Stadt baut Schutz vor Cyberangriffen aus

Der Leitfaden zur Basisabsicherung nach IT-Grundschutz liefert in drei Schritten zur Informationssicherheit einen kompakten und übersichtlichen Einstieg zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) in einer Institution. Er ist besonders für kleine und mittelgroße Behörden geeignet, die sich zum ersten Mal mit grundlegenden Fragen zur Informationssicherheit befassen wollen. Basierend auf dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik sind in dem Leitfaden die elementaren Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus erläutert.

Daraus wurde in einer Stadt mit circa 6.500 Einwohnerinnen und Einwohnern die Strategie und Umsetzung des IT-Grundschutzes entwickelt. Im Geltungsbereich der Stadt sind derzeit circa 70 PC-Arbeitsplätze im Einsatz.

Ausgangspunkt in puncto Cybersicherheit

Im Jahr 2016 stand die Investition einer neuen Voice-over-IP-Telekommunikationsanlage auf der Tagesordnung. Auf Anraten des Beraters und aufgrund der zunehmenden IT- Sicherheitsanforderungen sollte die Ausschreibung BSI-konform durchgeführt werden. Grund dafür war unter anderem die starke Vernetzung und Integration dieser Anlage mit allen anderen IT-Systemen und den diesbezüglichen Vorgaben des regionalen Rechenzentrums. Aufgrund des positiven Ergebnisses der Ausschreibung hat sich die Stadt danach entschlossen, ab sofort und in der Zukunft den Ist-Zustand für alle IT-Systeme und -prozesse einer BSI- Prozessprüfung zu unterziehen. Neue Investitionen werden schon in der Planungsphase transparent beleuchtet.

Zu diesem Zweck wurde auch ein ISMS-Team (Informations-Sicherheits-Management-System-Team) gebildet. In diesem Team sind alle Amtsleiter, der IT-Verantwortliche sowie der externe Berater integriert. Der Bürgermeister wird bei wichtigen Entscheidungen bei Bedarf einbezogen. Das ISMS-Team trifft sich ein bis zwei Mal jährlich. Die internen BSI-Arbeiten werden vom IT-Verantwortlichen erledigt. Extern wird er unterstützt und beraten von einem ISMS-Auditor als IT-Sicherheitsberater.

Organisiert werden in zehn Monaten jeweils zweitägige Revisionsveranstaltungen vor Ort im Rathaus. Dabei treffen sich der IT-Verantwortliche und der externe Berater, gegebenenfalls mit anderen Mitarbeiterinnen und Mitarbeitern und Partnern der Stadt.

Bei diesen Veranstaltungen fallen folgende Tätigkeiten an:

1. Modellierung von BSI-Bausteinen mit Festlegung aller erforderlichen Maßnahmen unter Zuhilfenahme eines revisionssicheren Softwaretools
2. Erstellung von Leitlinien 
3. Erstellung von Richtlinien
4. Sonstiger Schriftverkehr und Organisationsarbeiten
5. Plan-Do-Check-Act-Zyklus (PDCA) der Punkte 1-3

Umsetzung der BSI-Systematik für mehr Cybersicherheit

Bei der Einführung der BSI-Systematik herrschte anfänglich bei den Verantwortlichen der Stadtverwaltung eine gewisse Unsicherheit über die bevorstehenden Aufwendungen in Verbindung mit dem noch ungewissen Nutzen. Das hat sich im Laufe der Zeit grundlegend positiv geändert, weil der Mehrwert inzwischen gesehen wird und anerkannt ist. Erreicht wurde dies durch die interne Informationspolitik (Schulung und Darbietung von Themenstellungen) und durch Darstellung der Kompetenz der verantwortlichen BSI-Fachleute.

Status ab 2019

Ab dem Jahr 2019 wurde bei der Stadt der BSI-IT-Grundschutz auf die neuen Standards umgestellt und seitdem nur noch damit gearbeitet.

Die Stadt hat sich die Standardabsicherung als Zieldimension vorgestellt. Aufgrund der Größe der Stadt wird bei der Bearbeitung der Bausteine und Zielobjekte allerdings nur von normalem Schutzbedarf ausgegangen, obgleich auch alle anderen Maßnahmen modelliert werden. Sollte im Rahmen der Kernabsicherung ein hoher oder sehr hoher Schutzbedarf nötig werden, kann das bei Bedarf auch realisiert werden.

Ziel im Jahr 2024 ist es, alle BSI-Bausteine und Zielobjekte zumindest in der Basisvariante zu erstellen.

Mehrwert für die Cybersicherheit der Stadt

Die Stadt erhält durch den BSI-IT-Grundschutz als Basis der Informationssicherheit eine klare Aussage, ob Bausteine und Zielobjekte sowie deren Maßnahmen einem adäquaten Stand der Technik entsprechen. Auch kann damit ein Stärken-Schwächen-Profil des jeweiligen Ist-Zustands dargestellt werden. Beispielhaft ist hier der völlig veraltete Serverraum zu nennen, der über fast keine Sicherheitsmechanismen verfügte, und deshalb 2019 auch BSI-konform neu gebaut wurde.

Die Stadt fühlt sich mit der strategischen Ausrichtung auf BSI gut aufgehoben. Die Arbeiten werden auch so fortgeführt. Abgeschlossen sind die Arbeiten noch bei weitem nicht, aber der Fortschritt ist schon jetzt sehr positiv spürbar