Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte Kommunen sicherer machen. Sechs Modellkommunen erproben jetzt den „Weg in die Basis-Absicherung“ (WiBA). So heißt das Pilotprojekt des BSI, um die Cyber-Sicherheit der Kommunen zu fördern. WiBA ist als Einstieg in den IT-Grundschutz konzipiert.
Der IT-Grundschutz ist der Goldstandard der IT-Sicherheit. Er wird vom BSI herausgegeben und entwickelt. Das Werk ist modular aufgebaut und enthält Standards zur Absicherung von Informationssystemen. „Insbesondere für kleinere Kommunen ist die Umsetzung der IT-Grundschutz-Standards des BSI zu komplex“, erläutert BSI-Vizepräsident Dr. Gerhard Schabhüser die Idee des WiBA-Projekts. „Für diese Kommunen bieten wir mit WiBA eine neue Einstiegsebene in den IT-Grundschutz an.“ Dazu versorge das BSI die Gemeinden mit Checklisten, Prüffragen und Hilfsmitteln. Auf diese Weise könnten sie die dringlichsten Maßnahmen selbst identifizieren und umsetzen. Das Ziel des WiBA ist, ein Schutzlevel aufzubauen, das die Kommunen dann nahtlos zum IT-Grundschutzprofil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln können.
Querschnitt durch die kommunale Landschaft
Die Modellkommunen stellen einen Querschnitt durch die kommunale Landschaft dar. Zu ihnen gehören zwei Gemeinden, zwei mittelgroße Städte, eine größere Stadt sowie ein Landkreis. Unter anderem nehmen Balgheim, Markkleeberg, Rees, Regen und Schwerin teil. Das BSI hat die Teilnehmer gemeinsam mit dem Deutschen Landkreistag und dem Deutschen Städte- und Gemeindebund ausgewählt. Über 130 Städte und Gemeinden hätten sich beworben, heißt es aus dem BSI. Im Mai und Juni veranstaltet das BSI nun dreitägige Workshops in den Modellstädten.
„Wir wollen Kommunen so niedrigschwellig, praxisnah und effektiv wie möglich unterstützen“, sagt BSI-Vize Schabhüser. Kommunale Cyber-Sicherheit ist Schabhüser ein besonderes Anliegen. Nach vielen verheerenden Cyber-Angriffen auf Kommunen sorgt er sich um ihre Sicherheit. Schließlich sind die Gemeinden oft der erste Ansprechpartner für Bürgerinnen und Bürger. Anmeldungen, Ausweisdokumente, Baugenehmigungen und Sozialleistungen beantragen die Menschen in der Regel bei der Kommune. „Verlässliche kommunale Leistungen für die Menschen erfordern verlässliche und robuste IT-Systeme“, erklärt Schabhüser. Gleichzeitig weist er darauf hin, dass WiBA ein freiwilliges Angebot sei. Es handele sich nicht um die Umsetzung rechtlicher Vorgaben. Aber nicht nur das BSI kümmert sich um die Kommunen.
In Bayern hilft ihnen das Landesamt für Sicherheit in der Informationstechnik (LSI) bei Cyber-Sicherheitsmaßnahmen. So verpflichtet das Bayerische Digitalgesetz (BayDiG) die Gemeinden im Freistaat, ein Informationssicherheitskonzept zu erstellen. Dabei steht ihnen das LSI zur Seite.
Siegel „Kommunale IT-Sicherheit“ 3.0
Für bayerische Gemeinden und Städte bietet das LSI das Siegel „Kommunale IT-Sicherheit“ 3.0 an. Dieses Siegel richtet sich speziell an kleinere Kommunen. Sie können damit belegen und nachweisen, dass sie ein Informationssicherheitskonzept eingeführt haben, das dem BayDiG genügt. Für Kommunen unter 20.000 Einwohnerinnen und Einwohnern bleibt das Siegel zwei Jahre gültig. Bei Kommunen bis 50.000 Einwohner halbiert sich die Gültigkeitsdauer auf ein Jahr.
Nun hat das Landesamt den Fragebogen zum Siegel erneuert. Es hat Erkenntnisse aus kommunalen Sicherheitsvorfällen einfließen lassen. Daneben haben die IT-Spezialistinnen und -Spezialisten des Freistaats den Fragebogen um neue Themen ergänzt. Hinzugekommen sind beispielsweise Internet-of-Things-Geräte (IoT-Geräte).
Für größere Gemeinden empfiehlt das bayerische Cyber-Sicherheitsamt aber eine ISMS-Zertifizierung oder eine Zertifizierung nach dem BSI-IT-Grundschutz. Bei größeren Gemeinden seien die Informationssysteme und damit die Sicherheitsanforderungen komplexer. Daher müsse ihr Sicherheitskonzept umfassender sein.
