Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat WiBA veröffentlicht. Das Kürzel steht für "Weg in die Basis-Absicherung" und soll, speziell für Kommunen, Hinweise liefern, wie eine Basisabsicherung für die IT-Systeme umgesetzt werden soll. WiBa enthält Checklisten und Prüffragen zur Umsetzung des Ganzen, und sollte auch für kleine Firmen oder Einzelunternehmer umsetzbar sein.
Anzeige
Das BSI schreibt hier, dass das Projekt "Weg in die Basis-Absicherung" (WiBA) initiiert wurde, um den Einstieg in den IT-Grundschutz weiter zu vereinfachen. Hintergrund ist die Erkenntnis, dass die Basis-Absicherung von vielen Verantwortlichen "weiterhin als zu aufwändig für den Einstieg empfunden werde". Speziell in kleineren Kommunen (die auch Zielgruppe für WiBA sind) fehlen ausreichende Ressourcen für die Umsetzung der Basis-Absicherung.
Die Cybervorfälle, die Kommunen in den letzten Monaten und Jahren getroffen haben, sind der Beleg dafür, dass es mit der Basis-Absicherung in diesem Bereich nicht weit her ist. Das BSI verfolgt mit der Veröffentlichung das Ziel, den Einstieg in den IT-Grundschutz (mit dem Fokus auf Kommunen) noch praxisnäher zu gestalten, um die Aufwände für die Umsetzung weiter zu verringern.
Mittels Prüffragen, zusammengefasst in themenspezifischen Checklisten, soll laut BSI die Möglichkeit geschaffen werden, auch ohne tiefere Kenntnis der Methodik, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren.
Anzeige
Die Prüffragen , basierend auf der Grundlage des IT-Grundschutz-Profils Basis-Absicherung Kommunalverwaltung, bilden dabei laut BSI die wesentlichen Aspekte ab, die bei der Absicherung vorrangig betrachtet und tatsächlich umgesetzt werden müssen. Im Anschluss daran kann nahtlos die vollständige Realisierung des oben im Bild gezeigten Profils angegangen werden. Auf der WiBA-Seiten finden sich die Links auf Dokumente zur Vorgehensweise, zum Management Summary sowie die Checklisten Weg in die Basis-Absicherung (WiBA) (ZIP-Datei). Weiterhin gibt es eine FAQ mit weiteren Informationen zu WiBA sowie den Flyer WiBA. heise hat in diesem Beitrag noch einige Informationen zu diesem Thema veröffentlicht.
Anzeige
Offtopic, aber vielleicht interessant: Da können Chrome-User sich schonnmal drauf freuen, vorerst schaltet Google die Funktion aber nur in den USA für Benutzer frei, die sich in ihrem Chrome-Browser bei Google angemeldet hat. Und zwar verschleiert Google über eine neue Funktion die IP-Adresse der Benutzer vor den besuchten Webseiten. Klingt ja nett, damit könnte man dann auch Geo-Blockierungen von manchen Webseiten umgehen, die Zugriffsstatistiken der Webseitenbetreiber werden durcheinander gebracht, aber über die Google-Proxies bekommt dann aber Google auch jede besuchte Webseite des Benutzers mit! Und Google kann über den Proxy auch nett eigene Werbung in beliebige Seiten einbauen. Prima neues Feature! Noch besser als DOH! https://www.bleepingcomputer.com/news/google/google-chromes-new-ip-protection-will-hide-users-ip-addresses/
In der Tat Offtopic bzw. Null Bezug zum Thema.
Daher die Frage, warum nutzt Du nicht das von Günter eingerichtete Diskussionsforum?
Wenn auch interesannt, Beiträge, die nicht zum eigentlichen Blogbeitrag passen, vermiesen mir das Lesen diese Blogs.
Sorry, und vielen Dank für das Verständnis!
Offtopic,
inwiefern ist den Microsoft bitte besser?
https://www.neowin.net/news/microsoft-now-wants-you-to-take-a-poll-before-installing-google-chrome/
"Microsoft may be open to the idea of Windows customers trying Linux, but it surely does not want you to try Chrome or other browsers. Downloading the most popular browser using Microsoft Edge is already a nightmare filled with banners and stop-gaps, and nothing seems to be stopping Microsoft from adding even more."
"Microsoft ist möglicherweise offen für die Idee, dass Windows-Kunden Linux ausprobieren, aber es möchte sicherlich nicht, dass Sie Chrome oder andere Browser ausprobieren. Das Herunterladen des beliebtesten Browsers mit Microsoft Edge ist bereits ein Albtraum voller Banner und Lücken, und nichts scheint Microsoft davon abzuhalten, noch mehr hinzuzufügen."
Vivaldi-Webrowser-Übersetzung
Heute morgen, meinen exchef getroffen – er wollte mich etwas frage, die Microsoftler gehem ihm am PC (win/office) auf die Nerven.
