verabschiedet am 27.05.2015 durch das Präsidium der TUHH
Die Informationssicherheitsleitlinie (IS-LL) der Technischen Universität Hamburg-Harburg (TUHH) folgt den Vorgaben der IS-LL der Freien und Hansestadt Hamburg (FHH), Beschluss des Hamburger Senats vom 02.04.2013, bezüglich der Schutzziele der
aller vorhandenen Informationen der Hochschule. Sie orientiert sich an BSI-Grundschutz und schreibt die bestehende IT-Sicherheitsleitlinie der TUHH, beschlossen durch den Hochschulsenat der TUHH am 25.02.2004, fort.
Diese Leitlinie gilt für alle angegliederten, sowie eigenständigen Organisationseinheiten, die zur Technischen Universität Hamburg-Harburg (TUHH) gehören oder in deren Netzinfrastruktur integriert sind. Betroffen sind sowohl digitale Informationen sowie die Geräte, mit denen die Informationen verarbeitet werden, als auch analoge Medien (z.B. Ausdrucke), die ebenfalls schützenswerte Informationen enthalten können.
Die Informationstechnik hat sich zu einem der wichtigsten Arbeitsmittel für eine moderne Universität entwickelt. Dabei sind die Möglichkeiten, die eine Vernetzung der Computer untereinander bieten, wie z.B. Mail unverzichtbar und ohne diese Techniken wäre der Auftrag zur Forschung und Lehre für die TUHH kaum erfüllbar.
Leider hat die Vergangenheit gezeigt, dass vernetzte Computersysteme sowohl von innen, d.h. durch Angehörige der TUHH, als auch von außen durch Dritte angreifbar sind und auch missbraucht werden. Ein solcher Missbrauch
Es gibt auch viele andere Bedrohungen für die Verfügbarkeit der IT-Infrastruktur der TUHH. Dazu zählen höhere Gewalt, organisatorische Mängel, Fehlbedienung, technisches Versagen und vorsätzliche Handlungen wie Diebstahl oder Vandalismus. Ziel muss es deshalb sein, Missbrauch und Gefahren einzudämmen, damit die Vertraulichkeit und Integrität der Daten und die aufgabengemäße Verfügbarkeit der IT-Systeme gewährleistet sind. Sicherheit kann eine Einschränkung für die Bedienbarkeit und Funktionalität bedeuten, und es muss zwischen den verschiedenen Interessen abgewogen werden. Die Kompromisse, die dabei einzugehen sind, müssen von jedem Nutzer der TUHH-Infrastruktur akzeptiert und mitgetragen werden. Dies gilt auch für Gäste, die nur vorübergehend an der TUHH anwesend sind.
Alle Beschäftigten haben die Informationssicherheit durch ihr verantwortliches Handeln zu gewährleisten und die für die Informationssicherheit relevanten Regelwerke (Gesetze, Verordnungen, Richtlinien, personalvertretungsrechtliche Vereinbarungen, organisatorische Regelungen, vertragliche Verpflichtungen u.ä.) einzuhalten. Den Leitern der Organisationseinheiten obliegt es, mit Anweisungen und Freigaben die spezifischen Anforderungen ihres Bereiches zu regeln und zu verantworten, soweit diese durch zentrale Beschlüsse nicht ausreichend abgedeckt sind (z.B. besondere Vertragsvereinbarungen mit Kooperationspartnern). Die Informationssicherheit der TUHH liegt als Aufgabe der staatlichen Auftragsverwaltung beim Kanzler, die strategische Ausrichtung der IT beim Chief Information Officer (CIO).
Der InSiBe koordiniert den übergreifenden Informationssicherheits-Prozess und unterstützt die DVB in ihrer Arbeit. Die Aufgaben des InSiBe sind
Zur Erfüllung der Aufgaben kann der InSiBe
Der InSiBe erstattet dem CIO zu Beginn jeden Jahres Bericht und informiert den Vorsitzenden des Senatsausschusses IT nachrichtlich. Der InSiBe und dessen Vertreter werden auf Vorschlag des RZ-Leiters vom Präsidium der TUHH beauftragt.
