Basis-Absicherung : 1, 2, 3, Eckstein : In drei Schritten zur Basis-Absicherung als Grundstein der Informationssicherheit – wie (nicht nur) Kommunen ihre Security effektiv aufbauen können
Gerade Kommunen und ihre IT-Dienstleister sind aufgrund der Sensibilität von verwalteten Daten sowie zunehmender Digitalisierung anfällig für verschiedene Cyberbedrohungen und müssen somit umfassende Sicherheitsmaßnahmen implementieren. Der vorliegende Beitrag erläutert detailliert, wie kommunale Einrichtungen und andere Institutionen, die bisher nur wenige Sicherheitsvorkehrungen oder kein Informationssicherheits-Managementsystem (ISMS) etabliert hatten, die Basis-Absicherung gemäß IT-Grundschutz als effektiven Einstiegspunkt nutzen können. Diese bietet einen zugänglichen Rahmen, um Maßnahmen schrittweise zu implementieren und die Informationssicherheit zu stärken.
In Bezug auf die Informationssicherheit in Deutschland zeigt sich eine heterogene Landschaft – gerade auf kommunaler Ebene. Während Bundesbehörden über separat gesicherte Regierungsnetze mit zentralisierten Abwehrmaßnahmen verfügen, gestaltet sich die Informationssicherheit auf kommunaler Ebene differenzierter: Derzeit existieren keine bundesweit einheitlichen Richtlinien hinsichtlich der Informationssicherheit oder Meldepflichten für Informationssicherheitsvorfälle auf kommunaler Ebene. Dies führt dazu, dass Kommunalbehörden unterschiedliche Ansätze zur Sicherung ihrer IT-Infrastrukturen verfolgen – es mangelt an einer Standardisierung, was die Reaktion auf und den Umgang mit Informationssicherheits-Vorfällen betrifft. Dieser Mangel an einheitlichen Vorgaben beeinträchtigt die Effektivität und Konsistenz der Sicherheitsmaßnahmen und erschwert die Fähigkeit zum koordinierten Umgang mit potenziellen Bedrohungen.
Mit der Verabschiedung des EU-Cybersicherheitsgesetzes von 2019 hat die Europäische Union den Startschuss für eine fortlaufende Harmonisierung einheitlicher Anforderungen an die Cybersicherheit gesetzt. Die anschließende Veröffentlichung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie, [1]) konkretisiert die Stärkung des Sicherheitsniveaus in allen Mitgliedstaaten unter anderem anhand verpflichtender technischer und organisatorischer Maßnahmen (TOM) für eine Vielzahl essenzieller Sektoren – darunter die öffentliche Verwaltung.
Der heiß diskutierte Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, vgl. [2]) in Deutschland lässt dabei weiterhin viel Interpretationsspielraum, wie eine konkrete Umsetzung ab Oktober 2024 aussehen könnte. Begleitet von massivem Widerspruch wird es jedoch nach aktuellem Diskussionsstand keine flächendeckenden Vorgaben für Kommunen auf Länderebene geben [3,4].
Akute Bedrohungen
Warum ein Verharren in der aktuellen Situation dennoch fatal sein kann, verdeutlicht ein Rückblick auf Cyberangriffe auf Kommunen in den vergangenen Jahren: Laut Lagebericht der IT-Sicherheit in Deutschland 2023 [5] gab es insgesamt 27 Fälle von Ransomware-Angriffen, die kommunale Verwaltungen und Betriebe erfasst haben. Die betroffenen Kommunen repräsentierten eine Vielfalt in Bezug auf Größe und Typ, von einer ländlichen Gemeinde mit circa 2000 Einwohnern bis zu einer Großstadt mit knapp zwei Millionen Einwohnern – die Gesamteinwohnerzahl der betroffenen Kommunen belief sich auf knapp sechs Millionen. Die Auswirkungen erstreckten sich häufig auf die Stadt- oder Kreisverwaltungen, jedoch wurden auch andere Bereiche wie Nahverkehrsbetriebe, städtische Energieversorger, Wohnungsbaugesellschaften und Stadtreinigungsbetriebe von den Angriffen betroffen – der Friedhofsbetrieb einer Großstadt blieb ebenfalls nicht verschont.
