Leitlinie für Informationssicherheit

Einführung

Der Betrieb einer Hochschule hängt in hohem Maße von IT-Dienstleistungen ab. Das
Vertrauen der Benutzerinnen und Benutzer in die Informationstechnik bildet die Grundlage
für ihren erfolgreichen Einsatz. Um dieses Vertrauen zu rechtfertigen, muss die Sicherheit von
Informationen und Informationstechnik hochschulweit gewährleistet sein.


Die vorliegende Leitlinie für Informationssicherheit definiert grundsätzliche Regelungen zur
Informationssicherheit an der Technischen Hochschule Würzburg-Schweinfurt (im Folgenden
„THWS“ oder „Hochschule“). Die Leitlinie bildet die Grundlage des
Informationssicherheitskonzepts der Hochschule. Als Rahmendokument legt sie den
Stellenwert und die Ziele der Informationssicherheit fest. Die Leitlinie ergänzt bestehende
Richtlinien der Hochschule und steht im Einklang mit geltenden gesetzlichen Regelungen und
anderen relevanten Vorschriften.


Die Hochschulleitung hat die Gesamtverantwortung für die Informationssicherheit an der
THWS. Damit die Hochschulleitung dieser Verantwortung angesichts einer stetig wachsenden
Bedrohung der sich rasch weiterentwickelnden Technik nachkommen kann, müssen sämtliche
Einrichtungen der Hochschule Informationssicherheit als gemeinsame Herausforderung
begreifen und die Verantwortlichen in der Bewältigung der Aufgaben unterstützen. Diese
übergreifenden Aufgaben sollen auf der Basis dieser Leitlinie durch das
Informationssicherheitsmanagement bewältigt werden.

 

Stellenwert der Informationssicherheit

Die THWS ist eine der größten Hochschulen für angewandte Wissenschaften in Bayern. Der
reibungslose Ablauf aller Prozesse in der Lehre, Forschung und Verwaltung der THWS hängt in
hohem Maße von der Qualität von IT-Dienstleistungen ab. Die Digitalisierungsstrategie der
Hochschule unterstreicht die wichtige Rolle der IT. Neben der Vermittlung digitaler
Kompetenzen an die Studierenden liegt unter anderem auch die stärkere Digitalisierung der
hochschulinternen Prozesse im Fokus dieser Strategie.


Mit der Digitalisierung steigen die Anforderungen an die Informationssicherheit in der
Hochschule. Die drei wesentlichen Schutzziele der Informationssicherheit sind Vertraulichkeit,
Integrität und Verfügbarkeit. Ein System gilt als informationssicher, wenn es keine Zustände
annimmt, die zu unautorisierter Informationsveränderung oder -gewinnung führen. Die
kontinuierliche Verbesserung des Informationssicherheitskonzepts gewährleistet, dass die
Hochschule ihre Aufgaben erfüllen kann, indem IT-gestützte Prozesse sicher und fehlerfrei
ablaufen.

 

Geltungsbereich

Die Leitlinie ist verpflichtend für alle Mitglieder der Hochschule gemäß BayHSchG Art. 17 Abs. 1
(z. B. Studierende, Dozenten, Lehrbeauftragte, wissenschaftliches und technisches Personal,
Verwaltungsangestellte, Hochschulleitung und ehemalige Angehörige der THWS) sowie für
Gäste, sofern Sie Zugang zu hochschulinternen Informationen erlangen oder die Informationstechnik
der Hochschule verwenden. Die Richtlinie betrifft alle organisatorischen Einheiten
(z. B. Fakultäten, Institute, Stabsstellen, Hochschulservices, zentrale Einrichtungen) sowie alle
Projektorganisationen an allen Standorten der THWS.

