Definition des Grundschutzes

Die Prozesse in Forschung und Lehre, sowie der Verwaltung sind immer stärker vom ordnungsgemäßen Funktionieren der Informations- und Kommunikationstechnik abhängig. Gleichzeitig steigt die Zahl potentieller Bedrohungen sprunghaft an. Gefährdet sind insbesondere die Verfügbarkeit, die Integrität und die Vertraulichkeit von Informationen. Diese Begriffe werden auch als Grundwerte der IT-Sicherheit verstanden.

Die Schutzwürdigkeit von Daten und IT-Verfahren ist nicht einheitlich. Daher unterscheiden sich auch die jeweils angemessenen Schutzmaßnahmen. Während z.B. in medizinischen Bereichen bereits ein kurzzeitiger Ausfall der IT Leben in Gefahr bringen kann, bleibt in anderen Bereichen eine längere Ausfallzeit ohne schädliche Auswirkungen. Personaldaten erfordern einen höheren Schutzaufwand als z.B. Telefonbuchdaten. Der Schutzbedarf von Ergebnissen wissenschaftlicher Forschung ist in größtem Maße uneinheitlich (siehe Schutzbedarfsanalyse).

Die Anwendung der hier für den Grundschutz zusammengestellten Standard-Sicherheitsmaßnahmen zielt darauf ab, ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Systeme und -Anwendungen dienen kann. Die Maßnahmen bilden die Grundlage für alle IT-Verfahren der Bauhaus-Universität Weimar und der Hochschule für Musik FRANZ LISZT. Ihre Realisierung in den Bereichen wird mittelfristig Voraussetzung für die Teilnahme an zentralen IT-Verfahren wie z.B. E-Mail, Storage, oder Datensicherung sein.

Die Einhaltung der Vorgaben ist eine unverzichtbare Grundlage für den stabilen Einsatz der Informationstechnik, denn bereits ein ungeschütztes System  kann eine Gefährdung für das gesamte Hochschulnetz darstellen. Mit einer auf eine lokale Betrachtung reduzierten Sichtweise erscheinen die beschriebenen Maßnahmen dem Einzelnen möglicherweise unbequem und übertrieben. Zahlreiche sicherheitsrelevante Vorfälle in der jüngeren Vergangenheit unterstreichen jedoch stark ihre Notwendigkeit. Beispielsweise kann die Verbreitung und das Wirksamwerden von Schadsoftware, wie Viren, Würmern und Trojanischen Pferden über bereits bekannte Sicherheitslücken eingesetzter Standardsoftware durch den Einsatz aktueller Schutzprogramme und dem zeitnahen Einspielen der verfügbaren Programmaktualisierungen verhindert werden.

Ein durchdachtes Server- und Datensicherungskonzept kann wirksam vor den Folgen von Diebstählen von IT-Systemen aus schlecht gesicherten Gebäuden und dem damit einhergehenden unwiederbringlichen Verlust von wichtigen Daten schützen. Eine gute und klar strukturierte Organisation kann dazu führen, dass wichtige Informationen z.B. über Sicherheitslücken oder den Missbrauch von Rechnern zeitnah alle potentiell Betroffenen bzw. die IT-Verantwortlichen erreicht. So können Schäden und daraus resultierende Kosten vermieden werden.

Für IT-Verfahren mit hohem und sehr hohem Schutzbedarf müssen über die hier fixierten Grundschutzmaßnahmen hinaus zusätzliche, aus spezifischen Risikoanalysen abgeleitete und verfahrensbezogene Maßnahmen erarbeitet werden.

Die Maßnahmen des Grundschutzes werden gesondert für IT-Anwender und IT-Personal (wie IT-Betreuer und Systemadministratoren) dargestellt, wobei die Maßnahmen für IT-Personal als Ergänzungen zu den allgemeingültigen Maßnahmen für IT-Anwender zu verstehen sind. Der Maßnahmenkatalog wird zukünftig allen Anwendern an der Bauhaus-Universität Weimar und der Hochschule für Musik Franz Liszt zugänglich und bekannt gegeben werden. Entsprechende Übergangsbestimmungen und Zeiträume zur Umsetzung sind vorzusehen.

Als Basis für die hier dargestellten IT-Grundschutzmaßnahmen dienten die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die IT-Sicherheitsrahmenrichtlinie für die Freie Universität Berlin und die Ergebnisse der Sicherheitsanalyse der Firma Litcos GmbH & Co. KG. Bei der Erarbeitung der Grundschutzmaßnahmen für die Bauhaus-Universität Weimar und die Hochschule für Musik FRANZ LISZT wurden Anpassungen an die vorhandenen spezifischen Gegebenheiten vorgenommen. Für Detailinformationen zu einzelnen Maßnahmen wird die Lektüre der detaillierten Ausführungen der IT-Grundschutz-Kataloge empfohlen.

Zu jeder Regel und zu jeder Maßnahme sind Verantwortliche für die Initiierung und Verantwortliche für die Umsetzung konkret benannt.

„Verantwortlich für die Initiierung“ bezeichnet die Personen (als Rolleninhaber), die die Implementierung einer Maßnahme veranlassen sollen. „Verantwortlich für die Umsetzung“ bezeichnet die Personen (als Rolleninhaber), die die Maßnahme in der täglichen Praxis realisieren sollen. Bei der Initiierung muss unterschieden werden zwischen dem bereichsweise zuständigen IT-Verantwortlichen und dem Verfahrensverantwortlichen.