Weg in die Basis-Absicherung (WiBA) : Leichter Einstieg in die Cybersicherheit für Kommunen : So gelingt der „Weg in die Basis-Absicherung“ mit einfachen Mitteln
Insbesondere für kleine Kommunen bietet der neue „Weg in die Basis-Absicherung“ (WiBA, [1]) des Bundesamts für Sicherheit in der Informationstechnik (BSI) einen niedrigschwelligen Einstieg in den IT-Grundschutz – und das kostenlos und mit wenig Aufwand. Anhand von Checklisten mit einfachen Prüffragen und zugehörigen Hilfsmitteln können Kommunen mit WiBA die dringlichsten Maßnahmen selbst identifizieren und umsetzen. Damit gelingt ihnen ein erster wesentlicher Schritt in Richtung tatsächlicher Informationssicherheit.
Von Carmen Gros und Jonas Ruschig, Referat Informationssicherheitsberatung für Länder und Kommunen, BSI
Seit einigen Jahren gibt es immer wieder und zunehmend erfolgreiche Cyberangriffe auf Kommunen – mit teils gravierenden Folgen und einem großen Medienecho. Kommunale Behörden sind für Cyberkriminelle ein attraktives Ziel mit großem Schadenspotenzial. Ausfälle von Kommunalverwaltungen haben unmittelbar Auswirkungen auf Bürgerinnen und Bürger. Wenn Sozialhilfeleistungen nicht ausgezahlt, Autos nicht angemeldet, Elterngeldbeiträge nicht beantragt oder Ehen nicht geschlossen werden können, dann schränkt es das Leben der Menschen nicht-akzeptabel ein. Ohne Informationssicherheit gibt es kein verlässliches und nachvollziehbares Verwaltungshandeln in Landkreisen, Städten und Gemeinden, keine erfolgreiche Digitalisierung und letztlich keine kommunale Daseinsvorsorge.
Doch der Ausfall dieser Dienstleistungen ist nur eine Seite der Medaille: Dazu kommt, dass diese Vorfälle das Vertrauen der Bürgerinnen und Bürger in die staatlichen Institutionen beeinträchtigen. Sie können letztlich dazu führen, dass die dringend notwendige weitere Digitalisierung der Verwaltung, beispielsweise im Rahmen des Onlinezugangsgesetzes (OZG), an sich infrage gestellt wird.
Die Aufgabe, sich gegen Cyberangriffe zu wappnen, muss darum ganz oben auf der Agenda der kommunalen Entscheidungsträger stehen. Zahlreiche Kommunalverwaltungen sind auch in Sachen Informationssicherheit gut aufgestellt – aber es gibt zum Teil noch große Lücken bei den insgesamt knapp 10 800 Kommunalverwaltungen in Deutschland.
Hinzu kommt: Die Gefährdungslage ist vielfältiger geworden. Neue Angriffsmethoden sind hinzugekommen und schon bekannte werden unvermindert erfolgreich eingesetzt. Zudem weisen sowohl Software- und teilweise auch Hardwareprodukte in einigen Fällen Schwachstellen auf, was teils auch an der Nutzung veralteter Systeme liegt. Auch der Faktor Mensch – in Form eines unbeabsichtigten oder vorsätzlichen (Fehl-)Verhaltens von Mitarbeitenden – spielt eine große Rolle. Daneben sind vernachlässigte Updates und Patches, mangelnde Authentisierung und fehlende Backups wenig beachtete, aber reale Gefährdungen.
Themen der WiBA-Checklisten |
|---|
- Arbeit innerhalb der Institution / Haustechnik |
Standardisierte Vorgehensweisen zum Aufbau eines Managementsystems für Informationssicherheit (ISMS), die eine systematische Umsetzung von Schutzmaßnahmen ermöglichen, sind häufig sehr komplex. Zwar bietet etwa der IT-Grundschutz des BSI mit der sogenannten Basis-Absicherung eine vereinfachte Einstiegsmethodik an, doch auch diese wird häufig im kommunalen Bereich noch als zu aufwendig empfunden.
Um also dem Bedarf eines vereinfachten Einstiegs mit dem Ziel der zügigen Umsetzung der wichtigsten Sicherheitsmaßnahmen besser zu begegnen, hat das BSI im Herbst 2022 das Projekt „Weg in die Basis-Absicherung“ (WiBA) initiiert [1]. In enger Abstimmung mit kommunalen Akteuren wurde durch themenspezifische Checklisten mit ergänzenden Hilfsmitteln eine Möglichkeit geschaffen, auch ohne tiefere Kenntnis einer formalen Methodik Sachstände zur Informationssicherheit zu erheben und essenzielle Maßnahmen zur Verbesserung zu identifizieren.