Die Verantwortung für die Informationssicherheit liegt bei der Leitung der Organisationseinheit. Die operativen Aufgaben können vom DVB, der gegenüber dem RZ von der Leitung benannt wird, übernommen werden. Dabei müssen dem DVB ausreichend Zeit und Ressourcen zur Verfügung gestellt werden, damit dieser den Aufgaben fachgerecht nachkommen kann. Der DVB
Zur Erfüllung der Aufgaben kann der DVB
Bei der Benennung des DVB ist besonders auf eine personelle Kontinuität zu achten. Eine Organisationseinheit ohne einen DVB darf keine eigenen IT-Dienste (z.B. Web-Server) betreiben, bei denen die IT-Infrastruktur der TUHH genutzt wird. Die erforderlichen IT-Kompetenzen richten sich nach der betriebenen IT-Infrastruktur.
Organisationseinheiten wie z.B. der Allgemeine Studierendenausschuss (AStA) oder andere Forschungseinrichtungen sind juristisch eigene Personen und nicht unmittelbar der Weisung des Präsidiums der TUHH unterstellt, obwohl sie gänzlich oder zumindest teilweise in die Infrastruktur der TUHH integriert und durch diese mit IT-Dienstleistungen versorgt sind. Auch diese eigenständigen Organisationseinheiten müssen einen DVB und mindestens einen Vertreter gegenüber dem InSiBe benennen, der die Bereiche innerhalb der TUHH Infrastruktur vertritt. Sollte eine Zusammenarbeit mit den eigenständigen Organisationseinheiten bei Sicherheitsvorfällen nicht möglich sein und eine akute Gefährdung der Infrastruktur bestehen, so werden die Organisationseinheiten zum Schutz der übrigen Teilnehmer temporär getrennt, bis die Probleme behoben oder ein Konsens mit dem Präsidium über die weitere Kooperation hergestellt wurde. Für den DVB der eigenständigen Organisationseinheit gelten dieselben Aufgaben und Kompetenzen wie für die übrigen DVB, auch hier ist auf personelle Kontinuität zu achten.
Das RZ ist mit dem sicheren, operativen Betrieb der zentralen Infrastruktur der TUHH beauftragt. Insbesondere liegt die Hoheit des LAN, des Funknetzes sowie der Netzübergänge in Fremdnetze (z.B. Internet) im RZ. Andere Organisationseinheiten können gekapselte Teilnetze betreiben. Eine Verbindung in andere Netze oder eine konkurrierende Funknetz-Struktur erfordert jedoch eine schriftliche Abstimmung mit dem RZ, da hierdurch die Sicherheit und die Qualität der übrigen Teilnehmer betroffen sein kann. Das RZ trifft geeignete Maßnahmen, um TUHH fremde Personen (etwa bei Kongressen, Raumvermietung an Externe) nur auf nötige Dienste (z.B. Internet-Zugang) zu beschränken. Das RZ setzt Maßnahmen (wie Beschränkungen von Ports / Protokollen) nach Empfehlung des InSiBe um.
Sicherheitsmaßnahmen müssen formuliert, kommuniziert, realisiert, überwacht und fortentwickelt werden. Letztendlich liegt dies immer in der Verantwortung des Präsidiums bzw. der Leitung der Organisationseinheit, auch wenn die faktische Zuarbeit durch den InSiBe und die DVB erfolgt. Sofern einzelne Maßnahmen oder Regelungen einen gravierenden Einfluss auf die Arbeitsabläufe haben, sollten diese der Leitung zur abschließenden Entscheidung vorgelegt werden. Ausnahmen von solchen bindenden Maßnahmen und Regelungen bedürfen der schriftlichen Zustimmung.