Zusätzlich erschweren die große Aufgabendichte, übermäßig komplexe IT-Strukturen, Fachkräftemangel und knappe Budgets das Erreichen eines robusten Informationssicherheitsniveaus. Dies verdeutlicht die Ausrufung des Katastrophenfalls aufgrund eines Hackerangriffs im Landkreis Anhalt-Bitterfeld im Juli 2021: Der schwerwiegende Vorfall führte nicht nur zu erheblichen Beeinträchtigungen der Dienstleistungen und finanziellen Prozesse, sondern unterstreicht auch die Dringlichkeit, robuste Sicherheitsmaßnahmen auf kommunaler Ebene zu implementieren. Die langwierige Dauer bis zur Aufhebung des Katastrophenfalls im Februar 2022 betont die Komplexität und die Herausforderungen bei der Bewältigung derartiger Cyberbedrohungen. Dieses Ereignis sollte als Weckruf dienen, um verstärkte Bemühungen in Bezug auf Informationssicherheit, Früherkennung und Krisenmanagement auf kommunaler Ebene zu fördern.
Für Institutionen, die bisher kaum Sicherheitsvorkehrungen oder kein Informationssicherheits-Managementsystem (ISMS) etabliert haben, stellt die Basis-Absicherung gemäß IT-Grundschutz des BSI [6] einen effektiven Einstiegspunkt im Bestreben von „null auf sicher“ zu gelangen dar – eine umfassende Informationssicherheit lässt sich allerdings nur durch kontinuierliche Anpassungen und Weiterentwicklungen gewährleisten.
Einstieg in den IT-Grundschutz
Das Management einer Institution muss einer Reihe von technischen und organisatorischen Anforderungen hinsichtlich der Informationssicherheit gerecht werden. Dazu zählen unter anderem die Erfüllung rechtlicher Anforderungen sowie der Nachweis der Angemessenheit der Informationsverarbeitung, die Dokumentation und Messbarkeit der Qualität der Informationsverarbeitung und der Umgang mit Risiken durch Nichtfunktion und Missbrauch von Daten. Ein funktionierender Informationssicherheits-Prozess unterstützt Institutionen dabei, diese Anforderungen umzusetzen.
Einen schnellen und strukturierten Einstieg in die Informationssicherheit liefert die Basis-Absicherung des IT-Grundschutzes [6]. Das BSI empfiehlt diese Vorgehensweise für Institutionen, für die folgende Punkte zutreffen:
- Informationssicherheit hat in der Institution einen niedrigen Reifegrad.
- Geschäftsprozesse weisen kein deutlich erhöhtes Gefährdungspotenzial bezüglich der Informationssicherheit auf.
- Das angestrebte Sicherheitsniveau ist „normal“.
- Es gibt keine Assets, deren Diebstahl, Zerstörung oder Kompromittierung einen existenzbedrohenden Schaden für die Institution bedeutet.
- Kleinere Sicherheitsvorfälle können toleriert werden (nicht existenzbedrohend).
Die nachfolgenden Abschnitte beschreiben drei Schritte, die Institutionen dabei helfen, eine Basis-Absicherung systematisch und effizient umzusetzen (vgl. Abb. 1).
Schritt 1: Initiierung
Dem ersten Schritt in Sachen Sicherheitsprozess kommt eine besondere Bedeutung zu, denn damit legt man den Grundstein für ein solides Fundament der Informationssicherheit einer Institution. Die Leitung spielt eine wesentliche Rolle, da sie die Entscheidung zur Einführung eines ISMS trifft. Dadurch lässt sich sicherstellen, dass Informationssicherheit als integraler Bestandteil des Managements der Institution betrachtet wird.
