Eine Reportage von Joshua Niermann | Titelbild: djbagaha@pixabay
Die wertvollste Ressource ist nicht mehr Öl, sondern Daten. Wir benötigen ständig Informationen, egal was wir tun. Entsperre ich mein Handy, brauche ich meine PIN. Möchte ich meinem Freund etwas schenken, muss ich seinen Geburtstag wissen. Schreibe ich eine Hausarbeit, sollte ich Anforderungen, Seminarinhalte und thematisch passende Literatur kennen. Wie behalte ich diese Informationen, wie schütze ich mich? Wie beantwortet eine große Einrichtung diese Fragen? Wie wird die Informationssicherheit an der Ruhr-Universität sichergestellt?
Ich ziehe mein Handy aus der Hosentasche und schaue nach der Uhrzeit. 13:53 Uhr. Ich wische einmal hoch, und schon ist es entsperrt. Ich werfe einen Blick auf den in meinem Terminkalender notierten Raum, in dem ich um 14 Uhr mit Birgit Steiner verabredet bin. Birgit Steiner, Diplom-Informatikerin, ist die Leiterin der Stabsstelle für Informationssicherheit und Informationssicherheitsbeauftragte an der RUB. Mit ihr möchte ich darüber reden, was Informationssicherheit für mich als Privatperson und für die Ruhr-Universität bedeutet. Mich interessiert, warum dieses Thema so relevant ist und wieso eine eigene Stabsstelle dafür eingerichtet wurde.
Da eine der Türen offensteht, werfe ich einen erwartungsvollen Blick hinein. Eine kurze gegenseitige Nachfrage und ein Händeschütteln später stelle ich fest, meine Interviewpartnerin gefunden zu haben.
Wir setzen uns in Birgit Steiners Büro. Nach etwas Smalltalk, ein paar organisatorischen Absprachen und einem eingeschenkten Glas Wasser beginne ich das Gespräch: Warum ist Informationssicherheit für mich relevant? „Jeder hat Informationen, die er gerne behalten möchte“, beginnt Steiner. „Informationen sind eben nicht nur Daten, die auf einem Computer sind. Sondern auch Daten, die auf Papier vorliegen, prozessuales Wissen, Wissen, was in den Köpfen vorherrscht. Dieses Wissen gilt es zu schützen vor dem Vergessen, davor, dass andere unbefugt etwas rauskriegen, was sie nichts angeht, oder auch vor dem unbefugten Verändern“.
Informationssicherheit im Alltag und Privaten
Es geht grundlegend um Informationen, die behalten werden und verfügbar sein sollen. Der Verlust von z. B. Spanisch-Vokabeln ist eher unproblematisch. Schlimmer geht aber immer. Was passiert, wenn ich den Geburtstag meines besten Freundes vergesse? Das Passwort von meinem Handy nicht mehr weiß? Ich mich nicht mehr an die PIN meines Bankkontos erinnern kann? Die Alltagsrelevanz von Informationen kann kaum verkannt werden.
Diese Relevanz beschränkt sich allerdings nicht nur auf die Verfügbarkeit von Informationen, sondern erstreckt sich auch auf den Schutz vor unbefugtem Zugriff. „Es gibt unterschiedliche Möglichkeiten, wie man durch den Verlust und durch den Missbrauch der personenbezogenen Daten und der persönlichen Daten in Mitleidenschaft gezogen werden kann“, stellt Birgit Steiner klar.
Sie schildert mir anekdotisch einen Fall von Identitätsdiebstahl, bei dem mithilfe von Name, Geburtsdatum, Adresse und Telefonnummer Betrugsvorhaben durchgeführt wurden. Die betroffene Strohmann-Person wurde angeklagt und musste die Anschuldigungen mit großer Anstrengung aus der Welt räumen.
Informationssicherheit = Datenschutz?
Mehr Sicherheit ist gegeben, wenn man auf seine Informationen achtgibt. Noch umfänglicher als „nur“ beim Datenschutz, da auch technische Sicherheit, beispielsweise Sicherheit von IT-Systemen, mitbedacht wird. „Bei der Informationssicherheit geht es darum, alle Informationen zu schützen. Beim Datenschutz geht es aber ausschließlich um personenbezogene Daten“, führt Steiner aus.
Zudem sind manche Prinzipien zwischen Informationssicherheit und Datenschutz grundverschieden. Beim Datenschutz gehe es vor allem darum, Transparenz herzustellen und offen zu legen, wo welche Daten von mir verarbeitet werden und wie sie geschützt sind. Bei der Informationssicherheit geht es ebenfalls um die Sicherheit der Daten, aber ohne die Offenlegung der Wo’s und Wie’s. Intransparenz dient hier als Schutz vor möglichen Angriffen.
