KIF520:Wie mache ich meiner Hochschule deutlich, dass es IT-Sicherheit gibt

Aus KIF

AK Wie mache ich meiner Hochschule deutlich, dass es IT-Sicherheit gibt?[Bearbeiten]

  • Hochschulen (und andere) sind eigentlich verpflichtet Konzepte zu haben, wie mit Sicherheitsvorfällen umzugehen ist
    • und wenn die nicht auffindbar ist, dann per IFG anfragen
  • für Daueraufgaben bräuchte es Dauerstellen
  • hast du schon Sicherheitslücken gemeldet?
    • ja, via Datenschutzbeauftragten, und wird auch gelöst.
    • Kompetente Personen gehen wegen keiner Verlängerung
      • Bezahlung wäre okay
  • Es gibt befristete Stellen im Rechenzentrum
    • ohne Sachgrund nach TV-L
    • es gibt auch SHKs z.B. für den Service Point
      • wie ist das mit besonders schützenswerten Daten?
        • Beim HiWi vertrag ist ein Beiblatt dabei
        • aber wird locker gesehen (bei Übungen …)
        • im Rechenzentrum wahrscheinlich besser
  • Kommission fürs Rechenzentrum?
    • mit studierenden?
      • haben ein paar HS
      • meist über den Senat?
      • einfach reingesetzt
    • Beirat letztes mal getagt 19…
  • “Hacking AG”
    • für wlan Testing, …
  • Pentest Bachelorarbeit
    • Rechenzentrum
    • Davor aber schonmal extern? (und es sind keine Köpfe gerollt)
  • Gremium für Überprüfung von Vorschlägen
    • Das Problem ist, das es möglich ist, aber es eigentlich verhindert werden müsste, das es möglich ist.
    • je nachdem ist es ja auch normal nicht möglich an Dinge normal ranzukommen, aber ggf. im Forschungskontext
    • wie Ethikkommission für Tierversuche
      • je nachdem auch Vorgaben machen, was zu beachten werden muss
        • gab es für ein versuch mit Fake edurom

Weg zum Melden[Bearbeiten]

  • Datenschutzbeauftragte*r
    • hat sich damit auseinander zu setzen
    • kann nach oben, zum Landesdatenschutzbeauftragten gehen
    • Hinweise sind anonym zu behandeln
    • ggf über FSR, damit der auch der Datenschutzbeauftragte nicht weiß von wem es kommt
  • auf kosten hinweisen
  • cert team
    • ist auch schnell, auch am Samstag um 20 UHr
    • andere Unis werktag 10?-??
    • DFN macht jetzt auch solche Dinge (im basistarif)
      • mache Dinge nur mit lokalem Vorhalten/…
  • Ansprechpartner über security.txt
  • manchmal gab es auch deutliche Nachteile für den Studis
    • an den Datenschutzbeauftragten, “Antwort” kam vom Prof
    • Nachteile vermeiden: über dedizierte Email (alternativ Fachschaft Email…) melden

Phishingtests für Studis?[Bearbeiten]

  • gibt es bei mindestens 2 unis,
    • bei einer mit ähnlicher Mail
  • gibt eine uni, die selbst Phishing ähnliche Mail schickt

Was wäre gut?[Bearbeiten]

  • Ethikkommission
  • security.txt
  • dedizierte email, damit nicxht die Persönliche genutzt werden muss
  • bug bounty Programme
  • regelmäßige schulungen (für SHKs) (auch für studis?)
  • gut umgesetztes phishingtests, ohne schlimme Folgen
    • Stelle bei der man phishing/zweifelhafte mails überprüfen kann
      • ggf werden dann auch angriffe mitbekommen
  • Kompetente angestellte Personen beim Rechenzentrum (ohne Befristung) und mit regelmäßigen Schulungen um am aktuellem Stand der Technik zu bleiben
  • offiziele wege für Dienste an Anhängsel an Uni/HS
  • S/MIME Certificates, zentral von der Uni ausgegeben, um phishing zu verhindern

anderes[Bearbeiten]

  • Onlineschulung zum Thema Datenschutz
    • ist schrecklich
    • Postleitzahl angeblich nicht personenbezogen
      • kann alleine sein, in kombination durchaus Personenbezogen
    • weshalb Datenschutz? um Strafen und imageverlust zu vermeiden
  • verbinden mit IT Mindeststandards also rezo

https://www.educv.de/ https://de.wikipedia.org/wiki/Security.txt

Falls Leute noch was zu sagen hätten und um zu versuchen die Wünsche demnächst in Reso-Form zu stecken: https://matrix.to/#/#securityanhs:kif.rocks

Abgerufen von „https://wiki.kif.rocks/w/index.php?title=KIF520:Wie_mache_ich_meiner_Hochschule_deutlich,_dass_es_IT-Sicherheit_gibt&oldid=51537