In diesem Zusammenhang spielt die Definition der Verantwortlichkeiten und Zuständigkeiten eine Schlüsselrolle: Unabhängig von der Größe einer Institution muss von deren Leitung ein Informationssicherheitsbeauftragter (ISB) benannt werden. Der ISB ist der Hüter der Grundwerte der Informationssicherheit – er koordiniert und steuert den Informationssicherheitsprozess und ist für die Gewährleistung und Aufrechterhaltung der Informationssicherheit in der Institution verantwortlich.
Um eine einheitliche Sicherheitskultur in der gesamten Institution zu etablieren, empfiehlt sich eine systematische Herangehensweise. Die Leitung der Institution sollte nicht nur mit gutem Beispiel vorangehen, sondern auch sicherstellen, dass Informationssicherheit als strategisches Anliegen betrachtet wird. Dieses Bekenntnis wird in der Leitlinie zur Informationssicherheit abgelegt, die das zentrale Dokument im Sicherheitsprozess darstellt und dokumentiert unter anderem die angestrebten Sicherheitsziele sowie die Strategie zu ihrer Umsetzung.
Abbildung 2 stellt den Zusammenhang zwischen der Leitlinie zur Informationssicherheit und der Sicherheitsstrategie als zentrale Komponente des ISMS dar. Bereits während der Planung und Konzeption des Sicherheitsprozesses sind externe wie interne Einflussfaktoren zu identifizieren. Diese dienen als Basis für weitere Betrachtungen in Bezug auf das angestrebte Sicherheitsniveau der Institution und werden ebenfalls in der Leitlinie zur Informationssicherheit dokumentiert.
Zu den externen Einflussfaktoren zählen beispielsweise nationale wie internationale gesetzliche Anforderungen und Vorschriften sowie (falls vorhanden) branchenspezifische Sicherheitsstandards – Anforderungen von Kunden, Lieferanten und Geschäftspartnern sind ebenfalls zu berücksichtigen. So fordert etwa NIS-2 die Gewährleistung der Sicherheit für die gesamte Lieferkette, was bedeutet, dass auch Dienstleister oder Lieferanten der von NIS-2 betroffenen Organisationen verpflichtet werden können, strikte Sicherheitsvorkehrungen zu implementieren.
Nicht zu vernachlässigen sind außerdem die Einflüsse globaler Bedrohungen auf die Geschäftstätigkeit der Institution und dadurch entstehende Informationssicherheitsrisiken. Darüber hinaus sind die Wettbewerbssituation und marktspezifische Abhängigkeiten zu betrachten.
Zu den internen Einflussfaktoren zählen die Geschäftsziele und -aufgaben der Institution. Dabei gilt es, die wesentlichen Geschäftsprozesse und Fachaufgaben zu identifizieren. Meist existieren bereits diverse Dokumente, um sich einen angemessenen Überblick verschaffen zu können – hilfreich sind beispielsweise Prozesslandkarten, Geschäftsverteilungspläne, IT-Netzpläne, Inventarlisten et cetera. Dies ermöglicht, Abhängigkeiten zwischen Geschäftsprozessen, Anwendungen und IT-Systemen zu erkennen und die Auswirkungen von Informationssicherheitsvorfällen abzuschätzen. Diese Ersterfassung der Geschäftsprozesse, Anwendungen und IT-Systeme dient schon jetzt als Basis für den dritten Schritt – die Durchführung des Sicherheitsprozesses. Die Dokumentation der Ersterfassung kann jedoch zu einem späteren Zeitpunkt vervollständigt werden.
Sollten bereits Managementsysteme (z. B. zum Risiko- oder Qualitätsmanagement) vorhanden sein, lassen sich häufig Teile daraus auch für den Aufbau des Sicherheitsprozesses verwenden.
Schritt 2: Organisation
Sobald in der Leitlinie zur Informationssicherheit die grundlegenden Prinzipien und Sicherheitsziele für den Schutz von Informationen einer Institution festgelegt sind, geht es im zweiten Schritt an die Umsetzung und Aufrechterhaltung der Informationssicherheit. Zunächst müssen dazu klare Zuständigkeiten und Verantwortlichkeiten definiert werden. Dabei unterstreicht die Aufbauorganisation für das Informationssicherheits-Management die Wichtigkeit und trägt bei allen Mitarbeitern* dazu bei, das Bewusstsein für die Bedeutung des Themas Informationssicherheit zu schaffen.
