NRW stärkt die IT- und Cybersicherheit an seinen Hochschulen, Julia Dauwe

Dienstag, 5. März 2024, 9.15 - 9.30 Uhr

Abstract: Der Wissenschaftsrat hat in seinen „Empfehlungen zur Souveränität und Sicherheit der Wissenschaft im digitalen Raum“ vom 20. September 2023 noch einmal deutlich gemacht, das ein dringlicher Handlungsbedarf im Bereich der Cybersicherheit von Wissenschaftseinrichtungen besteht. Cyberangriffe, Systemschwachstellen und menschliches Fehlverhalten werden sich an den Hochschulen nicht gänzlich verhindern lassen, einen 100%igen Schutz wird man an den Hochschulen aufgrund der Größe, Heterogenität, Vielzahl der Zugänge und unterschiedlicher IT-Kompetenzen der Nutzerinnen und Nutzer nicht erreichen können. Die Auswirkungen aber können durch Investitionen in Prävention, Aufklärung, Schulung, etablierte Prozesse für den Ernstfall und zentraler IT-Dienste abgemildert werden. Ausfallzeiten können so reduziert, klassische Einfallstore weitgehend geschlossen und der Wiederaufbau im Ernstfall beschleunigt werden. Das Land Nordrhein-Westfalen hat sich mit den NRW-Hochschulen hierzu in mehreren Vereinbarungen zu einem gemeinsamen Vorgehen verständig und stellt für deren Umsetzung an den Hochschulen zusätzliche finanzielle Mittel zur Verfügung. Hinzu kommt die Finanzierung diverser hochschulübergreifender IT-Dienste in diesem Kontext.

Julia Dauwe ist Referentin für Cybersicherheit an den Hochschulen im Referat Informationsinfrastrukturen, Informationssicherheit und Digitalisierung in Studium und Lehre im Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen. Vorher war sie u.a. als stellvertretende Leiterin der Geschäftsstelle und Referentin für Digitale Infrastruktur der Digitalen Hochschule NRW sowie als CISO der Universität Siegen tätig und konnte sich maßgeblich an der Entwicklung des hochschulübergreifenden Konzepts für eine zentrale Unterstützungsstruktur der NRW-Hochschulen im Bereich Informationssicherheit beteiligen. Ein besonderes Anliegen ist für sie das Thema Zusammenarbeit im Kontext IT, Digitalisierung und Informationssicherheit an den Hochschulen.

Informationssicherheit als Perspektive der Digital Responsibility, Prof. Dr. Daniel Beverungen

Dienstag, 5. März 2024, 9.30 - 10.15

Abstract: Digital Responsibility bezeichnet das Bestreben von Personen, Unternehmen und öffentlichen Institutionen, auf eine digitale Gesellschaft hinzuwirken, die durch Prinzipien wie Nachhaltigkeit, Offenheit, Fairness und Transparenz gekennzeichnet ist. Die Prinzipien und Maßnahmen der Digital Responsibility gehen dabei über die rechtlichen Mindestanforderungen hinaus. Das Konzept der Digital Responsibility wurde erstmals auf der 18. Internationalen Tagung Wirtschaftsinformatik (2023) in Paderborn in der Fachcommunity etabliert und diskutiert. In diesem Zuge haben wir einen Ordnungsrahmen zu Prinzipien der Digital Responsibility entwickelt, aber auch konkrete Aktivitäten und Barrieren für deren Umsetzung identifiziert. Der Vortrag befasst sich mit den Implikationen dieser Perspektiven für die Informationssicherheit. Denn die verantwortungsvolle Planung, Umsetzung und Steuerung der Informationssicherheit, gerade auch an Universitäten, hat einen großen Beitrag für die Gestaltung der nächsten Welle der Digitalen Transformation zu leisten.

Fachartikel zum Hintergrund verfügbar unter: Digital Responsibility | Business & Information Systems Engineering (springer.com)

