Team > Prof. Dr. Breitner > IT-Sicherheitsbeauftragter der LUH

Zentraler Sicherheitsbeauftragter der Leibniz Universität Hannover

 

Prolog

Am 10. Juli 2002 beschließt der Senat der Universität Hannover die

Ordnung zur IT-Sicherheit in der Universität Hannover.

"IT" steht für Informationstechnologie, d. h. technische Komponenten sowohl in Informations- als auch in Kommunikationssystemen aller Art. Anfang 2003 ernennt der Präsident der Universität Hannover Herrn Prof. Dr.-Ing. Rudolf Damrath zum ersten zentralen IT-Sicherheitsbeauftragten, dessen Aufgaben und Befugnisse in der Ordnung zur IT-Sicherheit festgelegt sind. Am 26.11.2003 ernennt der Präsident der Universität Hannover Herrn Prof. Dr. Michael H. Breitner zum neuen zentralen IT-Sicherheitsbeauftragten. Alle zentralen Beauftragten unterstützen die Hochschulleitung direkt, z. B. durch Empfehlungen oder/und regelmäßige Berichte oder/und unregelmäßige Berichte im Bedarfsfall.

Bedeutung der IT-Sicherheit bzw. Informations- und Datensicherheit

Statt der IT-Sicherheit sollte besser ganzheitlich die "Sicherheit von Informationssystemen" bzw. kurz die "Informations- und Datensicherheit" adressiert werden. Informationssysteme sind soziotechnische Systeme, zu deren Komponenten einerseits technische Geräte (z. B. Rechner und Netzwerke) zählen, zu denen andererseits aber auch die Menschen gehören, die diese Geräte nutzen. Zu den Informationssystemen werden heute meist auch die Kommunikationssysteme gezählt, da eine rapide technologische Konvergenz zu beobachten ist (z. B. IP-Telefonie, Internet-Videokonferenzen, MDAs und Smartphones usw.). Informations- und Datensicherheit bedeutet allgemein die Sicherstellung der Integrität, der Vertraulichkeit und der Verfügbarkeit von Daten und Nachrichten, von Programmen sowie von Diensten. Einen guten Überblick über Informations- und Datensicherheit liefert der

Leitfaden IT-Sicherheit: IT-Grundschutz kompakt

des Bundesamtes für Sicherheit in der Informationstechnik (BSI), vgl. auch ein Interview mit dem BSI-Präsidenten Dr. Udo Helmbrecht der Zeitschrift Wirtschaftsinformatik und die European Network and Information Security Agency (ENISA) . Alternativ bzw. zusätzlich kann auch

Sicherheit für Systeme und Netze in Unternehmen:
Einführung in die IT-Sicherheit und Leitfaden für erste Maßnahmen

herausgegeben vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) herangezogen werden. Als umfassende Grundlage für Informations- und Datensicherheit kann z. B. das IT-Grundschutzhandbuch des BSI dienen, das permanent aktualisiert wird.

Management der Informations- und Datensicherheit

Sowohl die Verbesserung als auch nur die Erhaltung der aktuellen Informations- und Datensicherheit bedarf permanenter Anstrengungen. Notwendig sind z. B. sowohl ein durchdachtes Sicherheitskonzept, als auch ein gut strukturierter Sicherheitsprozess, die beide Teile eines umfassenden Sicherheitsmanagements sein müssen. Aufgaben des Sicherheitsmanagements sind die Planung, die Realisierung und die Kontrolle der Informations- und Datensicherheit, wobei jeweils strategische, taktische und operative Aufgaben zu erledigen sind. Wichtig ist, nicht nur auf Krisen und akute Bedrohungen angemessen zu reagieren, sondern auch präventiv und vorausschauend zu agieren.

Das Management der Informations- und Datensicherheit ist wie folgt aufgeteilt, vgl. auch die Ordnung zur IT-Sicherheit in der Universität Hannover:

  • Der zentrale IT-Sicherheitsbeauftragte Prof. Dr. Michael H. Breitner ist für die Konzeption, Umsetzung und Überwachung der Informations- und Datensicherheit verantwortlich (primär strategisches Management). Er initiiert, steuert und kontrolliert unter Beteiligung des Sicherheitsstabs den Informationssicherheitsprozess, der nach festzulegenden Prioritäten Maßnahmen sowohl präventiver als auch reaktiver Art, insbes. zu schneller Krisenintervention umfassen muss. Der zentrale IT-Sicherheitsbeauftragte berichtet dem Präsidenten und dem Senat aus gegebenem Anlass und macht Vorschläge für die Erhaltung und Verbesserung der Informations- und Datensicherheit unter Berücksichtigung der Ausgewogenheit, Durchgängigkeit und Angemessenheit der Maßnahmen.
  • Herr Dipl.-Math. Hans-Jürgen Hille leitet das