Beim Aufbau einer Sicherheitsorganisation ist die Größe einer Institution zu berücksichtigen und die Rollen sollten an die Struktur der Institution angepasst werden. Das kann beispielsweise bedeuten, dass kleinere Institutionen weniger spezialisierte Rollen als größere haben. Der ISB fungiert als Bindeglied zwischen der IT-Abteilung, der Leitung der Institution und anderen Beteiligten, wie etwa Fachverantwortliche. Unabhängig davon müssen diejenigen, die eine Rolle übernehmen, über die dafür erforderlichen Kompetenzen und Fähigkeiten verfügen. Weiterbildungs- und Schulungsmöglichkeiten sollten gezielt ausgewählt werden, um Mitarbeiter für die anstehenden Aufgaben zu befähigen.
Bei der Zuweisung von Rollen und Funktionen an Personen sind Interessenkonflikte zu vermeiden – keine Rolle sollte unangemessenen Einfluss auf Sicherheitsentscheidungen oder -prozesse haben. Idealerweise wird eine Differenzierung nach Aufgaben und Funktionen im Bereich der Informationssicherheit vorgenommen. Ein weiterer wichtiger Faktor für die Gewährleistung eines integrierten Sicherheitsmanagements ist die Zusammenarbeit zwischen verschiedenen Rollen und Abteilungen: Die Leitung der Institution hat hier einen entscheidenden Einfluss darauf, dass das Thema Informationssicherheit abteilungsübergreifend als gemeinsames Ziel verfolgt wird. Dazu gehört ebenfalls, dass Informationssicherheit als üblicher Bestandteil der täglichen Arbeitsabläufe wahrgenommen wird.
Eine Integration der Informationssicherheit in bestehende Abläufe erleichtert die Umsetzung und die Aufrechterhaltung des angestrebten Sicherheitsniveaus. Exemplarisch seien folgende Beispiele genannt:
- Integration in den Softwareentwicklungsprozess
- Betrachtung von Sicherheitsaspekten bei der Auswahl und Beschaffung von Tools, Software und sonstigen Betriebsmitteln
- verständliche IT-Sicherheitsrichtlinien, welche die Sicherheitsziele der Institution unterstützen
- Integration der IT-Sicherheitsrichtlinien in bestehende Dokumentationen und Arbeitsanweisungen
- Erweiterung des Schulungsplans um Themen zur Informationssicherheit (fachliche Aspekte, Awareness-Themen etc.)
- Implementierung von Sicherheitstechnologie (Firewalls, Antivirensoftware etc.) zum Schutz bestehender Abläufe
- Schaffen allseits bekannter Kommunikationskanäle für Themen zur Informationssicherheit (z. B. im Intranet)
- Kommunikation und Bekanntmachung der Ansprechpartner (ISB)
Besonders der Dokumentationsprozess sollte einfach und angemessen gehalten werden – generell müssen alle den Sicherheitsprozess betreffenden Entscheidungen transparent und nachvollziehbar sein. Dabei ist zu beachten, dass die Dokumentation nicht nur für die interne Zusammenarbeit herangezogen wird, sondern auch für externe Audits und Überprüfungen dienen kann. Bei der Basis-Absicherung ist eine Ergänzung und Aktualisierung bestehender Dokumentationen häufig ausreichend, was dabei hilft, den Aufwand in Grenzen zu halten – es ist meist nicht nötig, ein neues Dokumenten-Framework zu erstellen.