In der Tat Offtopic bzw. Null Bezug zum Thema.
Daher die Frage, warum nutzt Du nicht das von Günter eingerichtete Diskussionsforum?
Wenn auch interesannt, Beiträge, die nicht zum eigentlichen Blogbeitrag passen, vermiesen mir das Lesen diese Blogs.
Sorry, und vielen Dank für das Verständnis!
Sorry, aber das "Offtopic Edge" als Erwiderung zum "Offtopic Google" von 1ST1 wäre dann im Diskussionsbereich untergegangen und nicht zielführend gewesen. Daher passte es dazu. Günther war inzwischen so frei, den Microsoft Artikel hier im Blog richtig einzustellen.
Ob er auch die Kommentare "umhängen" kann, weiss ich leider nicht – wäre aber dienlich.
Danke!
Ist ein riesiger Aufwand – es gibt keine direkte Funktion zum Umhängen – müsste direkt in die Datenbank oder manuell einfügen und löschen. Wenn ich mal Langeweile habe, mache ich das … bevor ich beim "in der Nasebohren vor Langeweile mit den Finger brech".
Das ist nicht der erste Versuch, es insbesondere den kleineren Kommunen einfacher zu machen mit dem Grundschutz.
Siehe:
Grundschutzprofil Basisabsicherung Kommune April 2023
Das kann auch noch viel, viel einfacher gemacht werden, aber das wird bei vielen Kommunen auch dann nicht helfen.
Das Problem dort ist so fundamental, dass jede Hilfestellung abseits eines kompletten Umdenkens zu nichts führen wird.
Um es mal anzuschneiden: Man gehe mal in eine eher kleine Kommune, so mit unter 40 oder 50 oder 60 Verwaltungsmitarbeitern und frage mal die Entscheiderebene nach den Aufgaben ab, die die Kommune so hat. Sie dürfen ruhig ihre Aufzeichnungen benutzen.
Ist eigentlich ganz, ganz locker vierstellig, wenn Du aber nur niedrig dreistellig Antwort kriegst, ist es schon beeindruckend. Unendlich viele Aufgaben werden in diversen Kommunen irgendwie ad hoc verteilt, weil es dafür keinen Plan gibt.
Spätestens, wenn Du bei wohlbekannten Aufgaben fragst, wie die eigentlich ablaufen und wer da wie dran beteiligt ist und dafür welche Informationen benötigt, dann geht das Gestammel erst richtig los.
Gründe gibt es viele, z.B. überbordende Aufgabenzuweisungen an die Kommunen, die diese nicht mehr verarbeiten, verdauen und ordentlich regeln können. Lass uns mal diese 130 neuen Aufgaben aus x Themengebieten schnell auf die 40 Mitarbeiter aufteilen und die Abläufe festlegen…ach, geht gerade nicht, hat keiner Zeit, das mal durchzudeklinieren. Oder ist nicht sooo wichtig, wie Projekt XY, schließlich… was soll schon passieren? Klären wir "dann".
Zum Schluss werden die Fälle irgendwie thematisch in die Belegschaft geworfen und die strampelt sich ab, das mit ihren Mitteln gelöst zu kriegen. Ständig braucht jemand Rechte hier, Programme da und immer ist es akut auf dem Tisch und muss schnellschnell geklärt werden. Und wer da auf die Bremse tritt, der wird ausgesondert. Geht ja so nicht. Müssen doch jetzt Aufgaben erfüllen.
Das kann so nicht funktionieren und das muss erst mal in viele Kommunen durchdringen. Vorher hilft die kürzeste Hilfestellung nicht.
Denn, ob Digitalisierung oder IT-Sicherheit: es muss absolute Klarheit über Abläufe, Erforderlichkeiten und Zuständigkeiten herrschen. Die Regelungen dazu müssen eindeutig, nachvollziehbar, umsetzbar und vollständig sein.
Egal, durch welche Hilfe man sich durcharbeitet, das bleibt in solchen Fällen schlichtweg an organisatorischen Regelungen hängen und geht dann nicht weiter.
Das muss als Thema so zentral wichtig gemacht werden, dass jede Kommune dafür ausreichend geeignetes Personal mit Zeit, Kompetenzen und Regelungsbefugnissen haben muss. Denn die kosten deutlich mehr als ein normaler Sachbearbeiter und schlagen bei kleinen Kommunen massiv in die Personalkosten. Von den ITlern mal ganz zu schweigen.
Das Geld, das man geeigneten leuten bezahlen müsste, kann und will so eine Kommune dann nicht bezahlen, schon weil die Chefetage dann nicht mehr mehr verdient. Aber auch, weil es aus Sicht der Bewilliger (Gemeindevertretung) nur noch mehr Wasserkopf ist.
Beratungsunternehmen dazu kann man erfahrungsgemäß leider in der Pfeife rauchen.
