Direkt zum Inhalt springen
Menü

Informationssicherheit und Datenschutz an der Hochschule

Die Aufgaben des IT-Sicherheitsbeauftragten

Die Aufgaben des IT-Sicherheitsbeauftragten sind in der IT-Sicherheitsleitlinie der Hochschule festgelegt, die sich an den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen IT-Grundschutzstandards orientiert. Sie wird derzeit überarbeitet.

Der IT-Sicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Institution. Er berät die Hochschulleitung in Fragen der Informationssicherheit und unterstützt sie bei der Umsetzung. Seine Aufgaben umfassen unter anderen:

  • den Informationssicherheitsprozess zu steuern und bei allen damit zusammenhängenden Aufgaben mitzuwirken,
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
  • die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
  • der Leitungsebene über den Status quo der Informationssicherheit zu berichten, 
  • sicherheitsrelevante Projekte zu koordinieren,
  • Sicherheitsvorfälle zu untersuchen und
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren.

Der IT-Sicherheitsbeauftragte ist außerdem bei allen größeren Projekten, die deutliche Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungen und IT-Systeme zu beteiligen, um die Beachtung von Sicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.

Aktuelle Warnstufe

Stufe 3: Gesteigerte Bedrohung

Einige IT Dienste sind für bestimmte Nutzer eingeschränkt.

Am IT-Sicherheitsprozess der Hochschule sind neben dem IT-Sicherheitsbeauftragten folgende Gremien und Funktionsträger verantwortlich beteiligt:

  • das IT-Sicherheitsmanagement-Team (SMT),
  • die Abteilung Datenverarbeitung,
  • die Fachbereiche,
  • die Verwaltungsabteilungen, Referate und andere Einrichtungen.

Das SMT setzt sich aus folgenden Personen zusammen:

  • dem Kanzler als Vertreter der Hochschulleitung,
  • dem CIO,
  • dem IT-Sicherheitsbeauftragten,
  • dem Datenschutzbeauftragten,
  • dem Leiter der Abteilung Datenverarbeitung,
  • den IT-Beauftragten der Fachbereiche und Einrichtungen.

Das SMT unterstützt den IT-Sicherheitsbeauftragten, indem es übergreifende Maßnahmen in der Hochschule koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt. Aufgaben des SMT sind insbesondere:

  • Informationssicherheitsziele und -strategien zu bestimmen sowie die Leitlinie zur Informationssicherheit zu entwickeln,
  • die Umsetzung der Sicherheitsleitlinie zu überprüfen,
  • den Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren,
  • bei der Erstellung des Sicherheitskonzepts mitzuwirken,
  • zu überprüfen, ob die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind,
  • die Schulungs- und Sensibilisierungsprogramme für Informationssicherheit zu konzipieren sowie
  • das strategische IT-Team und die Hochschulleitung in Fragen der Informationssicherheit zu beraten.

Die Abteilung Datenverarbeitung ist für die system-, netz- und betriebstechnischen Aspekte der IT-Sicherheit verantwortlich, die in Form von Sicherheitsrichtlinien hochschulweit bekannt gemacht werden. Hierzu zählt auch die Definition von Prozessen zur Gewährleistung der IT-Sicherheit. Sie arbeitet in diesen Bereichen eng mit dem IT-Sicherheitsbeauftragten zusammen.

Die IT-Sicherheit an der Frankfurt University of Applied Sciences orientiert sich an folgenden Grundsätzen:

