Einleitung
Was ist HECVAT? Auch wenn es sich wie ein unaussprechliches Wort anhört, ist HECVAT eigentlich ein amerikanisches Akronym für Informationssicherheit im Hochschulbereich.
Mehr als 150 private und öffentliche Universitäten im ganzen Land, darunter Carnegie Mellon, Princeton und Rice, nutzen HECVAT zur Bewertung der Risiken ihrer Geschäftspartner.
Aber HECVAT hat mehr zu bieten, als wir in einem einzigen Absatz zusammenfassen können. Deshalb haben wir diesen ausführlichen Artikel verfasst. Lesen Sie weiter, um in den folgenden Abschnitten mehr über HECVAT und seine Bewertungsinstrumente zu erfahren.
Was ist HECVAT?
HECVAT steht für das Higher Education Community Vendor Assessment Toolkit. Der Higher Education Information Security Council (HEISC) hat es in Zusammenarbeit mit dem Computernetzwerk-Konsortium Internet2 und der Allianz für Cybersicherheit REN-ISAC entwickelt.
HECVAT ist eine Suite von Tools, die im Design darauf ausgerichtet sind, Hochschuleinrichtungen bei der Messung des Anbieterrisikos in Bezug auf die Informationssicherheit zu unterstützen. Im Rahmen des Anbieterbewertungsprozesses können Hochschulen und Universitäten Anbieter bitten, einen von mehreren HECVAT-Fragebögen auszufüllen, um zu bestätigen, dass ausreichende Informationen und Cybersicherheitsrichtlinien vorhanden sind, um die sensiblen Informationen der Einrichtungen und die personally identifiable information (PII) of students, staff, and other stakeholders.
Über die Partner von HECVAT
Die HECVAT-Fragebögen sind vertrauenswürdige Bewertungsinstrumente, weil drei Expertenteams für Informationsnetzwerke und Sicherheit sie gemeinsam entwickelt haben:
- HEISC. HEISC wurde im Jahr 2000 gegründet und ist ein Team von Fachleuten für Informationssicherheit und Datenschutz, das sich der Unterstützung von Hochschuleinrichtungen bei der Verbesserung der Informationssicherheits-Governance, Compliance und des Datenschutzes widmet.
- Internet2. Internet2, das früher den Namen „University Corporation for Advanced Internet Development (UCAID)“ trug, ist ein gemeinnütziges Konsortium, dem Hochschulen und Forschungseinrichtungen, Regierungsbehörden, Unternehmen und Kulturorganisationen angehören. Ziel des Konsortiums ist es, ein „sicheres Hochgeschwindigkeitsnetzwerk, Cloud-Lösungen, Forschungsunterstützung und maßgeschneiderte Dienstleistungen für Forschung und Bildung“ bereitzustellen.
- REN-ISAC. Das „Research and Education Networks Information Sharing and Analysis Center“ ist eine internationale Allianz, die Nachrichten, Warnmeldungen und Hinweise zur Cybersicherheit sowie Analysen zu Cybersicherheitsbedrohungen und Lösungen zu deren Eindämmung bereitstellt. Die Allianz hat über 700 Mitgliedsinstitutionen.
Warum ist HECVAT wichtig?
Laut einer Umfrage des Cybersicherheitsunternehmens Sophos aus dem Jahr 2022 64 Prozent der Hochschulen erlebten im Jahr 2021 mindestens einen Ransomware-Angriff, im Vergleich zu 44 Prozent im Jahr 2020. Erstaunliche 74 Prozent dieser Angriffe waren erfolgreich. Vergleichen Sie diese Erfolgsquote mit dem weltweiten Durchschnitt von 65 Prozent.
Ransomware-Angriffe haben erhebliche Auswirkungen auf Organisationen, insbesondere im Hochschulbereich. Die Sophos-Umfrage ergab, dass fast alle (97 Prozent) der befragten Hochschulen im öffentlichen Sektor angaben, dass ein Angriff ihren Betrieb beeinträchtigt hat, während 96 Prozent der befragten Hochschulen im privaten Sektor angaben, dass ein Angriff zu Geschäfts- oder Umsatzeinbußen geführt hat.
Warum sind diese Institutionen ein so attraktives Ziel für Angreifer? Folgende Faktoren gilt es zu berücksichtigen:
- Hochschulen haben Unmengen von Daten Hochschulen haben Unmengen von persönlichen Daten über Studierende und Dozenten, ganz zu schweigen von Forschungsdaten von Regierungsbehörden und akademischen Partnern.
- Ihre Netzwerke sind anfälliger für Angriffe. Große, etablierte Universitäten neigen dazu, alte Systeme zu unterhalten, die oft mehr Sicherheitsrisiken aufweisen als moderne Systeme. Zudem bieten die zahlreichen privaten und universitären Geräte und die mit diesen Systemen verbundene Software viele Möglichkeiten für Angriffe, insbesondere wenn die Benutzer dieser Geräte der Bequemlichkeit Vorrang vor der Sicherheit einräumen.