Schritt 3: Durchführung
Als dritter und letzter Schritt folgt die Erstellung und Umsetzung der Sicherheitskonzeption auf Basis des abgegrenzten Informationsverbunds, der im Rahmen der Konzeption des Sicherheitsprozesses (siehe Schritt 1) festgelegt wurde. Somit ergeben sich folgende noch offenen Punkte (das vollständige Vorgehen nach der Basis-Absicherung zeigt Abbildung 3):
- Auswahl und Priorisierung relevanter Bausteine
- IT-Grundschutz-Check
- Realisierung der Sicherheitsmaßnahmen
- Auswahl der weiteren Vorgehensweise zur Anhebung des Sicherheitsniveaus
Auswahl und Priorisierung relevanter Bausteine
Allgemein betrachtet umfasst ein Informationsverbund gemäß BSI-Standard 200-2 [7] die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Das heißt konkret, dass alle im Informationsverbund vorhandenen Prozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen, Netze und Standorte identifiziert wurden. Spätestens in dieser Phase sollte man die Ersterfassung der Prozesse und Anwendungen et cetera vervollständigen und auf eine nachvollziehbare Dokumentation achten. Auf dieser Grundlage kann mit der Erstellung der Sicherheitskonzeption fortgefahren werden.
Als nächstes ist der Informationsverbund mit den vorhandenen Bausteinen des IT-Grundschutz-Kompendiums nachzubilden (sog. Modellierung): Grundsätzlich ist für jeden Baustein zu entscheiden, ob dieser zur Abbildung des Informationsverbunds heranzuziehen ist. In Abhängigkeit der vorhandenen Komponenten können Bausteine auch mehrfach verwendet werden. Als Ergebnis erhält man ein IT-Grundschutz-Modell des Informationsverbunds der Institution.
Zur Priorisierung der Umsetzung von Sicherheitsanforderungen aus den Bausteinen wird empfohlen, im IT-Grundschutz-Kompendium das Kapitel „Schichtenmodell und Modellierung“ [8] heranzuziehen. Dort finden sich Vorschläge für die Reihenfolge der Bausteine: Die Kennzeichen R1, R2 und R3 geben an, ob diese üblicherweise vor- oder nachrangig umzusetzen sind – in Abhängigkeit von individuellen Rahmenbedingungen können Institutionen jedoch eine abweichende Reihenfolge festlegen.
IT-Grundschutz-Check
Im Rahmen des IT-Grundschutz-Checks wird der Status quo der Umsetzung hinsichtlich der Basis-Anforderungen der modellierten Bausteine erhoben. Als Ergebnis erhält man einen Überblick darüber, welche der Sicherheitsanforderungen vollständig oder unzureichend erfüllt sind und kann somit das vorhandene Sicherheitsniveau der Institution ableiten. Es empfiehlt sich, den IT-Grundschutz-Check in drei Phasen durchzuführen: Vorarbeiten, Soll-Ist-Vergleich und Dokumentation.
Zu den Vorarbeiten zählt, die relevante Dokumentation zu sichten und zu bewerten (z. B. Handbücher, Richtlinien, Arbeitshinweise, Dienstanweisungen etc.). Durch eine gewissenhafte Dokumentenvorprüfung lässt sich der Aufwand für die nächste Phase reduzieren. Darüber hinaus müssen die internen und externen Ansprechpartner für die Sicherheitsanforderung aus den Bausteinen identifiziert und schließlich Interviews mit diesen terminiert werden.
Daran anschließend kann man in der zweiten Phase, dem Soll-Ist-Vergleich, im Rahmen von Interviews den Umsetzungsstand der Sicherheitsanforderung feststellen. Dazu werden die in den Bausteinen formulierten Soll-Anforderungen dem tatsächlichen Ist-Stand gegenübergestellt und der Umsetzungsstand (Umsetzungsstatus) gemeinsam mit den Ansprechpartnern ermittelt.
In der letzten Phase sind die Ergebnisse geeignet zu dokumentieren. Für eine Dokumentation des Umsetzungsstatus hat das BSI „Checklisten zum IT-Grundschutz-Kompendium“ [9] als Hilfestellung veröffentlicht. Außerdem kann die Dokumentation in einem ISMS-Tool [10] oder tabellarisch erfolgen.
