Jonathan Stoklas

3. Kommunale IT-Sicherheitskongress: Alle Wege führen nach Rom?


Am 9. und 10.5.2016 hat in Berlin der 3. Kommunale IT-Sicherheitskongress stattgefunden. Die Veranstaltung wurde in Abstimmung mit dem Deutschen Städtetag (DST) und dem Deutschen Städte- und Gemeindebund (DStGB) durch den Deutschen Landkreistag (DLT) organisiert und richtete sich primär an Praktiker auf kommunaler Ebene, vor allem IT-Sicherheitsbeauftragte.

ZD-Aktuell 2016, 05146     Zunächst wurde den Teilnehmenden von Andreas Könen (Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik) ein Überblick über die aktuelle IT-Sicherheitslage verschafft. IT-Sicherheit wurde dabei mit einem Eisberg verglichen: Der größte Teil ist unter Wasser und erst dann sichtbar, wenn ein Schiff dagegen fährt. Während also für die IT-Sicherheit mitunter große Anstrengungen und Investitionen erforderlich sind, wird deren Notwendigkeit erst dann sichtbar, wenn ein Vorfall bekannt wird. Als Beispiel für solche Vorfälle wurden die Kompromittierung der IT-Systeme in einem Krankenhaus mit einem Crypto-Trojaner sowie die Manipulation der Steuerungssoftware in einem Stahlwerk und der damit verbundenen massiven Beschädigung der Anlage genannt.

 

Hinsichtlich aktueller Trends bei den „Cyber-Gefahren“ wurde ausgeführt, dass die Anzahl kritischer Schwachstellen in Standard-Software in den Jahren 2011 bis 2014 in etwa auf demselben Niveau geblieben war, lediglich in 2015 sei ein Anstieg zu verzeichnen. Seit Mitte 2012 sei außerdem die zunehmende Nutzung von sog. „Ransomware" wie CryptoLocker, TeslaCrypt oder Locky zu verzeichnen. Dabei handelt es sich um Schadprogramme, die durch Verschlüsselung der auf dem Computer und teils auch auf Netzlaufwerken gespeicherten Daten eine Nutzung des Systems verhindern; eine Entschlüsselung wird gegen Zahlung eines „Lösegelds“ angeboten. Die Bedrohungslage sei hier vor allem im letzten halben Jahr noch einmal deutlich gestiegen.

 

Sodann wurde von Franz-Reinhardt Habbel (Deutscher Städte- und Gemeindebund) die Rolle der Kommunen bei der IT-Sicherheit erläutert. Der Lebensalltag der Bürger finde demnach auf lokaler Ebene statt, während sich dort aber auch gleichzeitig globale Ängste manifestierten. Durch die voranschreitende Digitalisierung sehen sich Kommunen in einer Vielzahl von Bereichen mit dem Thema IT-Sicherheit konfrontiert, z.B. bei der Mobilität, der Energie- und Wasserversorgung oder der Gesundheitsvorsorge. Die IT-Sicherheit solle daher als ein breitgefächerter Begriff verstanden werden und im Portfolio jeder Kommune Erwähnung finden. Auch in puncto Vertrauen wurde die Wichtigkeit von IT-Sicherheit betont: Bürgermeister würden ähnlich großes Vertrauen genießen wie die Bundeskanzlerin, IT-Sicherheitsvorfälle könnten dieses Vertrauen jedoch schädigen.

 

Um die IT-Sicherheit in den Kommunen zu stärken, müsse sie nicht als Projekt, sondern als Prozess verstanden werden, der in die Verwaltungsaufgaben integriert werden müsse. Der Bedarf und die Ausgaben würden in den nächsten Jahren steigen, sodass den anwesenden Vertretern der Kommunen geraten wurde, die Thematik möglichst bald mit den zuständigen Entscheidungsgremien zu diskutieren.

 

Um einen besseren IT-Sicherheitsstandard in den Kommunen zu etablieren, wurden verschiedene Instrumente vorgestellt. So wurde, wiederum von Andreas Könen, u.a. die aktuell stattfindende Modernisierung des IT-Grundschutzes durch das BSI vorgestellt. Der Grundschutz verfolge einen ganzheitlichen Ansatz mit dem Ziel, geschäftsrelevante Informationen zu schützen. Insofern würden beim Grundschutz infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen aufgegriffen. Die Notwendigkeit der aktuell durchgeführten Modernisierung ergäbe sich aus dem Umstand, dass die Anfänge des Grundschutzes bereits vor 20 Jahren gelegt wurden und somit die Anforderungen neu überdacht werden müssten. Dabei würde auf dem alten Grundschutz aufgebaut, um Kontinuität zu gewährleisten. Neben den sich stetig ändernden Anforderungen an IT-Sicherheit solle außerdem der Bedarf der Anwender an aktuellen und praxisnahen Verfahren Berücksichtigung finden. Eine bessere Skalierbarkeit des IT-Grundschutzes an die Größe der Institution und den Schutzbedarf sollten ebenso erreicht werden wie eine Flexibilisierung der Vorgehensweise und eine beschleunigte Umsetzung von Sicherheitsmaßnahmen. Ein weiterer Kernaspekt der Modernisierung sei zudem die Verschlankung der IT-Grundschutz-Kataloge. Dabei sollen separate Ressourcen mit einem Umfang von zehn Seiten zum Einsatz kommen.

