Interview: Bildungseinrichtungen müssen den Spagat zwischen Offenheit und Sicherheit schaffen

Digitalisierung und Informationssicherheit: Bildungseinrichtungen müssen den Spagat zwischen Offenheit und Sicherheit schaffen

Die aktuelle Pandemie hat weltweit einen Digitalisierungsschub ausgelöst. In nahezu allen Lebensbereichen werden wir Menschen mehr denn je mit digitalen Anwendungen konfrontiert. Wie wirkt sich dies auf Ihre Arbeit aus?

Manchmal habe ich den Eindruck nichts mehr läuft ohne IT-Infrastruktur und wenn es noch etwas ohne gibt, soll dies möglichst schnell geändert werden. Dies hat vor allem zur Folge, dass die Arbeit immer diverser wird. Eine besondere Schwierigkeit stellt hierbei der sich sehr schnell entwickelnde Bereich der IT dar. Was heute noch neu ist, ist morgen bereits wieder überholt. Andere Branchen und staatliche Institutionen können nur schwer schritthalten. Die Durchdringung zahlreicher Lebensbereiche der Menschen mit digitalen Anwendungen führt dazu, dass immer mehr Regelungen und Gesetze z.B. zum Datenschutz und zur Informationssicherheit entstehen (müssen). Diese wirken sich wiederum auf die Handlungsspielräume der IT-Abteilungen und Rechenzentren, aber auch auf die Fachabteilungen in Hochschulen und Unternehmen, aus.

Informationen sollen sicher übertragen werden. Gilt dies nur für digitale Daten?

Nein, im Grunde ist Informationssicherheit kein neues Thema. Sie schließen Ihre Haustür ab, wenn Sie das Haus verlassen und Kontoauszüge werden Sie vermutlich nicht im öffentlichen Mülleimer im Park entsorgen. In der analogen Welt achten wir in der Regel intuitiv darauf, unsere Informationen zu schützen. Wenn Informationen in falsche Hände geraten, kann dies viel Schaden anrichten. Auch das Briefgeheimnis wurde aus eben diesem Grund erfunden. Nur so können die Vertraulichkeit und Integrität des Inhalts sichergestellt werden. Die Schwierigkeit bei der Übertragung digitaler Daten im Vergleich zu analoger Information liegt darin, dass es für Laien viel schwieriger ist, diese zu sichern und für Profis viel einfacher, diese unbemerkt zu kopieren und zu stehlen.

Wie kann ein Unternehmen oder eine Privatperson dafür Sorge tragen, dass Informationen sicher sind?

Hier ist zwischen der Speicherung und der Übertragung von Daten zu unterscheiden. Für die sichere Speicherung eignet sich Hardware, welche nur zu diesem Zweck vorgesehen ist, also z.B. eine externe Festplatte. So lange diese an keinen Rechner angeschlossen ist, kann keiner darauf zugreifen und die Daten sind sicher. Vor physischer Einwirkung sollte man sich natürlich trotzdem in Acht nehmen. Eine verschüttete Kaffeetasse mag keine Festplatte und kein USB-Stick besonders gern. Um Daten auf Geräten möglichst sicher zu speichern sollte der Zugriff auf das Gerät von Unbefugten möglichst verhindert werden. Ein erster Schritt ist hier immer ein sicheres Passwort, welches nicht notiert und nicht weitergegeben werden darf [Einen Tipp zur sicheren Passworterstellung, finden Sie am Ende des Interviews]. Kein seriöses Unternehmen wird Sie jemals per E-Mail dazu aufrufen, ihre Anmelde- oder Kontodaten irgendwo einzutippen. Wann immer man dazu aufgefordert wird, sollte man sehr wachsam sein. In der Regel handelt es sich um Betrüger, welche versuchen die Log-In-Daten zu stehlen um so auf die Informationen in Rechnern und Accounts zu gelangen.

Für Unternehmen empfiehlt sich neben der Nutzersensibilisierung für z.B. den Umgang mit Passwörtern, eine zwei-Faktor-Authentifizierung und eine Netzwerksegmentierung.

Um die sichere Übertragung von Daten zu gewährleisten, sollte auf verschlüsselte Dienste zurückgegriffen werden, egal ob bei E-Mail oder Messengern.

Welche besonderen Anforderungen stellen sich an eine Bildungseinrichtung?

Bildungseinrichtungen sollten offene Orte sein. So sendet ein eingezäuntes Schul- oder Hochschulgelände aus meiner Perspektive immer eine unangenehme Botschaft. Bildung und wissenschaftliche Erkenntnisse sollten, gerade in einer Wissensgesellschaft möglichst für jeden frei zugänglich und verfügbar sein. Leider haben jedoch nicht alle „Besucher“ immer gute Absichten und der Spruch „Data is the new Oil“ gilt auch bei uns an der Hochschule, vor allem in der Wissenschaft. Es ist daher wichtig Systeme zu schützen so dass internes Wissen nicht in falsche Hände gerät. Trotzdem bleibt dieser Spagat zwischen Offenheit und Transparenz und Schutz und Sicherheit eine besondere Herausforderung, welche es im Unternehmenskontext in dieser Form nicht gibt.

Wie ist Ihr Aufgabenbereich organisatorisch in die HBC eingebunden?

Ich arbeite als Stabstelle am Rektorat und damit auf einer vornehmlich konzeptionellen und strategischen Ebene. Meine Hauptaufgabe ist es, ein Rahmenwerk und Leitlinien zu erstellen, welche die Kollegen in Verwaltung, Forschung und Lehre für die Umsetzung ihrer Projekte heranziehen können. Einen besonders engen Schulterschluss stelle ich bei meiner Arbeit mit den Mitarbeitern des Rechenzentrums her. Die Kollegen sind nicht nur Fachexperten in ihrem jeweiligen Bereich, sondern auch für die Umsetzung technischer Maßnahmen unersetzbar.