Realisierung der Maßnahmen
Ist die Dokumentation des IT-Grundschutz-Checks abgeschlossen und liegen die Ergebnisse vor, lässt sich die Sicherheitskonzeption bereinigen und konsolidieren – ungeeignete Sicherheitsanforderungen werden hierbei verworfen und Widersprüche aufgelöst. Des Weiteren sind die technischen und organisatorischen Gegebenheiten der konkreten Institution zu berücksichtigen und gegebenenfalls Anpassungen bei abgeleiteten Sicherheitsmaßnahmen vorzunehmen. In diesem Zusammenhang ist sicherzustellen, dass man für nicht und nur teilweise erfüllte Sicherheitsanforderungen das aus der Nichterfüllung resultierende Risiko ermittelt und dokumentiert.
Um die Sicherheitsanforderungen zu erfüllen, müssen die finanziellen und personellen Erfordernisse bekannt sein. Der damit verbundene Aufwand ist spätestens in dieser Phase zu ermitteln, um Rückschlüsse auf die wirtschaftliche Umsetzbarkeit der Sicherheitsmaßnahmen zu ziehen. Sollte die Umsetzung von Sicherheitsmaßnahmen wirtschaftlich nicht sinnvoll sein, ist zu prüfen, ob sie sich durch Ersatzmaßnahmen substituieren lassen und welche Restrisiken sich daraus ergeben – falls erforderlich muss eine Risikoakzeptanz eingeholt werden. Generell gilt, dass die aus den Sicherheitsanforderungen abgeleiteten Sicherheitsmaßnahmen angemessen sein sollten (zur Bewertung der Angemessenheit siehe Kasten/Abb. 4).
Abschließend ist die Umsetzungsreihenfolge der zusammengetragenen Sicherheitsmaßnahmen festzulegen. Daraus resultierende Aufgabenpakete sind zu terminieren und den verantwortlichen Personen zuzuweisen. Die Einhaltung der Termine sowie der Status der Umsetzung sind geeignet zu überwachen und zu dokumentieren.
Auswahl der weiteren Vorgehensweise zur Anhebung des Sicherheitsniveaus
Die Basis-Absicherung dient lediglich als Einstieg in die Informationssicherheit. Zur weiteren Anhebung des Sicherheitsniveaus sieht das BSI die Kern- und Standard-Absicherung vor. Beide Absicherungsvarianten sind in dem BSI-Standard 200-2 [7] erläutert – an dieser Stelle folgt daher nur ein kurzer Überblick.
Die Kern-Absicherung ermöglicht es einer Institution, schnell ein hohes Sicherheitsniveau für ausgewählte Bereiche zu erreichen – Geschäftsprozesse oder Vermögenswerte, die von existenzieller Bedeutung für die Institution sind, werden dabei vorrangig abgesichert.
Die Standard-Absicherung hat hingegen zum Ziel, alle Bereiche einer Institution angemessen zu schützen – ihr Vorgehen entspricht der klassischen IT-Grundschutz-Methodik. Sowohl für die Kern- als auch die Standard-Absicherung ist eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz möglich.
Es ist wichtig zu betonen, dass Informationssicherheit ein fortlaufender Prozess ist. Alle Verantwortlichen sollten sich der Tatsache bewusst sein, dass implementierte Sicherheitsmaßnahmen regelmäßig überprüft, aktualisiert und an neue Bedrohungen angepasst werden müssen. Die Sicherheitslandschaft unterliegt einem stetigen Wandel – daher sollte man einen langfristigen und ganzheitlichen Ansatz zur Informationssicherheit verfolgen. Das umfasst nicht nur die Betrachtung technischer Aspekte, sondern auch organisatorische, prozessuale und menschliche Faktoren. Eine Institution kann – unabhängig von ihrer Größe – Sorge dafür tragen, dass beispielsweise die Mitarbeiter durch Schulungsmaßnahmen sensibilisiert sowie regelmäßige Sicherheitsbewertungen durchgeführt werden und eine kontinuierliche Anpassung an neue Entwicklungen erfolgt.