 

Ziele der Informationssicherheit

Mit der Stärkung der Informationssicherheit will die THWS insbesondere folgende Ziele
erreichen:

  1. Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und
    der zu Grunde liegenden Informationstechnik unter Berücksichtigung ihrer jeweils
    spezifischen Anforderungen, insbesondere der Schutz der IT-Infrastruktur und der damit
    verarbeiteten Informationen gegen Missbrauch von innen und außen.
  2. Sicherstellung einer zuverlässigen IT-Unterstützung des Lehr-, Forschungs- und Verwaltungsbetriebes.
  3. Einhaltung gesetzlicher Vorgaben im Umgang mit Informationen und Informationstechnik.
  4. Aufrechterhaltung der positiven Außendarstellung der Hochschule in der Öffentlichkeit.


Absolute Informationssicherheit gibt es nicht. Daher ist das Ziel der Hochschule, die Risiken,
die mit dem Betrieb der IT-Infrastruktur und der Verarbeitung von Informationen
einhergehen, auf ein akzeptables Maß zu reduzieren. Die umzusetzenden
Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden
stehen, der durch das Eintreten eines Sicherheitsvorfalls erwartet wird. Zudem sind die
Sicherheitsmaßnahmen mit den Anforderungen der akademischen Freiheit abzuwägen. Die
Priorisierung der Maßnahmen erfolgt anhand des jeweiligen Risikoprofils von Informationen
und Informationstechnik.

 

Informationssicherheitsmaßnahmen

Die Hochschule ergreift die technischen und organisatorischen Maßnahmen, die notwendig
sind, um die oben genannten Ziele zu erreichen. Dazu etabliert die THWS ein
Informationssicherheitsmanagementsystem (ISMS), welches sich an der Vorgehensweise
eines zertifizierbaren Standards orientiert. Die einzelnen Maßnahmen orientieren sich am
Grundschutzkompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das
ISMS und die Einhaltung der technischen und organisatorischen Maßnahmen werden
regelmäßig auf Aktualität und Wirksamkeit geprüft, um das angestrebte Sicherheitsniveau
beizubehalten.


Das geforderte Maß an Informationssicherheit kann an der Hochschule nur erreicht werden,
wenn alle Angehörigen der Hochschule die eigenen Kompetenzen und Pflichten kennen und
sich verantwortungsbewusst verhalten. Um die notwendigen Kompetenzen zur
Informationssicherheit aufzubauen bzw. zu vertiefen, werden alle Hochschulangehörigen im
erforderlichen Umfang sensibilisiert und qualifiziert sowie regelmäßig und anlassbezogen über
informationssicherheitsrelevante Themen und Regelungen informiert.

 

Organisationsstruktur und Verantwortlichkeiten für das Informationssicherheitsmanagement

Die Hochschulleitung hat die Gesamtverantwortung für die Informationssicherheit an der
THWS. Sie steht in vollem Umfang hinter den in dieser Leitlinie formulierten Zielen und den
daraus abgeleiteten und abzuleitenden Maßnahmen.


Alle Hochschulangehörigen tragen die Verantwortung, bestimmungsgemäß und sachgerecht
mit den von ihnen genutzten Informationen und der Informationstechnik der Hochschule
umzugehen. Sie sind angehalten, alle Regeln zur Informationssicherheit, wie auch in der IT-
Benutzungsordnung beschrieben, auf ihren Tätigkeitsbereich anzuwenden.


Die komplette Organisationsstruktur für das Informationssicherheitsmanagement ist im
Dokument „Informationssicherheits- und Datenschutzmanagement – Organisationskonzept“
beschrieben.


Umsetzung der Leitlinie

Die Hochschulleitung setzt die Leitlinie in Kraft. Alle Hochschulangehörigen erlangen Kenntnis
von der Leitlinie und erkennen sie an. Die Hochschulleitung motiviert die Hochschulangehörigen zur
Einhaltung dieser Leitlinie und unterstützt die ständige Verbesserung des Sicherheitsniveaus.
Alle Angehörigen der Hochschule sind angehalten, Verbesserungsvorschläge das ISMS betreffend
an die Verantwortlichen zu melden.

 

Würzburg, den 28.10.2025

Der Präsident – Prof. Dr. Jean Meyer