Logo: Leibniz Universität Hannover

Ordnung zur IT-Sicherheit

IT-Sicherheit erfordert eine Reihe aufeinander abgestimmter Maßnahmen, von denen manche jedoch wirkungsvollen Schutz nur dann bieten können, wenn sie universitätsweit durchgeführt werden. Die zur Umsetzung entsprechender Empfehlungen notwendige Verbindlichkeit ist für die Einrichtungen einer Universität jedoch nicht a priori gegeben. Ausgehend von dieser Tatsache hat die Arbeitsgruppe "IT-Sicherheit" der Senatskommission für Informationsverarbeitung und Kommunikationstechnik im WS 01/02 begonnen, eine "Ordnung zur IT-Sicherheit in der Universität" (hier auch kurz "Sicherheitsordnung" genannt) zu erarbeiten. Nach Verabschiedung des Entwurfs durch die Senatskommission wurde die Sicherheitsordnung im Juli vom Senat beschlossen und im Verkündungsblatt der Universität veröffentlicht:

In der Sicherheitsordnung werden ein universitätsweiter Sicherheitsprozess und die dafür notwendigen Verantwortungsstrukturen festgelegt. Neu waren u. a. die Einsetzung/Benennung von IT-Sicherheitsbeauftragten und die Einsetzung eines Sicherheitsstabs. Neben den Aufgaben der Beteiligten sind auch deren Rechte und Pflichten festgelegt ebenso wie Regelungen zur Gefahrenintervention und zur Finanzierung.

Ordnung zur IT-Sicherheit in der Universität Hannover

Präambel

Ein leistungsfähiger Universitätsbetrieb erfordert in zunehmendem Maß die Integration von Verfahren und Abläufen, die sich auf Informationstechnik (IT) und hierbei insbesondere auf vernetzte IT-Systeme stützen. Dafür ist die Sicher-stellung der Integrität, Vertraulichkeit und Verfügbarkeit von Daten, Programmen und Diensten zwingend erforderlich. Insbesondere die Anbindung der IT-Systeme an das weltweite Datennetz erfordert wirksamen Schutz gegen Eingriffe von außen. Die Thematik der "Sicherheit in der Informationstechnik" ("IT-Sicherheit") bekommt damit für die Universität Hannover eine grundsätzliche Bedeutung, die die Entwicklung und Umsetzung eines einheitlichen Sicherheitskonzepts für die Universität erforderlich macht. Dieses kann wegen der komplexen Materie, der sich weiterentwickelnden technischen Bedingungen und der begrenzten finanziellen Mittel nur in einem kontinuierlichen Sicherheitsprozess erfolgen, der den besonderen Bedingungen der Universität Hannover mit ihren vielen dezentralen Einrichtungen gerecht wird. Dazu empfiehlt es sich, diesen Sicherheitsprozess an Prinzipien zu orientieren, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Grundschutzhandbuch[1], einem - auch international - anerkannten de-facto-Standardwerk zur IT-Sicherheit, niedergelegt sind.

§ 1 Gegenstand dieser Ordnung

Gegenstand dieser Ordnung ist die Festlegung der zur Realisierung eines universitätsweiten IT-Sicherheitsprozesses erforderlichen Verantwortungsstrukturen.[2] [3]

§ 2 Geltungsbereich

Der Geltungsbereich dieser Ordnung erstreckt sich auf alle Einrichtungen der Universität (Fachbereiche, wissenschaftliche Einrichtungen, Einrichtungen mit zentraler Funktion, sonstige Einrichtungen) und in technischer Hinsicht auf die gesamte IT-Infrastruktur[4] inkl. der daran betriebenen IT-Systeme der Universität.

§ 3 Beteiligte am IT-Sicherheitsprozess

Im Sinn dieser Ordnung sind am IT-Sicherheitsprozess der Universität verantwortlich beteiligt:

  1. der/die zentrale IT-Sicherheitsbeauftragte (s. § 4),
  2. dezentrale IT-Sicherheitsbeauftragte (s. § 4),
  3. der Sicherheitsstab (s. § 5),
  4. das RRZN,
  5. Einrichtungen der Universität gemäß § 2.