Fazit
Die vielseitige und heterogene Informationssicherheitslandschaft in Deutschland sowie eine massive Häufung erfolgreicher Cyberangriffe unterstreichen die Notwendigkeit einheitlicher Cybersicherheitsstandards auf kommunaler Ebene. Angriffe, die von kleinen Gemeinden bis hin zu Großstädten reichen, betonen die Vielfalt betroffener Institutionen und zeigen, dass es Kommunen derzeit nicht gelingt, ein solides Informationssicherheitsniveau aufzubauen. Weitreichende, vielfältige Herausforderungen – darunter die große Aufgabendichte, übermäßig komplexe IT-Strukturen, Fachkräftemangel und knappe Budgets – verschärfen die Situation zusätzlich.
Auch wenn Kommunen voraussichtlich nicht Ziel der weitreichenden Anforderungen des NIS2UmsuCG werden, besteht dringender Handlungsbedarf – „so weitermachen wie bisher“ stellt bereits jetzt eine reale Bedrohung dar. Ein proaktives Antizipieren sich anbahnender Entwicklungen im Regulierungsumfeld sorgt hingegen für eine effiziente Entwicklung der Sicherheitsorganisation – hiermit beginnt man besser heute als morgen!
Die Umsetzung einer Basis-Absicherung nach der BSI-IT-Grundschutz-Methodik bietet Kommunen einen strukturierten Einstieg für den Aufbau einer Sicherheitsorganisation und somit das Management der Informationssicherheit nach einem etablierten und anerkannten Standard. Die Basis-Absicherung eignet sich demnach gerade für Organisationen, die zukünftig von Regularien betroffen sein könnten – besonders für solche, die bisher keinerlei Absicherung vorgenommen haben.
Eine fundierte Sicherheitsorganisation bietet darüber hinaus eine exzellente Basis für die schrittweise Erhöhung des Sicherheitsniveaus – egal ob durch neue Regulierung, Kundenanforderungen oder internes Interesse motiviert. Generell sollte betont werden, dass die Basis-Absicherung lediglich einen Auftakt darstellt: Diese Einstiegsmaßnahmen sind zwar entscheidend, um wesentliche Schwachstellen zu identifizieren und zu beheben – langfristig sollte das Ziel jedoch eine Standardoder Kern-Absicherung sein, um den stetig wachsenden Herausforderungen gerecht zu werden.
Um den organisatorischen Herausforderungen bestmöglich entgegenzutreten, empfiehlt es sich darüber hinaus, vorhandene Ressourcen und Unterstützungsangebote der einzelnen Bundesländer mit einzubeziehen beziehungsweise wahrzunehmen – einen Auszug entsprechender Angebote liefert die Linkliste in Tabelle 1.
Heike Knobbe ist Senior Consultant bei der HiSolutions AG.
Jonathan Weiß ist Consultant bei der HiSolutions AG.
Literatur
[1] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
[3] Benjamin Stiebel, NIS-2-Umsetzung ohne Kommunen?, Tagesspiegel Background, November 2023, https://background.tagesspiegel.de/cybersecurity/nis-2-umsetzung-ohne-kommunen (kostenpflichtig)
[4] Deutscher IT-Planungsrat, Umsetzung NIS-2-Richtlinie, Beschluss 2023/39, 42. Sitzung, November 2023, www.it-planungsrat.de/beschluss/beschluss-2023-39
[5] Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2023, Oktober 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf?__blob=publicationFile&v=7
[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), Leitfaden zur Basis-Absicherung nach IT-Grundschutz, In drei Schritten zur Informationssicherheit, Oktober 2017, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_BasisAbsicherung.pdf?__blob=publicationFile&v=3
[7] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0, November 2017, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf?__blob=publicationFile&v=2
[8] Bundesamt für Sicherheit in der Informationstechnik (BSI), Schichtenmodell und Modellierung, in: IT-Grundschutz-Kompendium, Februar 2023, S. 25 (PDF), www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf?__blob=publicationFile&v=4
[9] Bundesamt für Sicherheit in der Informationstechnik (BSI), Checklisten zum IT-Grundschutz-Kompendium, Februar 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/checklisten_2023.html
[10] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Tools, Übersichtsseite, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/IT-Grundschutztools.html