IT-Grundschutz für Kommunen handhabbar machen

0
8455

Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist in Deutschland vor allem für die öffentliche Verwaltung so etwas wie der Goldstandard zur Etablierung eines Informationssicherheits-Managementsystems (ISMS). In seiner Gesamtheit gilt er allerdings als schwergewichtig und besonders für kleine Einrichtungen zu aufwendig. Nun steht mit einem kommunalen IT-Grundschutz-Profil zur Basis-Absicherung eine Einstiegshilfe in den Startlöchern.

Branchenspezifische Profile mit Augenmerk auf bestimmte Anforderungen sind seit der Modernisierung des IT-Grundschutzes explizit vorgesehen. Die Idee: In einem Profil wird auf die Grundschutz-Bausteine verwiesen, die für die jeweilige Branche (seien es Krankenhäuser oder Kommunalverwaltungen) typischerweise relevant sind. Als eines der ersten wird derzeit ein Profil für die Basis-Absicherung in Kommunen erstellt. Das BSI gibt die Struktur für die Ausarbeitung vor und wird das kommunale Profil daraufhin prüfen. Für die Inhalte zeichnen kommunale Praktiker verantwortlich. Die Finalisierung durch die federführende Arbeitsgruppe des Internetforums für IT-Sicherheitsbeauftragte von Kommunen und Ländern (IT-SiBe-Forum) steht kurz bevor.

Weg aus der Fahrlässigkeit

Vorgestellt wurde das fast fertige Grundschutz-Profil auf dem 5. Kommunalen IT-Sicherheitskongress des Deutschen Landkreistages in Berlin. “Es soll vor allem ein Ansporn geschaffen werden, um einen Einstieg zu finden”, sagte dazu Marcus Schröder von der Securion Rheinland-Pfalz GmbH, einer Beratungsgesellschaft der kommunalen Spitzenverbände des Landes. Mit dem rund 30-seitigen Dokument wolle man eine möglichst selbsterklärende Einstiegshilfe in den IT-Grundschutz bieten. “Damit kommen Sie schon einmal aus der groben Fahrlässigkeit heraus, was den Umgang mit IT-Sicherheitsrisiken angeht.”, so Schröder weiter.

Das Profil fasst nicht nur Maßnahmen zusammen, die im kommunalen Umfeld notwendig sind, sondern kann auch als Referenz für Anforderungen bei der Beschaffung und bei der Beauftragung von Dienstleistern herangezogen werden. Grundsätzlich werden die BSI-Basisanforderungen für die einschlägigen Grundschutz-Bausteine vollständig übernommen. Beim Outsourcing und in bestimmten Einzelfällen werden auch die strengeren BSI-Standardanforderung aufgenommen – mit entsprechenden Begründungen. Zusätzliche Kommentare weisen die Anwender auf die im kommunalen Umfeld entscheidenden Aspekte hin. “Das hilft, schnell den Kern der jeweiligen Maßnahmen aus den Grundschutzbausteinen zu erkennen”, betont Schröder.

Wenn der leichtgewichtige Einstieg mit dem Kommunalen Profil Basis-Absicherung geschafft ist, könnte in Zukunft der nächste Schritt zu mehr IT-Sicherheit mit einem Muster für die Standard-Absicherung erfolgen. Denn schon jetzt wird über die Erstellung weiterer IT-Grundschutz-Profile für den kommunalen Bereich nachgedacht, so auch für Sicherheitsmaßnahmen bei der Entwicklung und dem Betrieb spezifischer Fachverfahren oder für Querschnittsdienste wie dem ersetzenden Scannen.