Einstieg in Informationssicherheit: BSI-Checklisten (nicht nur) für Kommunen

Das BSI-Projekt „Weg in die Basis-Absicherung (WiBA)“ will insbesondere kleineren Kommunen damit den Einstieg in den IT-Grundschutz nach BSI-Standards und BSI-Kompendium erleichtern. Die Checklisten in Fragenform erlauben eine erste Selbsteinschätzung und Lückenbestimmung zu einem dringend notwendigen Basisschutz, ohne dass schon dafür umfangreich Methodik gelernt werden muss. Gelebte Informationssicherheit an sich wird dadurch natürlich nicht einfacher, aber der Einstieg und der nachfolgend gezielte Griff in das IT-Grundschutzkompendium des BSI kann so leichter fallen.

IT-Grundschutz – Basis-Absicherung als Grundstein

IT-Grundschutz als Begriff drückt aus, dass es dabei nicht primär um Informationssicherheit für Fälle mit besonders hohen Sicherheitsanforderungen geht. Die Grundschutz-Methodik in der vom BSI modernisierten Form kann auch zum Umgang mit erhöhtem Schutzbedarf von Informationen verwendet werden (siehe BSI-Standards 200-1ff). Insbesondere das Arbeitsmittel Grundschutzkompendium beschäftigt sich zum überwiegenden Teil mit Anforderungen für einen Schutz auf Basis- und Standardniveau. Solche Basis- und Standardanforderungen zielen auf einen normalen Schutzbedarf, also „Sicherheitsbedarf für jedermann“.

Mit der Unterscheidung nach „Basis“ und „Standard“ gibt das Grundschutzkompendium dabei eine erste Hilfestellung für Priorisierung und schrittweisen Aufbau der notwendigen Sicherheit.

Eine Basis-Absicherung, die sich vorrangig auf Anforderungen aus dem Grundschutzkompendium der Stufe „Basis“ stützt, legt dabei ein Fundament und erste tragende Elemente für das an, was als Grundschutz benötigt wird. Andersherum betrachtet: Lücken bei der Erfüllung von Basisanforderungen sind gravierende Gefahrenpunkte. Sicherheitsvorfälle werden dadurch deutlich wahrscheinlicher, und die Reaktionsfähigkeit auf Vorfälle wird grundlegende Schwächen aufweisen.

Das IT-Grundschutz-Kompendium: Strukturiert, doch kein „Quick Reference Guide“

Beim Begriff „Kompendium“ denken viele sofort an eine kurzgefasste Beschreibung, oft als Nachschlagwerk bei konkretem Informationsbedarf zu einem bestimmten Thema genutzt. So kann man das IT-Grundschutz-Kompendium auch verstehen:

• Kennt man die Methodik nach BSI-Standard 200-2, kann man gezielt für die eigene Umgebung die relevanten Themenbereiche über entsprechende Bausteine herausgreifen.
• Der einzelne Baustein und die darin thematisch gebündelten Erläuterungen und Anforderungen mussten so geschrieben werden, dass eine Vorgabe zum maximalen Umfang pro Baustein eingehalten wurde.

Die Hausaufgaben zum strukturierten und erfolgreichen Umgang mit dem einzelnen sicherheitsrelevanten Thema sind also kompakt formuliert. Nur: Es gibt sehr viele solcher Themen, und es kommen mit den jährlich neuen Ausgaben des Kompendiums („Revisionen“) weitere Themen hinzu, weil sich die Formen von IT-Einsatz ändern und neue Schwerpunkte in Erscheinung treten.

Trotz bewusst kurzgefasster Bausteintexte sieht man sich einem mehrere 100 Seiten umfassenden Gesamtangebot an Anleitung zum Grundschutz gegenüber, aus dem man gezielt Zutreffendes heraussuchen muss. Außerdem lassen die Anforderungstexte Freiheitsgrade zur Bestimmung, wie die Lösungen aussehen. Man kann den Weg zur Umsetzung zur eigenen Umgebung passend gestalten – muss dies allerdings auch tun (keine fertige „Handlungsanweisung“).

Das erledigt sich nicht „nebenbei“ – gerade für kleinere Umgebungen und bei ohnehin knapper Personallage ein besonders steil wirkender Berg, den man hochkommen muss. Hilfestellung für Grundschutz-Einsteiger, um erste Schritte und eventuell Sofortmaßnahmen zur Risikosenkung zu erleichtern, ist da besonders wichtig.