Der Schutz von Daten und der Schutz von Informationen – was ist der Unterschied?

Bei der Informationssicherheit geht es um den Schutz der Daten selbst. Beim Datenschutz geht es eigentlich um den Schutz der Person, welche durch diese/ihre Daten repräsentiert wird. Damit stehen die Ziele der Informationssicherheit manchmal konträr zu denen des Datenschutzes. Zum Beispiel macht es aus dem Blickwinkel der Informationssicherheit, welche als eines ihrer zentralen Ziele die Verfügbarkeit, also die Bereitstellung der Daten hat, Sinn Daten auf möglichst viele gesicherten Server zu duplizieren. Fällt ein Server aus, kann ich einen anderen nutzen. Aus Sicht des Datenschutzes möchte ich Informationen jedoch an möglichst wenigen Orten hinterlegen und sobald sie ihren Zweck erfüllt haben, auch wieder löschen.

Wie wirkt sich das auf unsere Zusammenarbeit aus?

Die schnellen Entwicklungen und Veränderungen durch die Digitalisierung außerhalb unserer Hochschule beeinflussen natürlich auch unsere interne Zusammenarbeit. Aus diesem Grund arbeite ich Hand in Hand mit der Organisationsentwicklung zusammen. Es passiert in der Welt der IT durchaus ab und zu, dass vergessen wird, dass IT von und vor allem für Menschen gemacht ist oder gemacht werden sollte. Darum ist es wichtig, neben der Umsetzung technischer Anforderungen und der Gestaltung von Prozessen auf dem Papier, alle Kollegen mitzunehmen, welche durch die digitale Transformation Veränderungen in ihrem (Arbeits-)Alltag erfahren. Dies ist und bleibt eine immerwährende Herausforderung, welche durch eine gute Organisationsentwicklung begleitet werden muss.

Ihre Funktion wurde neu geschaffen. Wie gehen Sie beim Aufbau der notwendigen Strukturen vor?

Eigentlich hätte ich die ersten sechs Wochen meiner neuen Anstellung gern mit Kaffeetrinken verbracht. Denn jede Tasse Kaffee mit einem Kollegen bringt zahlreiche Informationen über eine Organisation, ihre Regeln, ihre Kultur, alte und neue Projekte, Erfolge, Herausforderungen und Ideen mit sich. Diese Informationen sind sehr wichtig, um sie in die Vorstellung einer zukünftigen Arbeitsstruktur mit einfließen zu lassen. Aufgrund der aktuellen Situation war dies leider nicht möglich. Ich versuche nun durch die Einarbeitung in laufende und zukünftige Projekte von der inhaltlichen Seite die Anforderungen und Bedürfnisse zu erarbeiten. Diese verbinde ich mit dem Wissen und meiner Erfahrung aus früheren Aufgaben und Positionen. Unabhängig von der Situation, muss man sich jedoch immer vor Augen halten, dass auch die Schaffung von Strukturen in der heutigen Zeit keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess ist.

Können Sie uns beispielhaft zwei Projekte nennen, die sie Sie aktuell bearbeiten.

Das wichtigste Thema ist aktuell die Konzeptentwicklung zur Schaffung einer Struktur für die Themen Informationssicherheit und Digitalisierung. In dieser soll aufgezeigt werden, nach welchen Leitlinien wir arbeiten wollen, welche Leitplanken gelten, wie digitale Projekte umgesetzt werden können... Ein anderes, sehr großes Projekt ist die Einführung der e-Beschaffung/e-Rechnung. Ziel ist es, die Beschaffungs- und Rechnungsprozesse komplett papierfrei zu gestalten. Das Projekt ist sehr umfassend, da sehr viele Stellen intern betroffen sind und Systeme unterschiedlicher Stellen in- als auch extern reibungslos zusammenarbeiten müssen.

Sie wurden in dem Jahr geboren als George Orwell seinen Film 1984 herausbrachte. Ein dystopisches Meisterwerk über die totale (staatliche) Überwachung...

Vielleicht ist mein Geburtsjahr einer der Gründe, warum ich mich für die Durchführung einer Veranstaltungsreihe im Studium Generale zum Thema Digitale Transformation einsetze. In dieser soll aufgezeigt werden, wie Entwicklungen der Informationstechnologie, von Social Media bis zur Künstlichen Intelligenz, unsere Gesellschaft beeinflussen und verändern. Wichtig ist mir hierbei, dass nicht nur Hochschulmitgliedern, sondern auch externen Besuchern ermöglicht werden wird, dabei zu sein.

Und zum Schluss: Haben Sie uns noch einen Tipp für die Generierung eines wirklich sicheren Passwortes?

Ja klar, erstellen Sie ihre Passwörter auf der Basis von Sätzen, die der Wahrheit entsprechen So können Sie sie sich gut merken. Nehmen Sie von jedem Wort den Anfangsbuchstaben und Zahlen oder Sonderzeichen einzufädeln ist auch ganz leicht! Sehen Sie selbst in unseren Beispielen:

Ein Mal im Jahr habe ich Geburtstag und bekomme Geschenke! 1*iJhiG&bG!

Jedes Wochenende gönne ich mir 2 Glas Wein! JWgim2GW!

Hochzeitstag am 8. August! #Liebe Ha8.A!#L

Bühnenbild: © Pixabay