- Sie haben begrenzte Budgets. Sowohl öffentliche als auch private Institutionen haben oft begrenzte Budgets. Außerdem neigen sie dazu, finanzielle Ressourcen eher für öffentlichkeitswirksamere und besser vermarktbare Bereiche — wie z.B. Sport — als für IT und Cybersicherheit zu verwenden.
Angesichts solch beunruhigender Trends in der Cybersicherheit und der oben genannten Zielaspekte ist es kein Wunder, dass eine Sicherheitsmethode wie HECVAT im Hochschulbereich benötigt wird. Dieses Toolkit ermöglicht es Hochschulen, Zeit zu sparen, ihre Risikobewertung von Anbietern zu standardisieren und sicherzustellen, dass diese Anbieter in den Bereichen Sicherheit und Datenschutz angemessen bewertet werden.
4 HECVAT Tools
Die HECVAT-Tools umfassen vier Fragebögen, die es Hochschulen ermöglichen, ein konsistentes Programm zur Risiko- und Sicherheitsbeurteilung einzuführen, umzusetzen und aufrechtzuerhalten. Jeder Fragebogen stellt einen anderen Detaillierungsgrad dar und einer ist für den internen Gebrauch bestimmt.
Hinweis: Alle aktuellen Versionen dieser Tools stehen als Excel-Dateien zum Herunterladen auf der EDUCAUSE HECVAT-Webseite zur Verfügung.
1. HECVAT — Triage
Im Unterschied zu den Full-, Lite- und On-Premise-Tools, die Sie unten noch kennenlernen werden, ist das Triage-Tool nicht dafür vorgesehen, von Anbietern ausgefüllt zu werden – ein gängiges Missverständnis unter denjenigen, die mit HECVAT nicht vertraut sind. Stattdessen ist dieses Tool speziell für interne „Requester“ wie Abteilungen und einzelne Fakultätsmitglieder konzipiert, die institutionelle Daten mit einem Drittanbieter oder einer Softwarelösung teilen wollen.
Mit diesem Tool dokumentiert und fasst der Antragsteller seine Absichten, den Umfang, die Elemente und die technologischen Anforderungen für die gemeinsame Datennutzung zusammen, indem er ca. 35 Fragen in sechs Kategorien, wie z. B. Anwendungsfall, Beschaffung und Technologie der Einrichtung, beantwortet. Das Ausfüllen des Fragebogens ist Voraussetzung dafür, dass die IT-Abteilung eine Risiko- und Sicherheitsbewertung durchführen und die anderen Tools zur Bewertung von Anbietern verwenden kann.
Hier sind ein paar Beispielfragen (aus dem Englischen übersetzt):
- Geben Sie eine allgemeine Zusammenfassung Ihrer Abteilung und des Geschäftsbereichs, der die Daten der Einrichtung speichern wird, die Drittanbieter-Software/den Dienst nutzt und/oder die Integration mit dem/den Unternehmenssystem(en) der Einrichtung anfordert.
- Ah, verstehe. Dann könnte die Übersetzung lauten:\n\nHaben Sie sich bezüglich dieser Bewertungsanfrage mit den für die Beschaffung Verantwortlichen der Einrichtung beraten?
- Beschreiben Sie die IT-Verantwortlichkeiten der Einrichtung zur Unterstützung dieser Drittanbieter-Software/dieses Dienstes, der Abteilungsanwendung oder der Integration mit einem Enterprise System.
2. HECVAT — Full
Das Full-Tool wurde entwickelt, um die kritischsten Projekte für den Datenaustausch zu bewerten. Es befragt die Anbieter in über 250 Fragen und in mehr als 20 Kategorien, wie z.B. HIPAA, Schwachstellen-Scanning, Dokumentation und Disaster Recovery, zu ihren Prozessen.
Hier finden Sie einige Beispielfragen für das Full-Tool:
- Werden Ihre Mitarbeiterinnen und Mitarbeiter regelmäßig zu den HIPAA-Datenschutz- und Sicherheitsbestimmungen und zum HITECH Act geschult?
- Wurden Ihre Systeme und Anwendungen im letzten Jahr einer unabhängigen Sicherheitsbewertung unterzogen?
- Haben Sie sich einem SSAE 18/SOC 2 Audit unterzogen?
- Verfügt Ihre Organisation über eine Disaster Recovery Site oder einen vertraglich gebundenen Disaster Recovery-Dienstleister?
3. HECVAT — Lite
Diese gestraffte Version des Full-Tools ist dazu gedacht, den Bewertungsprozess der Anbieter zu beschleunigen und dabei wesentliche Sicherheitsanliegen zu berücksichtigen. Anbieter füllen das Lite-Tool aus, das etwa 100 Fragen in 12 Kategorien enthält, wie IT Accessibility, Systems Management, Data Center und Incident Handling. Kategorien wie HIPAA und Vulnerability Scanning, die im Full-Tool inkludiert sind, sind in diesem Tool nicht enthalten.