Fragenkataloge zur Basis-Absicherung – (noch) ein Hilfsmittel zum Einstieg

Es gibt bereits vom BSI veröffentlichte Hilfsmittel zur Erleichterung der Gestaltung notwendiger Informationssicherheit auf Basis von IT-Grundschutz-Methodik und zugehörigem Kompendium.

Ein wichtiges Beispiel für die Einstiegsphase sind sogenannte IT-Grundschutz-Profile. Diese folgen dem typischen Hilfe suchenden Ansatz „Was machen denn andere?“. Das BSI stellt die Plattform für Veröffentlichung und kostenlosen Download solcher Profile zur Verfügung. Die eigentliche Quelle ist jedoch die Anwendung von Grundschutz-Methodik nach BSI-Standard 200-2 und IT-Grundschutzmethodik in der Praxis. Insbesondere gibt es ein IT-Grundschutz-Profil zur Basis-Absicherung in der Kommunalverwaltung, siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Basis_Absicherung_Kommunalverwaltung.html. Die Arbeitsgruppe der Kommunalen Spitzenverbände (AG koBA) hat diese erstellt. Auswahl der Aspekte zur Basissicherheit und die Formulierung in Fragenform sind somit aus Perspektive der Arbeitsumgebung und IT-Nutzung von Kommunen erfolgt.

Checklisten für den Einstieg in Basissicherheit für Kommunen: Version 1.0 bald da

Die so zielgruppenspezifisch erstellten Checklisten in Frageform wurden gemäß üblichem BSI-Vorgehen bei der Erarbeitung Grundschutz-relevanter Dokumente als Community Draft zur Kommentierung veröffentlicht. Eine Kommentierung war bis zum 15. September 2023 möglich. Eingegangene Kommentare werden jetzt herangezogen, um nötigenfalls noch einmal Feinschliff zur Klarstellung, zum besseren Verständnis über weitere Beispiele oder ähnliche Optimierungen an den Checklisten vorzunehmen.

Das Resultat in Form finalisierter Versionen der Checklisten soll in Kürze erscheinen (Oktober 2023). Diese finalen Fassungen werden dann um Mapping-Tabellen ergänzt werden, über die der Bezug zu IT-Grundschutztexten (Kompendium) hergestellt wird. So kann man bei Bedarf gezielt „weiterlesen“.

Tipps zum Umgang mit den Fragen der Checklisten

Die Checklisten sind keine einfache Zusammenstellung von Textstellen aus dem Grundschutzkompendium. Die korrespondierenden Original-Anforderungstexte wird man über die erwähnte Mapping-Tabelle finden und im Kontext des jeweiligen Bausteins nachlesen können.

Die vielmehr in den Checklisten gewählte Frageform erleichtert eine erste Selbsteinschätzung und die Handhabung der Checklisten.

Vorbereitet sind eine Einschätzung durch grundlegende Beantwortung der jeweiligen Frage mit ja oder nein sowie das Notieren von Angaben zu dieser Einschätzung. Ein „Ja“ soll durch Erläuterung nachvollziehbar gemacht werden. Ein „Nein“ kann z.B. mit einer Notiz ergänzt werden, dass etwas im Sinne der Frage zumindest schon geplant ist. Ist man der Meinung, die einzelne Fragestellung sei für die eigene Umgebung nicht relevant, kann man unter „Erfüllung“ ein „nicht relevant“ angeben.

Für Checklisten-Punkte, die man für sich mit „nein“ beantwortet, erhält man als Planungshilfe zudem eine Einordnung des Umsetzungsaufwands auf einer Skala von 1 = „Quick Wins“ bis 4 = „aufwändig, oft mit längerfristiger Umsetzungszeit verbunden“.
Der Wert dieser vorbereiteten Hilfe zur korrekten Selbsteinschätzung sowie zur Reihenfolge- und groben Kapazitätsplanung für die Schließung von Lücken im Basisschutz ist abhängig davon, wie man mit den so vorbereiteten Check- und Dokumentationshilfen umgeht.

In diesem Sinne sind die nachfolgenden Tipps gemeint. Sie basieren auf mehrjähriger Erfahrung mit der Anwendung von IT-Grundschutzmethodik und zugehörigen BSI-Bausteinen (siehe Grundschutzkompendium):

• Nicht relevant: Einstufung immer mit Notieren einer Begründung

  Man sollte immer sofort den Grund notieren, warum man für den eigenen Fall diese Einstufung getroffen hat. So funktioniert Durchführen vollständiger Grundschutz-Checks nach BSI-Methodik.

