19. Mai 2015, Ruhr-Universität Bochum 12. Tagung DFN-Nutzergruppe Hochschulverwaltung Sicherheit trotz(t) IT

Transkript

1 Compliance 19. Mai 2015, Ruhr-Universität Bochum 12. Tagung DFN-Nutzergruppe Hochschulverwaltung Sicherheit trotz(t) IT Hans Pongratz Geschäftsführender Vizepräsident für IT-Systeme & Dienstleistungen Chief Information Officer,

2 TUM Campus , Hans Pongratz 2

3 TUM in Zahlen 13 Fakultäten 411 Gebäude 154 Studiengänge Studierende 511 Professoren (m. Klinikum) 33% Studentinnen 21% Intern. Studierende Wiss. Mitarbeiter (m. Klinikum) Nichtwiss. Mitarbeiter (o. Klinikum) 33 ERC Grants 13 Nobelpreisträger 17 Leibniz-Preisträger der DFG 4 Humboldt-Professuren , Hans Pongratz 3

4 TUM University Rankings 2014 Gründungsradar QS World Universities Nature Journal Index Global Employability Survey World University Ranking »Shanghai«6 Study Portals Award 98 Times Higher Education Ranking , Hans Pongratz 4

5 TUM IT-Strategie: Digitale Hochschule Effiziente Nutzung von Informationsund Kommunikationstechnik zur Verbesserung der Leistungen in Forschung, Lehre und Verwaltung Prozesse Organisation Technik und Support , Hans Pongratz 5

6 Compliance , Hans Pongratz 6 Quelle:

7 Compliance , Hans Pongratz 7

8 IT-Compliance Brainstorming , Hans Pongratz 8

9 IT-Compliance Brainstorming Wem & wie sollte IT-Vorfall gemeldet werden? IT-Benutzungsrichtlinien Social Media Policy Passwort-Policy Ausreichend Softwarelizenzen Urheberrecht Nutzung Cloud-Dienste Löschfristen Ausschreibungen Test IT-Sicherheit, u.a. Liegenschaftssicherheit Smartphones , Hans Pongratz 9

10 Ziele IT-Compliance Einhalten von Regeln, Gesetze & Vorschriften Schadensprävention (auch bzgl. Reputation) Sicherstellung rechtskonformen Verhaltens Teil der allg. Compliance-Strategie Compliance mit IT-Unterstützung & Compliance von IT IT ist allerdings Hygienefaktor und Grundlage für Gesamterfolg der Organisation , Hans Pongratz 10

11 Quellen für IT-Compliance Vorgaben Typ Gesetze / rechtliche Vorgaben Externe Richtlinien / Standards Interne Richtlinien Verträge Beispiele Bundesdatenschutzgesetz (BDSG) Landesdatenschutzgesetz (BayDSG) Telemediengesetz (TMG) Basel III IT Infrastructure Library (ITIL) ISO Bayern: Durchführung von IKT-Projekten (BayITR) BSI IT-Grundschutz Benutzungsrichtlinie Passwort Policy Service Level Agreement (SLA) Ergänzenden Vertragsbedingungen für die Beschaffung von Informationstechnik (EVB-IT) , Hans Pongratz 11

12 IT-Sicherheit Grundwerte: Vertraulichkeit Integrität Verfügbarkeit Beispiele für schützenswerte Daten im Hochschulumfeld: Bewerberinformationen Stammdaten Anmeldungs- und Prüfungsdaten Inhalte von Webseiten , Hans Pongratz 12

13 Quelle: Pongratz , Hans Pongratz 13

14 Sicherheit Quelle: unbekannt , Hans Pongratz 14

15 Beispiele für Compliance Vorfälle (1/3) Programmierer soll Infos über Millionen Griechen gestohlen haben ( , Spiegel online) Patientendaten offenbar bei Raucherpause verschlampt ( , Die Welt): ca hochsensible Datensätze auf Datenträger vermisst. Protest gegen Bildungssystem: über 50 Unis gehackt ( , heise online): div. Server von Harvard, Stanford und auch dt. Hochschulen gehackt. Langfinger im Labor ( , Süddeutsche): Uni-Hausmeister stiehlt jahrelang und verkauft Beute auf ebay , Hans Pongratz 15

