Nicht erst seit dem Ausfall der Landkreisverwaltungen Anhalt-Bitterfeld oder Rheinpfalz ist bekannt, dass auch Kommunalverwaltungen durchaus Nachholbedarf beim Thema Informationssicherheit haben. Auch kleinere Kommunen sind betroffen und haben nicht weniger mit den Folgen zu kämpfen. Der geschätzte Jens Lange, seines Zeichens ITSiBe der Stadt Kassel betreibt hierzu ein schönes Informationsportal (Vielen Dank an dieser Stelle, Jens, für Deine Arbeit!) unter https://kommunaler-notbetrieb.de
Doch auch Firmen, ebenfalls ganz unabhängig von Branche und Größe bleiben von diesem Problem nicht verschont. Einen groben Eindruck, wie oft es knallt, kann man sich sehr gut unter https://konbriefing.com/de-topics/hackerangriff-deutschland.html verschaffen.
Beide Portale können nur einen Teil der Misere zeigen, denn nicht jedes “Missgeschick” in der Informationssicherheit bei Kommunen und Firmen gelangt an die Öffentlichkeit. Das bedeutet, die Dunkelziffer des Versagens der Informationssicherheit (oder auch des Nichtvorhandenseins) ist daher im Zweifel noch um einiges höher.
Normen für Informationssicherheit
Standards für Informationssicherheit gibt es einige auf dem Markt. Da gibt es z.B.
- ISO 27001 (native oder auf Basis IT-Grundschutz)
- Den IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) in den 3 Absicherungsstufen Basis, Kern und Standard
- TISAX (gerade im Automotive-Bereich ein sehr bekannter Vertreter)
- CISIS12 (ehemalis ISIS12)
- ISMS4KMO (als Standard als Weiterentwicklung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
- “Arbeitshilfe” (eine Absicherung in der Breite einer Organisation, entwickelt von a.s.k. Datenschutz im Auftrag der Innovationsstiftung Bayerische Kommune)
- SiKoSH (Sicherheitskonzept Schleswig-Holstein) oder auch
- VDS 10.000 ehemals 3473.
Es gibt noch weitere Vertreter, doch wir haben uns auf die Standards mit einer bekannten breiten Installationsbasis beschränkt. Daneben gibt es noch div. Schwachstellen-Tools, die jedoch zumeist einmalige Stärken-Schwächen-Analysen darstellen und keinen Fokus auf den Betrieb eines Informationssicherheitskonzepts legen. Dazu zählen z.B. ISA+ und andere.
Alle Normen haben eins gemeinsam: Informationssicherheit bedeutet Arbeit in fast allen Teilen einer Organisation und kostet Zeit, Geld und Personalressourcen. Dazu haften einigen Standards nahezu sagenhafte Aussagen an wie “Der IT-Grundschutz dauert mindestens 5 Jahre in der Einführung, egal wie groß die Organisation ist” oder “Für Standard XYZ sind mindestens 50–60 externe Beratertage notwendig”. Nun ja … In der Tat war der alte 100‑x Standard des IT-Grundschutz ein dickes, zu bohrendes Brett. Aber 5 Jahre haben selbst Großorganisationen dafür nie gebraucht. Und durch das sog. Kompendium (200‑x) und die 3 Absicherungsstufen von unten nach oben wurde ein zeitgemäßer und niedrigschwelliger Einstieg in den IT-Grundschutz vom BSI geschaffen. Der frühere Schrecken hat seine Daseinsberechtigung verloren. Und immens hohe Zahlen an externen Beratertagen können — unabhängig vom gewählten Standard — auch nur dann zustandekommen, wenn die eigene Organisation so gut wie keinen Selbsteinsatz bei der Einführung des Informationssicherheitsmanagementsystems leistet. Das mag bequem erscheinen, auch wenn es teuer ist, aber geht am Ziel und Zweck vorbei. Schließlich wird Informationssicherheit durch die eigene Organisation betrieben und da hilft es wenig, wenn die ganze Arbeit durch Externe geleistet wird (fehlendes internes Know-How, “Berater-Treppe”).
WiBA — Weg in die Basis-Absicherung
Um den Einstieg in den IT-Grundschutz nun noch niedrigschwelliger anzusetzen als bereits mit der sog. Basis-Absicherung geschehen, hat das BSI einen 18 Dokumente umfassenden Fragenkatalog entwickelt. Dieser soll bei konsequenter Bearbeitung aktuelle Schwachstellen in der Informationssicherheit (organisatorisch, infrastrukturell, technisch, prozessual) auffinden helfen, damit diese im Anschluss beseitigt werden können. Ein löblicher Ansatz und gerade für Organisationen geeignet, die bisher noch jeden Kontakt mit dem Thema gescheut haben.
