Hochschulen sind aufgrund ihrer spezifischen Verfasstheit in besonderer Weise verwundbar: Freiheit von Forschung und Lehre, weltweite Zusammenarbeit, hohe Dezentralität und Autonomie der Fächer/Fachbereiche, Arbeit in Projektform, hohe Personalfluktuation, komplexe Rollen und Rechte durch verschiedenen Statusgruppen mit internen und externen Partnern. Die Informationssicherheit umfasst zunächst die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, eine mehrseitige Informationssicherheit geht darüber hinaus (z.B. Authentizität, Nicht-Abstreitbarkeit, Zurechenbarkeit, Resilienz).

Beispiele für Gefahren sind:

• Verlust der Integrität und Verfügbarkeit von Forschungsdaten
• Kompromittierung von personenbezogenen Daten, insbesondere von Studierenden- oder Mitarbeiterinnendaten (m/w/d)
• (Unbemerkter) Verlust der Vertraulichkeit von (wichtigen) Daten, beispielsweise durch Spionage
• Angriffe auf die IT-Infrastruktur mit dem Ziel, sie lahm zu legen

Primäre Schutzziele

Die Informationssicherheit basiert auf drei primären Schutzzielen, die sicherstellen, dass Informationen zuverlässig und geschützt verarbeitet, gespeichert und übermittelt werden können. Die drei primären Schutzziele der Informationssicherheit sind

• Vertraulichkeit
• Verfügbarkeit
• Integrität

Vertraulichkeit bedeutet, dass Informationen nur von befugten Personen eingesehen oder genutzt werden können. Ein Verstoß gegen die Vertraulichkeit liegt vor, wenn Informationen offengelegt werden oder ein unbefugter Zugang erfolgt.

Verfügbarkeit stellt sicher, dass Informationen und Systeme bei Bedarf für Berechtigte zugänglich und nutzbar sind. Ein Verstoß gegen die Verfügbarkeit kann durch Vernichtung, Verlust oder Nicht-Erreichbarkeit von Daten eintreten.

Integrität sorgt dafür, dass Informationen vollständig und unverändert bleiben. Verstöße gegen die Integrität treten bei Manipulation, partiellem Löschen oder Hinzufügen von Inhalten auf.

Rechtliche Grundlagen für die digitale Infrastruktur und Informationssicherheit in Bayern

Art. 36 Sätze 1 und 2 BayDiG (vormals bedeutungsgleicher Art. 8 Abs. 1 BayEGovG):

1) Die Behörden unterhalten die zur Erfüllung ihrer Aufgaben erforderlichen digitalen Verwaltungsinfrastrukturen.

2) Sie gewährleisten deren Sicherheit und fördern deren gegenseitige technische Abstimmung und Barrierefreiheit.

Art. 43 Abs. 1 BayDiG (vormals bedeutungsgleicher Art. 11 Abs. 1 BayEGovG):

1) Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen.

2) Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Verordnung (EU) 2016/679 (Datenschutz-Grund-verordnung) und Art. 32 des Bayerischen Datenschutzgesetzes und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.

Die ISB berät die Hochschulleitung sowie Fachbereiche, koordiniert Schulungen und arbeitet eng mit der IT-Leitung und den Datenschutzbeauftragten und der Stabsstelle Datenschutzkoordination zusammen. Zu ihren spezifischen Aufgaben gehören:

• Unterstützung der Leitung: Die ISB unterstützt die Führungsebene bei der Erstellung und Umsetzung der Sicherheitsleitlinie.
• Koordination von Sicherheitskonzepten: Sie koordiniert die Entwicklung des Sicherheitskonzepts sowie zugehöriger Teilkonzepte und Richtlinien.
• Planung und Überwachung von Sicherheitsmaßnahmen: Die ISB erstellt Realisierungspläne für Sicherheitsmaßnahmen, initiiert deren Umsetzung und überprüft deren Wirksamkeit.
• Berichterstattung: Sie informiert die Leitungsebene und andere Verantwortliche regelmäßig über den aktuellen Stand der Informationssicherheit.
• Projektkoordination: Die ISB koordiniert sicherheitsrelevante Projekte innerhalb der Institution.
• Untersuchung von Sicherheitsvorfällen: Sie analysiert sicherheitsrelevante Vorfälle und leitet entsprechende Maßnahmen ein.
• Sensibilisierung und Schulung: Die ISB initiiert und koordiniert Schulungen sowie Sensibilisierungsmaßnahmen zur Informationssicherheit für die Mitarbeiterinnen (m/w/d).