Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 18 Checklisten für Kommunen als Community Draft veröffentlicht. Die Checklisten bestehen aus Prüffragen und Umsetzungshilfen für die dringendsten Sicherheitsmaßnahmen.
Der Inhalt im Überblick
Der erste deutsche Cyber-Katastrophenfall
Der Landkreis Anhalt-Bitterfeld wurde am 07. Juli 2021 Opfer eines Cyber-Angriffs. Infolgedessen wurde zwei Tage später der erste deutsche Cyber-Katastrophenfall ausgerufen, um Amtshilfe in Anspruch nehmen zu können. Erst am 31.01.2022 hob der Landkreis den Katastrophenalarm nach 200 Tagen auf. In dieser Zeit waren Dienstleistungen für Bürger nur eingeschränkt verfügbar.
Der MDR berichtete über einen an sie geleakten internen Abschlussbericht des BSI in dem die Zusammenarbeit mit dem Landkreis kritisiert wurde. Adressat war ursprünglich der Landrat von Anhalt-Bitterfeld persönlich. Unter anderem wurde benannt, dass die Zusammenarbeit mit dem Krisenstab vor Ort „herausfordernd“ gewesen sei und dass die dortigen Verantwortlichen „wiederholt und ausdrücklich“ auf drohende Probleme und Risiken hingewiesen werden mussten, wenn sie den BSI-Empfehlungen nicht folgten.
Und streng genommen war dies eigentlich gar kein Fall für das BSI, aber er zeigte deutlich, wie verwundbar die deutschen Verwaltungen IT-sicherheitstechnisch aufgestellt waren.
Das BSI stellt fest
Aus solcherlei Erfahrungen heraus, wurde das BSI tätig, um abseits der Spitze, in der Breite, der deutschen IT-Landschaft für mehr Sicherheit zu sorgen.
Das BSI stellte fest, dass sich insbesondere der Einstieg in das Thema oft zu komplex gestaltet. Um den Einstieg in den IT-Grundschutz insbesondere für kleinere Verwaltungen praxisnäher zu gestalten, hat das BSI das Projekt „Weg in die Basis-Absicherung (WiBA)“ initiiert. Das BSI hat das Projekt gemeinsam mit sechs deutschen Modellkommunen erprobt. Das Ergebnis liegt jetzt als „Community Draft“ vor.
„Ohne Informationssicherheit gibt es kein verlässliches und nachvollziehbares Verwaltungshandeln in Städten und Gemeinden, keine erfolgreiche Digitalisierung und letztendlich keine kommunale Daseinsvorsorge. (…) Gleichwohl fehlt es insbesondere dem kommunalen Sektor häufig an personellen und finanziellen Ressourcen, um Standards zur Informationssicherheit angemessen umzusetzen.“
BSI Dokument zur WiBA Vorgehensweise
Das BSI sieht die Checklisten entsprechend noch nicht als abgeschlossen an. Bis zum 15. September 2023 können alle, die einen Beitrag leisten möchten, das Dokument kommentieren. Die endgültige Veröffentlichung des WiBA ist für Oktober 2023 geplant.
Inhalte der Checklisten des BSI
Die 18 Checklisten befassen sich mit den technischen-organisatorischen Maßnahmen zur IT-Sicherheit und gliedern sich wie folgt:
- Arbeit außerhalb der Institution
- Arbeit innerhalb der Institution / Haustechnik
- Backup
- Bürosoftware
- Client
- Drucker und Multifunktionsgeräte
- IT-Administration
- Mobile Endgeräte
- Netze
- Organisation und Personal
- Outsourcing und Cloud
- Rollen / Berechtigungen / Authentisierung
- Serverraum
- Serversysteme
- Sicherheitsmechanismen
- Telefonie und Fax
- Umgang mit Informationen
- Vorbereitung für Sicherheitsvorfälle
Als Beispiel, die Checkliste „Backup“ enthält die folgenden sieben Fragen:
- Ist festgelegt, welche Daten gesichert werden?
- Ist festgelegt, in welchen zeitlichen Abständen die Daten gesichert werden?
- Ist festgelegt, auf welchem Speichermedium die Daten gespeichert werden?
- Ist festgelegt, wie lange Backups vorgehalten werden müssen?
- Wird ein geeignetes Backupsystem eingesetzt?
- Werden die Datensicherungen im Hinblick auf Vertraulichkeit, Verfügbarkeit und Integrität angemessen abgesichert?
- Werden Backups regelmäßig getestet?
Der Weg in die Basis-Absicherung besteht entsprechend aus drei Schritten:
- Bestandsaufnahme: Die Kommune erfasst ihre IT-Landschaft und identifiziert die wichtigsten IT-Systeme und -Prozesse, die für die Erfüllung ihrer Aufgaben notwendig sind.
