Zurück zu Projekte
infosec

Informationssicherheit im Verbund

Das Kooperationsvorhaben zur Verbesserung der IT-Sicherheit an den Hochschulen Brandenburgs reagiert auf die Prüfung durch den Landesrechnungshof im Jahr 2020 und die volatile Bedrohungslage. Das Projekt strebt eine schrittweise und nachhaltige Stärkung der Informationssicherheitsprozesse an jeder einzelnen Hochschule sowie die Etablierung einer nachhaltigen Zusammenarbeit in diesem Feld an.

In der ersten Projektphase werden anpassbare Maßnahmenpläne entwickelt und ein Basis-Schutzniveau etabliert, während die zweite Phase die Verstetigung und den Ausbau der ISMS sowie der Sicherheitsmaßnahmen vorsieht. Die Umsetzung hängt von einer Reihe von Faktoren ab, darunter die Verfügbarkeit von Fachpersonal, die Unterstützung seitens der Hochschulleitungen und die konstruktive Zusammenarbeit innerhalb der IT-Zentren. Sicherheitsrelevante Vorfälle oder eine Kompromittierung können zu einer Neuallokation von Projektressourcen führen.

Die Organisation des Projekts besteht aus zwei zentralen Koordinationsstellen, einem Steuerungsteam sowie einem regelmäßigen Austausch zwischen den Beteiligten. Vertrauliche Kommunikation und die abgestimmte Berichterstattung bilden dabei die Grundlage eines effektiven Wissensaustauschs und einer erfolgreichen Projektumsetzung.

CYBER BUG
„Cyber-Käfer auf einem Schaltkreis, Symbol für Cybersicherheit und Hacker" von Marco Verch via ccnull.de, CC-BY 2.0

Eckpunkte

  • Laufzeit

    November 2024 – Oktober 2029

  • Teilnehmende

    Brandenburgische Technische Universität Cottbus-Senftenberg

    Europa-Universität Viadrina Frankfurt (Oder)

    Fachhochschule Potsdam

    Filmuniversität Babelsberg KONRAD WOLF

    HNE Eberswalde: Hochschule für nachhaltige Entwicklung

    Technische Hochschule Brandenburg

    TH Wildau – Technische Hochschule Wildau

    Universität Potsdam

  • Leitung

    Leadhochschule(n):

    Europa-Universität Viadrina Frankfurt (Oder)

    Fachhochschule Potsdam

  • Beschreibung

    Das Projekt verfolgt das Ziel der Etablierung eines Basis-Schutzniveaus
    (gem. BSI-Terminologie) sowie alle beteiligten Hochschulen zu einer
    Zertifizierungsreife zu führen. Es werden Strukturen der Zusammenarbeit im Handlungsfeld Informationssicherheit zwischen den brandenburgischen Hochschulen aufgebaut und ein gegenseitiges Vertrauensniveau etabliert.

Ziele

Ziel des Projektes ist es, die teilnehmenden Hochschulen bei der Weiterentwicklung, Implementierung und Verbesserung ihrer Maßnahmen zur Verbesserung der Informationssicherheit in praxisrelevanter, konkreter Form zu unterstützen.

Maßnahmen zur Verbesserung der Informationssicherheit in einer Organisation umfassen den Aufbau von Informationssicherheitssystemen (im Sinne von Managementsystemen), die Umsetzung technischer Maßnahmen zur Erhöhung der Informationssicherheit, inklusive Schwachstellenscans, Detektion und Penetrationstests, sowie die Vorbereitung auf Notfälle (Business Continuity Management). Diese Maßnahmen müssen lokal an den Hochschulen umgesetzt werden.

Das Projekt stellt den Hochschulen für ihre jeweiligen lokalen Maßnahmen Unterstützung und Ressourcen zur Verfügung; es treibt im Rahmen von Workshops und Arbeitspaketen Wissen und Umsetzungsstand zu einzelnen Themenfeldern in allen Hochschulen gebündelt voran; zugleich etabliert es für den Arbeitsbereich Informationssicherheit gegenseitiges Vertrauen und Kooperationsroutinen.

Das Projekt übernimmt zudem die Weiterführung bzw. Vergabe und das Management von Verbundverträgen (z.B. Awareness System, Incidentresponse), organisiert Workshops und Schulungsmaßnahmen und stellt fachliche und technische Kapazitäten zur praktischen Unterstützung bereit. 

Arbeitspakete

Arbeitspaket 1
Laufzeit: 11/2024 – 10/2029
Inhaltliche Arbeitspakete

Alle inhaltlichen Arbeitspakete (AP) folgen der gleichen Struktur:

  • AP-Lead durch Projektkoordination oder durch eine Hochschule mit tatkräftiger Unterstützung durch Projektkoordination
  • Kick-off mit inhaltlich verantwortlichen Vertreter:innen aller teilnehmenden Hochschulen
  • Inhaltlicher und technischer Workshop
  • Erarbeitung einer generischen Maßnahmenmatrix
  • Anpassung der Maßnahmenmatrix in den Hochschulen, Definition von verantwortlichen Akteuren und Fristen für die einzelnen Maßnahmen
  • Hands-on-Unterstützung bei der Umsetzung der Maßnahmen: Schulungen, Austauschformate, Punktuelle Entlastung durch IT-Personaldienstleister, andere Hochschulen und/oder durch die Projektkoordination
  • Berichterstattung an die Koordinationsstelle über Umsetzung der Maßnahmen und Fristenwahrung; die Koordinationsstelle hakt bei Bedarf nach
  • Technische und inhaltliche Workshops zum Erfahrungsaustausch nach 8 Wochen, 6 Monaten, sofern passend: gegenseitiger Penetrationstest

Workshops und weitere Arbeitsformate sollen dabei (sofern das jeweils angemessen ist) so ausgelegt sein, dass die Teilnehmenden im Rahmen der Termine schon konkrete Arbeiten an den betreffenden Themen durchführen. Die Leistungen, die Hochschulen individuell in Anspruch nehmen, unterstützen in erster Linie bei der Umsetzung der individuellen Maßnahmenpläne oder dienen der Entlastung an anderer Stelle.

