![Page 1: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/1.jpg)
Angelika Müller – Referentin für Datenschutz und IT-Sicherheit ([email protected])
Hans Pongratz - Geschäftsführender Vizepräsident & CIO ([email protected])
Technische Universität München
15. Februar 2017
24. DFN-Konferenz "Sicherheit in vernetzten Systemen"
Sensibilisierung für IT-Sicherheit an Hochschulen Ein Praxisbericht der Technischen Universität München
![Page 2: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/2.jpg)
14Fakultäten
411 Gebäude
~ 40 000 Studierende 34% Studentinnen
24% Intern. Studierende
530 Professoren
10 000 Mitarbeiter
71 ERC Grants
13 Nobelpreisträger
18 Leibniz-Preisträger der DFG
5 Humboldt-Professuren
2Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
TUM in Zahlen
![Page 3: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/3.jpg)
• IT-sicherheitsrelevante Vorfälle und Schwachstellen werden zentral dokumentiert und
koordiniert, dazu gehören:
• Verlust von elektr. Geräten, auf denen sensible Daten gespeichert sind;
• Einbruch von Hackern in IT-Systeme der TUM;
• Verbreitung von Schadcode durch von der TUM betriebene IT-Systeme;
• Kompromittierung von Zugangsdaten;
• sicherheitskritische Schwachstellen bei im Einsatz befindlichen IT-Geräten und IT-
Systemen.
• Abwicklung erfolgt über zentralen IT-Support bzw. über spezielle IT-Sicherheitsqueue, um
Vertraulichkeit zu gewährleisten
3Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
IT-Sicherheit: 2012 Einführung zentrales Meldewesen (1/2)
![Page 4: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/4.jpg)
• Zentrale Hilfestellung zur Wiederherstellung des Betriebs nach einem sicherheitskritischen
Vorfall;
• CIO wird regelmäßig informiert, bei schwerwiegenden Fällen unverzüglich;
• Bei Bedarf Einbindung von HSP, Datenschutzbeauftragten, Sicherheitsbeauftragten und
Personalrat;
• „Neue“ Referentin IT-Sicherheit & Datenschutz im IT-Management des IT-Servicezentrums
der TUM;
Aufgaben u.a.:
Beratung bezgl. Phishing Mails:
Weitergabe aktueller Sicherheitshinweise (CAZ-Meldungen, Aufmerksam machen auf
kritische Updates, Passwort Hacks (z.B. Adobe Hack 2013));
Flankierende Informationskampagnen, um Sensibilität für IT-Sicherheit und IT-
Sicherheitsbewusstsein zu fördern;
4Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
IT-Sicherheit: 2012 Einführung zentrales Meldewesen (2/2)
![Page 5: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/5.jpg)
Studierende und Beschäftigte
Sichtweise für Beschäftige:
dienstliche Aspekte mit Einsatzszenarien
• Dienstliches Gerät für dienstlichen Einsatz,
• BYOD (Bring Your Own Device) ,
• PUOCE (Private Use Of Company Equipment).
Sichtweise für Studierende:
• Private Aspekte stehen im Vordergrund,
• Einsatz und Implikationen auf Uninetz dürfen nicht außer Acht gelassen werden.
5Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Zielgruppen
![Page 6: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/6.jpg)
• Wichtigstes Ziel: Aufmerksamkeit der Beschäftigten und Studierenden auf das Thema
IT-Sicherheit lenken.
Es soll
• Zum Nachdenken anregen;
• Zur Diskussion führen;
• Den Wunsch nach weiteren, tiefer gehenden Informationen und Hilfestellungen wecken.
• Leitsätze:
• Empfehlen statt Vorschreiben.
• Überzeugen statt Erzwingen.
• Neugierig machen statt langweilen.
6Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Philosophie der TUM
![Page 7: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/7.jpg)
• Recherche über Good Practics an anderen Institutionen, Fachgespräche, Besuch von
Weiterbildungsveranstaltungen
Übertragung auf den Hochschulkontext
• Ideensammlung zur richtigen Ansprache für Studierende:
Durchführen eines Ideenwettbewerb, um Sprüche, Motive, Anregungen für die Ansprache
von Studierenden zu erhalten.
Ergebnisse des Wettbewerbs:
• Ideen für Bildmotive
• Ideen für plakative Aufhänger für bestimmte Themen
• Idee für IT-Sicherheitsvisual der TUM
• Gespräche mit studentischen Fachschaften, um insbesondere Erstsemester gut
ansprechen zu können
Ergebnis: Paper mit Vorschlägen für Materialien und Maßnahmen, die vor Druchführung
mit dem CIO besprochen wurden/werden.
7Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Entwicklungen
![Page 8: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/8.jpg)
Allgemein
• Veranstaltungen:
• Die Hacker kommen
• Abendvortragsreihe zur
IT-Sicherheit
• Gemeinsamer Sicherheits- und
Datenschutztag von TUM und LRZ
• Informationen auf den IT-Webseiten für
Beschäftigte
• Beiträge im IT-Newsletter und Mitarbeiter-
newsletter
• Aprilscherz zum Thema Phishing
• Phishing-Beratung
Verfahrensverantwortliche
• Flyer „Datenschutz bei Studierendendaten“
zur Verteilung an Lehrstühle und neue
Professuren
Administratoren
• Informationen auf den IT-Webseiten für
Administratoren
• Beiträge im IT-Newsletter
8Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Maßnahmen Beschäftigte
![Page 9: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/9.jpg)
Allgemein
• Veranstaltungen:
• Die Hacker kommen
• Abendvortragsreihe zur IT-Sicherheit
• Cryptopartys
• Verteilen von Flyern in der Mensa
• Informationen auf den IT-Webseiten für
Studierende
• Beiträge im Studierendennewsletter
Erstsemester
• Veranstaltungen:
• Vorträge zur IT-Sicherheit
• Vor-Ort-Ansprache als
Ansprechpartner für
IT-Sicherheit mit Ständen
• Cryptopartys
• Werbematerialien für Erstsemester verteilt
über die Studierendenvertretungen
• Flyer
• Blöcke mit Deckblättern zur
IT-Sicherheit
• Preise für Gewinnspiele und Ralleys der
Fachschaften
9Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Maßnahmen Studierende
![Page 10: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/10.jpg)
10Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Flyer für Studierende
![Page 11: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/11.jpg)
11Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Flyer für Studierende
![Page 12: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/12.jpg)
12
Aktionsstand Passwortkarten
![Page 13: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/13.jpg)
13
Aktionsstand PasswortkartenPasswortkarten
![Page 14: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/14.jpg)
3 Vorträge pro Semester zu Sicherheitsthemen aus Forschung, Praxis und Recht
• How I know you printed my email
• IT-Sicherheit im (scheinbar) Privaten: Was muss ich rechtlich beachten?
• Mobile Schädlinge - Vergangenheit und Zukunft
• Das Internet der Dinge - wofür braucht man "Hardware Security"
• Cybercrime & Cyberwar
• Überholte Vertrauensmodelle, schlechte Benutzbarkeit, unsichere Standards - Was ist die
Zukunft der IT-Sicherheit?
• Hacker und Spione: Bedrohungen der IT-Sicherheit
• Ich habe doch nichts zu verbergen! Was das Internet und seine Protagonisten über uns
wissen
• USBösewichte
14Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Abendvortragsreihe IT-Sicherheit im Sommer/Winter
![Page 15: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/15.jpg)
15
Hilfe zur Selbsthilfe: Phishing-Infos
http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/selbstlerntest-phishing/
![Page 16: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/16.jpg)
16
Do‘s and Dont‘s der TUM
http://www.it.tum.de/it-sicherheit/fuer-mitarbeiterinnen/dos-and-donts/
![Page 17: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/17.jpg)
17
Broschüre für Verfahrensverantwortliche: Datenschutz und IT-Sicherheit bei Studierendendaten
![Page 18: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/18.jpg)
• Interesse an Kampagnen und Aktionen größer als erwartet.
• Nutzung verschiedener Kanäle (online und offline) und Fokussierung auf verschiedene
Zielgruppen, Einsatzbeispiele und Orte (Büro, Mensa, Hörsaal, …) ist sehr wichtig
• Aktuelle Vorfälle und Pressemeldungen sind gute Aufhänger und Ideengeber für den
nächsten Newsletter bzw. die nächste Aktion.
• Besonders wichtig: regelmäßige Aktionen und Wiederholung wichtiger Themen, Motto
„steter Tropfen höhlt den Stein“.
• Nach der Kampagne ist vor der nächsten Kampagne
• Überzeugung der TUM:
• Jede Maßnahme ist hilfreich und ein großer bis sehr großer Sensibilisierungsbedarf
besteht bei allen Zielgruppen.
Untersuchungen zum Erfolg von Sensibilisierungsmaßnahmen werden auch aus diesem
Grund nicht durchgeführt.
18Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Lessons Learnd
![Page 19: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/19.jpg)
• Der Entwurf von Kampagnen, Aktionen und Unterlagen zur Sensibilisierung im Bereich der
IT-Sicherheit benötigt
• ausreichend Zeit,
• gute Kenntnisse der Zielgruppen inklusive deren Bedürfnisse, Sorgen und
Sorglosigkeiten,
• Ideen für die richtige Ansprache.
• Zielgruppen und Problemzonen der Hochschulen sollten i.A. deckungsgleich sein.
• Erstellte Materialeien können als Vorlagen / Blaupausen dienen, um schneller Aktionen und
Maßnahmen umzusetzen.
19Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Vernetzung mit anderen Hochschulen und Institutionen (1/2)
![Page 20: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/20.jpg)
• Eine Austauschplattform mit Hinterlegung von Metainformationen ist dafür hilfreich.
Vorschlag Metainformationen:
• Zielgruppe
• Ziel
• Wirkung
• Erkenntnisse
• Organisatorisches/Aufwand
• Ansprechpartner
• Möglichkeiten der Wiederverwendung
• Hierfür im Einsatz: Sync&Share-Ablage gehostet an der TU Braunschweig.
20Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Vernetzung mit anderen Hochschulen und Institutionen (2/2)
![Page 21: Sensibilisierung für IT-Sicherheit an Hochschulen · 2017. 2. 27. · Aktionsstand Passwortkarten. 13 Aktionsstand PasswortkartenPasswortkarten. 3 Vorträge pro Semester zu Sicherheitsthemen](https://reader035.vdokument.com/reader035/viewer/2022071511/613120341ecc51586944896a/html5/thumbnails/21.jpg)
• TUM hat wichtige Schritte zur Grundsensibilisierung unternommen.
• Wichtig ist das Aufrechterhalten und Weiterführen der Maßnahmen Sensibilisierung ist
Dauerthema.
• Für einige Zielgruppen sind Materialien und Maßnahmen noch auszubauen (Professoren,
Verfahrensverantwortliche, Administratoren).
• Austausch mit anderen Institutionen ist wichtig, um Kräfte zu bündeln.
21Angelika Müller, Referentin für Datenschutz und IT-Sicherheit
Fazit