Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten....
Transcript of Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten....
Angelika Müller – Referentin für Datenschutz und IT-Sicherheit ([email protected])
Hans Pongratz - Geschäftsführender Vizepräsident & CIO ([email protected])
Technische Universität München
15. Februar 2017
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
Sensibilisierung für IT-Sicherheit an Hochschulen Ein Praxisbericht der Technischen Universität München
14Fakultäten
411 Gebäude
~ 40 000 Studierende 34% Studentinnen
24% Intern. Studierende
530 Professoren
10 000 Mitarbeiter
71 ERC Grants
13 Nobelpreisträger
18 Leibniz-Preisträger der DFG
5 Humboldt-Professuren
2Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
TUM in Zahlen
• IT-sicherheitsrelevante Vorfälle und Schwachstellen werden zentral dokumentiert und
koordiniert, dazu gehören:
• Verlust von elektr. Geräten, auf denen sensible Daten gespeichert sind;
• Einbruch von Hackern in IT-Systeme der TUM;
• Verbreitung von Schadcode durch von der TUM betriebene IT-Systeme;
• Kompromittierung von Zugangsdaten;
• sicherheitskritische Schwachstellen bei im Einsatz befindlichen IT-Geräten und IT-
Systemen.
• Abwicklung erfolgt über zentralen IT-Support bzw. über spezielle IT-Sicherheitsqueue, um
Vertraulichkeit zu gewährleisten
3Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
IT-Sicherheit: 2012 Einführung zentrales Meldewesen (1/2)
• Zentrale Hilfestellung zur Wiederherstellung des Betriebs nach einem sicherheitskritischen
Vorfall;
• CIO wird regelmäßig informiert, bei schwerwiegenden Fällen unverzüglich;
• Bei Bedarf Einbindung von HSP, Datenschutzbeauftragten, Sicherheitsbeauftragten und
Personalrat;
• „Neue“ Referentin IT-Sicherheit & Datenschutz im IT-Management des IT-Servicezentrums
der TUM;
Aufgaben u.a.:
Beratung bezgl. Phishing Mails:
Weitergabe aktueller Sicherheitshinweise (CAZ-Meldungen, Aufmerksam machen auf
kritische Updates, Passwort Hacks (z.B. Adobe Hack 2013));
Flankierende Informationskampagnen, um Sensibilität für IT-Sicherheit und IT-
Sicherheitsbewusstsein zu fördern;
4Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
IT-Sicherheit: 2012 Einführung zentrales Meldewesen (2/2)
Studierende und Beschäftigte
Sichtweise für Beschäftige:
dienstliche Aspekte mit Einsatzszenarien
• Dienstliches Gerät für dienstlichen Einsatz,
• BYOD (Bring Your Own Device) ,
• PUOCE (Private Use Of Company Equipment).
Sichtweise für Studierende:
• Private Aspekte stehen im Vordergrund,
• Einsatz und Implikationen auf Uninetz dürfen nicht außer Acht gelassen werden.
5Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Zielgruppen
• Wichtigstes Ziel: Aufmerksamkeit der Beschäftigten und Studierenden auf das Thema
IT-Sicherheit lenken.
Es soll
• Zum Nachdenken anregen;
• Zur Diskussion führen;
• Den Wunsch nach weiteren, tiefer gehenden Informationen und Hilfestellungen wecken.
• Leitsätze:
• Empfehlen statt Vorschreiben.
• Überzeugen statt Erzwingen.
• Neugierig machen statt langweilen.
6Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Philosophie der TUM
• Recherche über Good Practics an anderen Institutionen, Fachgespräche, Besuch von
Weiterbildungsveranstaltungen
Übertragung auf den Hochschulkontext
• Ideensammlung zur richtigen Ansprache für Studierende:
Durchführen eines Ideenwettbewerb, um Sprüche, Motive, Anregungen für die Ansprache
von Studierenden zu erhalten.
Ergebnisse des Wettbewerbs:
• Ideen für Bildmotive
• Ideen für plakative Aufhänger für bestimmte Themen
• Idee für IT-Sicherheitsvisual der TUM
• Gespräche mit studentischen Fachschaften, um insbesondere Erstsemester gut
ansprechen zu können
Ergebnis: Paper mit Vorschlägen für Materialien und Maßnahmen, die vor Druchführung
mit dem CIO besprochen wurden/werden.
7Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Entwicklungen
Allgemein
• Veranstaltungen:
• Die Hacker kommen
• Abendvortragsreihe zur
IT-Sicherheit
• Gemeinsamer Sicherheits- und
Datenschutztag von TUM und LRZ
• Informationen auf den IT-Webseiten für
Beschäftigte
• Beiträge im IT-Newsletter und Mitarbeiter-
newsletter
• Aprilscherz zum Thema Phishing
• Phishing-Beratung
Verfahrensverantwortliche
• Flyer „Datenschutz bei Studierendendaten“
zur Verteilung an Lehrstühle und neue
Professuren
Administratoren
• Informationen auf den IT-Webseiten für
Administratoren
• Beiträge im IT-Newsletter
8Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Maßnahmen Beschäftigte
Allgemein
• Veranstaltungen:
• Die Hacker kommen
• Abendvortragsreihe zur IT-Sicherheit
• Cryptopartys
• Verteilen von Flyern in der Mensa
• Informationen auf den IT-Webseiten für
Studierende
• Beiträge im Studierendennewsletter
Erstsemester
• Veranstaltungen:
• Vorträge zur IT-Sicherheit
• Vor-Ort-Ansprache als
Ansprechpartner für
IT-Sicherheit mit Ständen
• Cryptopartys
• Werbematerialien für Erstsemester verteilt
über die Studierendenvertretungen
• Flyer
• Blöcke mit Deckblättern zur
IT-Sicherheit
• Preise für Gewinnspiele und Ralleys der
Fachschaften
9Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Maßnahmen Studierende
10Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Flyer für Studierende
11Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Flyer für Studierende
12
Aktionsstand Passwortkarten
13
Aktionsstand PasswortkartenPasswortkarten
3 Vorträge pro Semester zu Sicherheitsthemen aus Forschung, Praxis und Recht
• How I know you printed my email
• IT-Sicherheit im (scheinbar) Privaten: Was muss ich rechtlich beachten?
• Mobile Schädlinge - Vergangenheit und Zukunft
• Das Internet der Dinge - wofür braucht man "Hardware Security"
• Cybercrime & Cyberwar
• Überholte Vertrauensmodelle, schlechte Benutzbarkeit, unsichere Standards - Was ist die
Zukunft der IT-Sicherheit?
• Hacker und Spione: Bedrohungen der IT-Sicherheit
• Ich habe doch nichts zu verbergen! Was das Internet und seine Protagonisten über uns
wissen
• USBösewichte
14Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Abendvortragsreihe IT-Sicherheit im Sommer/Winter
15
Hilfe zur Selbsthilfe: Phishing-Infos
http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/selbstlerntest-phishing/
16
Do‘s and Dont‘s der TUM
http://www.it.tum.de/it-sicherheit/fuer-mitarbeiterinnen/dos-and-donts/
17
Broschüre für Verfahrensverantwortliche: Datenschutz und IT-Sicherheit bei Studierendendaten
• Interesse an Kampagnen und Aktionen größer als erwartet.
• Nutzung verschiedener Kanäle (online und offline) und Fokussierung auf verschiedene
Zielgruppen, Einsatzbeispiele und Orte (Büro, Mensa, Hörsaal, …) ist sehr wichtig
• Aktuelle Vorfälle und Pressemeldungen sind gute Aufhänger und Ideengeber für den
nächsten Newsletter bzw. die nächste Aktion.
• Besonders wichtig: regelmäßige Aktionen und Wiederholung wichtiger Themen, Motto
„steter Tropfen höhlt den Stein“.
• Nach der Kampagne ist vor der nächsten Kampagne
• Überzeugung der TUM:
• Jede Maßnahme ist hilfreich und ein großer bis sehr großer Sensibilisierungsbedarf
besteht bei allen Zielgruppen.
Untersuchungen zum Erfolg von Sensibilisierungsmaßnahmen werden auch aus diesem
Grund nicht durchgeführt.
18Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Lessons Learnd
• Der Entwurf von Kampagnen, Aktionen und Unterlagen zur Sensibilisierung im Bereich der
IT-Sicherheit benötigt
• ausreichend Zeit,
• gute Kenntnisse der Zielgruppen inklusive deren Bedürfnisse, Sorgen und
Sorglosigkeiten,
• Ideen für die richtige Ansprache.
• Zielgruppen und Problemzonen der Hochschulen sollten i.A. deckungsgleich sein.
• Erstellte Materialeien können als Vorlagen / Blaupausen dienen, um schneller Aktionen und
Maßnahmen umzusetzen.
19Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Vernetzung mit anderen Hochschulen und Institutionen (1/2)
• Eine Austauschplattform mit Hinterlegung von Metainformationen ist dafür hilfreich.
Vorschlag Metainformationen:
• Zielgruppe
• Ziel
• Wirkung
• Erkenntnisse
• Organisatorisches/Aufwand
• Ansprechpartner
• Möglichkeiten der Wiederverwendung
• Hierfür im Einsatz: Sync&Share-Ablage gehostet an der TU Braunschweig.
20Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Vernetzung mit anderen Hochschulen und Institutionen (2/2)
• TUM hat wichtige Schritte zur Grundsensibilisierung unternommen.
• Wichtig ist das Aufrechterhalten und Weiterführen der Maßnahmen Sensibilisierung ist
Dauerthema.
• Für einige Zielgruppen sind Materialien und Maßnahmen noch auszubauen (Professoren,
Verfahrensverantwortliche, Administratoren).
• Austausch mit anderen Institutionen ist wichtig, um Kräfte zu bündeln.
21Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Fazit