Informationssicherheitsbeauftragte*r

Mehrere Schwachstelle n im Linux-Kernel werden aktuell aktiv Rechteausweitung ausgenutzt.

Mehr Infos zu den aktuellen Schwachstellen finden Sie hier:

• "Copy Fail"
• "Dirty Frag"
• "Fragnesia"

E-Mail-Programme verarbeiten oft hochsensible Informationen und müssen daher besonders gut geschützt sein. Eine aktuelle Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass es deutliche Unterschiede bei Sicherheitsfunktionen wie Verschlüsselung, Spam- und Phishing-Schutz sowie dem Umgang mit gespeicherten E-Mails gibt. Während viele Programme gängige Sicherheitsanforderungen erfüllen und über Update- sowie Filterfunktionen verfügen, werden E-Mails teilweise unverschlüsselt lokal gespeichert. Das BSI fordert Anbieter zu mehr Security-by-Default und Usable Security auf und empfiehlt Nutzerinnen und Nutzern, starke Passwörter zu verwenden und E-Mails kritisch auf Phishing zu prüfen.

Die Untersuchung finden Sie hier auf der Seite des BSI.

Universitäten mit forschungsstarken Fachbereichen stehen im Fokus von Spionage aus dem Ausland. Deshalb haben viele Hochschulen aufgerüstet. Es gibt Notfallpläne, regelmäßige Schulungen für Mitarbeitende und Studierende – und Backup-Systeme, die im Ernstfall übernehmen. Autorin: Anna Deschke

Das Interview ist bis zum 21.10.2026 in der ARD-Mediathek abrufbar.

Unterschiedliche Ereignisse können die Vertraulichkeit, Integrität und Verfügbarkeit von Daten beeinträchtigen – unabhängig davon, ob diese digital oder analog vorliegen.

Nutzer*in und Verantwortliche*r für IT-Systeme mit erhöhten Zugriffsrechten.

Anwendungen zur Darstellung von Internetseiten und Dateien, beispielsweise von Dokumenten.

Sicherheitskopie von Daten auf einem anderen Speicher, um einen endgültigen Datenverlust im Ernstfall zu verhindern.

Bundesamt für Sicherheit in der Informationstechnik (BSI), die für die Cyber-Sicherheit des Bundes zuständige Behörde.

Datenschutz bezeichnet den Schutz personenbezogener Daten vor unzulässiger Nutzung und die Sicherung des Rechts jeder Person auf informationelle Selbstbestimmung.

Alle Daten, unabhängig davon, ob sie auf Papier vorliegen oder digital gespeichert sind, an denen die Fachhochschule Südwestfalen die rechtlichen Nutzungsrechte hat. Diese Daten stehen in der Regel den Beschäftigten der Fachhochschule Südwestfalen zur Verfügung, damit sie ihre Aufgaben wahrnehmen können. Es besteht ein legitimes Interesse daran, dass diese Daten den Zuständigkeitsbereich der Fachhochschule nicht verlassen und Dritte ohne Berechtigung weder Einsicht noch Änderungsmöglichkeiten erhalten.

Von der Fachhochschule Südwestfalen bereitgestellte PCs, Laptops, Smartphones und Tablets, die von Beschäftigten zur Erfüllung ihrer beruflichen Aufgaben genutzt werden. Maßgeblich ist hierbei, dass die IT-Endgeräte der Fachhochschule gehören.

Verwaltung und Pflege von IT-Systemen aus der Ferne.

Akteure, die in nicht eigene IT-Systeme eindringen und dabei mindestens eines der drei Schutzziele der dort vorliegenden Daten – Vertraulichkeit, Verfügbarkeit oder Integrität – kompromittieren oder gefährden.

Im Kontext der Dokumente zur Informationssicherheit legen Handreichungen auf operativer Ebene Handlungen zur Einhaltung der Richtlinien fest. Sie enthalten Vorgaben für konkrete, regelmäßig wiederkehrende Situationen im Arbeitsalltag. Die beschriebenen Verhaltensregeln sind innerhalb ihres jeweiligen Geltungs- und Anwendungsbereichs verbindlich.

