Diese Story ist aus der Kategorie Corporate 

Gemeinsam zur neuen Sicherheitsarchitektur

Wie können Hochschulen die IT-Sicherheit optimieren? Was ist vom Information Security Management System (ISMS) zu halten? SWITCH Journal sprach mit Bruno Vuillemin, dem Verantwortlichen für die Informatiksicherheit an der Universität Fribourg und Mitglied der Working Group ISMS von SWITCH.

Publiziert am 06.10.2017

Herr Vuillemin, die Universität Fribourg hat seit 2003 ein «Reglement über die Informatiksicherheit». Es regelt detailliert, welche Personen und Gremien für welche Aufgaben im Bereich IT-Sicherheit verantwortlich sind. Wie sind Ihre Erfahrungen damit?

Das Reglement wurde von einer Gruppe von Fachleuten mit unterschiedlichem Hintergrund verfasst und vom Rektorat genehmigt. Es enthält sämtliche Aspekte, die wichtig sind. Insbesondere wird ausgeführt, dass Informationssicherheit Risikomanagement bedeutet und dass die Verantwortlichen in Bezug auf die Risiken informiert werden müssen. Es ist auch heute noch eine gute Arbeitsgrundlage, die dazu beiträgt, dass die Diskussionen mit den Stakeholdern vereinfacht werden.

Welche Hauptaufgaben fallen in Ihren Verantwortungsbereich?

Gemäss Reglement: die Risiken evaluieren und sie an die Hierarchie kommunizieren. Im Notfall: jegliche operative Schutzmassnahme. Der Prozess der Risikoanalyse wird in einem anderen Dokument etwas detaillierter dargestellt: analysieren, den Applikationsverantwortlichen informieren, ihm Gegenmassnahmen unterbreiten, ihn eine Wahl treffen lassen, ihm das Ausmass der Restrisiken darlegen und sein Einverständnis einfordern.

Sie rapportieren direkt dem Rektorat. Welche Rolle spielen das Rektorat und die Direktion im Bereich IT-Sicherheit?

Die Rektorin erhält einen Jahresbericht zu den Risiken. Monatlich findet ein Treffen mit unserer Datenschutzbeauftragten statt. Sie ist zugleich Mitglied der Universitätsdirektion. Die Sitzung ist vor allem ein Gefäss, um die Risikoevaluation zu diskutieren. Der Umstand, dass sie auch an den Rektoratssitzungen teilnimmt, verleiht den Risikoevaluationen eine quasi-definitive Gültigkeit, und ich leite die Ergebnisse jeweils an die Applikationsverantwortlichen weiter.

2015 und 2016 fand auf dem Campus ein «Cyber Security Month» statt. Wie wichtig ist die Awareness der Nutzer in Ihrem Risikomanagement?

Es handelt sich hier um die Informatikvariante des Mythos von Sisyphos! Die Anstrengungen sind relativ gross, und die Wirkung ist kurzfristig kaum messbar. Langfristig und unter der Voraussetzung, dass alle Stakeholder mitmachen, kann man eine Verbesserung erwarten. Das ändert aber nichts daran, dass es immer Opfer geben wird und Schutzmassnahmen daher nötig bleiben.

Wie wichtig ist ein ISMS für eine Hochschule?

Die Implementierung eines ISMS erscheint mir unabdingbar. Das kann durchaus eine überschaubare Version sein, und die Implementierung kann relativ «light» sein. Trotzdem muss sie es ermöglichen, das unbedingt Nötige umzusetzen: (1) Sie soll es dem Topmanagement, den Fachbehörden, den Applikationsverantwortlichen sowie der Leitung IT ermöglichen, über Risiken, ihr Ausmass und mögliche Gegenmassnahmen informiert zu werden, eine Entscheidung zu treffen und über die Restrisiken aufgeklärt zu werden, mit denen sie sich einverstanden erklären müssen. (2) Dies muss via einen Risikomanagementprozess auf Stufe Management erfolgen, der klar, akzeptiert und hinsichtlich «Best Practices» als vertrauenswürdig eingeschätzt sein muss. (3) Dieser Prozess muss regelmässige Nachprüfungen vorsehen, um das Ausmass der Risiken nachevaluieren zu können. Die internen und externen Kontrollorgane müssen Zugang zur Dokumentation haben, um den Prozess analysieren und Verbesserungen vorschlagen zu können. Damit kann zwischen der Informatiksicherheit und den verschiedenen Stakeholdern ein Klima des Vertrauens aufgebaut werden.

Welche Pläne haben Sie bezüglich ISMS an der Uni Fribourg?

Alexandre Gachet, Direktor der Informatikdienste, hat sich sehr interessiert gezeigt. Wir haben auf der Grundlage von ISO 27000 erste Überlegungen zu Rahmendokumenten angestellt und versucht, uns dabei so kurz wie möglich zu fassen. Inzwischen sind Herr Gachet und ich angesichts der Gründung der Working Group ISMS von SWITCH zur Überzeugung gelangt, dass es vernünftig wäre, die Erkenntnisse der Arbeitsgruppe zu diesem Thema abzuwarten und dann zu überlegen, wie diese in der Universität Fribourg umgesetzt werden könnten. Die Arbeitsgruppe sollte bis Ende 2017/Mitte 2018 erste Ergebnisse vorweisen können. Ich bin also guter Hoffnung, dass wir 2018, 2019 ein vom Rektorat anerkanntes Ergebnis haben werden. Das bestehende Reglement bleibt aber in Kraft und scheint mir als minimale Grundlage immer noch ausreichend.

Worin bestehen aus Ihrer Sicht die grössten Herausforderungen?

Da ein ISMS ein Risikomanagementprozess ist, der auf Stufe Topmanagement abgesegnet werden muss, scheint mir die zentrale Herausforderung darin zu bestehen, beim Topmanagement ein starkes und nachhaltiges Engagement in dieser Sache zu erreichen. Die nächste Herausforderung besteht darin, einen wirksamen und nicht zu schwerfälligen Prozess einzuführen, der vom Topmanagement und sämtlichen betroffenen Parteien akzeptiert wird. Das ist der Punkt, an dem der Erfahrungsaustausch in der Community im Hinblick auf eine erfolgreiche Formalisierung des Prozesses sehr wichtig wird. Ziel ist es letztlich, ein ISMS zu entwickeln, das mit vernünftigem Aufwand implementiert werden kann. Es darf nicht unerwähnt bleiben, dass sich die Vertreter von SWITCH in der Working Group ISMS sehr darum bemühen, diese mitzugestalten und die Organisation sicherzustellen. Auch das ist eine grosse Hilfe.

Arbeitsgruppe Information Security Management System (ISMS)

Mit der Informationssicherheit müssen sich zunehmend auch Hochschulen und Universitäten befassen. Die Arbeitsgruppe ISMS setzt sich seit Sommer 2014 damit auseinander, wie diese mittels Weisungen und Prozesse gewahrt und verbessert werden kann. Die Ausgangslage in den einzelnen Hochschulen ist sehr unterschiedlich. Die Teilnehmenden tauschen ihre Erfahrungen miteinander aus und klären ab, wo es Synergien gibt.

Kontakt: isms@switch.ch

Weitere Beiträge