Informationssicherheit

Der Informationssicherheitsbeauftragte ist dem Rektorat direkt unterstellt und fungiert als zentraler Ansprechpartner als auch als Bindeglied zwischen Dienstleistungen, der Campus IT und den Benutzern.

Was ist Informationssicherheit?

Die Informationssicherheit umfasst alle Maßnahmen in technischen und nicht technischen Systemen zusammen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

Die Informationssicherheit ist in regelmäßigem und engem Austausch mit:

dem Datenschutzbeauftragten und dem damit verbundenen Datenschutz welcher sich speziell auf Verfahrensweisen und die Verarbeitung von personenbezogenen Daten (pbD) bezieht,
der IT-Sicherheit welche sich mit den technischen Aspekten beschäftigt und
dem Management aller vorhandenen Informationen und Prozessen.

Aufgaben

Die zentrale Aufgabe der Informationssicherheit besteht im Betrieb eines Management-Systems welches die Sicherheit aller verarbeiteten und gespeicherten Informationen sicherstellen soll. Dazu ist es erforderlich,

den Sicherheitsprozess zu steuern und zu koordinieren,
die Leitung bei der Erstellung und Weiterentwicklung von Richtlinien zu unterstützen,
die Erstellung von Sicherheitskonzepten zu unterstützen und zu koordinieren,
Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
sicherheitsrelevante Projekte zu koordinieren,
sicherheitsrelevante Vorfälle zu untersuchen und
Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

Schutzziele

Infromationssicherheit bzw. Sicherheit im allgemeinen ist nur sehr schwer messbar. Zum einen hängt das Ergebnis einer Messung des Grads an Sicherheit von den im vorfeld zu definierenden Zielen ab zum anderen von dem zugrundeliegenden Bewertungsmaßstab. Letzteres bezieht sich i.d.R. auf Standards und Normen wie den IT-Grundschutz des Bundesamtesfür Sicherheit in der Informationstechnik oder auch auf die international annerkannte ISO/IEC-Normen Reihe 27000. Weiterhin ist Informationssicherheit indirekt über dessen Schutzziele mess- und bestimmbar.

Vertraulichkeit

Unter Vertraulichkeit versteht man, dass Daten nur von den Personen verändert oder eingesehen werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen verändert oder gelesen werden. Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden.

Integrität

Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu (ver-)ändern. Es geht hierbei also nur um die Nachvollziehbarkeit von Datenänderungen.

Verfügbarkeit

Die Verfügbarkeit von Informationen fordert, dass diese wenn gewünscht, berechtigten Nutzern auch zugänglich sind. Im Sinne der Schutzziele geht es hier darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren.

Datenschutz- und Informationssicherheitsmanagementsystem (DISMS)

Ein Datenschutzmanagementsystem wird von der europäischen Datenschutzgrundverordnung (EU-DSGVO) sowie dem Landesdatenschutzgesetz (LDSG BW) gefordert, ein Informationssicherheitsmanagementsystem wird von der Verwaltungsvorschrift Informationssicherheit (VwV InfSi) gefordert. Beide haben eine hohe Mengen an Synergien, daher hat sich die Hochschule Mannheim entschieden, ein integriertes Management für beides einzuführen - ein Datenschutz- und Informationssicherheitsmanagementsystem (DISMS). Der Betrieb eines solchen Systems bildet auch einen Mehrwert für Qualitätsmanagement und Prozessoptimierung.