Daten werden durch einen bestimmten Kontext zu Wissen (immaterielles Gut, leicht vervielfältigbar) und stellen einen Wert für eine Organisation dar. Information ist dabei als Teilmenge von Wissen zu verstehen, das von einer Person oder einer Gruppe in einer konkreten Situation benötigt wird und häufig nicht ausdrücklich vorliegt. Der Informationsbegriff umfasst nicht nur die Veränderung von Erkenntnissen, sondern auch die Weitergabe von Wissen und schließt ebenso den/die Informationsträger*in bzw. das Medium mit ein. Im Umfeld der Informations- und Kommunikationstechnik sind Informationen ganzheitlich zu betrachten – unabhängig von Herkunft und Form –, also sowohl bei Speicherung und Übertragung in digitaler Form, auf Papier als auch als gesprochenes Wort.

Der/die Informationseigentümer*in ist für jeden Geschäftsprozess für alle Belange der Informationsverarbeitung innerhalb dieses Prozesses verantwortlich. Die Personen, die die Geschäftsprozesse der Fachhochschule Südwestfalen verantworten (u.a. Kern- und unterstützende Prozesse), sind die Eigentümer*innen der jeweils verarbeiteten Informationen.

Der/die Informationsbearbeiter*in handelt im Auftrag des Informationseigentümers bzw. der Informationseigentümerin und ist dafür zuständig, Informationen im täglichen Betrieb zu verarbeiten oder sie im erforderlichen Umfang weiterzugeben. Bei eingehenden Informationen legt er/sie als erster Bearbeiter*in auf Basis der festgelegten Handlungsanweisungen des Informationseigentümers bzw. der Informationseigentümerin die Klassifikation fest und kennzeichnet die Informationen entsprechend. Weichen erforderliche Maßnahmen von den bestehenden Handlungsanweisungen ab, ist dies mit dem Informationseigentümer bzw. der Informationseigentümerin abzustimmen.

Geltungsbereich eines Sicherheitskonzepts, der innerhalb einer Institution eine sinnvolle Mindestgröße bildet und sich eindeutig von anderen Informationsverbünden abgrenzen lässt.

Jegliche Art von untereinander vernetzten informationstechnischen Geräten.

Ein Netzwerk mit räumlich begrenztem Umfang, an das Endgeräte angeschlossen werden. In der Regel ist ein stationärer Arbeitsplatzrechner per LAN-Kabel mit dem LAN der Fachhochschule Südwestfalen verbunden.

Eine Anbindung an z. B. das Internet oder das Telefonnetz. Innerhalb der Gebäude der Fachhochschule Südwestfalen werden dienstlich genutzte Endgeräte mit dem hochschuleigenen Netzwerk verbunden. Außerhalb der Hochschulgebäude erfolgt der Zugriff auf Dienste, Anwendungen und Daten der Fachhochschule in der Regel über externe bzw. private Netzverbindungen (z. B. den eigenen Internetanschluss oder das WLAN in einem Hotel).

Personen, die Endgeräte und Netzwerke verwenden, ohne dabei zwingend über Berechtigungen zur Einrichtung oder Konfiguration der zugrunde liegenden IT-Systeme zu verfügen.

Ein Kennwort, das für Zwecke der Autorisierung und Authentifizierung (z. B. im Rahmen einer Zwei-Faktor-Authentifizierung) erzeugt wird. Es ergänzt das reguläre Passwort als zusätzlicher Sicherheitsfaktor und erhöht so den Schutz vor Cyberangriffen. Jedes OTP ist nur für einen kurzen Zeitraum gültig und wird danach automatisch neu generiert.

Alle Angaben, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffene*n) beziehen (vgl. DSGVO). Eine Person gilt als identifizierbar, wenn sie mithilfe von Referenzdaten bestimmt werden kann. Wichtig dabei: Es genügt bereits, dass theoretisch die Möglichkeit besteht, eine Person durch die Kombination mehrerer Informationen zu identifizieren.

PCs, Laptops, Smartphones und Tablets, die einer an der Fachhochschule Südwestfalen beschäftigten Person privat gehören und von dieser für dienstliche Tätigkeiten genutzt werden.

Die Gesamtheit aller Vorgaben zum Informationssicherheitsmanagementsystem wird als Regelwerk bezeichnet. Es umfasst zum einen Regelungen (Vorgabedokumente wie Richtlinien, Konzepte oder Handreichungen) und zum anderen Aufzeichnungen (Dokumente, die dem Nachweis dienen, z. B. ausgefüllte Vorlagen, Berichte oder Protokolle).

