Einleitung
Was ist HECVAT? Auch wenn es sich wie ein unaussprechliches Wort anhört, ist HECVAT eigentlich ein amerikanisches Akronym für Informationssicherheit im Hochschulbereich.
Mehr als 150 private und öffentliche Universitäten im ganzen Land, darunter Carnegie Mellon, Princeton und Rice, nutzen HECVAT zur Bewertung der Risiken ihrer Geschäftspartner.
Aber HECVAT hat mehr zu bieten, als wir in einem einzigen Absatz zusammenfassen können. Deshalb haben wir diesen ausführlichen Artikel verfasst. Lesen Sie weiter, um in den folgenden Abschnitten mehr über HECVAT und seine Bewertungsinstrumente zu erfahren.
Was ist HECVAT?
HECVAT steht für das Higher Education Community Vendor Assessment Toolkit. Der Higher Education Information Security Council (HEISC) hat es in Zusammenarbeit mit dem Computernetzwerk-Konsortium Internet2 und der Allianz für Cybersicherheit REN-ISAC entwickelt.
HECVAT ist eine Reihe von Instrumenten, die Hochschulen bei der Bewertung des Informationssicherheitsrisikos von Lieferanten unterstützen. Im Rahmen der Bewertung von Dienstleistern können Hochschulen und Universitäten diese auffordern, einen von mehreren HECVAT-Fragebögen auszufüllen, um zu bestätigen, dass ausreichende Informations- und Cybersicherheitsrichtlinien vorhanden sind, um die sensiblen Informationen der Hochschule und die persönlich identifizierbaren Informationen (PII) von Studierenden, Mitarbeitern und anderen Beteiligten zu schützen.
Über die Partner von HECVAT
Die HECVAT-Fragebögen sind vertrauenswürdige Bewertungsinstrumente, weil drei Expertenteams für Informationsnetzwerke und Sicherheit sie gemeinsam entwickelt haben:
- HEISC. Gegründet im Jahr 2000, ist HEISC ein Team aus Fachleuten für Informationssicherheit und Datenschutz, das sich der Aufgabe widmet, Hochschuleinrichtungen bei der Verbesserung ihrer Governance in der Informationssicherheit, Compliance und beim Datenschutz zu unterstützen.
- Internet2. Formell als University Corporation for Advanced Internet Development (UCAID) bekannt, ist ein gemeinnütziges Konsortium, das Hochschulen und Forschungseinrichtungen, Regierungsstellen, Unternehmen und kulturelle Organisationen umfasst. Sein Zweck ist es, ein „sicheres Hochgeschwindigkeitsnetzwerk, Cloud-Lösungen, Forschungsunterstützung und auf Forschung und Bildung zugeschnittene Dienste“ bereitzustellen.
- REN-ISAC. Das Research and Education Networks Information Sharing and Analysis Center (REN-ISAC) ist ein internationales Bündnis, das Nachrichten, Warnungen und Hinweise zur Cyber-Sicherheit sowie Analysen von Cyber-Bedrohungen und Lösungen zur Risikominderung bereitstellt. Das Bündnis hat mehr als 700 Mitgliedsinstitutionen.
Warum ist HECVAT wichtig?
Laut einer Umfrage der Cybersicherheitsfirma Sophos aus dem Jahr 2022 waren 64 Prozent der Hochschuleinrichtungen im Jahr 2021 mindestens einem Ransomware-Angriff ausgesetzt, ein Anstieg von 44 Prozent im Jahr 2020. Erschreckende 74 Prozent dieser Angriffe waren erfolgreich. Vergleicht man diese Erfolgsquote mit dem globalen Durchschnitt von 65 Prozent, wird das Ausmaß deutlich.
Ransomware-Angriffe haben erhebliche Auswirkungen auf Organisationen, insbesondere im Hochschulbereich. Die Sophos-Umfrage ergab, dass fast alle (97 Prozent) der befragten Hochschulen im öffentlichen Sektor angaben, dass ein Angriff ihren Betrieb beeinträchtigt hat, während 96 Prozent der befragten Hochschulen im privaten Sektor angaben, dass ein Angriff zu Geschäfts- oder Umsatzeinbußen geführt hat.
Warum sind diese Institutionen ein so attraktives Ziel für Angreifer? Folgende Faktoren gilt es zu berücksichtigen:
- Hochschulen haben Unmengen von Daten Hochschulen haben Unmengen von persönlichen Daten über Studierende und Dozenten, ganz zu schweigen von Forschungsdaten von Regierungsbehörden und akademischen Partnern.
- Ihre Netzwerke sind anfälliger für Angriffe. Große, etablierte Universitäten neigen dazu, alte Systeme zu unterhalten, die oft mehr Sicherheitsrisiken aufweisen als moderne Systeme. Zudem bieten die zahlreichen privaten und universitären Geräte und die mit diesen Systemen verbundene Software viele Möglichkeiten für Angriffe, insbesondere wenn die Benutzer dieser Geräte der Bequemlichkeit Vorrang vor der Sicherheit einräumen.
