Sicherheit
Informationssicherheitsmanagement an der FAU
Im Falle eines Cyberangriffs...
Lesen Sie bitte direkt hier weiter: Leitfaden Cyberangriff (BVSW)
Der Begriff der Informationssicherheit adressiert eine organisatorisch, technische Managementaufgabe. Informationssicherheit sichert die Vertraulichkeit (confidence), Verfügbarkeit (availability) und Integrität (integrity) von schützenswerten Informationen (assets). Die damit einhergehenden Schutzziele können nur durch ein zyklisches Zusammenspiel unterschiedlichster Maßnahmen erreicht werden.
Wichtige Bestandteile eines Informationssicherheitsmanagements sind daher unter anderem technische und organisatorische Sicherheitsmaßnahmen und Maßnahmen zur Verbesserung der Awareness. Awareness steht für Risikobewusstsein aller involvierten Menschen (Universitätsangehörige) und spielt eine entscheidende Rolle. Jeder muss einen Beitrag zur Informationssicherheit leisten, denn klar ist: „Informierte Menschen sind die beste Firewall“.
Generell gilt es Risiken zu erkennen, diese zu minimieren und Gefahren und Bedrohungen für die FAU abzuwenden.
Damit die Informationssicherheit systematisch verbessert werden kann, werden ein Informationsmanagementsystem, Richt- und Leitlinien entwickelt und durch die UL in Kraft gesetzt. Eine umfassende Richtlinie zur Verwendung von mobilen und privaten Geräten (Bring Your Own Device – BYOD) und zur „Datenklassifizierung“ an der FAU ist in Bearbeitung und wird nach Verabschiedung durch die UL veröffentlicht.
Ein erstes informelles Kondensat aus den entstehenden Leitlinien zum Einsatz dienstlicher und privater Geräte (technische und organisatorische Sicherheitsmaßnahmen), verbindliche Datenklassifikation bezüglich Vertraulichkeit (confidence), Verfügbarkeit (availability) und Integrität (protection) sowie weitere Informationen zur Informationssicherheit finden Sie in den folgenden Abschnitten.
Technische und organisatorische Sicherheitsmaßnahmen
Alle Geräte, die dienstlich verwendet werden, müssen folgende Voraussetzungen erfüllen:
- Alle Geräte sind zwingend mit einer sicheren Zugriffssperre (z. B. Pin-Code, Kennwort) zu versehen, um eine unbefugte Nutzung mit hoher Wahrscheinlichkeit auszuschließen
- Dienstlich genutzte mobile und private Geräte müssen sich bei Inaktivität automatisch sperren. Grundsätzlich ist eine maximale Dauer von 10 Minuten vorzusehen, für Smartphones von 2 Minuten
- Bei der Verwendung von Internetanbindungen oder direkten Dial-in Verbindungen für den Zugriff, die Speicherung und die Verarbeitung proprietärer Daten (Daten im Eigentum der FAU) müssen sicher verschlüsselte Verbindungen nach Stand der Technik (z.B. vpn, https, ftps, ssl, tls) verwendet werden
- Der Zugriff, die Speicherung und die Verarbeitung proprietärer Daten mit mobilen oder privaten Geräten werden nach Datenvertraulichkeitsklassen (siehe Abschnitt „Confidence Class“) durch die Informationseigentümer/in (siehe Abschnitt „Informationseigentümer“) wie folgt zugelassen:
| Confidence Class (CC) | Einschränkung |
| CC0: öffentlich | keine Einschränkung |
| CC1: intern | sichere Aufbewahrung des Gerätes |
| CC2: vertraulich | verschlüsselte Datenspeicherung |
| CC3: streng vertraulich | verschlüsseltes Gerät und sichere Aufbewahrung des Geräts |
- Schnittstellen und Funktionen (z.B. Bluetooth, WLAN, Entwicklermodus) sollen auf dienstlich genutzten mobilen Geräten nur aktiviert sein, während sie benötigt werden
- Die Speicherung von proprietären Daten der FAU mit den Vertraulichkeitsstufen CC1, CC2 und CC3 ist in Cloud Systemen außerhalb des FAU-Netzwerkes (z.B. iCloud, Google Drive, WhatsApp etc.) nicht zulässig
- Datenträger in mobilen Geräten sind grundsätzlich zu verschlüsseln, um gespeicherte Daten der CC1 und höher bei Verlust des Gerätes zu schützen. Andernfalls ist die Verwendung der Geräte nicht erlaubt
- Betriebssysteme sind regelmäßig – im Idealfall automatisiert – zu aktualisieren. Insbesondere sind sicherheitskritische Aktualisierungen umgehend und alle anderen Updates innerhalb von 14 Tagen zu installieren