IT-Sicherheitsteam der Universität Hannover (securityrrzn.uni-hannover.de)

im Regionalen Rechenzentrum für Niedersachsen (RRZN). Das RRZN ist verantwortlich für die system-, netz- und betriebstechnischen Aspekte der IT-Sicherheit und gibt in diesem Rahmen technische Standards zur IT-Sicherheit für die Universität vor. Soweit das RRZN eine akute Gefährdung feststellt, kann es z. B. Netzanschlüsse, ggf. auch ohne vorherige Benachrichtigung der Betroffenen, vorübergehend sperren, wenn zu befürchten ist, dass ein voraussichtlich gravierender Schaden für die IT-Infrastruktur der Universität in Teilen oder insgesamt nicht anders abzuwenden ist. Das IT-Sicherheitsteam des RRZN ist Ansprechpartner für alle Fragen zur IT-Sicherheit, vgl. auch die WWW-Seiten des RRZN zur IT-Sicherheit, die z. B. umfassend über Antivirensoftware und Firewalls Auskunft geben.

  • Jeder Fachbereich bzw. jede Fakultät sowie jede zentrale Einrichtung hat eine/n dezentrale/n IT-Sicherheitsbeauftragte/n und Stellvertreter/in zu benennen. Durch die Benennungen müssen alle Informationssysteme im Geltungsbereich sowie die vor Ort für deren Betrieb verantwortlichen Personen einer/m IT-Sicherheitsbeauftragten zugeordnet sein. Die dezentralen IT-Sicherheitsbeauftragten sind für das kontinuierliche, primär operative und taktische Management der Informations- und Datensicherheit in ihrem Bereich verantwortlich. Bei akuter Gefährdung veranlassen die dezentralen IT-Sicherheitsbeauftragten die sofortige vorübergehende Stilllegung betroffener Systeme in ihrem Bereich, wenn zu befürchten ist, dass ein Schaden - insbesondere für andere Einrichtungen oder für die IT-Infrastruktur der Universität in Teilen oder insgesamt - nicht anders abzuwenden ist. Unverzüglich sind die Leitung der Einrichtung und das RRZN zu benachrichtigen, das seinerseits den zentralen IT-Sicherheitsbeauftragten informiert.
  • Am 19.11.2003 setzt der Senat der Universität Hannover folgende ständigen Mitglieder des Sicherheitsstabes ein:
    • Prof. Dr. Michael H. Breitner (Vorsitzender)
    • Dipl.-Math. Hans-Jürgen Hille (stellv. Vorsitzender, RRZN)
    • Dr. Nicole Neuvians (Vertreterin des Dezernats 4 "Recht")
    • Prof. Dr.-Ing. Hans-Günter Genenger (Datenschutzbeauftragter)

Ferner werden folgende sachverständige Mitglieder eingesetzt:

    • Thomas Bergmann (Dezernat 1 "Zentrale Dienste, Organisation und IuK-Technik")
    • Dr.-Ing. habil. Jürgen Brehm (Institut für Systems Engineering)
    • Christian Knopf (Vertreter der Studierenden)
    • Martin Pracht (beratender Vertreter des Gesamtpersonalrats, RRZN)

Der Sicherheitsstab unterstützt den zentralen IT-Sicherheitsbeauftragten, indem er Pläne, Leitlinien und Vorgaben für sämtliche übergreifenden Belange der Informations- und Datensicherheit erarbeitet, Maßnahmen koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.

Alle für das Management der Informations- und Datensicherheit Verantwortlichen arbeiten in allen Belangen zusammen, stellen die dazu erforderlichen Informationen bereit und regeln die Kommunikations- und Entscheidungswege sowohl untereinander als auch in Beziehung zu Dritten. Insbes. der Aspekt der in Krisenfällen gebotenen Eile wird berücksichtigt.

Kooperationen und Beratung

Der zentrale IT-Sicherheitsbeauftragte arbeitet ferner mit folgenden Personen zusammen bzw. wird von diesen beraten:

  • Prof. Dr. Eberhard Tiemann (Vorsitzender der Senatskommission für Informationsverarbeitung und Kommunikationstechnik)
  • Prof. Dr. Nikolaus Forgo (Institut für Rechtsinformatik)
  • Dr. Günter Wohlers und Dipl.-Ök. Robert Pomes (Institut für Wirtschaftsinformatik)
Letzte Änderung: 24.04.2013
 
Verantwortlich Prof. Dr. Michael H. Breitner