16 Beispiele für Compliance Vorfälle (2/3) Polizeiliche Anfragen Dreiste Phishing Mail : , Hans Pongratz 16

17 Beispiele für Compliance Vorfälle (3/3) Persönliche Anfragen (an HSP) Dreiste Phishing Mail : , Hans Pongratz 17

18 IT-Sicherheit: 2012 Einführung zentrales Meldewesen (1/2) IT-sicherheitsrelevante Vorfälle und Schwachstellen werden zentral dokumentiert und koordiniert, dazu gehören: Verlust von elektr. Geräten, auf denen sensible Daten gespeichert sind; Einbruch von Hackern in IT-Systeme der TUM; Verbreitung von Schadcode durch von der TUM betriebene IT-Systeme; Kompromittierung von Zugangsdaten; sicherheitskritische Schwachstellen bei im Einsatz befindlichen IT-Geräten und IT-Systemen. Abwicklung erfolgt über zentralen IT-Support bzw ) , Hans Pongratz 18

19 IT-Sicherheit: 2012 Einführung zentrales Meldewesen (2/2) Flankierende Informationskampagne, um Sensibilität für IT-Sicherheit und IT-Sicherheitsbewusstsein zu fördern zentrale Hilfestellung zur Wiederherstellung des Betriebs nach einem sicherheitskritischen Vorfall CIO wird regelmäßig informiert, bei schwerwiegenden Fällen unverzüglich Bei Bedarf Einbindung von HSP, Datenschutzbeauftragten, Sicherheitsbeauftragten und Personalrat Neue Referentin IT-Sicherheit & Datenschutz im IT-Management des IT- Servicezentrums der TUM , Hans Pongratz 19

20 , Hans Pongratz 20

21

22 , Hans Pongratz 22

23 Datenschutz In Bayern geregelt durch BayDSG, in NRW durch DSG NRW Datenschutzbeauftragter erteilt Verfahrensfreigaben und koordiniert über sein Sekretariat Auskunftsanfragen Datenschutzbevollmächtigte in Fakultäten und Einrichtungen Verfahrensverzeichnis Referentin für IT-Sicherheit & Datenschutz Regelmäßige Treffen mit Gesamtpersonalrat und CIO , Hans Pongratz 23

24 Beispiel Checkliste Themenbereich Thema geprüft Archivierung Cloud-Dienste Dokumentation Sicherheits- /Notfallkonzept Konzept mit Aufbewahrungs- & Löschfristen Revisionssicherheit Wiederherstellung erfolgreich getestet Auftragsdatenvereinbarungsvertrag Verfahrensfreigabe Zugriff Systeme Verfahrensverzeichnis Prozesse Backup Raumzutritt USV Kommunikation , Hans Pongratz 24

25 Compliance Maßnahmen Anti-Korruptionsbeauftragte zur Verhütung und Bekämpfung von Korruption in der öffentlichen Verwaltung (vgl. Bay. Richtlinie). Aufgaben: Auskünfte in Fällen von versuchter Manipulation und Einflussnahme oder bei aufkommenden Verdachtsmomenten erteilen, Schwachstellen in der dienstbetrieblichen Organisation analysieren, geeignete Präventionsmaßnahmen vorschlagen und bestehende Maßnahmen überprüfen, die Beschäftigten für die Korruptionsproblematik sensibilisieren. Außerdem z.b. TUM Faculty Recruitment Code of Conduct, vgl , Hans Pongratz 25

26 Erfolgsfaktoren Zur Organisation passendes Vorgehensmodell wählen (sukzessiv vs. großer Wurf) Aufwand für Mitglieder der Organisation darf nicht zu hoch sein Kommunikation & Change Management Steigerung Compliance Bewusstsein aller Mitglieder Compliance muss geübt und vorgelebt werden Kontinuierliche Aufmerksamkeit auf allen Ebenen Gutes Augenmaß aller Akteure , Hans Pongratz 26

27 Spannende Herausforderungen Urheberrecht in Deutschland -> Meldung VG Wort durch Hochschulen Science 2.0 / Open Science, z.b. online reputation Neue Technologien: Wearables, 3D, 360 -Videos und Augmented Reality MakerSpaces: Wandel der Bibliotheken? 2-Faktor-Authentifizierung (ssh, Web, )? , Hans Pongratz 27