Prof. Dr. Daniel Beverungen ist Inhaber des Lehrstuhls für Wirtschaftsinformatik, insb. Betriebliche Informationssysteme, an der Universität Paderborn. Er studierte Wirtschaftsinformatik an der Universität Paderborn und war nachfolgend als wissenschaftlicher Mitarbeiter, Akademischer Rat und Vertretungsprofessor am Institut für Wirtschaftsinformatik der WWU Münster (Prof. Dr. Dr. h.c. Dr. h.c. Jörg Becker) tätig. Seine Forschungsschwerpunkte umfassen die Dienstleistungsforschung, das Geschäftsprozessmanagement, die Informationsmodellierung sowie die Gestaltung und die Grenzen der Gestaltbarkeit innovativer Informationssysteme. Seine Forschungsergebnisse wurden in zahlreichen referierten Fachzeitschriften veröffentlicht und auf allen maßgeblichen nationalen und internationalen Konferenzen präsentiert. Darüber hinaus war Prof. Dr. Beverungen an der Entwicklung verschiedener Industriestandards zu technischen Dienstleistungen (DIN SPEC 33453, DIN PAS 1091, DIN PAS 1094) federführend beteiligt. Er ist Department-Editor Business Process Management für die Fachzeitschrift Business & Information Systems Engineering (BISE) sowie Herausgeber von Sonderheften und Sammelbänden. Aktuelle Leitungspositionen umfassen den Vorstandsvorsitz im Software Innovation Lab (SI-Lab) der Universität Paderborn, den Vorsitz des Steuerkreises des Software Innovation Campus Paderborn (SICP) sowie die Leitung des Service Science Competence Centers am European Research Center for Information Systems (ERCIS). Gastforschungsaufenthalte führten ihn u.a. an die TU Berlin, die University of Melbourne, die Queensland University of Technology und an das Ulsan National Institute of Science and Technology (UNIST).

Auf Angriff folgt Erschöpfung, Eileen Walther

Dienstag, 5. März 2024, 11.00-11.10

Abstract: In dieser Session erhalten Sie ungewöhnliche Einblicke in die sichtbaren und unsichtbaren mentalen Auswirkungen von Cyber-Vorfällen. Es geht um praxiserprobte Ansätze und Studien an der Schnittstelle zwischen Psychologie und Cybersicherheit und die Stärkung der Widerstandsfähigkeit in Unternehmen.

Eileen Walther ist General Managerin der Northwave Deutschland GmbH und leitet die Unternehmensführung des Cybersecurity-Anbieters für die DACH-Region. Mit ihrer Expertise unterstützt sie regelmäßig bei größeren CERT-Einsätzen während Ermittlungsverfahren und Krisenmanagement. Außerdem gewährt sie tiefe Einblicke in die Security Operations der Northwave-Kunden in ihrer Rolle als CISO. 

Vor ihrer Zeit bei Northwave leitete sie die High-Tech Crime Unit bei der niederländischen Kriminalpolizei und arbeitete eng mit dem BKA zusammen. Neben ihrer beruflichen Tätigkeit setzt sich die gebürtige Niederländerin ehrenamtlich für WomeninIT und DiversIT ein und engagiert sich als Cyber-Mentorin zur Förderung von Mädchen und jungen Frauen im High-Tech-Umfeld.

Software Security im Rechenzentrum - Ein Kooperationsprojekt, Dr. Stefan Dziwok und Samira Taaibi

Dienstag, 5. März 2024, 11.20 - 11.40

Abstract: Im Fokus des Vortrags des Fraunhofer Instituts für Entwurfstechnik Mechatronik (IEM) steht die kritische Bedeutung von Software Security für Universitätsrechenzentren. Angesichts der zunehmenden Komplexität und Häufigkeit von Cyberangriffen ist es unerlässlich, die einzigartigen Herausforderungen zu verstehen, mit denen diese Einrichtungen konfrontiert sind, und effektive Strategien zur Bewältigung dieser Risiken zu entwickeln.

Insbesondere wird auf ein laufendes Kooperationsprojekt mit dem Zentrum für Informations- und Medietechnik  (IMT) eingegangen, für welches das Fraunhofer IEM beauftragt wurde. Das Kooperationsprojekt zielt darauf ab, in einem ersten Schritt das Bewusstsein für den Themenkomplex Security zu steigern, den aktuellen Reifegrad der Security Maßnahmen zu bestimmen und eine an das IMT angepasste Strategie zur effizienten Steigerung ihres Reifegrads zu erarbeiten. Dabei wird auch auf die Notwendigkeit eingegangen, ganzheitliche Sicherheitsprozesse zu implementieren, die sowohl technische als auch organisatorische Aspekte umfassen.

Dr. Stefan Dziwok ist Senior Researcher und Samira Taaibi ist wissenschaftliche Mitarbeiterin am Fraunhofer IEM in der Abteilung Sichere Services & Apps. Ihre Forschungsschwerpunkte finden sich im Themengebiet der Software Security. Zusammen mit ihren Kolleg:innen streben sie danach, die Konzipierung, die Entwicklung und den Betrieb von sicheren softwareintensiven Systemen zu verbessern und zu erleichtern. Dazu entwickeln sie Methoden, Werkzeuge und Weiterbildungen, zu denen verschiedenen Trainings und Coachings für Entwickler:innen, Product Owner und Führungskräfte gehören, sowie dazu vorgelagerte Cybersecurity-Assessments.

