ich schwimme gerade ein wenig in einer trüben Suppen aus Hilfsmittel vom BSI für die Basisabsicherung Kommunalverwaltung. Ich suche eine Vorlage für die Sicherheitsleitlinie und habe davon mehrere unterschiedliche Version gefunden. Eine hat 27 Seiten und behandelt die Informationssicherheit sehr umfassend mit z.B. Feuer- oder Wasserschäden, Gebäude- oder Personenschäden usw (Notfallmanagement). Dann habe ich noch eine wesentlich kürzere gefunden (12 Seiten), die aus dem Standard 200-4 BCM (Business Continuity Management) kommt. Die Basisabsicherung Kommunalverwaltung baut wohl auf den Standard 200-2 auf, zu dem ich aber keine Mustervorlage gefunden habe. Kann da jemand weiterhelfen?
Neugier: Du bist bei einer Kommune und hältst die Basisabsicherung oder den Weg dahin für ausreichend, oder Du willst wissen was Dich schlimmstenfalls erwartet wenn Du hacken willst?
Ich gehe davon aus, dass mich im schlimmsten Fall eine Gefängnisstrafe erwartet, falls ich beim Hacken erwischt werde. Aber Spaß beiseite, ich arbeite bei einer Kommune und bin damit beauftragt, ein Informationssicherheits-Managementsystem (ISMS) mit dem Ziel einer Zertifizierung aufzubauen. Um nicht sofort ein zu großes Fass aufzumachen und schneller zu operativen Ergebnissen zu gelangen, zielen wir zunächst auf die Basisabsicherung für die Kommunalverwaltung ab. Auf dieser Grundlage kann dann weitergearbeitet oder es zunächst dabei belassen werden.
Zudem wird der CISIS12-Standard diskutiert (für den auch eine Leitlinie erforderlich ist), aber dieser Standard genießt nicht dieselbe Akzeptanz wie eine BSI-Zertifizierung. Die Entscheidung über den Standard ist allerdings noch nicht endgültig gefallen. Solange wir noch an Dokumenten arbeiten, die sowohl für das eine als auch für das andere verwendet werden können, sehen wir hierzu keine Notwendigkeit.
In meinen Augen ist auch eine Standard- oder höhere Absicherung nicht viel wert, und eine Zertifizierung besagt gar nichts, solange man nicht bereit ist die Dokumente zu veröffentlichen - siehe https://blog.lindenberg.one/BundesamtUnsicherheit. Ich erlebe dauernd, dass (nicht nur) staatliche Einrichtungen Sicherheit auf niedrigstem Niveau umsetzen, und dann braucht man sich auch nicht wundern, wenn ständig gehackte Einrichtungen in der Zeitung stehen. In meinen Augen sollte man erst ein anständiges Niveau erreichen und sich dann zertifizieren lassen. Anders herum steigt ja auch der Aufwand, das ISMS fortzuentwickeln. Die Basisabsicherung als Zwischenschritt verschwendet also nur das Geld der Steuerzahler.
Ich bringe 20 Jahre praktische Erfahrung mit und habe diese Stelle nur unter der Bedingung angenommen, dass ich erforderliche technische oder organisatorische Maßnahmen unverzüglich umsetzen kann. Dies wurde mir zugesichert, und bisher habe ich keinen Grund zu zweifeln, dass sich daran etwas ändern wird. Den Zeitrahmen für die Zertifizierung haben wir bis Ende 2025 festgelegt. Das ist großzügig und lässt uns auch Spielraum für die Umsetzung der Maßnahmen.
Bei der technischen Aufrüstung orientieren wir uns zwar in erster Linie an den Bausteinen des BSI, um auch deren Anforderungen zu erfüllen, aber sollten sich notwendige Maßnahmen nicht im BSI Grundschutz wieder finden, werden wir die vermutlich trotzdem umsetzen. Bislang haben wir aber noch nichts gefunden. Das BSI Kompendium ist sehr umfassend.
Zudem arbeiten wir an einem weiteren Projekt, das durch Bundesmittel gefördert wird, bei dem IT-Sicherheit ebenfalls eine Rolle spielt. Hier ist der Zeitrahmen enger gesteckt, allerdings sind die Ziele weniger umfassend definiert. Trotzdem gibt es Überschneidungen mit dem BSI-Grundschutz und notwendige technische Aufrüstungen.
Die Entscheidung für eine Zertifizierung ist ein strategisches Ziel, das ich zwar beeinflussen, aber nicht beschließen kann und wofür ich auch nicht die Verantwortung trage. Meine Vorgesetzten sind jedoch meiner Meinung, dass es nutzlos ist, lediglich auf Papier festzuhalten, was wir hätten tun sollen, es aber aus irgendeinem Grund nicht umgesetzt haben.
