IT-Grundschutz-Profil für Hochschulen

Das vorliegende IT-Grundschutz-Profil für Hochschulen wurde vom Arbeitskreis Informationssicherheit des Vereins „Zentren für Kommunikationsverarbeitung in Forschung und Lehre e. V. (ZKI)“ im Rahmen seiner Mitgliedschaft in der Allianz für Cybersicherheit 2019 auf Basis mehrerer Workshops unter Leitung des BSI (Bundesamt für Sicherheit in der Informationstechnik) erstellt.

In den Workshops wurden im Rahmen von Expertenrunden von teils bis zu 50 IT-Sicherheitsbeauftragten, IT-Mitarbeitenden sowie Rechenzentrumsleiterinnen und -leitern und dem BSI repräsentative Kernprozesse an Hochschulen herausgearbeitet. Anschließend wurden die für diese Prozesse typischen Applikationen, deren Schutzbedarf sowie die benötigten IT-Systeme und Räumlichkeiten ermittelt. Im letzten Schritt wurden etwa 80 IT-Grundschutz-Bausteine identifiziert, die Anwendbarkeit der Bausteine auf die Hochschullandschaft geprüft und Umsetzungshinweise erarbeitet. Damit ergibt sich ein hochschulspezifisches IT-Grundschutz-Profil, das als Schablone für die eigene Hochschule adaptiert werden und als Basis für ein Informationssicherheitskonzept der eigenen Hochschule dienen kann.

In Hochschulen ergeben sich durch eine große Breite an Aufgabengebieten in Forschung und Lehre sowie durch die sehr dezentrale Organisation viele unterschiedliche Ausprägungen von IT-Landschaften und deren Management. Dieses IT-Grundschutz-Profil erhebt damit nicht den Anspruch auf Vollständigkeit, sondern kann sich nur auf ausgewählte, in allen Hochschulen ähnliche Kernprozesse konzentrieren. Es soll eine Basis liefern, die von den einzelnen Hochschulen entsprechend der eigenen Ausprägung erweitert werden muss. Die Umsetzung der identifizierten Bausteine sichert nicht nur die betrachteten Kernprozesse ab, sondern verbessert entscheidend auch die Sicherheit der restlichen Hochschulprozesse. Gegebenenfalls müssen individuell weitere Bausteine ergänzt werden.

Viele der vorhandenen Prozesse greifen bereits auf übergreifende Anwendungen und damit auf bereits vordefinierte Bausteine zurück, die auch Basis für viele weitere Prozesse an Hochschulen sind (beispielsweise Identity Management IDM). Zudem gibt es übergeordnete Bausteine (beispielsweise Sensibilisierung und Schulung oder Sicherheitsmanagement), die für den betrachteten Informationsverbund insgesamt gelten.

Das vorliegende IT-Grundschutz-Profil soll Hochschulen damit wirkungsvoll dabei helfen, die Erstellung eines Informationssicherheitskonzepts auf Basis des IT-Grundschutzes handhabbar zu machen. Der weitere eigene Weg bis zum vollständigen Informationssicherheitskonzept der eigenen Hochschule wird durch dieses IT-Grundschutz-Profil erleichtert.