Unser Weg zur TISAX-Zertifizierung - Ein Kooperationsprojekt, Sebastian Porombka

Dienstag, 5. März 2024, 11.40 - 12.00

Abstract: TISAX ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Standard VDA-ISA, der im Hinblick auf die Durchführung von Information Security Assessments in der ENX Association entwickelt wurde und durch den Verband der Automobilindustrie freigegeben und veröffentlicht wird. Im Rahmen von Drittmittelprojekten mit der Automobilindustrie wächst auch an Hochschulen seine Bedeutung. Nach einer kurzen Vorstellung des Konzepts, wird ein an der Universität Paderborn im Bereich Maschinenbau begleitetes Projekt mit seinen Herausforderungen und Stolpersteinen vorgestellt.

Sebastian Porombka ist wissenschaftlicher Mitarbeiter im Zentrum für Informations- und Medientechnologien der Universität Paderborn. Seine Fachgebiete sind IT-Architektur und IT-Sicherheit. Seit 2019 ist er Sprecher im Informationssicherheitsteam der Universität und berät die Mitglieder und Bereiche der Hochschule bei der Umsetzung von Compliance-Anforderungen, BSI-Grundschutz, Risiko- und Business Continuity Management. Er arbeitet u.a. im ZKI-Arbeitskreis Informationssicherheit mit und hat in Projekten Konzepte zur Umsetzung von Informationssicherheit an KMUs und Voraussetzungen für TISAX-Zertifizierung an Hochschulen erarbeitet. 

Überblick zentraler Aktivitäten zur Informationssicherheit an Hochschulen in Bayern, Christian S. Fötinger

Dienstag, 5. März 2024, 13:30-13:45

Abstract: Wie kam es dazu, dass in Bayern die Informationsicherheit zentral unterstützt wird und welche Dienste sind sinnvoll zu zentralisieren? In dem  Vortrag wird die Entwicklung der Stabsstelle (der CIO Runden) zum  hochschulübergreifenden IT-Service Informationssicherheit (kurz HITS IS) des Digitalverbunds gezeigt. Warum und mit welchen Diensten wurde begonnen und wie (rasant) hat sich das Team in den letzten 18 Monaten entwickelt um weitere Dienste anzubieten.

Christian S. Fötinger war die Stabsstelle Informationssicherheit und ist der geistige Vater des ´Teams und leitet derzeit gemeinsam das HITS IS Team an.Seine Erfahrung hat er in der Wirtschaft, vorallem im Finanzsektor, gesammelt. Er hat sich nach einem technischen Werdegang 2003 entschieden die Informationsicherheit mit dem Aufbau von Notfall- oder Informationssicherheitsmanagemensystemen als Beratr zu stärken und begleitet seit 2016 bayerische Hochschulen bei der Integration von Sicherheitsprozessen in den Betrieb. Mit einer Forschungsmasterandin hat er 2018 das Hochschulinformationssicherheitsprogramm (HISP) entwickelt um Hochschulen einen Leitfaden zum Aufbau eines ISMS zu geben. Das HISP ist heute ein Bestandteil der Digitalisierungsoffensive in Bayern und in den Zielvereinbarungen mit dem Miniserium verankert.

Überblick zentraler Aktivitäten zur Informationssicherheit an Hochschulen inNordrhein-Westfalen, Robert Hellwig

Dienstag, 5. März 2024, 13:45 - 14.00

Abstract: Der Vortrag legt die Ansätze des Landes Nordrhein-Westfalen einer übergreifenden Zusammenarbeit in den Bereichen Informationssicherheit, Datenschutz und Business Continuity Management im Rahmen des "Netzwerks Informationssicherheit der Hochschulen in Nordrhein-Westfalen" (kurz: NISHS.nrw) dar und stellt die Zusammenarbeit mit anderen übergreifenden Initiativen in NRW vor. Ziel ist eine Optimierung der Aufwände und Ressourcen unter Erreichung einer Verbesserung des Sicherheitsniveaus für jede Hochschule im Bundesland.

Robert Hellwig ist seit September 2020 Chief Information Security Officer (CISO) der Universität Siegen und Leiter der Stabsstelle Informationssicherheit und Datenschutz. Mit seinem Team sorgt er dafür, dass die Themen Informationssicherheit und operativer Datenschutz gemeinsam in der Hochschule in einer koordinierten Art und Weise für die Hochschulangehörigen verständlich werden und diese mit dafür sorgen, das das Sicherheitsniveau steigt.