Hier sind einige Beispiel-Fragen aus dem Lite-Tool:
- Wurde die letzte Version Ihres Produkts von einem unabhängigen Experten auf Barrierefreiheit geprüft?
- Wird die Einrichtung über wichtige Veränderungen in Ihrer Umgebung informiert, die sich auf die Sicherheit der Einrichtung auswirken könnten?
- Betreiben Sie das physische Rechenzentrum, in dem die Daten gespeichert werden?
- Sind Sie in der Lage, rund um die Uhr an 365 Tagen im Jahr auf Störfälle zu reagieren?
4. HECVAT — On-Premise
Wie bei den Full- und Lite-Versionen füllen Anbieter auch das On-Premise-Tool aus, welches ihr Risiko bewertet. Der Fragebogen ist kürzer als die in den anderen Tools und speziell auf On-Premise-Lösungen zugeschnitten. Das Tool umfasst 70 Fragen, die sich auf 10 Kategorien verteilen, wie Datenbanken, Richtlinien und Firewalls.
Hier sind ein paar Beispielfragen aus dem On-Premise-Tool:
- Unterstützt die Datenbank die Verschlüsselung bestimmter Datenelemente bei der Speicherung?
- Sind die Grundsätze der Informationssicherheit in den Produktlebenszyklus einbezogen?
- Verwenden Sie eine Host-basierte Intrusion Detection?
Zusätzliche HECVAT-Ressourcen
Zusätzlich zu den Fragebögen bietet HECVAT zwei weitere Ressourcen für Hochschulen an:
- Community Broker Index (CBI). Der CBI bietet eine ständig geänderte Liste von Anbietern, die bereit sind, ihre ausgefüllten HECVAT-Bewertungen zu teilen. Hochschuleinrichtungen können diese Liste nutzen, um bei der Ermittlung risikogerechter Anbieterlösungen Zeit zu sparen.
- Users Community Group. Diese Gruppe bietet Hochschulen ein Forum zum Austausch von Informationen, Best Practices und Strategien für die Nutzung von HECVAT.
Wie können Sie ein HECVAT-freundliches Datenerfassungstool auf Ihrem Campus einsetzen?
Jotform Enterprise ist ein leistungsstarkes, benutzerfreundliches Tool zum Erfassen von Daten für Lehrkräfte und Verwaltungsangestellte an großen Universitäten und Grundschulen gleichermaßen. Es ist auch im Community Broker Index von HECVAT aufgeführt, was bedeutet, dass Sie auf die bereits abgeschlossenen HECVAT-Bewertungen zugreifen und Zeit bei der Risikobewertung sparen können.
Was kann Jotform für Sie tun?
- Lehrer können Jotform verwenden, um ihren Unterricht zu verwalten, indem sie Online-Tests gestalten, Hausaufgaben sammeln, oder die Eltern bitten, Erlaubnisformulare zu unterschreiben.
- Administratoren können Jotform verwenden, um operative Aufgaben wie Gebäudebefragungen zur Messung der Zufriedenheit unter Studierenden oder Lehrkräften oder die Annahme von Online-Zahlungen für Gebühren und Spenden von Alumni.
Jotform bietet fast 2.000 Vorlagen für Bildungsformulare, die von Lehrerbewertungen und Fragebögen zur akademischen Leistung bis hin zu Stipendienanträgen reichen. Sie können Formulare in nur wenigen Minuten erstellen.
Hochschuleinrichtungen können neben den Formularen noch einige andere wichtige Funktionen nutzen:
- Barrierefreiheit. Die Formulare von Jotform sind Level A und Level AA konform mit den WCAG 2.1 Standards, so dass Sie Formulare gemäß Section 508 erstellen können.
- Unterschreiben. Sammeln Sie mit Jotform Signatur E-Signaturen von Schülern, Eltern, Mitarbeitern und anderen wichtigen Beteiligten. Automatisieren Sie den Signaturprozess, so dass alle Beteiligten Ihr Dokument in der richtigen Reihenfolge sehen und unterzeichnen können.
- Sicherheit. Ihre Daten werden in einem lokalen Datenresidenzzentrum gespeichert, das zusätzlich nach SOC 2 zertifiziert ist. Sie können sich auch für HIPAA-Funktionen entscheiden, wenn Ihr Campus sensible Gesundheitsdaten von Studenten oder Lehrkräften sammelt.
Sorgen Sie mit einer HECVAT-freundlichen, erschwinglichen Lösung dafür, dass Ihr Campus auf Erfolgskurs ist — Bildungseinrichtungen haben Anspruch auf einen großzügigen Rabatt! Legen Sie noch heute mit einem Datenerfassungsformular für den Bildungsbereich los.