Am 24. Januar 2025 wurde die Universität Freiburg erneut in ihrem Informationssicherheitsmanagementsystem durch TÜV Süd zertifiziert. Die neuen Anforderungen an die IT-Sicherheit sind im Vergleich zur Erstzertifizierung gestiegen, da die Universität nun der aktualisierten Norm ISO/IEC 27001:2022 entspricht. Diese Revision adressiert moderne Herausforderungen in der Informationssicherheit und fordert spezifische technische und organisatorische Schutzmaßnahmen.

Die ISO/IEC 27001:2022, die sich auf Informationssicherheit, Cybersicherheit und Datenschutz konzentriert, legt den Fokus auf die systematische Sicherung sensibler Daten. Besonders hervorzuheben sind die neuen zusätzlichen Aufgabengebiete, die den Umgang mit Cloud-Diensten und das Bedrohungsmanagement umfassen. Diese Entwicklungen sind notwendig, da die Bedrohungslage in der digitalen Welt kontinuierlich wächst, wie auch EFS Consulting anmerkt.

Technische Neuerungen und Anforderungen

Ein wichtiger Bestandteil der neuen Norm ist eine Reduktion der Anzahl von Informationssicherheitskontrollen von 114 auf 93, die in vier Hauptkategorien unterteilt sind: organisatorische, personelle, physische und technische Maßnahmen. Die Ausgabe 2022 führt zudem 11 neue Sicherheitsmaßnahmen ein, darunter:

  • Threat Intelligence: Analyse von Bedrohungsdaten
  • Cloud Services: Sichere Handhabung von Cloud-Diensten
  • Business Continuity (ICT Readiness): Technische Wiederherstellungsmaßnahmen
  • Physical Security Monitoring: Maßnahmen zur Überwachung physischer Sicherheit
  • Data Masking: Anonymisierung sensibler Daten
  • Data Leakage Prevention: Systeme zur Überwachung von Datenverlust
  • Activity Monitoring: Proaktive Überwachung ungewöhnlicher Aktivitäten
  • Web Filtering: Blockierung gefährlicher Websites
  • Secure Coding: Entwicklung sicherer Software
  • Configuration Management: Sicherstellung korrekter IT-Systemkonfigurationen
  • Information Deletion: Physische und logische Löschung von Daten

Die Hochschule implementiert jetzt Prozesse, um den Betrieb ihrer Ressourcen im Maschinensaal III in die Zertifizierung einzubeziehen. Dr. Marc Herbstritt fungiert als Informationssicherheitsbeauftragter und betreut die kontinuierliche Weiterentwicklung und Verbesserung der Informationssicherheit an der Universität Freiburg.

Bedeutung der Zertifizierung

Die unabhängige Bewertung der Sicherheitsmaßnahmen bestätigt, dass die Universität Freiburg auf dem Stand der Technik arbeitet. Wichtige Aspekte ihrer Sicherheitsstrategie sind digitale Souveränität sowie die Kontrolle über kritische Prozesse wie revisionssichere Dokumentation und Inventarmanagement. Das Rechenzentrum setzt auf Open-Source-Software, die für diese Anforderungen geeignet ist.

Die Zertifizierung gemäß ISO/IEC 27001:2022 ist nicht nur ein Zeichen des Engagements für Sicherheit, sondern zeigt auch, dass die Institution bereit ist, sich den aktuellen Herausforderungen der Cyber-Bedrohungen zu stellen. Die Herausforderungen bei der Umstellung auf die neue Norm umfassen vor allem die Umsetzung neuer Anforderungen und die Reduzierung sowie Neukategorisierung der Kontrollen, wie in All About Testing ausgeführt wird.

Zusammenfassend lässt sich sagen, dass die Universität Freiburg ihrer Verantwortung in Bezug auf Informationssicherheit gerecht wird, indem sie ein robustes Informationssicherheits-Managementsystem aufrechterhält und kontinuierlich verbessert. Diese Schritte sind entscheidend, um sowohl die Vertraulichkeit als auch die Integrität und Verfügbarkeit von Daten langfristig zu gewährleisten.