Kontakt

Prof. Dr. Martin Kappes
IT-Sicherheitsbeauftragter
Tel.: +49 69 1533-2791
kappes@fb2.fra-uas.de

Fünf Fragen an...

Prof. Dr. Martin Kappes, IT-Sicherheitsbeauftragter

Sie sind seit WS 2008/2009 IT-Sicherheitsbeauftragter an unserer Hochschule. Was macht eigentlich ein IT-Sicherheitsbeauftragter?
Mehr und mehr sensible Informationen liegen in elektronischer Form vor und werden entsprechend verarbeitet und ausgetauscht. Deshalb steht die Sicherheit  der IT mittlerweile ganz zu recht im Zentrum des Interesses. Das Spektrum der möglichen Bedrohungen und Gegenmaßnahmen ist sehr komplex und reicht von A wie Abhören bis hin zu Z wie Zutrittskontrolle. Der IT-Sicherheitsbeauftragte ist für die Wahrnehmung aller Belange der Informationssicherheit zuständig und dient als Hauptansprechpartner für alle Fragen rund um das Thema Informationssicherheit.

Was sind derzeit ihre konkreten Arbeitsschwerpunkte?
Mein vorrangiges Ziel ist es, an dieser Hochschule ein IT-Sicherheitsmanagementsystem auf Basis der IT-Grundschutzstandards des Bundesamts für Sicherheit in der Informationstechnik einzuführen und zu etablieren. Hierzu wurde bereits eine Neufassung der IT-Sicherheitsleitline für die Hochschule erarbeitet. Im nächsten Schritt wird es darum gehen, die dort festgelegten Organisationsstrukturen aufzubauen und ein IT-Sicherheitskonzept für die Hochschule zu entwickeln.

Wie und bis wann wird das IT-Sicherheitskonzept entwickelt?
Wir orientieren uns auch hier an den Vorgaben des BSI. Zunächst müssen wir dazu eine Strukturanalyse des bestehenden IT-Verbundes an der FRA-UAS durchführen, also erfassen, welche Anwendungen, IT-Systeme und Netzwerke vorhanden sind und wo sie sich befinden. Danach wird ermittelt, welchen Schutzbedarf diese Systeme aufweisen. Rechner, auf denen beispielsweise vertrauliche Informationen verarbeitet werden, müsssen natürlich anders geschützt werden als etwa ein öffentlicher PC zur Internetrecherche. Danach wird mit Hilfe der sogenannten IT-Grundschutzkataloge ein Modell des IT-Verbundes und der notwendigen Schutzmaßnahmen erstellt. Durch einen Soll/Ist-Vergleich kann dann festgestellt werden, welche Maßnahmen schon ergriffen wurden und welche noch umzusetzen sind. Bei hohem Schutzbedarf der Systeme sind außerdem zusätzliche Schritte wie eine Risikoanalyse oder andere ergänzende Sicherheitsanalysen notwendig. Die noch umzusetzenden Maßnahmen werden dann konsolidiert und nach Priorität geordnet. Wir wollen mit diesen Arbeiten im Sommer 2009 fertig werden. Ab Herbst 2009 sollen dann die noch fehlenden Maßnahmen gemäß ihrer Priorität umgesetzt werden.

Steht schon fest, wie es danach weitergeht?
Um IT-Sicherheit dauerhaft zu gewährleisten, ist eine kontinuierliche Überwachung und Verbesserung  der Sicherheitsmaßnahmen notwendig. Zum einen, da sich die IT durch den Wegfall älterer und das Hinzukommen neuer Systeme und Anwendungen kontinuierlich verändert, zum anderen aber auch, da ständig neue Bedrohungen hinzukommen. Ein Rechner, der gestern noch als sicher galt, kann heute bereits ein Risiko darstellen. IT-Sicherheit ist also ein Prozess, der stetig aufrechterhalten werden muss.

Sie sind neben Ihrer Tätigkeit als IT-Sicherheitsbeauftragter auch in Lehre und Forschung im Bereich  IT-Sicherheit aktiv. Fließen Ihre Ergebnisse auch dort ein?
Im Vordergrund meiner Lehr- und Forschungstätigkeiten stehen eigentlich eher technische Aspekte der IT-Sicherheit,  während in der Rolle als IT-Sicherheitsbeauftragter zumindest in der Initiierungsphase organisatorische  Fragen im Zentrum stehen. Ich plane, zukünftig die organisatorischen Aspekte der IT-Sicherheit stärker in die  Lehre einzubringen. In der Forschung sehe ich in den organisatorischen Aspekten gerade für die Praxis ein großes