Informationssicherheit in der Wissenschaft: HRK-Empfehlung und -Handreichung

7. November 2018

Mitglieder der HRK
HRK-Mitgliederversammlung am 6.11.2018 in Lüneburg (Foto: Jäger/Leuphana)

„Hochschulen gehen mit vielen sensiblen Daten um. Informationssicherheit ist deshalb für sie ein hochrelevantes Thema“, so der Präsident der Hochschulrektorenkonferenz (HRK), Professor Dr. Peter-André Alt heute vor der Presse in Berlin. „Besonders in der Forschung, bei der Verwaltung von Studierendendaten sowie bei der Zusammenarbeit mit Unternehmen fällt solches Datenmaterial an. Dessen Schutz muss aber immer auch so gestaltet sein, dass das freie Forschen und Lehren und der so wichtige wissenschaftliche Austausch nicht gestört werden.“

Die HRK-Mitgliederversammlung hat dazu gestern in Lüneburg ein Papier verabschiedet, das neben einer Handreichung für die mittlere Führungsebene auch Empfehlungen für die Hochschulspitzen enthält. „Das zeigt, welche Bedeutung wir dem Thema beimessen“, erläuterte die HRK-Vizepräsidentin für Digitale Infrastrukturen, Professorin Dr. Monika Gross, unter deren Leitung das Papier vorbereitet worden war. „Die Hochschulen sind vor allem  wegen der weltweiten Zusammenarbeit, der Vielzahl von weitgehend autonom arbeitenden Projekten und der hohen Personalfluktuation in besonderer Weise verwundbar. Deshalb müssen die Hochschulleitungen Informationssicherheit als permanente Herausforderung verstehen. Die mittlere Führungsebene muss jeweils passende Konzepte dauerhaft etablieren. Und nicht zuletzt müssen die notwendigen Ressourcen im Zuge der staatlichen Finanzierung sowie über Projektmittel bereitgestellt werden.“

Das HRK-Papier betont, dass Informationssicherheit nicht auf IT-Sicherheit reduzierbar ist. Die Definition von Schutzzielen und die Risikobewertung könnten nicht operativen IT-Dienstleistern überlassen werden, sondern seien im rechtlich vorgegebenen Rahmen Aufgabe der Hochschule selbst. In der Handreichung wird kein – womöglich allgemeingültiges – Modell skizziert, sondern es werden Prozesse beschrieben, etwa Maßnahmen zur Bewusstseinsschärfung, Vorschläge für die Klassifizierung von Daten sowie die Entwicklung von Datenmanagementplänen.

Zum Text der Empfehlung