Moin zusammen,
in diesem zweiten Teil der Blogeinträge berichte ich, wie meine Tätigkeiten an der Stabstelle CISO aussehen.
Eine der Hauptaufgaben ist die IT-Sicherheits-Awareness. Hierfür habe ich zum einen Plakate, Aufsteller oder auch Mousepads entworfen, die auf typische Sicherheitsprobleme hinweisen. Diese sind meist in den Pool Räumen der TU zu finden. Darüber hinaus haben wir gemeinsame als Team sogenannte Fake-Spam bzw. Phishing Kampagnen an der Universität durchgeführt. Hierbei haben wir mithilfe eines Tools gefälschte Mails verschickt. Diese Mails enthielten unter anderem Links zu Webseiten, auf denen der Nutzer aufgefordert wurde, Kontaktdaten oder Login Daten einzugeben. Wenn nun auf der Fake-Seite etwas eingegeben wurde, wurden diejenigen darauf aufmerksam gemacht, dass sie auf Phishing hereingefallen sind und dann auf eine Schulungsseite weitergeleitet.
Ein weiterer Aufgabenbereich ist das Bearbeiten von Tickets zum Thema IT-Sicherheit. Dabei werden unter anderem Phishing Mails an uns weitergeleitet und wir unterstützen dabei, dass z. B. die Landing Pages gesperrt werden. Zusätzlich wird auch noch der Spam Filter mit den eintreffenden Phishing Mails trainiert. Gelegentlich müssen von uns auch Angehörige der TU benachrichtigt werden, falls möglicher Passwörter der Uni-Mail geleaket worden sind.
Erst in diesem Jahr hinzugekommen ist die Aufgabe zur Unterstützung bei der Erstellung von Richtlinien und Erstellung von Beschaffungen. Aufgrund des Ausbaus der IT-Sicherheit an der TU-Braunschweig werden nun neue oder umfangreichere IT-Sicherheits-Produkte beschafft. Hierfür haben wir gemeinsam in der CISO z. B. Leistungsbeschreibung und Bewertungsmatrix für neue Schwachstellenscanner erstellt. Darüber hinaus habe ich an der Erstellung der Richtlinie zu „Bring Your Own Device“ mitgearbeitet.
Von Anfang an gehört zu den Aufgaben meiner Tätigkeit das Organisieren und Planen der Beiträge der TU-Braunschweig zum European Cyber Security Month. Jedes Jahr finden im Rahmen des ECSM während des gesamten Monats Oktober Hunderte von Aktivitäten in ganz Europa statt, darunter Konferenzen, Workshops, Schulungen, Webinare, Präsentationen und vieles mehr, um die digitale Sicherheit und Cyberhygiene zu fördern. Auch die TU nimmt hieran teil. Meine Aufgabe zu Beginn war vor allem das Werben für die Vorträge in Form von Plakaten, Flyern oder auch Ankündigungen im Stud.IP. Seit dem Beginn der Corona Pandemie finden die Vorträge online statt. Aufgrund der guten Resonanz zu den Online-Vorträgen wurden Anfang 2021 die IT-Security Awareness Days ins Leben gerufen. Dies sind eine Online-Veranstaltungsreihe mit Vorträgen rund um das Thema Informationssicherheit. Seit Juni 2021 finden die IT-SAD nun immer zweimal jährlich statt. Organisiert wird das Ganze durch uns. Bei den letzten IT-SAD im Oktober wurden 12 Vorträge von Referenten aus sieben verschiedenen Hochschulen gehalten. Seit den ersten IT-SAD beteilige ich mich auch selber mit einem Vortrag zum Thema „IT-Sicherheit im Homeoffice“.
Ich hoffe, ich konnte einen guten Einblick in meine vielfältigen Tätigkeiten aufzeigen. Im nächsten Teil werde ich ein persönliches Fazit meiner bisherigen Tätigkeit ziehen.
Viele Grüße
Arne