§ 4 Einsetzung der IT-Sicherheitsbeauftragten

  1. Der Präsident bestellt eine/n zentrale/n IT-Sicherheitsbeauftragte/n und eine/n Stellvertreter/in.[5]
  2. Jeder Fachbereich sowie jede zentrale Einrichtung hat eine/n dezentrale/n IT-Sicherheitsbeauftragte/n und Stellvertreter/in[6] [7] zu benennen.
  3. Die Fachbereiche können zusätzliche dezentrale IT-Sicherheitsbeauftragte und Stellvertreter[6] benennen, die je für ein oder mehrere Einrichtungen im Fachbereich zuständig sind.
  4. Durch die Benennungen nach (2) und (3) müssen alle IT-Systeme im Geltungsbereich sowie die vor Ort für deren Betrieb verantwortlichen Personen einer/m IT-Sicherheitsbeauftragten auf Fachbereichs- oder Einrichtungsebene zugeordnet sein.
  5. Bei der Bestellung/Benennung der IT-Sicherheitsbeauftragten sollen der strategische Aspekt und die dafür erforderliche personelle Kontinuität berücksichtigt werden. Die IT-Sicherheitsbeauftragten sollen deshalb möglichst zum hauptamtlichen Personal der Universität gehören. Sie sollen in IT-Sicherheitsfragen besonders geschult werden.

§ 5 Einsetzung des Sicherheitsstabs

  1. Ständige Mitglieder des Sicherheitsstabs sind:
    • der/die zentrale IT-Sicherheitsbeauftragte (Vorsitz),
    • ein/eine Vertreter/in des RRZN (stellvertretender Vorsitz),
    • ein/eine Vertreter/in des Rechtsdezernats,
    • der/die Datenschutzbeauftragte der Universität, der/die sich vertreten lassen kann.
  2. Weitere sachverständige Mitglieder werden vom Senat in Abstimmung mit dem Präsidenten benannt.
  3. Der Gesamtpersonalrat kann ein beratendes Mitglied benennen.
  4. Die Zusammensetzung des Sicherheitsstabs sollte - unter Beschränkung der Anzahl der Mitglieder auf das notwendige Maß - sowohl die unterschiedlichen Aufgabenbereiche der Universität widerspiegeln als auch den unterschiedlichen, für die Universität relevanten Aspekten der IT-Sicherheit Rechnung tragen.[8]

§ 6 Aufgaben der am IT-Sicherheitsprozess Beteiligten

  1. Der/Die zentrale IT-Sicherheitsbeauftragte ist für Konzeption, Umsetzung und Überwachung des IT-Sicherheitsprozesses verantwortlich.
  2. Das RRZN ist verantwortlich für die system-, netz- und betriebstechnischen Aspekte der IT-Sicherheit und gibt in diesem Rahmen technische Standards zur IT-Sicherheit für die Universität vor. [9]
  3. Der Sicherheitsstab unterstützt den/die zentrale/n IT-Sicherheitsbeauftragte/n, indem er Pläne, Leitlinien und Vorgaben für sämtliche übergreifenden Belange der IT-Sicherheit erarbeitet, Maßnahmen koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.
  4. Die dezentralen IT-Sicherheitsbeauftragten sind für alle Sicherheitsbelange der IT-Systeme und -Anwendungen in den Bereichen, die ihnen jeweils zugeordnet sind, verantwortlich, soweit nicht übergeordnete Belange tangiert sind, die von dem/der zentralen IT-Sicherheitsbeauftragten wahrgenommen werden.
  5. Die Einsetzung von IT-Sicherheitsbeauftragten entbindet die Leitungen der Einrichtungen nicht von ihrer Gesamtverantwortung für die IT-Sicherheit in ihrem Bereich.
  6. Die Einrichtungen der Universität sind verpflichtet, bei allen relevanten Planungen, Verfahren und Entscheidungen mit Bezug zu IT-Sicherheit die jeweils zuständigen dezentralen IT-Sicherheitsbeauftragten sowie den/die zentrale/n IT-Sicherheitsbeauftragte/n zu beteiligen.
  7. Die am IT-Sicherheitsprozess Beteiligten arbeiten in allen Belangen der IT-Sicherheit zusammen, stellen die dazu erforderlichen Informationen bereit und regeln die Kommunikations- und Entscheidungswege sowohl untereinander als auch in Beziehung zu Dritten[10]. Hierbei ist insbesondere der Aspekt der in Krisenfällen gebotenen Eile zu berücksichtigen.

