Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten....

Angelika Müller – Referentin für Datenschutz und IT-Sicherheit ([email protected])

Hans Pongratz - Geschäftsführender Vizepräsident & CIO ([email protected])

Technische Universität München

15. Februar 2017

24. DFN-Konferenz "Sicherheit in vernetzten Systemen"

Sensibilisierung für IT-Sicherheit an Hochschulen Ein Praxisbericht der Technischen Universität München

14Fakultäten

411 Gebäude

~ 40 000 Studierende 34% Studentinnen

24% Intern. Studierende

530 Professoren

10 000 Mitarbeiter

71 ERC Grants

13 Nobelpreisträger

18 Leibniz-Preisträger der DFG

5 Humboldt-Professuren

2Angelika Müller, Referentin für Datenschutz und IT-Sicherheit

TUM in Zahlen

• IT-sicherheitsrelevante Vorfälle und Schwachstellen werden zentral dokumentiert und

koordiniert, dazu gehören:

• Verlust von elektr. Geräten, auf denen sensible Daten gespeichert sind;

• Einbruch von Hackern in IT-Systeme der TUM;

• Verbreitung von Schadcode durch von der TUM betriebene IT-Systeme;

• Kompromittierung von Zugangsdaten;

• sicherheitskritische Schwachstellen bei im Einsatz befindlichen IT-Geräten und IT-

Systemen.

• Abwicklung erfolgt über zentralen IT-Support bzw. über spezielle IT-Sicherheitsqueue, um

Vertraulichkeit zu gewährleisten


IT-Sicherheit: 2012 Einführung zentrales Meldewesen (1/2)

• Zentrale Hilfestellung zur Wiederherstellung des Betriebs nach einem sicherheitskritischen

Vorfall;

• CIO wird regelmäßig informiert, bei schwerwiegenden Fällen unverzüglich;

• Bei Bedarf Einbindung von HSP, Datenschutzbeauftragten, Sicherheitsbeauftragten und

Personalrat;

• „Neue“ Referentin IT-Sicherheit & Datenschutz im IT-Management des IT-Servicezentrums

der TUM;

Aufgaben u.a.:

Beratung bezgl. Phishing Mails:

Weitergabe aktueller Sicherheitshinweise (CAZ-Meldungen, Aufmerksam machen auf

kritische Updates, Passwort Hacks (z.B. Adobe Hack 2013));

Flankierende Informationskampagnen, um Sensibilität für IT-Sicherheit und IT-

Sicherheitsbewusstsein zu fördern;


IT-Sicherheit: 2012 Einführung zentrales Meldewesen (2/2)

Studierende und Beschäftigte

Sichtweise für Beschäftige:

dienstliche Aspekte mit Einsatzszenarien

• Dienstliches Gerät für dienstlichen Einsatz,

• BYOD (Bring Your Own Device) ,

• PUOCE (Private Use Of Company Equipment).

Sichtweise für Studierende:

• Private Aspekte stehen im Vordergrund,

• Einsatz und Implikationen auf Uninetz dürfen nicht außer Acht gelassen werden.


Zielgruppen

• Wichtigstes Ziel: Aufmerksamkeit der Beschäftigten und Studierenden auf das Thema

IT-Sicherheit lenken.

Es soll

• Zum Nachdenken anregen;

• Zur Diskussion führen;

• Den Wunsch nach weiteren, tiefer gehenden Informationen und Hilfestellungen wecken.

• Leitsätze:

• Empfehlen statt Vorschreiben.

• Überzeugen statt Erzwingen.

• Neugierig machen statt langweilen.


Philosophie der TUM

• Recherche über Good Practics an anderen Institutionen, Fachgespräche, Besuch von

Weiterbildungsveranstaltungen

Übertragung auf den Hochschulkontext

• Ideensammlung zur richtigen Ansprache für Studierende:

Durchführen eines Ideenwettbewerb, um Sprüche, Motive, Anregungen für die Ansprache

von Studierenden zu erhalten.

Ergebnisse des Wettbewerbs:

• Ideen für Bildmotive

• Ideen für plakative Aufhänger für bestimmte Themen

• Idee für IT-Sicherheitsvisual der TUM

• Gespräche mit studentischen Fachschaften, um insbesondere Erstsemester gut

ansprechen zu können

Ergebnis: Paper mit Vorschlägen für Materialien und Maßnahmen, die vor Druchführung

mit dem CIO besprochen wurden/werden.


