ISMS für Hochschulen: Wann ISIS12 auch für Hochschulen taugt

ISIS12 ist als ISMS vor allem für Kommunen und den Mittel­stand angelegt. Seit dem 9. Juli 2020 ist nun auch die Otto-Friedrich-Universität in Bamberg als erste Hoch­schule in Deutsch­land erfolgreich ISIS12-zertifiziert. Dass es länger gedauert hat als geplant, ist u.a. der DSGVO-Einführung geschuldet.

Die Universität Bamberg ist ISIS12-zertifiziert

Von Eduard Heilmayr

Es war ein hartes Stück Arbeit für das Team von Dr. Hartmut Plehn. Mitte Juli 2020 traf endlich der Abschluss­bericht gemeinsam mit der Urkunde ein: geprüft, für gut befunden und beurkundet von der DQS, der zuständigen Zertifizierungs­stelle. Die Otto-Friedrich-Universität in Bamberg ist damit die erste Hochschule in Deutschland, die erfolgreich nach dem ISMS (Informations­sicherheits­management­system) ISIS12 zertifiziert ist.

Leichter als ISO/IEC 27001

Der erfolgreichen Erstzertifizierung war eine knapp dreijährige Projektphase vorausgegangen. Gestartet wurde das ISIS12-Projekt im August 2017. Vorgeschaltet war eine gründliche Prüfung auf Eignung dieses ISMS für die Universität. Das wesentliche positive Entscheidungs­kriterium für ISIS12, war, so Dr. Hartmut Plehn, CIO der Bamberger Universität im Gespräch mit der Redaktion, „ein vereinfachter Einstieg in eine trotzdem möglichst umfassende Behandlung der wesentlichen Aspekte der Informations­sicherheit für unsere Universität“. Den Prüfungs­aspekt „vereinfachten Einstieg“ bezieht Dr. Plehn auf komplexere Management-Frameworks mit Bezug auf Informations­sicherheit wie ISO/IEC 27001 oder den IT-Grundschutz des BSI.

„Die Zertifizierung in Verbindung mit dem Audit“, so Dr. Plehn weiter, „war an sich nicht das oberste Ziel des Projektes für uns.“ Vielmehr war das Audit für ihn und sein Team eine Form der „Selbstdisziplinierung“. Er sagt: „Ohne die Audit-Selbst­verpflichtung, wäre das Projekt im Sand verlaufen.“ Und selbst­verständlich ergäben sich aus der erfolgreichen Zertifizierung weitere Vorteile, beispielsweise bei nationalen und europäischen Forschungsanträgen.

Hartmut-Plehn.jpg

Dr. Hartmut Plehn ist Rechenzentrumsleiter und CIO an der Otto-Friedrich-Universität Bamberg. Der gelernte Physiker hat bereits zu Studienzeiten in Würzburg am dortigen RZ praktische Erfahrungen mit Datacentern und Informationssicherheit gesammelt.

In zwölf Schritten, mit Wartezeiten

In der Theorie sollten die zwölf Schritte des ISIS12-Frameworks innerhalb von zwölf bis längstens 18 Monaten durchlaufen werden. Die Projek­tlaufzeit an der Universität Bamberg bis zur Auditierung dauerte fast doppelt so lange, das Audit selbst zog sich corona­bedingt von April bis Juni 2020 über drei Monate hin. Dr. Plehn bestätigt denn auch: „Das Projekt hat länger gedauert, als ich mir es gewünscht hätte.“

Der Bamberger Rechenzentrums­verantwortliche nennt eine Reihe von Gründen dafür. An erster Stelle steht die Personalknappheit: „Ressourcen, um das Projekt intern zu koordinieren, konnten nicht im ausreichenden Umfang zur Verfügung gestellt werden.“ Von der Leitung der Universität wurde dazu eine befristete Fachinformatiker­stelle genehmigt, zur Entlastung des für die Projektleitung ausgewählten Mitarbeiters Christian Kraus. Das Problem dabei: „Herr Kraus konnte sich maximal 30 % seiner Arbeitszeit dem ISIS12-Projekt widmen, seine Haupt­verantwortung in der Abteilung Kommunikations­netze nahm den größeren Teil seiner Arbeitszeit in Anspruch.“

Bamberg-ISIS12 2020-07-09 Zertifikat.jpg

Die erste deutsche Hochschule mit ISIS12-Zertifikat: Bamberg hat für beide RZ-Standorte das DQS-Audit bestanden. (Bild: Universität Bamberg – DQS)