Mit dem neuen Einstiegslevel können Kommunen ein Schutzniveau aufbauen, das sie im Anschluss nahtlos auf das Niveau des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ [2] anheben können (vgl. Abb. 1). Als Hilfestellung hierfür steht eine Mappingtabelle zur Verfügung, welche die Prüffragen auf die Anforderungen des genannten IT-Grundschutz-Profils beziehungsweise damit auch des IT-Grundschutz- Kompendiums abbildet.
Checklisten-Konzept
Ausgehend vom IT-Grundschutz-Profil „Basis- Absicherung Kommunalverwaltung“ wurden im Projekt WiBA die wesentlichen Themenfelder und essenziellen Anforderungen zur Informationssicherheit identifiziert, die im kommunalen Behördenumfeld relevant sind. Die Anforderungen wurden anschließend in Prüffragen überführt, die den Verantwortlichen in den Kommunen in Form von einfachen Ja/Nein-Fragen eine Erhebung des aktuellen Status der Informationssicherheit ermöglichen.
Viele der Checkfragen enthalten zudem Hilfsmittel, die bei der Umsetzung offener Maßnahmen unterstützen. Hilfsmittel können aus konkreten Erläuterungen bestehen, aber auch Verweise auf weiterführende Informationen enthalten, die beispielsweise vom BSI bereitgestellt werden.
Ein wichtiger Ansatz bei „WiBA“ war es, die kommunale Ebene bei der Produktentwicklung einzubinden. So wurde der erste Entwurf von „WiBA“ mit sogenannten Modellkommunen, welche sich auf die Mitarbeit beworben hatten, in der Praxis vor Ort in mehrtägigen Workshops getestet und die wertvollen Rückmeldungen der – in Größe und Lage sehr heterogenen Modellkommunen in WiBA eingearbeitet. Das daraus resultierende Ergebnis wurde zusätzlich als Community-Draft veröffentlicht, um allen interessierten Kommunen hierdurch zusätzlich die Möglichkeit der Mitwirkung zu geben.
Die auf dieser Grundlage finalisierten Checklisten decken fundamentale Sicherheitsanforderungen für knapp 20 relevante Bereiche der Informationssicherheit ab (siehe Kasten). Dazu gehören Checklisten zu technischen Themenfeldern wie Serversystemen oder Backups, sowie Listen zu organisatorischen Bereichen, etwa zur Vorbereitung für IT-Sicherheitsvorfälle. Jede Checkliste ist grundsätzlich in sich geschlossen, sodass eine unabhängige Bearbeitung möglich ist. Aufgrund von thematischer Nähe oder inhaltlichen Überschneidungen kann es jedoch sinnvoll sein, eine bestimmte Reihenfolge einzuhalten. Hierzu wurde auf Basis der Gefährdungslage für kommunale Einrichtungen eine Empfehlung für eine Bearbeitungsreihenfolge erarbeitet (abrufbar über [1]), die neben grundlegenden allgemeinen und organisatorischen Maßnahmen auch speziellere Themen wie Webserver und Webanwendungen berücksichtigt.
Veröffentlichung und nächste Schritte
Die Veröffentlichung der Checklisten erfolgte rechtzeitig zur IT-Sicherheits-Messe it-sa 2023 im Oktober in Nürnberg. Nach der Aktualisierung des IT-Grundschutz- Profils „Basis-Absicherung Kommunalveraltung“ auf das IT-Grundschutz-Kompendium 2023 im November 2023, wurden die WiBA-Checklisten ebenfalls auf einen neuen Stand gebracht. Die Veröffentlichung von WiBA 2.0 erfolgte Anfang April 2024.
Auch in den folgenden Jahren wird WiBA fortentwickelt und an die aktuellen Bedürfnisse angepasst werden. Insbesondere sollen die Hilfsmittel fortlaufend erweitert werden, um die Checklisten anhand der Praxiserfahrungen weiter zu optimieren.