Ohne Pflicht zu extra Personal wird das nie was werden. Und selbst dann kann es so werden, wie mit den Datenschutzbeauftragten: Pflicht, aber nur 10% Stellenanteil bei 110% Auslastung in der eigentlichen Tätigkeit.
Die jetzige Herangehensweise, einfach den Chef für IT-Sicherheit verantwortlich zu machen, geht im öffentlichen Dienst auf eine moralische Ebene und damit oft ins Leere. Denn der Chef ist der Bürgermeister, der hat sich eher für das Verkleinern des Wasserkopfes wählen lassen und ist als gewählter Chef quasi nicht zu sowas zwingbar. Den entlastet die Gemeindevertretung und dann wars das. Es sei denn, die wollte das Personal, weil alle gewählten Vertreter große Fans von teuren Stellen für Dinge sind, die sie selbst nicht verstehen. Entschuldigung an die Ausnahmen.
Ein anderer Weg, zu besseren Ergebnissen zu kommen wäre es, den ganzen Irrsinn, der auf die Kommunen ausgekippt wird, schlichtweg mal zu bereinigen. Schön, dass man sich eine Rentenberatung in der Kommune holen oder da sein ganzes Zeug für andere Behörden abkippen und sich dabei helfen lassen kann. Verständlich, dass man in großen Kommunen da gegen verschlossene Türen läuft oder auf andere Stellen verwiesen wird, die man beauftragt hat. In der kleinen Kommune steht Erna in der Tür und will ihr Recht und der Bürgermeister will, dass sie es schnell und unbürokratisch kriegt. Ist ja seine Wählerin.
Und irgendwo dümpelt da noch die Behörde rum und jene Behörde und dies und jenes Ministerium, ach und jene mittelbare Behörde und diese Stiftung von Landes Gnaden und werwarstdunochmal, die auch alle noch was wollen. Und das muss doch vom Tisch, die nerven den Chef von oben. Also mach das mal weg, Sachbearbeiter für mirdochegal.
Sorry für den Rant. Aber mir geht dieses blinde Geschiebe von Problemen in untere Ebenen ziemlich auf den Nerv. Da muss sich mal ganz oben zusammengesetzt werden und der Realität ins Auge geblickt: Es funktioniert so nicht.
Ob es die Behördenleitung ist, die dann mangels Klärung aller Aufgaben die Dinge einfach in die Belegschaft wirft. Oder ob es die Ministerien sind, die lieber die x-te Hilfe ausarbeiten lässt, als die eigentlichen Probleme zu adressieren.
Mal richtig alles vom Kopf auf die Füße stellen, echte Vereinfachung und Straffung der Dienstleistungen und glasklare, konkrete Pflichten für die Kommunen. Pflichten, die Ressourcen für Pflichten schaffen und nicht mehr solche, die einfach nur den Stapel größer machen.
Schluss mit Wischiwaschigummiempfehlungen.
Das ist als Aufgabe für die Politik bei Bund und Ländern angesagt.
Und danach – ja, danach! – bei den Kommunen, die es dann können – und dann auch können müssen.
Oder Digitalisierung wird genauso wie IT-Sicherheit weiter scheitern.
Oder besser: den Unwägbarkeiten der kommunalen Selbstbestimmung und damit der moralischen Zugewandtheit der Handelnden zur Rechtsnormkonformität gegenüber Normen ohne echte Strafen überlassen bleiben, die mit der Zugewandheit zu ganz konkret folgenhaften demokratischen Bestrafung für Geldausgeben und Wasserkopfaufbau bei den nächsten Wahlen konkurriert.
Interessant, gibt es derartige Checklisten auch für Unternehmen?
Ich habe mir die mal runtergeladen und überflogen.
Nichts, was man nicht auch in unternehmen einsetzen könnte.
Sind alles word dokumente.
Hast Du dir die Checklisten im Detail angesehen? Die müssten sich imho doch recht fix (ggf. modifiziert) im Unternehmen verwenden lassen.
Natürlich @Chris – wie Günter oder @T.Sommer bemerkte: IT bleibt IT.
Nun – Teufel im Detail – @Günter für so ein "modifizierte" Verwendung je nach IT-Situation im KMU braucht man schon einmal 50 Manntage+.
Wenns wirklich stimmen soll ist das Ziel nicht nur der "schnell gesetzte Haken" auf 20 DIN-A4 Checklisten – sondern ein überprüfbar umgesetzter Sachverhalt. Man wird also um mitdenken, anwenden oder präzisieren nicht herumkommen, "für richtige ITler" empfehle ich eher …
– BSI Grundschutzkataloge (aka Grundschutzhandbuch) und dessen "Bausteine"
– Kauf einer ISO 27.00x Version – die Vorgehen eines ISMS lassen sich wunderbar in Tabellen/Excellisten zum abhaken überführen.
– Übrige Auditvorgehen (von GoBS, HGB bis zu BS 17799 oder ISAE)