Während des Projektzeitraumes wurde die zentrale Server- und Storage-Struktur des Rechenzentrums neu aufgebaut. Dies bedeutete zusätzlichen Ressourcen­aufwand für das ISMS-Team der Universität. „Allerdings“, berichtet Dr. Plehn weiter, „so hoch der Arbeitseinsatz hier auch war, so wichtig war der Aufbau des neuen Rechenzentrums für unsere Informations­sicherheit und damit für unser ISIS12-Projekt.“ Es sei eine hohe Standardisierung der Server­infrastruktur erreicht worden, mit einem georedundanten Maschinenraum, der als Active-Active-Cluster arbeitet. „Die Anlage ist mit einer VM-Infrastruktur gekoppelt, damit können Maschinen im laufenden Betrieb hin und her verschoben werden.“ Vereinheitliche Backup-Konzepte und vereinfachte Notfall­planungen, so Dr. Plehn, gehören zu den praktischen Vorteilen, auch in Hinblick auf ISIS12. „Herr Kraus hat sich in seinen Aufgaben und beiden Projekten unglaublich engagiert! Er hat einen wesentlichen Anteil am erfolgreichen Projektverlauf und -abschluss“, dankt Dr. Plehn seinem Projektleiter.

Ein Overhead an Koordinations­aufgaben

Als einen weiteren wichtigen Grund für die Verzögerung des Projektes nennt Dr. Plehn die Umsetzung der EU-DSGVO ab Mai 2018: „Das war ein zusätzliches Thema, das wir bearbeiten und integrieren mussten.“ Es gebe viele Berührungspunkte zwischen den DSGVO-Anforderungen und der Informations­sicherheit, so Dr. Plehns Praxis­erfahrung, „die Erarbeitung und Zusammen­führung der Vorgaben hat uns mindestens nochmals ein halbes Jahr gekostet.“

Auch interne Prozesse bremsten das Projekt: „An der Uni ist die Verabschiedung von Richtlinien ein eher langwieriger Prozess, der ungefähr ein halbes Jahr Vorlauf braucht“, erklärt Dr. Plehn. Dies gelte auch für Standards, wie sie ISIS12 vorsieht, beispielsweise die Nutzungsrichtlinien. Diese sind bei ISIS12 zentrale, unverzichtbare Dokumente.

Serie: ISIS12

Vorgehensmodell-Sicherheitsmanagement-mit-ISIS12.jpg

Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)

„Knifflig“, so Dr. Plehn, war offenbar zeitweise auch die Arbeit mit den IT-Administratoren. Dies betreffe vor allem die Dokumentation und die für ISIS12 notwendige Schaffung in einer einheitlichen Struktur. „Ausgangspunkt war ein ziemliches Durcheinander“, so Dr. Plehn. „Jeder hatte seine eigene Art und Weise, zu dokumentieren.“ Eigene Wikis in den einzelnen IT-Abteilungen fanden das ISIS12-Team ebenso vor wie Word-Dokumente oder gar Papierzettel. „Das alles zu vereinheitlichen, erforderte einen großen Kraft­aufwand“, berichtet der Fachmann. Geholfen hätten letztlich drei Dinge, erklärt er: „Wir haben die formalen Hürden der Dokumentation ziemlich niedrig gesetzt, keine literaturpreis­verdächtigen Formulierungen gefordert und eine gemeinsame Plattform auf einem SharePoint-Server mit der OneNote-App zur Verfügung gestellt.“ Insbesondere mit dem Werkzeug OneNote hätten sich die Verantwortlichen schnell und gut angefreundet.

Die Anforderungen in Bamberg
Die Otto-Friedrich-Universität Bamberg gehört mit knapp 13.000 Studierenden und 1400 Beschäftigten zu den mittelgroßen Universitäten in Deutschland. Ihr Fächerprofil ist geistes- und human­wissenschaftlich, es wird durch Sozial- und Wirtschafts­wissenschaften sowie Informatik ergänzt. Die Universität hat neben ihrer primären Rolle als akademischer Bildungs- und Wissenschafts­einrichtung für die Stadt Bamberg auch große wirtschaftliche und kulturelle Bedeutung.

