SAKD-aktuell, Sonderveröffentlichung aus Anlass der Roadshow des BSI zur Informationssicherheit in Kommunalverwaltungen

Anlässlich der aktuellen Bedrohung der Informationssicherheit durch zunehmende Cyberkriminalität und den Ukraine-Krieg haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Freistaat Sachsen für die sächsischen Kommunen am 2. Mai 2022 eine Online-Veranstaltung zur Sensibilisierung durchgeführt bei der die Unterstützungsangebote des Bundes und des Freistaates Sachsen vorgestellt wurden.
Die Veranstaltung in Sachsen war die Premiere einer bundesweiten Roadshow des BSI.

Als weiterer Motivator für mehr Informationssicherheit ist das Online-Zugangs-Gesetz (OZG) zu sehen. Verwaltungsleistungen werden den Verwaltungskunden weit über das bisherige Maß hinaus über Portale digital angeboten. Diese Umstellung und die Menge der Leistungen erfordern eine angepasste Absicherung und bieten zusätzliche Angriffsflächen und –Möglichkeiten.

In ihren Grußworten unterstrichen der Präsident des BSI, Herr Arne Schönbohm, der Beauftragte für Informationstechnologie (CIO) des Freistaates Sachsen, Herr Staatssekretär Thomas Popp und der Präsident des Sächsischen Städte- und Gemeindetages, Herr Bert Wendsche, die zunehmende Bedeutung der Informationssicherheit.

Herr Popp verwies auf die besondere Rolle der Kommunen, wo ein Großteil der Leistungen für Bürger und Unternehmen erbracht wird. Er betonte, dass Land und Kommunen die gesteckten Ziele nur gemeinsam erreichen können und sah hier mit dem Sächsischen Informationssicherheitsgesetz (SächsISichG), dem Sicherheitsnotfallteam SAX.CERT und dem BSI-zertifizierten Verwaltungsnetz SVN/KDN gute Voraussetzungen für Sachsen. Klar sei auch, dass Informationssicherheit Geld, qualifiziertes Personal und Zeit kostet.
Sein Appell, eine/n Beauftragte/n für Informationssicherheit nach dem SächsISichG  zu benennen, richtete sich an ca. die Hälfte der sächsischen Kommunen, welche dieser Vorschrift noch nicht nachgekommen sind.
Ohne Informationssicherheit kann die Digitalisierung der Verwaltung nicht gelingen.

Die SAKD möchte mit diesem Sondernewsletter den Interessenten, welche an der Roadshow nicht teilnehmen konnten, die Möglichkeit geben, die allgemein anwendbaren Informationen im Nachhinein aufzunehmen. Die Darstellungen in der Roadshow wurden durch Informationen und Einschätzungen der SAKD ergänzt.

Das SächsISichG und die SAKD empfehlen den Kommunen, ihr Informations-Sicherheits-Management-System (ISMS) nach den Standards 200-x des BSI aufzubauen¹⁾. Diese Vorgehensweise spart durch die Nachnutzung der Vorarbeiten des BSI Ressourcen und sichert die Durchgängigkeit und Vergleichbarkeit der umgesetzten Maßnahmen.
Neben den Bausteinen des darin enthaltenen Kompendiums bietet das BSI ergänzende Informationen, wie Profile und Handlungsanweisungen, an.
Jüngste Veröffentlichung ist die Version 3 des kommunalen Profils zum BSI-IT-Grundschutz²⁾, welches Kommunen als Vorlage zur Anpassung an die eigene IT-Umgebung dient.
In den Vorträgen wurde ein kontinuierlicher Ausbau dieser Informationen angekündigt.
Einige davon werden nur einer abgegrenzten Nutzergruppe angeboten. Kommunen sind hier teilnahmeberechtigt und sollten entsprechende Zugänge beim BSI³⁾ und der Allianz für Cybersicherheit (ACS)⁴⁾ beantragen.
Empfohlen sei an dieser Stelle auch das IT-SiBe-Forum⁵⁾ des deutschen Landkreistages.
Ein Vortrag ging speziell auf den Umgang mit Ransomware-Angriffen⁶⁾⁷⁾ ein. Diese Art von Angriffen nimmt momentan zu, da sie für Cyberkriminelle aufgrund erpresster Lösegelder sehr lukrativ sind und entsprechende Software verhältnismäßig leicht zugänglich ist. Gerade Letzteres birgt auch für kleinere Organisationen die Gefahr, Opfer weniger professionell vorgehender Angreifer zu werden.