Mein aktuelles Problem, das sich bereits aus der ursprünglichen Frage ergibt, ist mein Mangel an Erfahrung in organisatorischen Belangen. Insbesondere geht es um die Erstellung von Leitlinien und Richtlinien und die Entwicklung daraus resultierender Konzepte. Hinzu kommt der für Behörden typische Bürokratismus, den ich aus der freien Wirtschaft so nicht kenne. Dennoch finde ich die Aufgabe sowohl spannend als auch herausfordernd.
Mir fehlt im Grundschutz der rote Faden, dass konsequente Authentifizierung und Verschlüsselung erforderlich sind. Dass noch nicht einmal NET.1.1.A7 ernstgenommen wird zeigt die Umsetzung von SMTP-DANE auf https://blog.lindenberg.one/AufsichtEmail#Tests und dass das im Grundschutz erst bei hohem Schutzbedarf durch APP.5.3.A9 als SOLL nicht ernsthaft gefordert wird.
Und dann hat man den Grundschutz in 2023 auch noch verschlechtert was Patchen angeht - siehe https://blog.lindenberg.one/SchwachstellenManagement.
Dass Du mehr als B durchbekommst - ich drück Dir die Daumen!
Es könnte auch daran liegen, dass solche Features wie SMTP-DANE ihre volle Wirkung nur entfalten, wenn auch die Gegenseite mitspielt. Das ist etwas, das ich nicht beeinflussen kann. Fehlt dieses Merkmal auf der Gegenstelle, wird das meine Sicherheit nicht erhöhen. Eine Zustellung abzulehnen, weil die Überprüfung der Sicherheitsmaßnahmen gescheitert ist, halte ich momentan noch für verfrüht. Allerdings sollten STARTTLS und andere etablierte DNS-Features wie SPF mittlerweile Standard sein, und das Ablehnen einer Verbindung bei Fehlen dieser Merkmale erscheint mir zunehmend als angemessene Reaktion.
Wahrscheinlich wird Google irgendwann eingreifen und die Gmail-Server werden dann konsequent Verbindungen ablehnen, wenn sich die Gegenstelle nicht mit höher entwickelten Sicherheitsmaßnahmen wie z.B. SMTP-DANE verifizieren kann. Es wäre nicht das erste Mal.
Wie auch immer, weder NET.1.1.A8 noch APP.5.3.A9 sind Bausteine, die im BSI-Grundschutz für Kommunalverwaltungen Anwendung finden. Übrigens, was meinst du mit „mehr als B“?
Eventuell sollte man eine (eher technische?) Sicherheitsrichtlinie erst nach einer Entscheidung zum Rahmen aufsetzen. Ein ISMS bedeutet übrigens nicht, dass man automatisch das Niveau festlegen muss (muss man sich BSI wirklich antun ? Muss man das in einem Schritt machen ?) - kenne aber die Unter-Schranken nicht, die hier der Kommune gesetzt sind. Es könnte da (größenabhängige) Vorgaben auf zB Landesebene geben. Es sollte auch geklärt sein, ob darunter dann auch kommunale Betriebe fallen, insbesondere wenn welche dabei sind, die unter KRITIS fallen.
Vielleicht findest Du ja auch Foren, die sich speziell mit Kommunen oder der öffentlich Hand beschäftigen?
richtig, aber daher sollten alle aufgefordert sein, das umzusetzen (wie in den Niederlanden). Zumal die Bürger besser ausgestattet sind und bereits zu gut 50% SMTP-DANE haben (siehe Darstellung in meinem Video https://blog.lindenberg.one/EmailVideo - so um Minute 13 - und Google patzt da auch, auch das sonst empfohlene Mailbox.org patzt bei secure.mailbox.org). Bei mir stapeln sich DVDs und USB Sticks weil Behörden das nicht können aber trotzdem Artikel 15 Abs. 3 Satz 3 DSGVO einhalten müssen und das dann per Post tun.
Das gilt natürlich nicht nur für die Authentifizierung des Empfängers sonden auch für die des Senders, sprich SPF, DKIM und DMARC (und da möglichst nicht p=none).
Soweit ich das bislang herausgefunden habe, unterscheidet sich eine Leitlinie von einer Richtlinie vor allem inhaltlich, insbesondere durch den Grad der Allgemeinheit in der Formulierung. Eine Leitlinie, die von der obersten Führungsebene kommt, ist eher strategischer Natur. Man sollte da keine technischen Details erwarten, aber es werden Ziele festgelegt sowie das Bekenntnis der Behördenleitung zur Einführung eines ISMS und zur Übernahme der Gesamtverantwortung.
Eine Richtlinie hingegen ist konkreter. Sie enthält bereits technische Details darüber, wie eine Sicherheitsmaßnahme umgesetzt werden soll oder sogar muss. Beispiele hierfür sind eine Passwortrichtlinie oder spezifische Schritte zur Reaktion auf Sicherheitsvorfälle.
Jetzt, wo ich es selbst so hinschreibe, scheint es, als hätte ich mir meine Frage damit auch gleich selbst beantwortet. ‚Von der Hand durch den Arm in den Kopf‘, wie eine meiner Dozentinnen immer sagte…