Neben dieser Hauptaufgabe ist er Projektleiter des landesweiten Projektes zum Aufbau der zentralen Koordinierungs- und Beratungsstelle NISHS.nrw sowie Mitglied des Sprecherausschusses der Landesarbeitsgruppe der Informationssicherheitsbeauftragten in Nordrhein-Westfalen (LAG IS NRW).

Überblick zentraler Aktivitäten zur Informationssicherheit an Hochschulen in Baden-Württemberg

Dienstag, 5. März 2024, 14.00 - 14.15

Abstract:

Die bwInfoSec Föderation in Baden-Württemberg stellt einen zukunftsweisenden Ansatz zur Stärkung der Informationssicherheit an Hochschulen und Universitäten dar. Durch die Bildung eines Netzwerks, das zentrale und dezentrale Elemente integriert, fördert sie den Austausch von Wissen und Ressourcen zwischen den Institutionen. Die Unterstützung durch das MWK, insbesondere durch die Bereitstellung von Stellen für Informationssicherheitsbeauftragte und die Einrichtung von zwei Kernteams, ermöglicht eine effektive und effiziente Verbesserung der Sicherheitslage. Dieser kooperative Ansatz ermöglicht es, Ressourcen gezielt einzusetzen, Synergien zu nutzen und eine einheitlichere Sicherheitsstruktur im Hochschulsektor zu schaffen, was die Informationssicherheit nachhaltig stärkt.

Willi Winkhardt ist seit April 2018 Leiter des Information Managements und Chief Information Security Officer (CISO) am Hochschulservicezentrum Baden-Württemberg. In seiner Rolle konzentriert er sich auf die Förderung der Informationssicherheitnach den Standards des IT-Grundschutzes des BSI an den Hochschulen in Baden-Württemberg.

Neben dieser wichtigen Aufgabe widmet er sich weiteren Digitalisierungsprojekten im Bundesland, um die Hochschullandschaft modern und sicher zu gestalten. So sind vier Referenten Digitalisierung und zwei Referenten Datenschutz in dieser Abteilung. Zusätzlich ist er durch seine Mitarbeit im Steuerkreis bwInfoSec, im Lenkungskreis bwOZG und im Leitungskreis AK ISB aktiv an der Entwicklung der Hochschullandschaft beteiligt.

Empirische Softwaretechnik als Baustein zur Informationssicherheit, Prof. Dr. Yasemin Acar

Mittwoch, 6. März 2024, 10.00 - 10.45

Abstract: Open Source Software ist essentiell für das digitale Leben, insbesondere als Grundbaustein digitaler Infrastruktur, kritischer Dienste, und auch als Teil kommerzieller Software. Sicherheitslücken in Open Source Software können daher kritische Auswirkungen haben. Open Source Projekte werden teilweise dezentral, freiwillig, und von wenigen Beitragenden unterhalten. Wie verhält es sich mit der Sicherheit von Open Source Software? Wie können Entwickelnde dabei unterstützt werden, Projekte abzusichern? In diesem Vortrag wird empirische Forschung zur Unterstützung von Open Source Sicherheit unter Einbeziehung der Entwickelnden in kritischer, unterstützenswerter Rolle, vorgestellt. 

Prof. Dr. Yasemin Acar (she/her) is a professor of computer science at Paderborn University. She focuses on empirical research in computer security. Her research centers humans, their comprehension, behaviors, wishes and needs. She aims to better understand how software can enhance users’ lives without putting their data at risk. Her recent focus has been on human factors in secure development, investigating how to help software developers implement secure software development practices. Her research has shown that working with developers on these issues can resolve problems before they ever affect end users. Her research has won distinguished paper awards at IEEE Security and Privacy and USENIX Security, and a NSA best cyber security paper competition.

„Das regt mich maximal auf.“ Ergebnisse einer Studie zur Awareness durch Online-Lernen, Claudia Kirschtein, M. Sc.