  • Die Frankfurt University of Applied Sciences ist bestrebt, eine offene IT-Infrastruktur zu betreiben und einen offenen Informationsaustausch zu gewährleisten, sofern keine dienst-, urheber- und datenschutzrechtlichen Belange verletzt werden.
  • Unter IT-Sicherheit wird der Schutz von Informationen und Informationssystemen gegen unbefugte Zugriffe und Manipulationen sowie die Sicherstellung der Verfügbarkeit der durch die Systeme bereitgestellten Dienste für legitime Benutzer verstanden. Sie umfasst somit die Verhinderung von inneren und äußeren Angriffen auf die interne IT-Infrastruktur, die Verhinderung von Angriffen aus der internen IT-Infrastruktur auf Systeme externer Institutionen, die Verhinderung von Ausfällen von IT-Diensten und die Sicherung der in der IT-Infrastruktur gehaltenen und verarbeiteten Daten gegen vorsätzliches oder unabsichtliches Löschen oder Verfälschen.
  • Für den IT-Einsatz sind die Sicherheitsziele Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit im jeweils erforderlichen Maße zu erreichen.
  • In Abwägung der Werte der zu schützenden Informationen, der Risiken sowie des Aufwands an Personal und Finanzmitteln für IT-Sicherheit soll für eingesetzte und geplante IT-Systeme in der Frankfurt University of Applied Sciences ein angemessenes IT-Sicherheitsniveau angestrebt und erreicht werden:
    • Die IT-Sicherheit ist kein Selbstzweck. Sie muss stets die Verhältnismäßigkeit der Maßnahmen und Mittel im Spannungsfeld zwischen Informationsoffenheit, Kosten und Nutzerakzeptanz auf der einen und dem notwendigen Grad von Sicherheit auf der anderen Seite berücksichtigen.
    • Die hieraus abgeleiteten Sicherheitsmaßnahmen sind auch dann anzuwenden, wenn sich daraus Beeinträchtigungen für die IT-Nutzung ergeben.
    • Viele Beeinträchtigungen der IT-Sicherheit beruhen auf allgemein bekannten Schwachstellen, die bei sachgemäßer Handhabung und Organisation mit vertretbarem Aufwand und ohne signifikante Benutzerbeeinträchtigung zu beseitigen sind.
    • Die Sicherheit der IT-Verfahren ist neben der Leistungsfähigkeit und Funktionalität zu gewährleisten. Eine absolute Sicherheit der IT-Infrastruktur ist jedoch nicht realisierbar. Bleiben im Einzelfall trotz der Sicherheitsvorkehrungen Risiken untragbar, ist an dieser Stelle auf den IT-Einsatz zu verzichten.
    • IT-Sicherheit kann nur erreicht werden, wenn hochschulweit einheitliche Sicherheitsstandards definiert und umgesetzt werden. Hierfür ist ein dynamischer, prozessorientierter und kontinuierlicher Ablauf notwendig
    • Die Durchsetzung, Aufrechterhaltung und dauerhafte Fortentwicklung der IT-Sicherheitsstandards wird durch die Tatsache gewährleistet, dass die Hochschulleitung den IT-Sicherheitsprozess initiiert und aktiv unterstützt.
    • Die Hochschule orientiert ihren IT-Sicherheitsprozess an den vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Standards und Grundsätzen.
    • IT-Sicherheit ist eine Gemeinschaftsaufgabe, die von allen Nutzern der IT-Infrastruktur wahrgenommen werden muss. Die Nutzer werden für Belange der IT-Sicherheit sensibilisiert und über das Gefährdungspotential und mögliche Gegenmaßnahmen in ihrem Arbeitsumfeld informiert. Alle Nutzer gewährleisten die IT-Sicherheit durch ihr verantwortliches Handeln und halten die für die IT-Sicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein.
    • Die Sicherheitsstandards sind kontinuierlich weiter zu entwickeln und durch Qualitätssicherungsmaßnahmen zu ergänzen, durch die zeitnah neue Risiken erkannt und geeignete Gegenmaßnahmen ergriffen werden können.

Kontakt

IT Sicherheitsbeauftragter
Der IT-Sicherheitsbeauftragte der Frankfurt UAS
Datenschutzbeauftragter
Der Datenschutzbeauftragte der Frankfurt UAS
Zentrale WebredaktionID: 7870
letzte Änderung: 03.01.2024