Den Vortrag zu den Angeboten des SAX.CERT hielt dessen Leiter Herr Prof. Dr. Karol Kozak. Neben den auch für kommunale Behörden kostenlos verfügbaren Diensten⁸⁾

• Produktbezogener Schwachstellenmeldedienst - Vulnerability Advisory Service
• Webseitenscans
• Meldung veröffentlichter Identitätsdaten - Identity Leak Checker
• Angreifererkennung im eigenen Netz - HoneySens

übermittelt das SAX.CERT Informationen zu Sicherheitsrisiken und Lageberichte an die benannten Beauftragten für Informationssicherheit der Kommunen und nimmt Meldungen nach §§16/17 SächsISichG⁹⁾ von den Kommunen entgegen.
Darüber hinaus leistet es bei Vorfällen in Kommunen konkrete Hilfe und bezieht bei Erfordernis das CERT des BSI ein.

Mit der Benennung eines Beauftragten für Informationssicherheit wird also nicht nur dem Gesetz genüge getan, sondern eine zielführende Zusammenarbeit der zuständigen Personen erst ermöglicht.

Um den obigen Appell von Herrn Popp zu untersetzen, müssen die Kommunen bei der Umsetzung weiter unterstützt werden. Die SAKD, die kommunalen Spitzenverbände und der Freistaat Sachsen erstellen hierfür gerade einen kurz- bis mittelfristigen Maßnahmenplan. Erster Punkt wird die Durchführung von weiteren Schulungen zum IT-Grundschutzpraktiker in diesem Jahr sein.

Ergänzend stellt die SAKD auf ihrer Homepage¹⁰⁾ Informationen grundsätzlicher Art oder aus aktuellem Anlass zur Verfügung.

Den wesentlichen Punkten zur Initiierung eines Informationssicherheits-Managementsystems (ISMS) nach der BSI-Grundschutz-Methodik widmete sich ein weiterer Vortrag des BSI:

1. Übernahme der abschließenden Gesamtverantwortung der Behördenleitung und Sicherstellung des Informationsflusses
2. Ernennung einer/s Informationssicherheitsbeauftragten
3. Initiierung der Erstellung und Fortschreibung einer Informationssicherheitsleitlinie
4. Unterstützung der/s Informationssicherheitsbeauftragten
5. Bereitstellung der erforderlichen Software als Dokumentations-und Prozesssteuerungswerkzeuge
6. Aktives und widerspruchsfreies Vorleben von Informationssicherheit

Auf das schon weiter oben erwähnte „IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung“ wurde detailliert eingegangen. Die in der Vergangenheit oft als kompliziert wahrgenommene Anwendung der BSI-Grundschutz-Methodik hat sich mit der grundlegenden Reform 2017 und den jetzt zur Verfügung stehenden Unterlagen wesentlich vereinfacht.
Das Wissen des BSI und seiner Partner steht in Form des Grundschutzkompendiums¹¹⁾, Handreichungen und Blaupausen kostenlos zur Verfügung. In Verwaltungsebenen übergreifenden Projekten wird zunehmend die Anwendung der BSI-Standards vorausgesetzt.

Laut Vortrag ist momentan die Erarbeitung weiterer ausführlicher kommentierter Vorlagen zu den sogenannten A0-Dokumenten¹²⁾ in Arbeit (z. B. Leitlinie zur Informationssicherheit, Richtlinie zur Risikoanalyse). Beispielhaft stehen diese schon seit einiger Zeit für die fiktive Firma Recplast¹³⁾ zur Verfügung.