§ 7 Verwirklichung des IT-Sicherheitsprozesses

  1. Der/die zentrale IT-Sicherheitsbeauftragte initiiert, steuert und kontrolliert unter Beteiligung des Sicherheitsstabs den IT-Sicherheitsprozess, der nach festzulegenden Prioritäten Maßnahmen sowohl präventiver als auch reaktiver Art sowie insbesondere zu schneller Krisenintervention umfassen muss. Zwecks Gewährleistung einer kontinuierlichen Steuerung des IT-Sicherheitsprozesses soll der Sicherheitsstab regelmäßig tagen.
  2. Die IT-Sicherheitsbeauftragten sind verpflichtet, sicherheitsrelevante Informationen jederzeit entgegenzunehmen und das jeweils Erforderliche zu veranlassen.[11] Soweit notwendig, informieren sich dezentrale IT-Sicherheitsbeauftragte zu Ursachen und Maßnahmen durch Kontaktaufnahme zur/m zentralen IT-Sicherheitsbeauftragten und/oder zum RRZN.
  3. Die dezentralen IT-Sicherheitsbeauftragten sind für die kontinuierliche Überwachung der Umsetzung des IT-Sicherheitsprozesses in ihrem Bereich verantwortlich. Sie informieren sich regelmäßig über die Sicherheit der IT-Systeme in ihrem Bereich und veranlassen unverzüglich die notwendigen Maßnahmen zur Gewährleistung der erforderlichen Sicherheit. Sie informieren die Leitung ihrer Einrichtung regelmäßig über den Sicherheitsstandard und auftretende Probleme und schlagen Lösungsmöglichkeiten vor.
  4. Der/Die zentrale IT-Sicherheitsbeauftragte berichtet dem Präsidenten und dem Senat aus gegebenem Anlass darüber und macht Vorschläge für die Weiterentwicklung des IT-Sicherheitsprozesses unter Berücksichtigung der Ausgewogenheit, Durchgängigkeit und Angemessenheit der Maßnahmen. Dabei ist die Höhe der voraussichtlichen Kosten der einzelnen Maßnahmen anzugeben.
  5. Die dezentralen IT-Sicherheitsbeauftragten sind bezüglich ihrer Mitteilungspflichten gegenüber der/dem zentralen IT-Sicherheitsbeauftragten, dem Präsidenten und dem Senat unabhängig von Weisungen ihrer Vorgesetzten. Die IT-Sicherheitsbeauftragten geben ihre Berichte auch den Leitungen der betreffenden Einrichtungen zur Kenntnis.

§ 8 Gefahrenintervention

  1. Bei Gefahr in Verzug veranlassen die dezentralen IT-Sicherheitsbeauftragten die sofortige vorübergehende Stilllegung betroffener IT-Systeme in ihrem Bereich, wenn zu befürchten ist, dass ein voraussichtlich gravierender Schaden – insbesondere für andere Einrichtungen oder für die IT-Infrastruktur der Universität in Teilen oder insgesamt – nicht anders abzuwenden ist. Unverzüglich sind die Leitung der Einrichtung und das RRZN zu benachrichtigen, das seinerseits den/die zentrale/n IT-Sicherheitsbeauftragte/n benachrichtigt.[12]
  2. Soweit das RRZN Gefahr in Verzug feststellt, kann es Netzanschlüsse (ggfs. auch ohne vorherige Benachrichtigung der Betroffenen) vorübergehend sperren, wenn zu befürchten ist, dass ein voraussichtlich gravierender Schaden für die IT-Infrastruktur der Universität in Teilen oder insgesamt nicht anders abzuwenden ist. Die Benachrichtigung des/der zuständigen dezentralen sowie des/der zentralen IT-Sicherheitsbeauftragten erfolgt unverzüglich ggfs. nachträglich.
  3. Vor Wiederinbetriebnahme vorübergehend stillgelegter Systeme bzw. gesperrter Netzanschlüsse ist in der Regel die Durchführung hinreichender Sicherheitsmaßnahmen erforderlich. Im Zweifelsfall entscheidet der/die zentrale IT-Sicherheitsbeauftragte über das weitere Vorgehen.