Mittwoch, 6. März 2024, 11.30 - 12.00

Abstract: Es gibt eine Vielzahl von Maßnahmen zur Verbesserung des IT-Sicherheitswissens, jedoch bestehen erhebliche Defizite im IT-Sicherheitsverhalten in Deutschland (DsiN SICHERHEITS-INDEX 2023). Diese Wissens-Verhaltens-Lücke wird im Rahmen des Vortrags aus einer emotionalen Perspektive im Kontext der Erwachsenenbildung beleuchtet. Emotionen werden von verschiedenen Wissenschaftler*innen, insbesondere in Lehr-Lern-Kontexten, als äußerst bedeutsam angesehen und in diesem Vortrag gezielt adressiert. Es gilt, erste Einblicke in die emotionalen Herausforderungen beim Online-Lernen zur IT-Sicherheit am Beispiel von Mitarbeiter*innen aus kleinen und mittleren Unternehmen (KMU) zu geben. Anhand ausgewählter Interviewausschnitte werden Awareness und IT-Sicherheitsverhalten in Verbindung mit Emotionen über einen Zeitraum von drei Monaten nachgezeichnet und zur Diskussion gestellt.

Claudia Kirschtein, M. Sc., ist Wissenschaftliche Mitarbeiterin in der Medienpädagogik und empirischen Medienforschung an der Universität Paderborn. In ihrem Promotionsprojekt untersucht sie aus mediendidaktischer Perspektive Emotionen beim Online-Lernen zum Thema IT-Sicherheit in der Erwachsenenbildung. Ihre Forschungsschwerpunkte liegen im Bereich Qualitative Methoden, Digitales Lernen und Emotionsforschung.

"Take Away" von Awarenessmaßnahmen, Irmgard Blomenkemper

Mittwoch, 6. März 2024, 12.00 - 12.30

Abstract: Das Bewusstsein für Informationssicherheitsthemen hängt bei Hochschulangehörigen in Lehre und Forschung, im Studium und in der Verwaltung davon ab, wie präsent diese Themen in den Köpfen sind und wie häufig das Wissen aufgefrischt oder vertieft wird. Dennoch weichen Anspruch und Wirklichkeit oft voneinander ab, wenn es darum geht, das IT-Security-Wissen wirksam in die Breite der Hochschule zu tragen – wie zielführend das gelingt, hängt von vielen Faktoren ab.
Passend zum näher kommenden Ende der Tagung werden hier (quasi als „Take Away“, also zum Mitnehmen) einige Awarenessmaßnahmen aus dem Hochschulkontext erwähnt, die sich in ihrer Form, Vielfältigkeit oder Durchführungsart von üblichen Schulungen unterscheiden und die dadurch eine Chance haben, in den Köpfen „hängen zu bleiben“.

Irmgard Blomenkemper ist Chief Information Security Officer der Universität zu Köln. Als wissenschaftliche Mitarbeiterin arbeitete sie vor ihrem Wechsel in die Informationssicherheit unter anderem im IT-Servicemanagement für das Regionale Rechenzentrum (RRZK). Wichtig sind ihr die Schaffung einer positiven Informationssicherheitskultur sowie die klare und wirksame Kommunikation in alle Bereiche, um möglichst viele zu motivieren, bei der Erreichung eines angemessenen Informationssicherheitsniveaus mitzuwirken.

Was macht es in der Krise mit Menschen? Wie kommen sie aus der Krise gut wieder raus?, Dr. Alejandra Lopez Vargas

Mittwoch, 6. März 2024, 12.30 - 13.00

Abstract: Die Universität Duisburg-Essen wurde im November 2022 Opfer eines schwerwiegenden Cyberangriffs, der nach einer Reihe vorheriger Krisen wie der COVID-19-Pandemie, Energiekrise und Arbeitskräftemangel eine zusätzliche Belastung darstellte. Dieser Angriff verdeutlichte die zunehmende Abhängigkeit der Hochschulen von digitalen Geschäftsprozessen und die Komplexität der damit verbundenen Herausforderungen. Ein Jahr nach dem Cyberangriff stellt sich die zentrale Frage: Wie können wir aus dieser Krise herauskommen und uns erfolgreich erholen? In diesem Vortrag wird diskutiert, wie Menschen in Krisenzeiten reagieren und welche Maßnahmen ergriffen werden können, um sie erfolgreich zu bewältigen und gestärkt daraus hervorzugehen.

Dr. Alejandra Lopez Vargas arbeitet als Chief Information Officer (CIO) und Leitung des Zentrum für Informations- und Mediendienste (ZIM) an der Universität Duisburg-Essen. Mit ihrer mehrjährigen Berufserfahrung in der Freiwirtschaft, als Unternehmerin und im Öffentlichen Dienst im Hochschulkontext verfügt sie über einen fundierten Überblick und die erforderliche Expertise, um den digitalen Transformationsprozess sowie die Weiterentwicklung der IT-Strategie, IT-Sicherheit und IT-Governance bestmöglich zu unterstützen.