Entwicklungen

Allgemein

• Veranstaltungen:

• Die Hacker kommen

• Abendvortragsreihe zur

IT-Sicherheit

• Gemeinsamer Sicherheits- und

Datenschutztag von TUM und LRZ

• Informationen auf den IT-Webseiten für

Beschäftigte

• Beiträge im IT-Newsletter und Mitarbeiter-

newsletter

• Aprilscherz zum Thema Phishing

• Phishing-Beratung

Verfahrensverantwortliche

• Flyer „Datenschutz bei Studierendendaten“

zur Verteilung an Lehrstühle und neue

Professuren

Administratoren


Administratoren

• Beiträge im IT-Newsletter


Maßnahmen Beschäftigte

Allgemein


• Die Hacker kommen

• Abendvortragsreihe zur IT-Sicherheit

• Cryptopartys

• Verteilen von Flyern in der Mensa


Studierende

• Beiträge im Studierendennewsletter

Erstsemester


• Vorträge zur IT-Sicherheit

• Vor-Ort-Ansprache als

Ansprechpartner für

IT-Sicherheit mit Ständen

• Cryptopartys

• Werbematerialien für Erstsemester verteilt

über die Studierendenvertretungen

• Flyer

• Blöcke mit Deckblättern zur

IT-Sicherheit

• Preise für Gewinnspiele und Ralleys der

Fachschaften


Maßnahmen Studierende


Flyer für Studierende


Flyer für Studierende

12

Aktionsstand Passwortkarten

13

Aktionsstand PasswortkartenPasswortkarten

3 Vorträge pro Semester zu Sicherheitsthemen aus Forschung, Praxis und Recht

• How I know you printed my email

• IT-Sicherheit im (scheinbar) Privaten: Was muss ich rechtlich beachten?

• Mobile Schädlinge - Vergangenheit und Zukunft

• Das Internet der Dinge - wofür braucht man "Hardware Security"

• Cybercrime & Cyberwar

• Überholte Vertrauensmodelle, schlechte Benutzbarkeit, unsichere Standards - Was ist die

Zukunft der IT-Sicherheit?

• Hacker und Spione: Bedrohungen der IT-Sicherheit

• Ich habe doch nichts zu verbergen! Was das Internet und seine Protagonisten über uns

wissen

• USBösewichte


Abendvortragsreihe IT-Sicherheit im Sommer/Winter

15

Hilfe zur Selbsthilfe: Phishing-Infos

http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/selbstlerntest-phishing/

16

Do‘s and Dont‘s der TUM

http://www.it.tum.de/it-sicherheit/fuer-mitarbeiterinnen/dos-and-donts/

17

Broschüre für Verfahrensverantwortliche: Datenschutz und IT-Sicherheit bei Studierendendaten

• Interesse an Kampagnen und Aktionen größer als erwartet.

• Nutzung verschiedener Kanäle (online und offline) und Fokussierung auf verschiedene

Zielgruppen, Einsatzbeispiele und Orte (Büro, Mensa, Hörsaal, …) ist sehr wichtig

• Aktuelle Vorfälle und Pressemeldungen sind gute Aufhänger und Ideengeber für den

nächsten Newsletter bzw. die nächste Aktion.

• Besonders wichtig: regelmäßige Aktionen und Wiederholung wichtiger Themen, Motto

„steter Tropfen höhlt den Stein“.

• Nach der Kampagne ist vor der nächsten Kampagne

• Überzeugung der TUM:

• Jede Maßnahme ist hilfreich und ein großer bis sehr großer Sensibilisierungsbedarf

besteht bei allen Zielgruppen.

Untersuchungen zum Erfolg von Sensibilisierungsmaßnahmen werden auch aus diesem

Grund nicht durchgeführt.


Lessons Learnd

• Der Entwurf von Kampagnen, Aktionen und Unterlagen zur Sensibilisierung im Bereich der

IT-Sicherheit benötigt

• ausreichend Zeit,

• gute Kenntnisse der Zielgruppen inklusive deren Bedürfnisse, Sorgen und

Sorglosigkeiten,

• Ideen für die richtige Ansprache.

• Zielgruppen und Problemzonen der Hochschulen sollten i.A. deckungsgleich sein.

• Erstellte Materialeien können als Vorlagen / Blaupausen dienen, um schneller Aktionen und

Maßnahmen umzusetzen.


Vernetzung mit anderen Hochschulen und Institutionen (1/2)

• Eine Austauschplattform mit Hinterlegung von Metainformationen ist dafür hilfreich.

Vorschlag Metainformationen:

• Zielgruppe

• Ziel

• Wirkung

• Erkenntnisse

• Organisatorisches/Aufwand

• Ansprechpartner

• Möglichkeiten der Wiederverwendung

• Hierfür im Einsatz: Sync&Share-Ablage gehostet an der TU Braunschweig.


Vernetzung mit anderen Hochschulen und Institutionen (2/2)

• TUM hat wichtige Schritte zur Grundsensibilisierung unternommen.

• Wichtig ist das Aufrechterhalten und Weiterführen der Maßnahmen Sensibilisierung ist

Dauerthema.

• Für einige Zielgruppen sind Materialien und Maßnahmen noch auszubauen (Professoren,

Verfahrensverantwortliche, Administratoren).

• Austausch mit anderen Institutionen ist wichtig, um Kräfte zu bündeln.


Fazit

Date post:	21-Jun-2021
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten....

Documents