IT-Grundschutz für Kommunen

Sicherheit, die Sie kennen sollten

Digitalisierung erfordert zuverlässige und sichere IT. Gleichzeitig sind IT-Systeme natürlich auch attraktive Ziele diverser Cyberangriffe. Beispiele wie der Cyberangriff auf die Uni Gießen Anfang des Jahres zeigen die Bedeutung unserer digitalen Infrastruktur und die Gefahren, die ihr drohen können. Die Lageberichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind jedes Jahr Gradmesser für Risiken, aber auch Chancen der Digitalisierung. Sie nennen Daten, Fakten und Statistiken, informieren über Cyberbedrohungen; doch sie belegen ebenfalls die Erfolge der gemeinsamen Abwehr. Was sollten Kommunen tun?

Lagebericht: Bedrohung ernst nehmen

Der Lagebericht 2019 verzeichnet rund 114 Millionen neue Schadprogrammvarianten, DDoS-Angriffe mit bis zu 300 Gbit/s Angriffsbandbreite und bis zu 110.000 Bot-Infektionen in deutschen Systemen. Angriffe haben zu Produktionsausfällen in Wirtschaft und teilweise erheblichen Beeinträchtigungen in Einrichtungen des Gemeinwesens geführt. So waren Krankenhäuser, aber auch kommunale Einrichtungen betroffen. Neustadt am Rübenberge etwa wurde Opfer eines Emotet-Angriffs. Das IT-System der Verwaltung war über eine Woche lahmgelegt, die Kfz-Zulassungsstelle musste geschlossen werden, das Bürgerbüro konnte keine Anträge mehr verarbeiten.

Sicherheit mit Systematik im Griff

Nicht betroffen waren hingegen die Bundesverwaltung und Betreiber Kritischer Infrastrukturen (KRITIS), die sich sogar qua Gesetz an Sicherheitsanforderungen und Empfehlungen des BSI halten müssen. In den Griff bekommt man Bedrohungen vor allem durch ein methodisches Vorgehen, das notwendige Sicherheitsmaßnahmen beschreibt und mithilfe von Best Practices umzusetzen hilft: Der IT Grundschutz des BSI, er liefert hierzu die Standards.

„Der IT Grundschutz des BSI ist das Standardwerk, wenn es um systematische Informationssicherheit für Unternehmen, Behörden und Organisationen geht. Die IT Grundschutz-Profile bieten einen guten Einstieg in dieses Erfolgsmodell. Auch kleinere Kommunen oder Unternehmen haben damit die Möglichkeit, ihr Niveau der Informationssicherheit schnell deutlich zu erhöhen. Im Hinblick auf anstehende Digitalisierungsprojekte der Kommunen ist die Sicherheit der Daten ein wesentlicher Erfolgsfaktor. Als Cyber-Sicherheitsbehörde des Bundes stehen wir auch den Ländern und Kommunen beratend zur Seite“, so BSI-Präsident Arne Schönbohm.

So geht sicher

Wer mit einem BSI-zertifizierten IT-Dienstleister wie der ekom21 zusammenarbeitet, ist fein raus. Doch auf Seiten der Kommunen sind natürlich dennoch fachlich versierte Mitarbeiter erforderlich. Für deren Arbeit und Fragen zur IT-Sicherheit in Kommunen gibt es seit 2018 ein vom BSI gemeinsam mit den kommunalen Spitzenverbänden erstelltes IT Grundschutz-Profil für Kommunen. Dieses ist speziell auf die Basis-Absicherung von Kommunen abgestimmt und wird ständig weiterentwickelt. Die aktuelle Fassung des IT Grundschutz-Profils – Basis-Absicherung Kommunalverwaltung vom 19.10.2019 und ist eine modernisierte Version, an der sich auch eine Vitako-Arbeitsgruppe aktiv beteiligt hat.

Grundsätzlich handelt es sich bei einem IT Grundschutz-Profil um ein Muster-Sicherheitskonzept für Institutionen mit vergleichbaren Rahmenbedingungen – man könnte auch von einer branchenspezifischen Schablone sprechen. Es basiert auf den Vorgehensweisen zur Basis-Absicherung nach BSI-Standard 200-2. Dazu definiert das IT Grundschutz-Profil Mindestsicherheitsmaßnahmen, die Kommunalverwaltungen umsetzen sollten. Ein klarer Vorteil ist der schnellere Einstieg in die Thematik. Wichtige Aspekte sind Fragen zur Referenz-Architektur, grundlegende Prozesse wie Lösch- oder Berechtigungskonzepte werden definiert. Damit verfügen IT-Verantwortliche in Kommunalverwaltungen über eine Schablone, um die gröbsten Schwachstellen aufzudecken und das Sicherheitsniveau schnell zu heben.

Auf die Kommunen kommt es an

Und mit der gerade auf Hochtouren laufenden Umsetzung des Onlinezugangsgesetzes (OZG) kommen neue Anforderungen auf die Kommunen zu. Einen Überblick über den Stand der Dinge und die Arbeit der „Digitalisierungsfabriken“ in Hessen gibt die ekom21 Interessierten auf ihrer Homepage. Es geht voran! Und darüber hinaus bietet das KDLZ-CS (Kommunales Dienstleistungszentrum Cybersicherheit) den hessischen Kommunen eine kostenlose Intensivberatung – kostenlos, weil vom Land Hessen finanziert.

Mit der Bündelung von Informationen durch das OZG steigt allerdings auch die Angriffswahrscheinlichkeit. Wer die Baugeschichte des Berliner Flughafen vor Augen hat, weiß, wie schwierig es sein kann, eine Sicherheitsarchitektur nachträglich einzuziehen. Einfacher ist es, gleich zu Beginn die notwendigen Grundlagen zu legen. Neben dem systematischen Vorgehen und der technischen Expertise des Dienstleisters benötigen Cybersicherheitsfragen deshalb auch immer unterstützende Fachleute in der Kommune. Das IT Grundschutz-Profil für Kommunen ist dafür der ideale Startpunkt. Das Angebot des KDLZ-CS ebenso.

Weiterführende Informationen

 Das komplette Grundschutzprofil für Kommunen findet sich hier:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Basis_Absicherung_Kommunalverwaltung.pdf?__blob=publicationFile&v=4

 Lageberichte des BSI zur IT-Sicherheit in Deutschland:
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

 Beratung finden die hessischen Kommunen beim Kommunalen Dienstleistungszentrum Cybersicherheit (KDLZ-CS):
https://www.ekom21.de/loesungen/kdlz-cs/