Methodische Herangehensweise

Die SAKD empfiehlt den sächsischen Kommunen als Herangehensweise zur Etablierung eines Informations-Sicherheits-Management-Systems (ISMS) die IT-Grundschutzmethodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Die Verwendung einer etablierten Methodik sichert die getätigten Investitionen nachhaltig, erleichtert die Zusammenarbeit mit anderen Akteuren und das Ergebnis ist zertifizierbar.

Die BSI-Methodik verfolgt dabei einen ganzheitlichen Ansatz indem sie neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen einbezieht. Sie wird durch das BSI laufend an den Stand der Technik angepasst und steht in Verbindung mit zahlreichen unterstützenden Informationen kostenlos zur Verfügung.

Der BSI-Grundschutz besteht aus den Standards

• 200-1: Grundlegende Anforderungen an ein ISMS, Komponenten, Aufgaben
• 200-2: Methodik zum schrittweisen Aufbau und zur Aufrechterhaltung eines ISMS
• 200-3: Verfahren zur Risikoanalyse
• 200-4: Business Continuity Management (BCM)

und den Bausteinen des Kompendiums und den darin enthaltenen

• Anforderungen,
• Gefährdungen und
• Umsetzungshinweisen zu technischen und organisatorischen Maßnahmen (TOM).

Weitere Details nennt eine entsprechende BSI-Broschüre.

Die Einarbeitung in die Methodik erfordert Lernaufwand.
Zur Unterstützung bietet das BSI die Online-Kurse "Informationssicherheit mit IT-Grundschutz" und "Notfallmanagement" an.

Auf der Plattform der Allianz für Cybersicherheit werden zum Teil kostenlose  Schulungen für eine begrenzte Teilnehmerzahl angeboten. Die Allianz ist ein vom BSI getragenes Netzwerk von mehr als 5000 Unternehmen und Institutionen (Stand 12/2021) der IT-Branche. Es dient dem Erfahrungsaustausch und veröffentlicht regelmäßig Informationen zur Gefährdungslage. Zur Teilnahme an den Schulungen ist eine Registrierung erforderlich.

Ergänzend zählt auf der Homepage des BSI eine Liste Organisationen auf, welche kostenpflichtige Schulungen zum IT-Grundschutz-Praktiker/Berater nach einem verbindlichen Curriculum anbieten.

Zum Einstieg in den IT-Grundschutz hat die AG kommunale Basis-Absicherung (AG KoBa) ein IT-Grundschutz-Profil entwickelt, welches die Mindestsicherheitsmaßnahmen zur Erreichung einer Absicherung einer Kommunalverwaltung in der Breite beschreibt.

Aufgrund oftmals begrenzter Ressourcen stellt die Einarbeitung in die Grundschutz-Systematik eine Hürde dar, welche zahlreiche Kommunen von einer Anwendung des Profils abhält. Um auch diese Kommunen mitzunehmen, soll diesen der "Weg in die Basisabsicherung" durch gleichnamiges Projekt (WiBA) geebnet werden.
Eine Projektgruppe unter Beteiligung von 6 Modellkommunen (zwei Gemeinden, zwei mittelgroße Städte, eine größere Stadt, ein Landkreis) erarbeitete dafür 18 Checklisten, wobei "mittels Prüffragen, zusammengefasst in themenspezifischen Checklisten, die Möglichkeit geschaffen werden soll, auch ohne tiefere Kenntnis der Methodik, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren."
Mappingtabellen zwischen WiBA und IT-Grundschutz sollen dann die Weiterentwicklung in ein systematisches ISMS erleichtern