KIF525:Resolutionsentwürfe/IT-Sicherheit an HS: Unterschied zwischen den Versionen

Aus KIF
Keine Bearbeitungszusammenfassung
Zeile 12: Zeile 12:


=== Begründung ===
=== Begründung ===
Die KIF beschäftigt sich viel mit der IT-Sicherheit der Hochschulen und hat dabei festgestellt, dass es an zahlreichen Hochschulen noch bedarf zur Verbesserung gibt.
Die KIF beschäftigt sich viel mit der IT-Sicherheit der Hochschulen und hat dabei festgestellt, dass es an zahlreichen Hochschulen noch Bedarf zur Verbesserung gibt.
Die Zahl der bekanntgewordenen Angriffe auf Hochschulen ist erschreckend hoch und die Dunkelziffer ist noch höher.
Die Zahl der bekannt gewordenen Angriffe auf Hochschulen ist erschreckend hoch und die Dunkelziffer ist noch höher.
Die Erfahrung zeigt, dass Stellen die sich mit IT-Sicherheit beschäftigen häufig überarbeitet sind. Dafür kann Abhilfe geschaffen werden, indem einerseitz mehr Verständnis auf Leitungsebene geschaffen wird und andererseits die erforderlichen Ressourcen (z.B. Personell und Finanziell) zur Verfügung gestellt werden.
Die Erfahrung zeigt, dass Stellen, die sich mit IT-Sicherheit beschäftigen, häufig überarbeitet sind. Dafür kann Abhilfe geschaffen werden, indem einerseits mehr Verständnis auf Leitungsebene geschaffen wird und andererseits die erforderlichen Ressourcen (z.B. personell und finanziell) zur Verfügung gestellt werden.
Viele Umsetzungsmethoden haben auch Nachteile verschiedenster Arten, sodass eine sinnvolle Entscheidung die Einbindung aller erfordert.
Viele Umsetzungsmethoden haben auch Nachteile verschiedenster Arten, sodass eine sinnvolle Entscheidung die Einbindung aller erfordert.


Zeile 22: Zeile 22:
Es braucht ein IT-Sicherheitskonzept, das mit einem PDCA-Zyklus weiterentwickelt wird.  
Es braucht ein IT-Sicherheitskonzept, das mit einem PDCA-Zyklus weiterentwickelt wird.  


Wir empfehlen die Einrichtung eines zentralen IT-Sicherheits-Lenkungskreises unter Beteiligung aller Statusgruppen
Wir empfehlen die Einrichtung eines zentralen Lenkungskreises für IT-Sicherheits unter Beteiligung aller Statusgruppen


Die Nutzung der vom DFN-Verein angebotenen Hilfen.
Die Nutzung der vom DFN-Verein angebotenen Hilfen.


Das Anbieten von Bug Bounty-Programmen wie Hacking-Events.
Das Anbieten von Bug-Bounty-Programmen wie Hacking-Events.


Die Erlaubnis für das Schreiben von Abschlussarbeiten über das Testen der eigenen Infrastruktur, wie Pentesting-Arbeiten.
Die Erlaubnis für das Schreiben von Abschlussarbeiten über das Testen der eigenen Infrastruktur, wie Pentesting-Arbeiten.


Das Anbieten von secutrity.txt nach [RFC 9116](https://datatracker.ietf.org/doc/html/rfc9116) zur vereinfachung von Sicherheitsmeldungen
Das Anbieten von secutrity.txt nach [RFC 9116](https://datatracker.ietf.org/doc/html/rfc9116) zur Vereinfachung von Sicherheitsmeldungen


Die Sensibilisierung für Phishing anhand aktueller Erkenntnisse aus der Forschung.
Die Sensibilisierung für Phishing anhand aktueller Erkenntnisse aus der Forschung.


Das anbieten von Datenschutzschulungen für alle Interessierte
Das Anbieten von Datenschutzschulungen für alle Interessierte

Version vom 20. Oktober 2024, 13:21 Uhr

Informationen zu diesem Resolutionsentwurf:
Ansprechperson: Luca
AK: AK Re: Wie mache ich meiner Hochschule deutlich, dass es IT-Sicherheit gibt?
Reso polieren: Wird vom AK Reso polieren. Inital bitte "Nicht poliert" eintragen
Zwischenplenum: Wird vom Zwischenplenum ausgefüllt. Initial bitte leer lassen



Die KIF fordert Hochschulen dazu auf, mit hoher Priorität auf ihre IT-Sicherheit und die ihrer Angehörigen zu achten. Dabei ist ein ganzheitlicher Ansatz wichtig, der von höchster Leitungsebene getragen wird. Alle Statusgruppen müssen eingebunden werden und sich an der Erstellung, Umsetzung, Weiterentwicklung und Evaluation des Verfahrens beteiligen können.

Begründung

Die KIF beschäftigt sich viel mit der IT-Sicherheit der Hochschulen und hat dabei festgestellt, dass es an zahlreichen Hochschulen noch Bedarf zur Verbesserung gibt. Die Zahl der bekannt gewordenen Angriffe auf Hochschulen ist erschreckend hoch und die Dunkelziffer ist noch höher. Die Erfahrung zeigt, dass Stellen, die sich mit IT-Sicherheit beschäftigen, häufig überarbeitet sind. Dafür kann Abhilfe geschaffen werden, indem einerseits mehr Verständnis auf Leitungsebene geschaffen wird und andererseits die erforderlichen Ressourcen (z.B. personell und finanziell) zur Verfügung gestellt werden. Viele Umsetzungsmethoden haben auch Nachteile verschiedenster Arten, sodass eine sinnvolle Entscheidung die Einbindung aller erfordert.

Empfehlungen

Zur Umsetzung der von uns angesprochenen Punkte haben wir eine nicht vollständige Ideenliste geschrieben:

Es braucht ein IT-Sicherheitskonzept, das mit einem PDCA-Zyklus weiterentwickelt wird.

Wir empfehlen die Einrichtung eines zentralen Lenkungskreises für IT-Sicherheits unter Beteiligung aller Statusgruppen

Die Nutzung der vom DFN-Verein angebotenen Hilfen.

Das Anbieten von Bug-Bounty-Programmen wie Hacking-Events.

Die Erlaubnis für das Schreiben von Abschlussarbeiten über das Testen der eigenen Infrastruktur, wie Pentesting-Arbeiten.

Das Anbieten von secutrity.txt nach [RFC 9116](https://datatracker.ietf.org/doc/html/rfc9116) zur Vereinfachung von Sicherheitsmeldungen

Die Sensibilisierung für Phishing anhand aktueller Erkenntnisse aus der Forschung.

Das Anbieten von Datenschutzschulungen für alle Interessierte