§ 9 Finanzierung

  1. Die Mittel für spezielle, mit dem/r zentralen IT-Sicherheitsbeauftragten und dem RRZN abgestimmte Sicherheitsmaßnahmen in den Einrichtungen der Universität sowie insbesondere Mittel zur Schulung für die dezentralen IT-Sicherheitsbeauftragten sind von den betreffenden Einrichtungen aufzubringen, die Mittel für diese Zwecke in ihrer Finanzplanung angemessen zu berücksichtigen haben.
  2. Soweit Sicherheitsmaßnahmen aus zentralen Mitteln finanziert werden müssen, ordnet der/die zentrale IT-Sicherheitsbeauftragte in Abstimmung mit dem Sicherheitsstab diese nach Dringlichkeit in einer Liste. Mit einer Begründung der Prioritäten schlägt er dem Präsidenten die Finanzierung vor.

§ 10 Inkrafttreten

Diese Ordnung tritt nach ihrer Verabschiedung im Senat am Tag nach der Verkündung im Verkündungsblatt der Universität in Kraft.

  • [1] erschienen im Bundesanzeiger-Verlag, Inhalt verfügbar auch unter http://www.bsi.bund.de
    • [2] Aspekte der IT-Sicherheit, die die Nutzung der IT-Infrastrukturen tangieren, werden in einer separaten Ordnung behandelt.
  • [3] Diese Ordnung verwendet Empfehlungen aus dem Kapitel M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit des IT-Grundschutzhandbuchs des BSI.
  • [4] sowohl leitungsgebunden als auch nicht leitungsgebunden
  • [5] Diese Rolle kann auch dem »Generalverantwortlichen für Information und Kommunikation« (CIO, Chief Information Officer) zugeordnet werden, wie er in den derzeit aktuellen Empfehlungen der Kommission für Rechenanlagen der DFG zur Informationsverarbeitung an Hochschulen vorgeschlagen wird.
  • [6] Vor dem Hintergrund des Einsatzes möglichst qualifizierten Personals bestehen keine Bedenken, Administratoren als Sicherheitsbeauftragte zu benennen, obwohl prinzipiell eine Rollentrennung anzustreben wäre.
  • [7] Mehrere Fachbereiche können mangels geeigneter Alternativen auch eine/n gemeinsame/n Sicherheitsbeauftragte/n benennen.
  • [8] Dies kann beispielsweise eine Vertretung - durchaus auch in Personalunion - der wiss. Einrichtungen, der Verwaltung und der IT-Anwender beinhalten.
  • [9] Im Rahmen dieser Vorgaben können Einrichtungen der Universität die Zuständigkeit für Systeme zur IT-Sicherheit in ihrem Bereich in Absprache mit dem RRZN teilweise oder vollständig übernehmen.
  • [10] Gesetzliche Beteiligungstatbestäände des Gesamtpersonalrats bleiben hiervon unberührt.
  • [11] Eine Pflicht zur Meldung sicherheitsrelevanter Ereignisse ergibt sich für alle Mitglieder und Angehörige der Universität aus einer separaten Ordnung zur Nutzung von IT-Infrastrukturen.
  • [12] Detailregelungen zu den Informations- und Entscheidungsabläufen werden nach § 6 (7) festgelegt und entsprechend bekanntgegeben.

Die Ordnung zur "IT-Sicherheit in der Universität Hannover" (als PDF) ist durch Veröffentlichung im Verkündungsblatt am 25.7.2002 in Kraft getreten.

Diese Sicherheitsordnung enthält im wesentlichen nur Rahmenregelungen. Damit soll ganz bewusst den am Sicherheitsprozess Beteiligten ein möglichst großer Spielraum bleiben (der natürlich mit abgestimmter (!) Substanz gefüllt werden muss) und die dynamische Entwicklung eines an die Belange der Universität angepassten Sicherheitsprozesses gefördert werden.

Leibniz Universität IT Services - URL: www.rrzn.uni-hannover.de/its-ordnung.html?&no_cache=1
 
Hergen Harnisch, Letzte Änderung: 13.04.2012
Copyright Gottfried Wilhelm Leibniz Universität Hannover