Feldkirchenstrasse-Rechenzentrum.jpg
In der Feldkirchenstraße hat die Otto-Friedrich-Universität Bamberg ihren „Haupt-Maschinenraum“. (Bild: Jürgen Schabel – Universität Bamberg)

Das Rechenzentrum betreibt die IT-Infrastruktur und stellt zusammen mit einigen anderen zentralen IT-Dienstleistern die in Lehre, Forschung und Verwaltung benötigten Services zur Verfügung. Aktuell werden dazu etwa 500 Server und 3000 Endgeräte betreut. Die Studentinnen und Studenten können sich mit ihren eigenen Rechnern an über 500 WLAN Access Points in das Hochschulnetz einwählen. In etwa 5000 Mailboxen liegen rund 4 Terabyte an Mails. Übliche Dienstleistungen für zentrale Dateiablage, Mail-Kommunikation und Rechte­management werden ergänzt durch Spezialsysteme für E-Learning, Lehr­unterstützung und Forschungs­information. Durch die Anforderungen aus der Forschung und durch den speziellen Status der Studentinnen und Studenten als Hochschul­angehörige, die die Systeme der Universität mit ihren privaten Laptops und Smartphones nutzen möchten, ergeben sich besondere Herausforderungen für die Sicherheitsarchitektur.

Unterstützung verhindert Irrläufe

In diesem Zusammenhang verweist Dr. Plehn auch auf die hilfreiche Zusammenarbeit mit den beiden Beratern Frank Fukala und Klaus Wagner von ID square (vormals Treuwerk).„Ohne deren Unterstützung“, sagt er, „hätten wir noch viel mehr Arbeit investieren müssen und wahrscheinlich auch einige Dinge schlichtweg falsch gemacht.“ Die Berater­mitwirkung erwies sich insbesondere beim ISIS12-Schritt 4 („IT-Dokumentationsstruktur festlegen“) und in den Schritten 6 („Kritische Applikationen identifizieren“), 7 („IT-Struktur analysieren“) und 8 („Sicherheits­maßnahmen modellieren“) als effizient und sehr hilfreich.

Als Beispiel nennt Dr. Plehn seine Erfahrungen aus der operativen Phase in Schritt 6. Hier fordert ISIS12 die Unterscheidung zwischen kritischen Anwendungen und dem Rest der Applikationen. Gemeint seien jedoch nach Dr. Plehns Verständnis „kritische Verfahren“. Diese seien dann noch zu bewerten: nach kritischen Systemen und kritischen Anwendungen. Die Bewertung muss außerdem noch durch die definierten Schutz­bedarfs­kategorien erfolgen. „Hier rennt man ohne Berater­unterstützung recht schnell in die falsche Richtung“, warnt Dr. Plehn.

Gute Abstimmung, gute Informations­vergabe

Grundsätzlich zieht Dr. Plehn ein positives Resümee der internen Zusammenarbeit zwischen der Hochschulleitung, den Mitgliedern des ISIS12-Projektteams, den IT-Fachkräften und den betroffenen Beschäftigten der Universität. „Meine grundsätzliche Erfahrung ist: Es wird im Großen und Ganzen an einem Strang gezogen“, sagt er. Es gebe keine Grabenkämpfe oder „traditionelle Fürstentümer“. Die Universitäts­leitung habe von Anfang an das ISIS12-Projekt als sehr wichtig angesehen und entsprechend unterstützt, im Rahmen der Ressourcen, die möglich waren. Die Kommunikation mit dem Datenschutzbeauftragten und dem Personalrat habe sehr gut funktioniert.

Sicherheit für Forschungswissen

Steuer-flieser.jpg

„Das höchste Gut einer Universität ist das den Studierenden vermittelte und das in der Forschung neu geschaffene Wissen. Die Sicherheit dieses Wissens in Form von Daten und Informationen ist daher ein fundamentales Ziel einer Universität. Mit der Einführung des Informations­sicherheits­management­systems ISIS12 haben wir einen wichtigen Meilenstein im Streben nach mehr Sicherheit für unsere Informationen erreicht.“ – Dr. Dagmar Steuer-Flieser, Kanzlerin der Otto-Friedrich-Universität Bamberg
(Bild: Jürgen Schabel – Universität Bamberg)