Auf die Frage der Personalbedarfsermittlung (PBE) zur Beauftragung als BfIS geht die im Nachgang der Roadshow übermittelte Liste zur Beantwortung von Fragen (FAQ) ein.
Demnach hängt diese bei der umfänglichen Ausführung der Aufgaben eines BfIS mit eigenem Personal von den Umständen, wie

• konkrete Ausgestaltung der Aufgabe,
• Mitarbeitendenverantwortung (z. B. BfIS als Leitung eines Informationssicherheitsmanagementteams),
• Größe der Gemeindeverwaltung,
• welche Dienstleistungen von der Gemeinde konkret erbracht werden,
• Stand der Umsetzung der Anforderungen des IT-Grundschutzes,
• das angestrebte Niveau der Umsetzung des IT-Grundschutzes und
• Betrieb der Dienstleistungen im eigenen Haus oder im Rechenzentrum (Outsourcing, Cloud-Betrieb)

ab.

Der genaue Bedarf sollte durch eine PBE nach einem standardisierten Verfahren ermittelt werden. Das Bundesministerium des Innern und für Heimat (BMI) stellt dafür ein Organisationshandbuch¹⁴⁾ zur Verfügung.

Zur Thematik passende Informationen bietet auch die SAKD auf ihrer Homepage¹⁵⁾ an (z. B. PBE, Beauftragung externer Dienstleister: Anbieter, vertragliche Regelungen).

Der Informationsverbund zur Erbringung von Online-Verwaltungsleistungen im Kontext des OZG besteht in der Regel aus vielen regional und organisatorisch verteilten Komponenten. Angefangen von der Ausstattung des Verwaltungskunden über Netzsegmente, Internet-Portale, Datendrehscheiben (Integrationsdienste) bis hin zum Fachverfahren und den Arbeitsplätzen der kommunalen Verwaltung müssen diese Komponenten sicher zusammen arbeiten.

Gegenüber den Verwaltungskunden ist die Kommune für die Informationssicherheit verantwortlich. Demzufolge bestimmt sie den erforderlichen Schutzbedarf je Verwaltungsleistung, vorzugsweise nach der IT-Grundschutz-Methodik des BSI. Sie teilt sich diese Verantwortung mit den Betreibern der nachgelagerten Komponenten. Entsprechende Verträge und Nutzungsvereinbarungen müssen inhaltlich den festgelegten Schutzbedarf abbilden.

Zum Beispiel ist in Sachsen das Portal Amt24 zentraler Bestandteil der OZG-Umsetzung. Die Kommunen nutzen dieses auf der Basis einer Mitnutzungsvereinbarung¹⁶⁾ und allgemeinen Nutzungsbedingungen. Teil der Nutzungsbedingungen ist implizit auch die Freigabe von Amt24 für die Verarbeitung von Daten mit dem Schutzbedarf HOCH (Schreiben des CIO an Bürgermeister und Landräte vom 14.04.2022).

Auf weitere Akteure in diesem Informationsverbund geht ein Fachartikel¹⁷⁾ der SAKD ein.

Das aber auch von anderer Seite Anforderungen an das Schutzniveau des Informationsverbundes gestellt werden, verdeutlichte ein weiterer Vortrag des BSI. So bestimmt das Bundesministerium des Innern und für Heimat (BMI) zum Schutz des Verbundes der Länder- und Bundesportale (Portalverbund)¹⁸⁾ mit einer IT-Sicherheitsverordnung Portalverbund (ITSiV-PV)¹⁹⁾ nach §5 OZG Mindestanforderungen an verbundene Systeme.
Im Portalverbund werden z. B. Daten zur Ermittlung der Zuständigkeit und der Bestätigung von Identitäten ausgetauscht. Mit den Mindestanforderungen soll einer Gefährdung des Verbundes vorgebeugt werden.

Bei der Anbindung an den Verbund wird in mittelbar und unmittelbar unterschieden. Eine unmittelbare Anbindung hat höhere Auflagen für die angebundenen Komponenten zur Folge.

Bei der Abwägung spielt vor allem eine Rolle, welches Schadenspotential angebundene Systeme haben und wie diese im Portalverbund abgewehrt werden. Dabei ist es sinnvoll, die Abwehr zentral zu organisieren, anstelle vielfach in der Peripherie.
Für Kommunen, welche die Dienste der Komm24 GmbH / KISA in Anspruch nehmen ist momentan von einer mittelbaren Anbindung auszugehen. Verpflichtend nach ITSiV-PV ist demnach „nur“ ein ISMS nach dem BSI-IT-Grundschutz mit der Vorgehensweise „Basisabsicherung“.