- Sie haben begrenzte Budgets. Sowohl öffentliche als auch private Institutionen haben oft begrenzte Budgets. Außerdem neigen sie dazu, finanzielle Ressourcen eher für öffentlichkeitswirksamere und besser vermarktbare Bereiche — wie z.B. Sport — als für IT und Cybersicherheit zu verwenden.
Angesichts solch beunruhigender Trends in der Cybersicherheit und der oben genannten Zielaspekte ist es kein Wunder, dass eine Sicherheitsmethode wie HECVAT im Hochschulbereich benötigt wird. Dieses Toolkit ermöglicht es Hochschulen, Zeit zu sparen, ihre Risikobewertung von Anbietern zu standardisieren und sicherzustellen, dass diese Anbieter in den Bereichen Sicherheit und Datenschutz angemessen bewertet werden.
4 HECVAT Tools
Die HECVAT-Tools umfassen vier Fragebögen, die es Hochschulen ermöglichen, ein konsistentes Programm zur Risiko- und Sicherheitsbeurteilung einzuführen, umzusetzen und aufrechtzuerhalten. Jeder Fragebogen stellt einen anderen Detaillierungsgrad dar und einer ist für den internen Gebrauch bestimmt.
Hinweis: Alle aktuellen Versionen dieser Tools sind als herunterladbare Excel-Dateien auf der EDUCAUSE HECVAT-Webseite verfügbar.
1. HECVAT — Triage
Im Unterschied zu den Full-, Lite- und On-Premise-Tools, die Sie unten noch kennenlernen werden, ist das Triage-Tool nicht dafür vorgesehen, von Anbietern ausgefüllt zu werden – ein gängiges Missverständnis unter denjenigen, die mit HECVAT nicht vertraut sind. Stattdessen ist dieses Tool speziell für interne „Requester“ wie Abteilungen und einzelne Fakultätsmitglieder konzipiert, die institutionelle Daten mit einem Drittanbieter oder einer Softwarelösung teilen wollen.
Mit diesem Tool dokumentiert und fasst der Antragsteller seine Absichten, den Umfang, die Elemente und die technologischen Anforderungen für die gemeinsame Datennutzung zusammen, indem er ca. 35 Fragen in sechs Kategorien, wie z. B. Anwendungsfall, Beschaffung und Technologie der Einrichtung, beantwortet. Das Ausfüllen des Fragebogens ist Voraussetzung dafür, dass die IT-Abteilung eine Risiko- und Sicherheitsbewertung durchführen und die anderen Tools zur Bewertung von Anbietern verwenden kann.
Hier sind ein paar Beispielfragen (aus dem Englischen übersetzt):
- Geben Sie eine allgemeine Zusammenfassung Ihrer Abteilung und des Geschäftsbereichs, der die Daten der Einrichtung speichern wird, die Drittanbieter-Software/den Dienst nutzt und/oder die Integration mit dem/den Unternehmenssystem(en) der Einrichtung anfordert.
- Ah, verstehe. Dann könnte die Übersetzung lauten:\n\nHaben Sie sich bezüglich dieser Bewertungsanfrage mit den für die Beschaffung Verantwortlichen der Einrichtung beraten?
- Beschreiben Sie die IT-Verantwortlichkeiten der Einrichtung zur Unterstützung dieser Drittanbieter-Software/dieses Dienstes, der Abteilungsanwendung oder der Integration mit einem Enterprise System.
2. HECVAT — Full
Das Full-Tool wurde entwickelt, um die kritischsten Projekte für den Datenaustausch zu bewerten. Es befragt die Anbieter in über 250 Fragen und in mehr als 20 Kategorien, wie z.B. HIPAA, Schwachstellen-Scanning, Dokumentation und Disaster Recovery, zu ihren Prozessen.
Hier finden Sie einige Beispielfragen für das Full-Tool:
- Werden Ihre Mitarbeiterinnen und Mitarbeiter regelmäßig zu den HIPAA-Datenschutz- und Sicherheitsbestimmungen und zum HITECH Act geschult?
- Wurden Ihre Systeme und Anwendungen im letzten Jahr einer unabhängigen Sicherheitsbewertung unterzogen?
- Haben Sie sich einem SSAE 18/SOC 2 Audit unterzogen?
- Verfügt Ihre Organisation über eine Disaster Recovery Site oder einen vertraglich gebundenen Disaster Recovery-Dienstleister?
3. HECVAT — Lite
Diese gestraffte Version des Full-Tools ist dazu gedacht, den Bewertungsprozess der Anbieter zu beschleunigen und dabei wesentliche Sicherheitsanliegen zu berücksichtigen. Anbieter füllen das Lite-Tool aus, das etwa 100 Fragen in 12 Kategorien enthält, wie IT Accessibility, Systems Management, Data Center und Incident Handling. Kategorien wie HIPAA und Vulnerability Scanning, die im Full-Tool inkludiert sind, sind in diesem Tool nicht enthalten.