Eine zentrale Rolle nimmt dabei die Informationssicherheitsleitlinie (ISL) ein. Sie formuliert grundlegende Aussagen zu den Zielen der Fachhochschule Südwestfalen und definiert die Strategie zur Informationssicherheit. Konkrete, handlungsanleitende Vorgaben enthält sie nicht. Die ISL beschreibt, was unter Informationssicherheit zu verstehen ist und welche Relevanz sie für die Fachhochschule Südwestfalen besitzt.

Richtlinien legen konkrete Maßnahmen fest, um das angestrebte Sicherheitsniveau zu erreichen. Sie konkretisieren die Informationssicherheitsleitlinie und sind Bestandteil der darin definierten Strategie. Ihre Umsetzung und Beachtung ist im jeweiligen Geltungsbereich verbindlich. Zusätzlich können bereichs- oder zielgruppenspezifische Richtlinien formuliert werden. Eine weitere Ausgestaltung von Richtlinien kann durch Anweisungen und Sicherheitskonzepte erfolgen.

Eine Software, die mit dem Ziel entwickelt wurde, aus Sicht der betroffenen Person unerwünschte und unter Umständen schädliche Funktionen auf einem IT-System auszuführen. Solche Programme laufen häufig unbemerkt im Hintergrund. Ihr Funktionsumfang reicht von der Manipulation, dem Löschen oder dem unbefugten Abfluss (Exfiltration) von Daten bis hin zur vollständigen Übernahme des IT-Systems und der Nutzung seiner Ressourcen. Zur Kategorie der Schadprogramme zählt auch jegliche Art von Code, der dazu dient, in ein IT-System einzudringen.

Eine Schwachstelle bzw. Sicherheitslücke ist in der Regel ein Fehler oder eine Schwäche – etwa in einer Anwendung oder einem System –, die ausgenutzt werden kann, um ungewollte oder schädliche Aktionen durchzuführen.

Automatisierte Prüfungen von Informationssystemen, um festzustellen, ob bekannte Schwachstellen oder Sicherheitslücken ausnutzbar sind.

Eine Instanz (in der Regel ein physischer oder virtueller Rechner), die Funktionen, Dienste, Daten oder andere Ressourcen zur Verfügung stellt, auf die andere Endgeräte oder Anwendungen („Clients“) zugreifen können.

Sicherheitskonzepte legen dar, wie die in der Informationssicherheitsleitlinie formulierten Ziele innerhalb eines definierten Geltungsbereichs (Informationsverbund) erreicht werden sollen. Sie dienen der Umsetzung der festgelegten Informationssicherheitsstrategie und beschreiben Maßnahmen zur Gewährleistung der Informationssicherheit. Auf Grundlage der IT-Grundschutz-Methodik sind die einzelnen Organisationseinheiten der Fachhochschule Südwestfalen verpflichtet, eigene Sicherheitskonzepte zu erarbeiten.

Sicherheitstests, bei denen Methoden und Vorgehensweisen von Angreifenden eingesetzt werden, um Angriffe in kontrolliertem Umfang zu simulieren und zu erproben. Hierzu können sowohl technische Verfahren als auch Social-Engineering-Ansätze gehören.

Alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder sonstige Stellen, die keine Berechtigung haben, die jeweiligen Informationen zu kennen oder zu verarbeiten. Dazu können auch Mitarbeitende der Fachhochschule Südwestfalen gehören, sofern sie für die betreffende Information keine Zugriffsberechtigung besitzen. Ebenfalls als Unbefugte gelten Familienangehörige sowie Personen, die mit einer an der Fachhochschule Südwestfalen beschäftigten Person in einem gemeinsamen Haushalt leben.

Ermöglicht es, ein Endgerät über eine bestehende Netzverbindung (z. B. die private Internetleitung) in ein anderes Netzwerk (z. B. das der Fachhochschule Südwestfalen) einzubinden.

Ein drahtloses, lokales Netzwerk, über das Geräte per Funk – und damit im Gegensatz zum LAN ohne Kabel – mit einem Netzwerk verbunden werden können.

Ein kleiner Hardware-Sicherheitsschlüssel, der zur starken Authentifizierung verwendet wird. Er wird per USB, NFC oder Lightning an ein Endgerät angeschlossen und erzeugt bzw. speichert Anmeldeinformationen (z. B. Einmal-Passwörter oder kryptografische Schlüssel). YubiKeys unterstützen u. a. Verfahren wie FIDO2, U2F und OTP und dienen als zusätzlicher Faktor bei der Anmeldung, um Konten und Dienste besser vor unbefugtem Zugriff zu schützen.