Fast schon begeistert zeigt sich Dr. Plehn, wenn man ihn auf die Akzeptanz der Nutzerinnen und Nutzer anspricht, speziell zum Thema Informations­sicherheits­einweisungen und die entsprechenden Informationen. „Unsere Beschäftigten“, freut sich Dr. Plehn, „lechzen direkt nach Hilfestellung im Umgang mit IT!“ Denn die Verunsicherung durch Sicherheits­vorfälle, über die nahezu täglich auch in der Presse ausführlich berichtet werde, sei groß und wirke sich auch auf das Private aus. „Bei uns laufen dazu viele Fragen auf“, so Dr. Plehn dazu, „und alles, was wir zum Thema Informations­sicherheit und Datenschutz für wichtig erachten und publizieren, wird als hilfreiche Information und nicht als Gängelung betrachtet.“

Entscheidend ist bei diesem Punkt aber, dass die Informationen für praktische Handlungssicherheit sorgen: „All unsere Informationen“, sagt Dr. Plehn, „wurden von Anfang an mit dem Ziel verfasst, unseren Beschäftigten nicht neue Hürden aufzubürden, sondern Hilfestellungen anzubieten.“ Als Beispiel nennt er den neuen „Leitfaden zur mobilen IT-Nutzung“, der klar formuliert und kompakt gehalten ist. So etwas werde als motivierend wahrgenommen und nicht als „Vorgabe von oben“, auch deshalb, weil der Leitfaden z.B. keine Androhung von Sanktionen enthält. „Das wäre aus meiner Sicht auf dem Gebiet der Informations­sicherheit nicht der richtige Weg, das wäre kontraproduktiv“, warnt Dr. Plehn.

Fazit: ISIS12 passt für Unis, mit einigen Abstrichen

Dr. Hartmut Plehns Gesamtbilanz zum ISIS12-Projekt- und Zertifizierungs­verlauf lautet zusammenfassend: „kritisch positiv“. Er hält das Informations­sicherheits­management­system ISIS12 für den Einsatz in kleineren Universitäten und Hochschulen geeignet. Die Komplexität der Umsetzung und den dafür erforderlichen Aufwand sollte man jedoch keinesfalls unterschätzen. Kompetente Berater könnten hier helfen. Auch sei das angebotene ISIS12-Software­tool aufgrund mangelnder Multi-User-Fähigkeit und nicht ausreichender Skalierbarkeit, was die Anzahl der verwalteten Systeme betrifft, für den Einsatz in größeren Organisationen nicht geeignet, so Dr. Plehns Urteil.

Wertvoll war für ihn und sein Team nicht zuletzt der Ablauf des Zertifizierungs­prozesses. „Die Sicht von außen“, sagt er, sei sehr hilfreich und gebe wertvolle Anregungen für die weitere Entwicklung der Informations­sicherheit an der Universität Bamberg. Für Dr. Plehn sind dies wichtige Argumente, auch zukünftig auf ISIS12 als ISMS zu setzen. Er glaube deshalb „eher nicht, dass wir in Richtung ISO 27000 gehen werden, auch wenn das noch nicht abschließend entschieden ist.“

KITK-Heilmayr.jpg

Eduard Heilmayr war acht Jahre lang Chefredakteur bei „Markt & Technik“, anschließend dort im Verlagsmanagement tätig. 1992 gründete er die AWi Aktuelles Wissen Verlagsgesellschaft mbH in München, die IT-Fachmagazine wie „LANline“, „Windows NT“, „Unix Open“, „Inside OS/2“ und „Electronic Embedded Systeme“ publizierte. Nach dem Verkauf des Verlags gründete er 2004 Delphin Consult. Neben meist mehrjährigen Projektarbeiten für renommierte Medienunternehmen wie Heise oder techconsult publiziert Heilmayr für rund 4000 Leser regelmäßig den redaktionellen Newsletter „Kommunale ITK“, der im MittelstandsWiki eine eigene Rubrik hat.

Nützliche Links

Was mit ISIS12 an der Universität Bamberg alles abgearbeitet werden musste, steht in einem ausführlichen Fachbeitrag von Dr. Hartmut Plehn und Christian Kraus: In 12 Schritten zu mehr Informationssicherheit. Einführung des Informations­sicherheits­management­systems ISIS12 an der Otto-Friedrich-Universität Bamberg. In: 27. DFN-Konferenz Sicherheit in vernetzten Systemen. 24./25. Februar 2020 in Hamburg, hrsg. v. Albrecht Ude. Norderstedt: BoD 2020, S. E1–E20. Die zugehörigen Vortrags­folien gibt es online als PDF.