Bei der engeren Verbindung von (kommunalen) Online-Diensten mit Amt24 ist genauer hinzuschauen. Unter Umständen ergibt sich eine unmittelbare Anbindung mit den Auflagen Penetrationstests, Webchecks, Einhaltung bestimmter technischer Richtlinien und eine Absicherung nach der Vorgehensweise „Standardabsicherung“.

Informationstechnik ist seit geraumer Zeit für ein modernes Verwaltungshandeln unverzichtbar. Mit dem durch das OZG geförderten E-Government verlagern sich die Prozesse zunehmend in teils öffentliche Netze. Damit werden sie sichtbarer und angreifbarer. Umso mehr müssen bei deren Implementierung Entwicklung, Einrichtung und Informationssicherheit Hand in Hand gehen.
Bei der Umsetzung des  OZG stehen alle Verwaltungsebenen in der Verantwortung die Daten der Verwaltungskunden zu schützen und die eigene Arbeitsfähigkeit aufrecht zu erhalten.

In Sachsen arbeiten der Freistaat, die kommunalen Spitzenverbände, die Komm24 GmbH, die KDN GmbH und die SAKD gemeinsam an günstigen Rahmenbedingungen für die sächsischen Kommunen.
Viele Kommunen sind schon lange auf einem guten Weg. Die Umgebung ändert sich fortlaufend. Verbesserungen sind immer möglich.

Bei Fragen oder Anmerkungen zu diesem Newsletter wenden Sie sich bitte an Herrn Jürgen Kretschmer (E-Mail: kretschmer(at)sakd.de, Tel.: +49 3594 775256).

¹⁾ BSI: Standards
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html

²⁾ BSI: IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Basis_Absicherung_Kommunalverwaltung.html

³⁾ BSI: Zugangsbeschränkter Bereich für Länder und Kommunen
https://www.bsi.bund.de/Login/Login/login_node.html

⁴⁾ ACS: Zugangsbeschränkter Bereich für Länder und Kommunen
https://www.allianz-fuer-cybersicherheit.de/Login/Login/login_node.html

⁵⁾ DLKT: IT-SiBe-Forum
https://it-sibe-forum.de/

⁶⁾ BSI: Ransomware - Managementabstract Fortschrittliche Angriffe
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Managementabstract-Angriffe.html

⁷⁾ BSI: Ransomware: Bedrohungslage, Prävention & Reaktion 2021
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf

⁸⁾ SAX.CERT: Dienste für Land und Kommunen
https://www.cert.sachsen.de/dienstleistungen-3967.html

⁹⁾ Revosax: Sächsisches Informationssicherheitsgesetz
https://www.revosax.sachsen.de/vorschrift/18349-Saechsisches-Informationssicherheitsgesetz

¹⁰⁾ SAKD: Homepage zur Informationssicherheit
https://www.sakd.de/sicherheit_warnmeldungen.html

¹¹⁾ BSI: Grundschutz-Kompendium
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

¹²⁾ BSI: Liste der Referenz-Dokumente
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Muster_Referenzliste_UEA_pdf.pdf

¹³⁾ BSI: Arbeitsbeispiel Recplast GmbH
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html

¹⁴⁾ BMI: Online-Organisationshandbuch
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/orghandbuchNeu-node.html

¹⁵⁾ SAKD: ISMS nach BSI-Grundschutz-Methodik
https://www.sakd.de/is_isms_bsi_grundschutz.html

¹⁶⁾ SVN/KDN-Extranet: Sächsische E-Government-Plattform - Mitnutzungsvereinbarung
https://www.extranet.egovernment.sachsen.de/download/20191223_Kommunale_Mitnutzungsvereinbarung.pdf

¹⁷⁾ SAKD: Informationssicherheit bei der Umsetzung des Online-Zugangs- Gesetzes
https://www.sakd.de/ozg_informationssicherheit.html

¹⁸⁾ BMI: Info zum Portalverbund
https://www.onlinezugangsgesetz.de/Webs/OZG/DE/umsetzung/ozg-infrastruktur/portalverbund/portalverbund-node.html

¹⁹⁾ BMJ: Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten
http://www.gesetze-im-internet.de/itsiv-pv/