Die Erfahrungen mit dem Projekt „Weg in die Basis-Absicherung“ (WiBA) zeigen, dass es einen großen Bedarf an einem niedrigschwelligen Ansatz für Informationssicherheit auf kommunaler Ebene gibt. Mit WiBA können kommunale Behörden nun anhand von Checklisten mit einfachen Prüffragen und zugehörigen Hilfsmitteln die dringlichsten Maßnahmen selbst identifizieren und umsetzen. So kann ein erster, wesentlicher Schritt zu systematischer Informationssicherheit und damit ein wichtiger Beitrag zu einem verlässlichen und nachvollziehbaren Verwaltungshandeln in Landkreisen, Städten und Gemeinden erfolgen.
Alle WiBA-Dokumente können unter [1] kostenlos vom BSI bezogen werden – für Fragen und Anregungen steht das WiBA-Team unter wiba@bsi.bund.de gerne zur Verfügung.
Wie KI die Cyberbedrohungslandschaft verändert
In einem aktuellen Forschungsbeitrag hat das BSI untersucht, wie sich künstliche Intelligenz (KI) auf die aktuelle Cyberbedrohungslage auswirkt. Die Untersuchung beleuchtet, wie sich Cyberangriffe durch die neu verfügbare Technologie verändern. Dazu identifiziert der Bericht KI-gestützte Anwendungen, die bereits heute für den offensiven Einsatz zugänglich sind und bewertet, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten.
So genannte generative KI, insbesondere große Sprachmodelle, senkt die Einstiegshürden für Cyberangriffe und erhöht Umfang, Geschwindigkeit und Schlagkraft schadhafter Handlungen im digitalen Raum.
Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure stellt das BSI derzeit eine maligne Nutzung vor allem im Bereich des Social-Engineering und bei der Generierung von Schadcode fest.
KI ermöglicht es Angreifenden mit geringsten Fremdsprachenkenntnissen, qualitativ hochwertige Phishing-Nachrichten zu erstellen: Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten wie die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch reichen zur Erkennung von Phishing- Angriffen damit nicht mehr aus.
Einen Schritt weiter als die Unterstützung von Cyberangriffen, die durch Menschen ausgeführt werden, geht die Erstellung von Malware durch KI: Große Sprachmodelle sind bereits heute in der Lage, einfachen Schadcode zu schreiben. Darüber hinaus existieren erste Proofs of Concept, nach denen KI für die automatische Generierung und Mutation von Malware eingesetzt werden kann. Allerdings sind bösartige KI-Agenten, die vollkommen eigenständig IT-Infrastrukturen kompromittieren können – also künstliche Intelligenz, die zur vollständigen Angriffsautomatisierung führt – aktuell nicht verfügbar und werden mit hoher Wahrscheinlichkeit auch in naher Zukunft nicht verfügbar sein. KI ist jedoch bereits heute in der Lage, Teile eines Cyberangriffs zu automatisieren.
Das 11-seitige PDF „Einfluss von KI auf die Cyberbedrohungslandschaft“ ist über www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Einfluss_KI_auf_Cyberbedrohungslage.html kostenlos verfügbar.
Mindeststandard für Schnittstellenkontrollen aufgehoben
Da sich Rahmenbedingungen geändert haben, ist es aus Sicht des BSI nicht mehr erforderlich, bei normalem Schutzbedarf spezifische Regelungen für die Bundesverwaltung zum Thema Schnittstellenkontrolle in Form eines Mindeststandards festzulegen. Die Gefährdung der IT durch physische Angriffe über Schnittstellen hat sich in den letzten Jahren reduziert. Die meisten Angriffe finden über das Internet statt, insbesondere in Form schädlicher E-Mails. Untersuchungen haben gezeigt, dass mit der Umsetzung der Standard-Absicherung des IT-Grundschutzes und einer entsprechend sicheren Konfiguration von aktuellen Windows-/Linux-Betriebssystemen die in der Praxis relevanten Angriffsszenarien mit Bordmitteln abgewehrt werden können. Der Mindeststandard des BSI für Schnittstellenkontrollen wurde daher Mitte Mai 2024 aufgehoben.
Empfehlungen zur sicheren Nutzung von Edge-Computing
Das BSI hat Mitte April 2024 eine Cybersicherheitsempfehlung für den sicheren Einsatz von Edge- und Fog-Computing veröffentlicht. Das Dokument gibt Anbietenden, Anwenderinnen und Anwendern konkrete Hilfen an die Hand, damit Edge- und Fog-Computing sicher eingesetzt und genutzt werden können.