Grundlegender Rat, wenn sich im digitalen Raum bewegt wird. Darauf achten, was man tut und ein Bewusstsein für mögliche Risiken haben. „Ich glaube tatsächlich, es kann jedem passieren, dass er mal irgendwo draufklickt“, räumt auch Steiner ein. Ihre Empfehlungen: „aktuelle Geräte, immer ordentliche Software-Updates fahren, nicht jede App installieren, sondern nur renommierte Sachen installieren“.
Nicht auf seine Informationen achtzugeben, kann durchaus Konsequenzen haben.
Das Glas Wasser, das Frau Steiner mir zu Beginn des Gesprächs freundlicherweise eingeschenkt hat, ist mittlerweile leergetrunken. Statt nach einem weiteren zu fragen, stelle ich, vom Gesprächsfluss förmlich mitgerissen, aber direkt weiter Fragen zum zweiten Themenkomplex: Informationssicherheit an der RUB.
Es verhält sich ähnlich wie bei der Dramatik der Beispiele für Informationsverlust. Mancher Kontext für Informationssicherheit ist überschaubarer als anderer.
Informationssicherheit an der RUB
Insbesondere Universitäten kombinieren zwei besondere Eigenschaften: „Unis sind tatsächlich ein sehr lohnenswertes Angriffsziel, weil sie sehr heterogen sind. Alleine schon durch so viele unterschiedliche IT-Systeme. Einzelne Lehrstühle und Institute betreiben eigene IT. Die wird nicht von unseren IT-Services betrieben, weil es dann oftmals Spezialsysteme sind“, schildert Steiner.
Die zweite unispezifische Eigenschaft entsteht dadurch, „dass man ja mit anderen Forschern zusammenarbeiten will. Es gibt immer eine höhere Durchlässigkeit zwischen den Systemen und höhere Offenheit nach außen, die dann natürlich ausgenutzt werden kann“.
Die Diplom-Informatikerin stellt fest: „Ein Unternehmen ist immer besser abgeschottet nach außen als eine Uni. Das ist aber das Wesen der Uni“.
Die Stabsstelle nimmt innerhalb der Universität nun eine Doppelfunktion ein. „Es ist deswegen eine Stabsstelle, weil wir zum einen beraten – natürlich, wir beraten das Rektorat, wir beraten die Einrichtungen, wir beraten die Angehörigen der RUB – aber wir haben zum anderen auch eine Kontrollfunktion“, erläutert Steiner.
Mit der Einrichtung einer solchen Stelle ist die RUB vor langer Zeit schon gut aufgestellt worden. Die Leiterin der Stabsstelle lobt: „Die Ruhr-Universität war nicht nur bei Cyberangriffen, sondern auch bei der Informationssicherheit ein Vorreiter. Die Stabsstelle ist nämlich schon vor 20 Jahren eingerichtet worden. Meine Vorgängerin hat das Thema Informationssicherheit tatsächlich sehr früh auf dem Schirm gehabt und hat dafür gesorgt, dass die Stabsstelle eingerichtet wird“. Um all diese Ziele zu erreichen, folgt die Stabsstelle einem bestimmten Prozess. Dieser Informationssicherheitsprozess ist das Herzstück ihrer Arbeit.
Informationssicherheitsprozess – die Arbeit der Stabsstelle
Dieser Informationssicherheitsprozess, ein komplexes aber entscheidendes Konzept, steht im Zentrum ihrer Arbeit.
Hierbei ist es wichtig, sich ein Bild vom Prozess zu machen. Es muss erfasst werden, welche Informationen vorliegen, warum diese viel wert sind und wie sie zu schützen sind. Auch involvierte Akteure, Hintergrund- und Anschlussprozesse sollen bedacht werden. Schließlich wird der gesamte Prozess beurteilt und der Unterschied von Sicherheitsstatus und gewünschtem Sicherheitsniveau festgestellt. „Wie ist die Lücke dazwischen? Zwischen dem, was wir jetzt haben, und dem, wo wir hinwollen?‘“, stellt Steiner die Fragen, die in der Arbeit der Informationssicherheitsbeauftragten gestellt werden.
Das Gespräch hat mir gezeigt: An der RUB wird viel getan, um die Sicherheit unserer Informationen zu gewährleisten und damit sicherzustellen, dass Privates auch privat bleibt.
Wer noch mehr über die Stabsstelle und deren Arbeit lesen will, kann das auf der folgenden Website tun.