 

Ein weiteres Element des modernisierten IT-Grundschutzes sei außerdem der Einsatz von Profilen. Diese Profile fungieren als eine Art Schablone und sollen es dem Anwender ermöglichen, den IT-Grundschutz auf die eigenen Bedürfnisse anpassen zu können. Beim IT-Grundschutz werde außerdem zwischen drei verschiedenen Schutzniveaus unterschieden: Der „Basisabsicherung“, der „Standardabsicherung“ und der „Kernabsicherung“. Während die Basisabsicherung lediglich die größten Risiken minimiert und damit „noch im Bereich der Fahrlässigkeit“ liege, sollen bei der Standardabsicherung die Risiken möglichst minimiert werden. Die Kernabsicherung schließlich soll die essenziellen Werte einer Institution schützen. Der modulare Aufbau des modernisierten IT-Grundschutzes ermöglicht es, bei der Etablierung konstanter IT-Sicherheitsstandards auf die konkrete Situation in einer Kommune einzugehen und die weitere Vorgehensweise entsprechend zu gestalten, sich also z.B. erst auf eine flächendeckende Basisabsicherung oder eine effektive Kernabsicherung zu konzentrieren, bevor eine detaillierte Analyse erfolgt.

 

Als Alternative zum IT-Grundschutz wurde von Alfons Marx (MATERNA GmbH) ISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten) vorgestellt. ISIS12 wurde zunächst für KMUs entwickelt und soll die einfache Etablierung eines „Information Security Management Systems“ ermöglichen, also eine Aufstellung von Verfahren und Regeln zur Definition, Etablierung und fortdauernden Optimierung der IT-Sicherheit. Dabei würden auch Aspekte des IT-Grundschutzes aufgenommen, sodass ein späteres Upgrade ermöglicht wird. Inzwischen ist ISIS12 auch für Kommunen verfügbar.

 

Zuletzt wurde in einem Impulsvortrag von Michael Wiesner (Wiesner GmbH) die VdS-RL 3473 vorgestellt. Auch hier werden Mindestanforderungen an die Informationssicherheit insb. für kleine und mittlere Unternehmen (KMU) festgelegt. Dies solle Versicherungen die Möglichkeiten geben, Policen für die Deckung von Cyber-Risiken anzubieten. Die RL biete dabei ein geringeres Schutzniveau als der IT-Grundschutz, solle aber dem Pareto-Prinzip folgend mit nur 20% Aufwand 80% des Erfolgs sichern. Da die RL branchenneutral sei, könne sie auch von Kommunen adaptiert werden.

 

Der IT-Sicherheitskongress hat deutlich gezeigt, dass IT-Sicherheit in den Kommunen in den nächsten Jahren an Bedeutung gewinnen wird. Gleichzeitig zeigt er jedoch auch das Dilemma der IT-Sicherheit auf: Maßnahmen, die vermeintlich erforderlich sind, sind auf Grund ihrer Kosten vermeintlich nicht mehr angemessen. In Zeiten zunehmender Kommunalverschuldung dürfte es eine gewisse Verlockung geben, auf die weniger aufwändigen, aber auch weniger umfangreichen Standards von ISIS12 oder VdS-RL 3473 zu setzen. Dabei ist es sicher besser, mit kleinen Schritten zu beginnen, als nichts zu tun. Zu bedenken ist jedoch, dass beide präsentierten Konzepte zunächst für KMUs entwickelt wurden, die nicht über die Ressourcen verfügen, die umfangreichen Standards des IT-Grundschutzes umzusetzen. Es ist fraglich, ob diese Wertung ohne weiteres auf Kommunen und Behörden projiziert werden kann: Zuständigkeiten sind gesetzlich geregelt und Bürger haben, anders als in der freien Wirtschaft, keine Auswahlmöglichkeiten. Die Möglichkeit einer Risikoabwägung, die jedem Bürger bei der Nutzung eines Produkts oder Services zur Verfügung steht, existiert hier also gerade nicht. Demgegenüber haben aber alle Bürger - unabhängig von der Größe ihrer Kommune - ein Interesse daran, dass ihre Daten unter Einhaltung gleichmäßig hoher IT-Sicherheitsstandards verarbeitet werden. Das Verständnis dafür, in kleineren Kommunen nur ein niedrigeres Schutzniveau zu gewährleisten, dürfte sich in Grenzen halten.

 

Vereinfachte Verfahren wie in ISIS12 und der VdS-RL 3473 bergen jedoch ein gewisses Risiko, dass genau dieser Effekt eintritt: Wenn sich eine Kommune zur Nutzung eines solchen Konzepts entscheidet, dürfte fraglich sein, ob es weitere Bestrebungen geben wird, die höheren Standards des IT-Grundschutzes zu erreichen. Beide Konzepte bieten sicherlich die Möglichkeit eines einfachen Einstiegs in die Thematik, sollten jedoch nicht als falscher Anreiz verstanden werden, nur ein Minimum an Ressourcen in die IT-Sicherheit zu investieren. IT-Sicherheit darf schließlich nicht als Projekt gesehen werden, sondern ist ein fortlaufender Prozess.

 

Jonathan Stoklas ist wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Leibniz Universität Hannover.