Meilensteine: ---
Verantwortlich: Europa-Universität Viadrina und FH Potsdam, unter Mitarbeit aller teilnehmenden Hochschulen, externe Dienstleister
Arbeitspaket 2
Laufzeit: 11/2024 – 10/2029
Arbeitspakete in Steuerung und Organisation
  • Ausschreibung und Besetzung der Koordinationsstelle
  • Ausschreibung Dienstleister und Beratungsleistungen (in Kooperation mit dem ZDT-Projekt IT-Rahmenverträge)
  • Gegebenenfalls gemeinsame Beschaffung von Tools, wie zum Beispiel: Neuausschreibung Awarenesstool (in Jahr 2 oder 3), System für Schwachstellenscans, ISMS-Tool – jeweils gegebenenfalls in Zusammenarbeit mit dem ZDT-Projekt Rahmenverträge

Initiierung des Sicherheitsprozesses an jeder teilnehmenden Hochschule:

  • Rahmenbedingungen
  • Risikoanalyse
  • Prüfung und Anpassung der Sicherheitsleitlinien jeder Hochschule
  • Erarbeitung des individuellen Maßnahmenplans
  • Bestimmung des Kernbereiches der jeweiligen Hochschul-IT, in dem die Informationssicherheit zur Zertifizierungsreife nach ISO 27001:2022 gebracht werden soll

Abschluss von Projektphase 1:

  • Gemeinsame (vertrauliche) Reflektion mit den ISBs: Stand der Informationssicherheit an den Hochschulen
  • Evaluation der genutzten Tools und Formate
  • Evaluation der Ergebnisse der Projektarbeit

Konzeptionierung von Projektphase 2: Planung von Inhalten und Formaten

Projektabschluss,  auf Dauer stellen von:

  • Jour Fixe ISBs
  • Incident-Response-Dienstleister und Notfallübungen
  • Gegenseitige Schwachstellenscans und gegenseitige Penetrationstests
  • Pflege ISMS an den einzelnen Hochschulen
Meilensteine: ---
Verantwortlich: Europa-Universität Viadrina und FH Potsdam, unter Mitarbeit aller teilnehmenden Hochschulen, externe Dienstleister
Arbeitspaket 3
Laufzeit: 11/2024 – 10/2029
Kontinuierliche Arbeitspakete

Steuerung und Organisation:

  • Jour Fixe ISBs
  • Dienstleister-Steuerung
  • Controlling Maßnahmenpläne und Berichterstattung im Rahmen des ZDT
  • Vernetzung mit der AG SEK des zki, Nutzbarmachung des DFN Secure Operations für die Hochschulen sowie ggf. Vernetzung mit hochschulübergreifenden Initiativen anderer Bundesländer (z.B. bayer. HITS Informationssicherheit, Netzwerk Informationssicherheit.nrw, bwInfoSec, usw.)

Inhaltlich:

  • Jährliche gegenseitige Schwachstellenscans der Hochschulen – Konzeptionierung, dann regelmäßige Durchführung und gemeinsame Nachbesprechungen
  • Jährliche Penetrationstests: Wechselnd gegenseitig oder durch externe Dienstleister; dabei wird es möglich gemacht, dass die anderen Hochschulen beobachten und von den Ergebnissen lernen
  • Einmal jährlich: Durchführung einer Notfallübung an jeder Hochschule
  • Aufbau und Pflege der ISMS (Informationssicherheitsmanagementsysteme) an den Hochschulen
  • Weiterentwicklung und Implementierung der Informationssicherheitskonzepte der Hochschulen: Einarbeitung der Ergebnisse anderer Arbeitspakete, Etablierung einer kontinuierlichen Pflege, Überprüfung und Weiterentwicklung der Bestandteile der Sicherheitskonzepte
  • Organisation von zielgruppen-angepassten Workshops für unterschiedliche Akteursgruppen in den Hochschulen (4 Workshoptage jährlich)

Mögliche Themen für Workshops: Kosten und Personalbedarf, Informationssicherheit, Informationssicherheit für Führungskräfte, Sicherheitskonzeption, Notfall- und Risikomanagement für Führungskräfte, Benutzerordnung IT und Anpassungen der Hausordnungen, Informationssicherheit und Datenschutz, Governance Informationssicherheit und Aufbau eines Informationssicherheitsteams, Risikoanalyse und -management in der IT

Meilensteine: ---
Verantwortlich: Europa-Universität Viadrina und FH Potsdam, unter Mitarbeit aller teilnehmenden Hochschulen, externe Dienstleister

Fortschritte

Projekt ist erfolgreich gestartet.

Es gibt einen regelmässigen  joure fixe der Lead- und Co-Lead Hochschulen. 

Es gibt einen regelmässigen joure fixe der ISB der teilnehmenden Hochschulen.

Ergebnisse

Ansprechpartner

Verantwortlich für diese Seite: infosec