Folgende Themen werden zur Zeit abgedeckt:
- Arbeit außerhalb der Institution
- Arbeit innerhalb der Institution / Haustechnik
- Backup
- Bürosoftware
- Client
- Drucker und Multifunktionsgeräte
- IT-Administration
- Mobile Endgeräte
- Netze
- Organisation und Personal
- Outsourcing und Cloud
- Rollen / Berechtigungen / Authentisierung
- Serverraum
- Serversysteme
- Sicherheitsmechanismen
- Telefonie und Fax
- Umgang mit Informationen
- Vorbereitung für Sicherheitsvorfälle
Umfangreich sind die Prüffragen selten. So finden sich im Kapitel 6 Outsourcing und Cloud beispielsweise 6 Prüffragen. Daraus wird auch die Intention des niedrigschwelligen Einstiegs u.a. durch einen reduzierten Umfang sehr deutlich.
Derzeit sind die Fragebögen im Word-Format als sog. Community Drafts online gestellt. Das BSI fordert explizit dazu auf, diese zu nutzen, zu prüfen und Anregungen und Ergänzungen zurückzuspielen. Diese Rückmeldungen sollen dann in die finale Version von WiBA — Weg in die Basisabsicherung einfließen.
In der Hoffnung, dass demnächst nicht wieder alle Links auf den BSI Webseiten umgestellt werden, hier der direkte Einsprung in das Thema: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA.html
Überlegungen zur aktuellen Gestaltung / Umsetzung von WiBA — Weg in die Basis-Absicherung
WiBA kann durchaus ein geeigneter Einstieg in das Thema Informationssicherheit für Organisationen sein, die bisher noch gar keinen Kontakt mit dem Thema hatten und erst mal “schnuppern” wollen. Dabei sollte man im Hinterkopf haben, dass es sich hierbei nur um eine Schwachstellenanalyse anhand von Fragestellungen handelt. Der zu einem ISMS gehörende PDCA-Zyklus inkl. der notwendigen Verantwortlichkeiten, Aufgaben und Prozessen ist nicht enthalten. Wie das BSI in der Management Summary selbst schreibt, kann WiBA — Weg in die Basis-Absicherung nur der erste Schritt in das Thema Informationssicherheit sein. Denn mit einer Schwachstellenanalyse alleine ist es nicht getan.
Positiv fällt die Verknüpfung der Prüffragen zu den Bausteinen des IT-Grundschutzes auf. Das sollte ein späteres Upgrade in die Basis-Absicherung erleichtern, da sich ein Wiedererkennungseffekt einstellen wird. Doch das leisten auch andere Systematiken.
Wieso man ausgerechnet mit Word-Tabellen gearbeitet hat, wird wohl ein Rätsel bleiben. Demjenigen, der mittels dieser Dokumente die Ergebnisse dokumentieren und nachhalten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂
WiBA liegt nun als Community Draft vor, ist also noch nicht final fertig. Demgegenüber haben andere Konzepte, die ebenfalls einen niedrigschwelligen Einstieg in das Thema Informationssicherheit garantieren und dabei auch gleich den Grundstein für den späteren Betrieb des ISMS legen, bereits mehrjährige Weiterentwicklungen erfahren. Allen voran sei hier exemplarisch die Arbeitshilfe der Innovationsstiftung Bayerische Kommune genannt, die erstmalig 2016 erschienen ist und mittlerweile in Version 5 vorliegt. Wieso nun eine Eigenentwicklung aufgelegt wird, statt auf vorhandene Systematiken zurückzugreifen oder diese zu empfehlen, bleibt unklar. Ok, der Aufwand für die Arbeitshilfe wäre höher. Aber man hätte sich auch mit der Systematik ISA+ des IT-Sicherheitsclusters Regensburg oder mit dem Reifegrad-Modell “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik Bayern, kurz LSI zusammentun können. Übrigens: Auch wenn die Arbeitshilfe ursprünglich für Kommunen entwickelt wurde, kann diese auch von Firmen genutzt werden. Ob die Organisationsleitung am Ende Bürgermeister oder Geschäftsführer heißt, ändert nichts an den Sicherheitsanforderungen, höchstens am Risiko einer persönlichen Haftung 😉 Wer es professionell haben möchte: Sprechen Sie uns wegen einer Software-Umsetzung der Arbeitshilfe gerne an. Die damals vom Auftraggeber vorgegebenen Word-Dokumente sind im laufenden Betrieb des ISMS alles andere als handlich.
Hinzu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeitshilfe oder VDS ausgestattet ist und diese erfolgreich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absicherung nicht glücklich. Hier wäre zu empfehlen, gleich den folgerichtigen Schritt in die BSI IT-Grundschutz Basis-Absicherung oder für Kommunen das sog. Kommunalprofil im Rahmen der Basis-Absicherung zu gehen.
Und nicht vergesesen — wie schreibt es das BSI (nicht nur im Kontext von WiBA — Weg in die Basis-Absicherung) so treffend: Informationssicherheit ist Chefinnen- und Chefsache! Und jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI!
Übrigens freut sich auch der Datenschutzbeauftragte, wenn das Thema Informationssicherheit konsequent und systematisch in der Organisation umgesetzt wird. Das nimmt einiges an Druck aus dem Kessel im Hinblick auf Art. 32 DSGVO Sicherheit der Verarbeitung.