Edge- und Fog-Computing bringt Cloud-Technologie näher an Endgeräte heran oder integrieren sie in Netzkomponenten. Hierdurch werden einerseits Latenzen verringert, andererseits Compliance- und Sicherheitsfragen aufgeworfen. Nicht zuletzt der hohe Vernetzungsgrad stellt eine große Herausforderung für die Absicherung dar. Der Praxisleitfaden des BSI erklärt unter anderem, wie verschiedene Komponentenarten in verschiedenen Einsatzszenarien abgesichert werden können – zum Beispiel in Landwirtschaft, Industrie, Verkehrssteuerung oder Militär.
In der Praxis werden inzwischen Edge- und Fog-Computing fast überwiegend einheitlich unter dem Begriff Edge-Computing zusammengefasst. Das BSI geht in der Cybersicherheitsempfehlung auf die Unterschiede ein, nutzt aber in der Veröffentlichung weitestgehend den Begriff Edge-Computing. Die Empfehlung ist als 59-seitiges PDF über www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_148.html kostenlos erhältlich.
ICS-Security-Kompendium aktualisiert
Das BSI hat sein Industrial-Control-Systems-(ICS)-Security-Kompendium aktualisiert. Es stellt ein Grundlagenwerk für die IT-Sicherheit in industriellen Steuerungs- und Automationssystemen bereit. Damit schafft das Kompendium eine gemeinsame Basis für unterschiedliche Anwendungsgebiete wie Fabrikautomation, Prozesssteuerung und Gebäudeautomation. Es ermöglicht sowohl IT-Sicherheits- als auch ICS-Experten den einfachen Zugang zur IT-Sicherheit in ICS. Dazu erläutert das Dokument die notwendigen Grundlagen der IT-Sicherheit, der ICS-Abläufe sowie relevanter Normen und Standards. Eine Sammlung von Best Practices, die angesichts der heutigen Bedrohungslage im Kontext Cybersicherheit seitens der Anlagenbetreiber umgesetzt werden sollten, rundet den Inhalt ab.
Neben der Aktualisierung der Inhalte wurden im Zuge der Überarbeitung die bisher getrennten Dokumente für Betreiber und Hersteller beziehungsweise Integratoren zusammengeführt. Damit lassen sich insbesondere die Abhängigkeiten zwischen den Beteiligten besser verdeutlichen. Dieses Grundlagenwerk eignet sich insbesondere für den Einsatz in Lehre und Ausbildung, als Lektüre für Berufsstarter, aber auch zur Sensibilisierung von Herstellern, Integratoren und Betreibern.
Das 122-seitige Kompendium steht als PDF auf www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.html zum kostenlosen Download bereit.
Amtliche Mitteilungen
1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden:
Hersteller/Vertreiber | Produkt | Produkt-Typ | Ergebnis ID Zertifizierungsdatum |
|---|---|---|---|
KoCo Connector GmbH | KoCoBox MED+ Konnektor, 4.2.22 + 4.2.24 | Netzkonnektor (eHealth) | BSI-DSZ-CC-1067-V3-2022-MA-02 |
KoCo Connector GmbH | KoCoBox MED+ Konnektor, 4.2.22 + 4.2.24 | Netzkonnektor (eHealth) | BSI-DSZ-CC-1068-V3-2022-MA-02 |
Theben Smart Energy GmbH | CONEXA 3.0 Version 1.5, Software: v3.80.3-cc, | Smart-Meter-Gateway | BSI-DSZ-CC-0918-V6-2024-MA-01 |
Cherry Digital Health GmbH | CHERRY eHealth Terminal ST-1506, FW 4.0.25, HW 4.0.0 | Kartenlesegerät (eHealth) | BSI-DSZ-CC-1124-V3-2023-MA-02 |
Stoneridge Electronics AB | SE5000-8.1, Version D | Smartcard-Controller | BSI-DSZ-CC-1071-V7-2023-MA-01 |
Infineon Technologies AG | IFX_CCI_000068h, IFX_CCI_000080h design step G12 with firmware v80.505.04.1, optional CryptoSuite v04.05.007, optional HSL v04.05.0040, optional UMSLC v02.01.0040, optional NRG™ v06.10.0002, optional Ascon-128 MISE v1.1.2, optional SHA256 MISE v1.1.1 and user guidance documents | Smartcard-Controller | EAL6+ |
IBM Corporation | PR/SM for IBM z16 and IBM LinuxONE 4 Systems Driver Level 51C with Bundle Level 19B (D51C/B19B) | Serveranwendungen (Virtualisierung) | EAL5+ |
Secunet Security Networks AG | secunet eID PKI Suite Certified CA Kernel SC, Version 3.0.0 | Netzwerk- und Kommunikationsprodukt | EAL4+ |
NXP Semiconductors Germany GmbH | NXP Secure Smart Card Controller N7121 with IC Dedicated Software and Crypto Library (R1/R2/R3/R4) | Smartcard-Controller | EAL6+ |
Deutsche Security GmbH | TCOS eEnergy Security Module Version 2.0 Release 1/P71 | Sicherheitsmodul (Smart-Meter-Gateway) | EAL4+ |
Theben Smart Energy GmbH | CONEXA 3.0, SW: v3.80.0-cc, | Smart-Meter-Gateway | EAL4+ |
Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH | RISE Konnektor V5.2 | Netzkonnektor (eHealth) | BSI-DSZ-CC-1210-2024-MA-01 |
Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH | RISE Konnektor V5.2 | Netzkonnektor (eHealth) | BSI-DSZ-CC-1052-V6-2024-MA-01 |
Anmerkung:
- Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite www.bsi.bund.de/zertifizierungsreporte einzusehen.