  Das Bemühen um Klarheit in der Begründung hilft dabei festzustellen, ob man die Frage nicht zu eng ausgelegt oder missverstanden hat. Vielleicht hat doch noch jemand eine Umsetzungsidee, nicht genau die im Fragentext gegebenen Beispiele, doch etwas Vergleichbares, das man in der eigenen Umgebung als Schutzvorkehrungen sinnvoll in Angriff nehmen kann.

  Auch muss man vorausdenken, Stichwort: notwendige kontinuierliche Verbesserung der Informationssicherheit. Heute geltende Entbehrlichkeitsgründe können entfallen. Rahmenbedingungen können sich ändern. Neue Formen der IT-Nutzung können ein zunächst nicht relevantes Thema in die eigene Umgebung Einzug halten lassen. Notizen zur Begründung von „nicht relevant“ helfen dabei, von Zeit zu Zeit oder bei Anlässen wie Umzügen, Einführung neuer IT-Lösungen oder neuer Versionen von IT-Lösungen gezielt zu prüfen, ob die ursprünglichen Ausgrenzungen der Art „nicht relevant“ noch korrekt sind. Das geht schneller und treffsicherer mit solchen Notizen, als wenn man jedes Mal den kompletten Fragensatz neu abarbeiten muss.

• Einstufungen „ja/nein“: Ehrlich mit sich selbst sein

  Fragen und Beispiele („Hilfsmittel“) zur Umsetzung konzentrieren sich auf Basisschutz. Es geht um das Fundament für einen Grundschutz. Lücken im Basisschutz machen also grundlegend verwundbar für Sicherheitsvorfälle.

  Eine nur lückenhaft oder (bei organisatorischen Festlegungen, also zu regelnden Verhaltensweisen etc.) halbherzig gelöste Frage kann ebenso gefährlich sein wie eine klar mit „nein“ = nicht gelöst eingestufte:

  Man wähnt sich gut aufgestellt und schenkt dem Aspekt keine weitere Aufmerksamkeit. Der Schutz ist aber zu leicht überwindbar, und man bemerkt in der Praxis dann erst spät, dass dies von einem Angreifer ausgenutzt wurde.

  Daher ist besser: Ein klares „Ja“ nur setzen, wenn man der Ansicht ist, einen Punkt vollständig und gut gelöst zu haben.

  Andernfalls kann man vorhandene Ansätze unter „Notizen“ festhalten, ebenso die gesehenen Möglichkeiten zur Verbesserung, und ein „Nein“ als Signal für vorhandenen Handlungsbedarf zur Optimierung setzen.

  Dies kommt einem „teilweise“ gleich, wie man es bei einer ausführlichen Analyse nach Grundschutzmethodik setzen würde.

  Das so gegebene, nützliche Signal lautet:

  Erste Lösungsansätze und Ideen, die zur Umgebung passen, sind da, jedoch muss mindestens die konsequente Umsetzung noch forciert werden. Dies kann die laut Checkliste gegebene Aufwandseinschätzung für den eigenen Fall punktuell relativieren: Aus einem Aufwand der Stufe 4 kann eine 3 oder 2 werden, je nachdem, wie weit man schon ist. Oft wird es sich lohnen, ähnlich einem Quick-Win-Fall bewusst solche Ansätze priorisiert weiter zu verfolgen, statt sich mit demselben betroffenen Personal erst eines „nein“-Falls mit Einstufung 3 oder 4 anzunehmen.

Wer so in bewusst selbstkritischer und gut notierender Weise das Hilfsmittel Checklisten nutzt, hat gute Chancen, einen erfolgreichen Anfang mit dem systematischen Einstieg in die Informationssicherheit zu machen. Der erste Schritt ist geschafft, eventuell gefährliche Lücken im grundlegenden Basisschutz sind früh entdeckt.

Nach deren Schließung, eventuell schon mit Nachlesen im zugehörigen Baustein des Grundschutzkompendiums verbunden, kann man darauf aufbauen. Der notwendige intensivere Einstieg in die Grundschutzmethodik, mit Berücksichtigung auch von „sollte“-Empfehlungen zur Standard-Absicherung lässt sich so ruhiger angehen.

Dies ist gerade bei knappen Personalressourcen wichtig, die keine Luft für konzentrierte Großaktionen zum „Sprint in den Grundschutz“ lassen. Eine solche Ressourcenlage ist oft gerade bei Kommunen gegeben, und nicht nur dort: Ein Blick in die erläuterten Checklisten kann sich z. B. auch für Firmen in ähnlicher Ausgangssituation lohnen.