diskutiert und besprochen werden. Monatlich am ersten Dienstag des Monats, 10:00-11:30 Uhr, keine Anmeldung nötig. Die nächsten Termine sowie der Zoom-Link sind auf der Seite der Informationstechnik (IT) und -sicherheit zu finden.
- Informationen: Die Informationen einer Universität sind ihr wichtigstes Gut. Die Informationen, die eine Universität generiert, werden als Wissen an Studierende vermittelt, als Forschungsergebnisse publiziert, in Patente umgewandelt. Andere Informationen werden nicht generiert, aber an der Universität gesammelt und verwaltet: Personenbezogene Daten von Studierenden, Mitarbeitenden, Forschenden, Lehrbeauftragten und vielen mehr. Alle diese Informationen sind schützenswert.
- Integrität: Integrität ist (mit Vertraulichkeit und Verfügbarkeit) eines der drei Ziele der Informationssicherheit. Das bedeutet, dass die Informationen nicht nachträglich und unerlaubt manipuliert wurden.
- IT-Krisenstab: Ein eigens eingerichteter Krisenstab, der bei IT-Krisen (z.B. Cyberangriffen) zusammentritt, Entscheidungen trifft und mit den Mitgliedern der FAU und der Öffentlichkeit kommuniziert.
- KRITIS: Unter dem Kürzel KRITIS (Kritische Infrastrukturen) werden Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen zusammengefasst. Das UKER gehört zum Beispiel zu dieser kritischen Infrastruktur. Die Verflechtungen in der IT von UKER und FAU werden aktuell auch unter dem Aspekt der Einhaltung gesetzlicher Regularien (BSIG) diskutiert.
- Mailzertifikat: Mailzertifikate sind ein nicht zu unterschätzendes Merkmal sicherer Kommunikation: Damit werden Phishingmails und somit auch diese Art von Cyberangriffen deutlich erschwert. Das Zertifikat wird für eine einzelne Person oder eine Funktionsmailadresse ausgestellt und mit ausgehenden Nachrichten mit versendet. Mailzertifikate werden für alle in der ZUV tätigen Nutzer:innen ausgerollt. Wenn Sie nicht abwarten möchten, bis Ihre Abteilung / Ihr Referat dran sind, können Sie auch außerhalb der Reihe ein Zertifikat beantragen. Wie das geht, habe ich im Videotutorial beschrieben.
- Notfallplan: Pläne, die aktuell erstellt werden/wurden, um einen bestmöglichen Umgang der FAU in einer IT-Krise sicherzustellen.
- Passwort: Gute Passwörter sind einer der besten Schutzmaßnahmen gegen die Übernahme von Accounts. Passwörter sollten immer komplex genug sein und nie für mehrere Accounts oder Anwendungen verwendet werden. Welche Tipps es gibt – zum Erstellen, aber auch zum Erinnern an gesetzte Passwörter – habe ich in einem Video zusammen gefasst.
- Passwortmanager: Passwortmanager sind Tools, um Passwörter sicher aufzubewahren und zu generieren. Die Verwendung eines solchen Tools wird dringend empfohlen!
- Penetrationsscans (auch Pentest genannt): Mit Pentestss wird die Sicherheit von Systembestandteilen und Netzwerken überprüft. Diese Tests verwenden die gleichen Methoden, die auch Angreifer:innen nutzen, um unautorisiert in das System einzudringen (Penetration). Ein solches Tool ist an der FAU im Einsatz und hat schon eine deutliche Erhöhung der Sicherheit bewirkt.
- Phishing (vom englischen „Fishing“ – fischen abgeleitet): Der Versuch, über gefälschte E-Mails an (Zugangs-) Daten zu kommen oder Malware einzuschleusen. Phishing-Mails werden immer raffinierter und schwerer zu durchschauen. Ein Beispiel habe ich in einem Blogbeitrag aufgeführt, auch das RRZE macht regelmäßig auf das Thema aufmerksam.
- Schutzbedarf: Der Schutzbedarf einer Information ergibt sich aus den drei Zielen der Informationssicherheit: Integrität, Verfügbarkeit und Vertraulichkeit.
- Security Operations Center (SOC): Seit Anfang des Jahres hat die FAU einSecurity Operations Center eingerichtet und in Betrieb genommen. Die dortigen Kolleginnen und Kollegen werden in Kürze ausführlicher vorgestellt, deswegen nur einen Ausblick auf ihre Themen: Risiko-Management, Schwachstellen- und Security-Incident-Management und Notfall-Management.
- Verfügbarkeit: Verfügbarkeit ist (mit Integrität und Vertraulichkeit) eines der drei Ziele der Informationssicherheit. Das bedeutet, dass die Informationen dann verfügbar sind, wenn sie benötigt werden.
- Vertraulichkeit: Vertraulichkeit ist (mit Integrität und Verfügbarkeit) eines der drei Ziele der Informationssicherheit. Das bedeutet, dass nur berechtigte Personen Zugriff haben auf Informationen.
Es war also wieder ein aufregendes, abwechslungsreiches, interessantes und ergiebiges Jahr im CIO-Office. Ich bin jetzt schon gespannt, was das 3. Jahr in dieser Funktion mit sich bringen wird.
Aber erstmal allen Eltern starke Nerven für die Osterferien und uns allen einen baldigen echten Frühlingsbeginn.
Dr. Monica Hinrichs-Mayer, 31.03.2023