Vorgehen bei Sicherheitsvorfällen oder bei Verdacht darauf
Informationssicherheitsvorfälle erfordern oft rasches Handeln. Man kann zumeist selber nicht sofort erkennen, ob die Folgen harmlos oder schwerwiegend sind. Bitte melden sie Auffälligkeit deshalb an den Service-Desk der Campus-IT, wo man eine erste Bewertung vornehmen und weitere Maßnahmen einleiten kann:
Informationssicherheits-Risiken und -Ereignisse können auch an den CISO gemeldet werden:
Eingaben werden auf Wunsch vertraulich behandelt.
Weitere Informationen zur Informationssicherheit an der HSD (intern)
Datenschutz- und Informationssicherheits-Management (DISM) an der HSD (intern)
Wozu brauchen wir Informationssicherheit an der HSD?
Gerade eine Hochschule ist auf Daten, Informationen und das daraus abgeleitete Wissen angewiesen: In Forschung und Lehre sind sie das primäre Gut und in der Verwaltung von Studenten und Mitarbeitern allgegenwärtig. Lehrbetrieb und Verwaltungsarbeit werden schnell beeinträchtigt, wenn Daten nur eingeschränkt oder gar nicht zur Verfügung stehen oder ihre Korrektheit in Frage steht. Personenbezogene Daten und wichtige Forschungsdaten müssen vertraulich behandelt werden und dürfen nicht in unbefugte Hände gelangen, da sonst Persönlichkeitsrechte der Hochschulmitglieder sowie Interessen und Ansehen der Hochschule und ihrer Mitarbeiter verletzt werden können. Deswegen müssen wir Daten und Informationen als wesentliche Werte der Hochschule schützen.
Geht es dabei nur um IT und Hacker?
Nein. Daten auf Papier müssen genauso geschützt werden wie die auf Festplatten und in Netzwerkkabeln. Landet eine Zeugniskopie aus Unachtsamkeit im Altpapier am Straßenrand so ist das genauso unschön, als wenn sie vom Server unbefugt heruntergeladen wird. Relevante Risiken gehen also nicht nur von absichtlichen und bösartigen Handlungen aus, sondern auch von Unachtsamkeit und technischem Versagen.
Worin besteht der Unterschied zum Datenschutz?
Die Informationssicherheit verfolgt das Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Informationen so zu schützen, dass der Ablauf der hochschulinternen Prozesse in Verwaltung, Lehre und Forschung nicht beeinträchtigt wird. In der Informationssicherheit wird die Perspektive der Hochschule eingenommen. Beim Datenschutz geht es hingegen darum, die Rechte und Freiheiten der Menschen zu schützen, deren personenbezogene Daten verarbeitet werden. Dazu sind neben des Vorliegens einer Rechtsgrundlage der Verarbeitung auch Datenschutzprinzipien wie Datensparsamkeit, Zweckbindung und Transparenz der Verarbeitung zu beachten. Im Datenschutz nimmt man die Perspektive des Betroffenen ein. Der enge Zusammenhang zwischen Informationssicherheit und Datenschutz wird aber deutlich wenn man bedenkt, dass die Wahrung der Betroffenenrechte schnell in Gefahr gerät, wenn personenbezogene Daten nicht vertraulich behandelt werden oder unkontrolliert abhanden kommen. Spätestens seit Inkrafttreten der DSGVO arbeiten Informationssicherheit und Datenschutz deshalb Hand in Hand. Die HSD trägt diesem Umstand Rechnung, indem sie Informationssicherheit und Datenschutz nicht isoliert betrachtet, sondern in einem gemeinsamen Management-System vereint (siehe unten).
Was ist ein Informationssicherheits-Management System?
Informationssicherheit entsteht nicht durch Technik allein. Stattdessen müssen ausgebildete und aufmerksame Menschen, Regelungen und Richtlinien, organisatorische Strukturen und Prozesse und zu guter Letzt die große Palette technologischer Maßnahmen miteinander kombiniert und koordiniert werden. Das resultierende Gesamtkonstrukt ist dann das Informationssicherheits-Management System. An der HSD werden Informationssicherheit und Datenschutz-Management in einem gemeinschaftlichen Datenschutz- und Informationssicherheits-Management (DISM) betrieben. Die Gesamtverantwortung für dieses System tragen kooperativ die Beauftragten für Datenschutz (DSB) und Informationssicherheit (CISO). DSB und CISO steuern und optimieren das DISM im Auftrag der Hochschulleitung. Dabei sind sie auf die Mithilfe vieler - wenn nicht aller - Hochschulmitglieder angewiesen.