Hier sind einige Beispiel-Fragen aus dem Lite-Tool:
- Wurde die letzte Version Ihres Produkts von einem unabhängigen Experten auf Barrierefreiheit geprüft?
- Wird die Einrichtung über wichtige Veränderungen in Ihrer Umgebung informiert, die sich auf die Sicherheit der Einrichtung auswirken könnten?
- Betreiben Sie das physische Rechenzentrum, in dem die Daten gespeichert werden?
- Sind Sie in der Lage, rund um die Uhr an 365 Tagen im Jahr auf Störfälle zu reagieren?
4. HECVAT — On-Premise
Wie bei den Full- und Lite-Versionen füllen Anbieter auch das On-Premise-Tool aus, welches ihr Risiko bewertet. Der Fragebogen ist kürzer als die in den anderen Tools und speziell auf On-Premise-Lösungen zugeschnitten. Das Tool umfasst 70 Fragen, die sich auf 10 Kategorien verteilen, wie Datenbanken, Richtlinien und Firewalls.
Hier sind ein paar Beispielfragen aus dem On-Premise-Tool:
- Unterstützt die Datenbank die Verschlüsselung bestimmter Datenelemente bei der Speicherung?
- Sind die Grundsätze der Informationssicherheit in den Produktlebenszyklus einbezogen?
- Verwenden Sie eine Host-basierte Intrusion Detection?
Zusätzliche HECVAT-Ressourcen
Zusätzlich zu den Fragebögen bietet HECVAT zwei weitere Ressourcen für Hochschulen an:
- Community Broker Index (CBI). Der CBI bietet eine ständig aktualisierte Liste von Anbietern, die bereit sind, ihre abgeschlossenen HECVAT-Bewertungen mit anderen zu teilen. Hochschulen können auf diese Liste zurückgreifen, um Zeit bei der Ermittlung risikoadäquater Anbieterlösungen zu sparen.
- Users Community Group. Diese Gruppe bietet Hochschulen ein Forum für den Austausch von Informationen, bewährten Verfahren und Strategien für die Nutzung des HECVAT.
Wie können Sie ein HECVAT-freundliches Datenerfassungstool auf Ihrem Campus einsetzen?
Jotform Enterprise ist ein leistungsstarkes und benutzerfreundliches Datenerfassungstool für Lehrende und Administratoren an großen Universitäten und Grundschulen gleichermaßen. Es ist auch im Community Broker Index von HECVAT gelistet, d.h. Sie können auf bereits durchgeführte HECVAT-Bewertungen zugreifen und Zeit bei der Risikobewertung sparen.
Was kann Jotform für Sie tun?
- Lehrkräfte können mit Jotform ihren Unterricht verwalten, indem sie Online-Tests gestalten, Hausaufgaben hochladen, oder Eltern bitten, Erlaubnisscheine zu unterschreiben.
- Administratoren können mit Jotform operative Aufgaben wie die Erstellung von Umfragen zur Messung der Zufriedenheit von Schülern oder Lehrkräften oder die Annahme von Online-Zahlungen für Gebühren und Spenden von Alumnis.
Jotform bietet fast 2.000 Formularvorlagen für den Bildungsbereich, die von Evaluierungen und Fragebögen zu akademischen Leistungen bis hin zu Stipendienanträgen reichen. Erstellen Sie Formulare in wenigen Minuten.
Hochschuleinrichtungen können neben den Formularen noch einige andere wichtige Funktionen nutzen:
- Barrierefreiheit. Die Formulare von Jotform sind Level A und Level AA konform mit den WCAG 2.1 Standards, so dass Sie Formulare gemäß Section 508 erstellen können.
- Unterschreiben. Sammeln Sie mit Jotform Signatur E-Signaturen von Schülern, Eltern, Mitarbeitern und anderen wichtigen Beteiligten. Automatisieren Sie den Signaturprozess, so dass alle Beteiligten Ihr Dokument in der richtigen Reihenfolge sehen und unterzeichnen können.
- Sicherheit. Ihre Daten werden in einem lokalen Datenresidenzzentrum gespeichert, das zusätzlich nach SOC 2 zertifiziert ist. Sie können sich auch für HIPAA-Funktionen entscheiden, wenn Ihr Campus sensible Gesundheitsdaten von Studenten oder Lehrkräften sammelt.
Stellen Sie sicher, dass Ihr Campus mit einer HECVAT-freundlichen, erschwinglichen Lösung auf Erfolgskurs ist — Bildungseinrichtungen haben Anspruch auf einen erheblichen Rabatt! Starten Sie noch heute mit einem Datenerfassungsformular für Bildungseinrichtungen.