- Ein Android Rooting, iOS Jailbreak und vergleichbare Eingriffe in Betriebssysteme bei Geräten mit dienstlicher Nutzung sind grundsätzlich nicht gestattet
- Die Nutzung von Geräten mit dem bekannten Sicherheitslücken ist grundsätzlich nicht zulässig
- Zum Schutz vor Schadprogrammen ist auf mobilen und privaten Geräten mindestens die vom Betriebssystem vorgesehene Malware Protection-Software („Virenscanner“) und automatisierte Aktualisierung zu aktivieren
- Es ist nur Software aus vertrauenswürdigen Quellen zulässig
- Achten Sie auf eine korrekte Lizensierung der eingesetzten Software (das Risiko einer Compliance-Verletzung besteht für den Nutzer und die FAU)
- Zur Nutzung mobiler und dienstlich genutzter, privater Geräte sind – soweit technisch möglich – privilegierte Zugangskonten zu vermeiden (keine Administrationsrechte). Zugangskonten mit administrativen Privilegien dürfen nur temporär und ausschließlich zu administrativen Zwecken verwendet werden
Beachten Sie auch, dass Sie nur auf proprietäre Informationen der FAU zugreifen, diese verwenden oder weitergeben dürfen, soweit es zur Erfüllung Ihrer Dienstaufgaben berechtigt und erforderlich ist.
Informationseigentümer/-in
Führungskräfte, Professorinnen und Professoren sind als Informationseigentümer/-in für die Einhaltung der Informationssicherheit in ihrem Führungsbereich verantwortlich. Im Rahmen dieser Verantwortung als Informationseigentümer/-in sind sie aufgefordert die Maßnahmen zum Schutz der Informationen zu kontrollieren.
Sie/Er bestimmt unter Einbeziehung weiterer relevanter Verantwortlicher die Vertraulichkeitsklasse (Confidence Class CC0 bis CC3), für diejenigen Informationen, die in ihrem Führungsbereich an der Universität verarbeitet werden. Sie/Er erstellt hierzu gegebenenfalls entsprechende Handlungsanweisungen für den von ihr/ihm geführten Fachbereich/Abteilung und die darin tätigen Mitarbeiter/-innen. Das schließt Informationen, die von Externen nicht klassifiziert zur Verfügung gestellt werden, ein.
Insbesondere obliegen der/dem Informationseigentümer/-in dabei folgende Aufgaben:
- Erteilen von Zugriffsberechtigungen für Informationen
- Definieren von Verfügbarkeitsanforderungen
- verantwortlich für inhaltliche Änderungen
- Aufklärung des berechtigten Personenkreises über Schutzmaßnahmen
Vertraulichkeitsklassen (Confidence Class)
- CC0: öffentlich: Informationen zur uneingeschränkten Veröffentlichung. Zu diesen Informationen zählen freigegebene Presse- oder Marketinginformationen und Informationen, die auf der Universitätsseite im Internet veröffentlicht werden.
- CC1: intern: Informationen, die nur für Universitätsangehörige bestimmt und für den täglichen Dienstbetrieb notwendig sind. Nicht gekennzeichnete Informationen gelten grundsätzlich als „intern“ soweit deren Art und Inhalt nicht einen höherwertigen Schutz erforderlich machen oder es sich nicht um öffentliche Informationen (CC0) handelt.
- CC2: vertraulich: Informationen, die bei Veröffentlichung oder Verlust zu einem Schaden oder Imageverlust der Universität führen können, sowie personenbezogene Daten im Sinne der geltenden datenschutzrechtlichen Bestimmungen.
- CC3: streng vertraulich: Informationen, bei denen die unberechtigte Einsichtnahme unter allen Umständen verhindert werden muss. Dazu zählen insbesondere aufgrund vertraglicher Verpflichtungen geheim zu haltende Informationen.
Universitätsangehörige
Universitätsangehörige sind die in Art. 17 Mitglieder der Hochschule BayHSchG sowie in § 17b und c GrundO FAU definierten Personenkreise.
Aktuelle Informationen zu Informationssicherheit im Blog
- Gute Vorsätze für das neue Jahr? Passwortmanager! (14.02.2023)
- Cyberangriff an der FH Münster: Lessons learned (15.11.2022)
- Die Einschläge kommen immer näher… (28.10.2022)
- Woher ich weiß… (15.09.2022)
Weitere Informationen zu Informationssicherheit
Diese Seite befindet sich in Aufbau und wird kontinuierlich überarbeitet und ergänzt.