Das Projekt BaKISS – so geht Informationssicherheit an der FHWS
Viele Maßnahmen wurden bereits umgesetzt. Mit der Einrichtung des Informationssicherheitsausschusses wurde ein Gremium geschaffen, das Themen der Informationssicherheit diskutiert und alle Gruppen der Hochschulangehörigen vertritt. Mit der Stabsstelle Informationssicherheit und Datenschutz ist sichergestellt, dass die dort beschlossenen Punkte umgesetzt werden. Mit diesen und anderen Maßnahmen stellen wir sicher, dass die Daten unserer Hochschulangehörigen stets in sicheren Händen sind. Um die Angehörigen selbst fit für Informationssicherheit zu machen, betrachtet ein Teil unseres Konzepts auch die Sensibilisierung der Anwender. Denn nur, wenn die Informationssicherheit von den Hochschulangehörigen auch gelebt wird, kann das erarbeitete Konzept Früchte tragen.
Wie in Abbildung 1 ersichtlich, setzt sich das Basiskonzept aus mehreren Dokumenten auf drei Ebenen zusammen. Die oberste Ebene ist die Leitlinie für Informationssicherheit, die das grundlegende Dokument für die Informationssicherheit an der Hochschule darstellt. Die Inhalte der Dokumente werden nach unten zunehmend konkreter. Verschiedene Konzepte und Richtlinien geben Aufschluss darüber, was zum Schutz der Informationssicherheit an der Hochschule getan werden muss. Die Arbeitsanweisungen definieren wie die Konzepte und Richtlinien an der Hochschule konkret umgesetzt werden. Die Arbeitsanweisungen sind für die Hochschulangehörigen die wohl wichtigsten Dokumente, da sie den Arbeits- und Studiums Alltag direkt beeinflussen. So wird eine der zukünftigen Arbeitsanweisungen beispielsweise beschreiben, wie mit USB-Sticks umgegangen werden soll. Wir achten bei der Umsetzung aber jederzeit darauf, die Prozesse so zu gestalten, dass sie den Arbeitsalltag nicht behindern.
Die Organisation der Informationssicherheit an der Hochschule und die verschiedenen Rollen und Gremien (z. B. der Informationssicherheitsausschuss) werden ebenfalls im Basiskonzept vorgestellt. Ein Konzept zur Klassifikation von Informationen und Informationssicherheitsrichtlinien für mobile Endgeräte, Passwörter, Wechseldatenträger und Software befinden sich aktuell noch im Entwurfsstadium. Weiterhin wurden Vorgaben zur Dokumentation, die Struktur für ein IT-Notfallhandbuch und das IT-Risikomanagement behandelt.
Für das Thema Sensibilisierung für Informationssicherheit werden im Basiskonzept verschiedene Bereiche für die zukünftigen Sensibilisierungsmaßnahmen festgelegt. Diese Bereiche sind: Passwörter, mobile Endgeräte, Wechseldatenträger, E-Mail und Arbeitsplatz. Die Inhalte der Maßnahmen richten sich dann nach den Vorgaben der Richtlinien und Arbeitsanweisungen. Ein weiteres wichtiges Instrument zur Sensibilisierung der den Hochschulangehörigen ist die Kommunikation. Die Homepage für Informationssicherheit und Datenschutz stellt dabei den Mittelpunkt der Kommunikation dar, auf der alle Neuigkeiten gesammelt werden. Als weitere Kanäle werden die Social Media-Accounts der Hochschule und E-Mails verwendet. Wichtige Dokumente werden im Intranet zur Verfügung gestellt.
Aktuell sind die im Basiskonzept vorgestellten Konzepte und Richtlinien noch größtenteils im Entwurfsstadium. Das Basiskonzept wird bis Ende 2019 zu einem vollständigen Informationssicherheitskonzept erweitert.