2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden:
Antragsteller | Produktname | Produkttyp | Zertifizierungs-ID |
|---|---|---|---|
INFODAS Gesellschaft für Systementwicklung und Informationsverarbeitung mbH | SDoT Security Gateway Express, SDoT SGWX 1.3i | Netzwerk- und Kommunikationsprodukt | BSI-DSZ-CC-1242 |
Ivanti Inc. | Ivanti Endpoint Manager Mobile (EPMM), version 11.11 | Serveranwendung | BSI-DSZ-CC-1241 |
m-privacy GmbH | TightGate-Pro (CC) 2.0 | Firewall | BSI-DSZ-CC-1240 |
Swissbit AG | Swissbit Cloud SMAERS | Serveranwendung | BSI-DSZ-CC-1239 |
Swissbit AG | Swissbit Cloud CSPL | Serveranwendung | BSI-DSZ-CC-1238 |
Anmerkungen:
- Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen.
- Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produkts wegen Änderungen am Produkt oder Wechsel der Prüfkriterien.
3. Vom BSI zertifizierte und registrierte Schutzprofile
Entwickler | Profilbezeichnung | ID Ausstellungsdatum | gültig bis |
|---|---|---|---|
Bundesanstalt für Straßenwesen | Protection Profile for a Roadside ITS Station Gateway | BSI-CC-PP-0122-2024 | 2034-03-10 |
Bundesamt für Sicherheit in der Informationstechnik | Common Criteria Protection Profile – for E-Voting Systems for non-political Elections, Version 1.0 | BSI-CC-PP-0121-2024 | 2034-02-19 |
Car Connectivity Consortium LLC | CCC Digital Key Applet Protection Profile V 1.0 | BSI-CC-PP-0119-2024 | 2034-01-30 |
4. Vom BSI erteilte Standortzertifikate
Antragsteller | Entwicklungs-/Produktionsstandorte | ID Ausstellungsdatum | gültig bis |
|---|---|---|---|
NXP Semiconductors Germany GmbH | NXP Hamburg Buildings AK12, A1, A3, L2N, L3, L4N, M0, M3, Z0, Z3, Z4 | BSI-DSZ-CC-S-0269-2024 | 2026-04-25 |
GLOBALFOUNDRIES Dresden | GLOBALFOUNDRIES Fab 1 Dresden | BSI-DSZ-CC-S-0272-2024 | 2026-05-15 |
NXP Semiconductors Netherlands B.V. | NXP Virtual IT Network and Administration Site | BSI-DSZ-CC-S-0262-2024 | 2026-04-26 |
ASE Korea | ASE Korea, Sanupdanjigil 76, Paju-si, Gyeonggi-do, South Korea | BSI-DSZ-CC-S-0265-2024 | 2026-01-09 |
5. Vom BSI erteilte ISO-27001-Zertifikate auf der Basis von IT-Grundschutz
Zertifikatsnummer | Institution | Untersuchungsgegenstand | gültig bis |
|---|---|---|---|
BSI-IGZ-0584-2024 | bevuta IT GmbH | Der Informationsverbund umfasst alle notwendigen Geschäftsprozesse, Daten, Systeme, Applikationen und Infrastruktur, die für den Betrieb des von der bevuta IT GmbH entwickelten Notruf-App-Systems benötigt werden. Die Produktionsumgebung | 2027-02-23 |