- Basis-Absicherung: Die Kommune wendet die Checklisten des BSI an, um die Basis-Absicherung für die ausgewählten IT-Systeme und -Prozesse zu erreichen. Die Checklisten enthalten konkrete Maßnahmen, die auf den IT-Grundschutz-Standards basieren.
- Weiterentwicklung: Die Kommune überprüft regelmäßig die Wirksamkeit der Basis-Absicherung und plant weitere Verbesserungen der IT-Sicherheit.
Hilft das auch der freien Wirtschaft?
Wenn Sie bei den Fragen aus dem Bereich Backup auch unruhig wurden, sind Sie nicht allein. Regelmäßig sehen, insbesondere kleinere, Firmen Fragezeichen beim Thema IT– und Informationssicherheit. Große Zertifizierungen wie die ISO 27001 oder der IT-Grundschutz sind für diese Unternehmen zu komplex. Hier bietet der „Weg in die Basis-Absicherung“ einen niedrigschwelligen und kostenfreien Einstieg.
Kostenfrei bezieht sich natürlich nur auf die Bereitstellung der Dokumente. Die Dauer und die Kosten, die durch das Projekt verursacht werden, hängen von verschiedenen Faktoren ab, wie z.B. der Größe und Komplexität der IT-Landschaft, dem vorhandenen Personal und deren Know-how, sowie dem Reifegrad der Organisation. Als Start sind die kostenfreien Checklisten in jedem Fall eine gute Orientierung.
Was gibt es für Alternativen?
Die deutsche Wirtschaft hatte gemeinsam mit dem BSI die technische Regel DIN SPEC 27076 erarbeitet. Diese propagiert „IT-Sicherheit für Klein- und Kleinstunternehmer“, ihre Prämisse ist „Schnell und günstig“.
Auch hier kann die Regel kostenfrei beim Beuth Verlag bestellt werden. Mit Leben wird sie durch ein kurzes Audit gefüllt, in dem der Ist -Zustand des Unternehmens erhoben wird und daraus Handlungsempfehlungen erstellt werden. Dieser so genannte „CyberRisiko Check“ umfasst 6 Bereiche mit 27 Anforderungen.
Bedeutung für den Geschäftsalltag
Auch wenn das Projekt „Weg in die Basis-Absicherung“ ursprünglich Verwaltungen adressiert, haben diese Checklisten auch für die freie Wirtschaft eine Bedeutung und einen Nutzen, denn sie stehen frei zur Verfügung. Dies ermöglicht insbesondere Kleinstunternehmen einen Einstieg in die Thematik.
Wenn Sie als Dienstleister tätig sind und ein nach außen (Stichwort Dienstleister Kontrolle) wirksames Zertifikat erhalten möchten, kommen Sie auf Dauer um ein ISMS kaum herum. Denn der Bürger mag keine Möglichkeit haben gegen einen 210-tägigen (Teil-)Ausfall seiner Verwaltung vorzugehen, Kunden würden wahrscheinlich weiterziehen.
Ach ein guter Weg für die frei Wirtschaft, sich dem Thema Informationssicherheit zu nähern, die ITQ Basisprüfung (im Netz gibt es Infos dazu)
Der Vorteil ist, hier wird ein Erfüllungsgrad nach Segmenten ausgewiesen und es wird eine Handlungsempfehlung gegeben.
Hallo! Danke für den Artikel. Ein weiterer guter Weg stellt die kostenfreie „Arbeitshilfe“ der Innovationsstiftung Bayerische Kommune dar. Bereits seit 2016 im Auftrag der Bayerischen Kommunalen Spitzenverbände entwickelt und mittlerweile in Version 5 erschienen, geht es über 9 Kapitel mit gut 200 Prüffragen durch die Basis-Anforderungen der Informationssicherheit. Dabei standen unter anderem Probleme aus der Praxis im Organisationsalltag Pate für die Fragestellungen und die Lösungsvorschläge. Denn es werden nicht nur Fragen gestellt, sondern auch Lösungswege (entweder durch die Fragestellung impliziert und gesondert) angeboten. Dazu werden relevante Bausteine und Anforderungen aus den verschiedenen Normen wie ISO 27001, IT-Grundschutz, CISIS12 aber auch ISMS4KMO verlinkt, um bei Bedarf oder nach eigenem gusto noch weiter in die Tiefe gehen zu können. Und ersetzt man Formulierungen wie Bürgermeister oder Landrat mit Inhaber oder Geschäftsführer taugt das ganze auch für den Unternehmensbereich. Denn siehe da, Informationssicherheit ist überall das selbe :-) Da Links nicht eingefügt werden dürfen: Suchmaschine der Wahl mit Stichworten „Innovationsstiftung“ und „Arbeitshilfe“