Eine Basisabsicherung kann als Einstieg und Grundlage für eine umfassende Absicherung nach IT-Grundschutz dienen. Sie ist insbesondere für Organisationen interessant, die einen Einstieg in den IT-Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern wollen.
Cybercrime
Da Bundeskriminalamt und der Digitalverband Bitkom stellten im August diese Jahres das „Bundeslagebild Cybercrime 2022“ vor. Danach befinden sich Straftaten im Bereich Cybercrime in Deutschland weiterhin auf einem Rekordhoch. Behörden registrierten im vergangenen Jahr 136.865 Fälle von Cybercrime und bezifferten den damit verbunden Schaden im Wirtschaftsschutzbericht 2022 auf 203 Milliarden Euro. Das Schadenspotential durch Cybercrime rangiert damit nach wie vor auf den obersten Plätzen.
Weg in die Basisabsicherung
Mit dem Projekt „Weg in die Basisabsicherung (WiBA)“ unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) beim Einstieg in den IT-Schutz. Hierzu wurden 18 Checklisten für Kommunen als Community Draft veröffentlicht und bestehen aus Prüffragen und Umsetzungshilfen für die dringendsten Sicherheitsmaßnahmen. Auch kleine und mittelständige Unternehmen können sich diesen Ansatz als niederschwelligen Einstieg zu Nutze machen.
Bis zum 15. September 2023 konnten alle die einen Beitrag leisten wollten, das Dokument kommentieren und die endgültige Veröffentlichung des WiBA ist für Oktober 2023 vorgesehen.
Checklisten des BSI
Die 18 Checklisten befassen sich mit den technischen-organisatorischen Maßnahmen zur IT-Sicherheit und gliedern sich wie folgt:
- Arbeit außerhalb der Institution
- Arbeit innerhalb der Institution / Haustechnik
- Backup
- Bürosoftware
- Client
- Drucker und Multifunktionsgeräte
- IT-Administration
- Mobile Endgeräte
- Netze
- Organisation und Personal
- Outsourcing und Cloud
- Rollen / Berechtigungen / Authentisierung
- Serverraum
- Serversysteme
- Sicherheitsmechanismen
- Telefonie und Fax
- Umgang mit Informationen
- Vorbereitung für Sicherheitsvorfälle
Die Checkliste zum Backup enthält die folgenden sieben Fragen:
- Ist festgelegt, welche Daten gesichert werden?
- Ist festgelegt, in welchen zeitlichen Abständen die Daten gesichert werden?
- Ist festgelegt, auf welchem Speichermedium die Daten gespeichert werden?
- Ist festgelegt, wie lange Backups vorgehalten werden müssen?
- Wird ein geeignetes Backupsystem eingesetzt?
- Werden die Datensicherungen im Hinblick auf Vertraulichkeit, Verfügbarkeit und Integrität angemessen abgesichert?
- Werden Backups regelmäßig getestet?
Die Basisabsicherung wird durch drei Schritten vorgenommen:
Bestandsaufnahme
Hier wird die jeweilige IT-Landschaft erfasst und die wichtigsten IT-Systeme und ‑Prozesse identifiziert, welche für die Erfüllung der Aufgaben notwendig sind.
Basis-Absicherung
Die Checklisten des BSI sind anzuwenden, um die Basis-Absicherung für die ausgewählten IT-Systeme und ‑Prozesse zu erreichen. Die Checklisten enthalten konkrete Maßnahmen, die auf den IT-Grundschutz-Standards basieren.
Weiterentwicklung
Anschließend ist regelmäßig die Wirksamkeit der Basis-Absicherung zu überprüfen und sind möglichst weitere Verbesserungen der IT-Sicherheit vorzunehmen.
Was nun?
Beim Thema Backup dürften die meisten erst unruhig werden, wenn ein Problem auftaucht, doch dann ist es ja bekanntlich meistens zuspät. Zudem stellen sich beim Thema IT– und Informationssicherheit vielen kleinen Unternehmen viele Fragen und eine Zertifizierungen nach ISO 27001 oder dem IT-Grundschutz ist zudem komplex.
Hier bietet der „Weg in die Basis-Absicherung“ einen niedrigschwelligen und kostengünstigen Einstieg. Die bereitgestellten Dokumente bzw. Checklisten sind sogar kostenlos, doch bei dem Projekt sind auch die verschiedenen Faktoren, wie z.B. die Größe und Komplexität der IT-Landschaft, dem vorhandenen Personal und dem vorhandenen Know-how und dem Reifegrad der Organisation zu berücksichtigen. Als Start sind die kostenfreien Checklisten in jedem Fall eine gute Orientierung.
Das Projekt „Weg in die Basis-Absicherung“ ist ursprünglich an Verwaltungen adressiert, aber die Checklisten haben auch für die freie Wirtschaft eine Bedeutung und einen Nutzen, denn sie stehen frei zur Verfügung. Dies ermöglicht insbesondere Kleinstunternehmen einen Einstieg in die Thematik.
Wer zudem ein nach außen wirksames Zertifikat erhalten möchte, kommt auf Dauer um ein Informationssicherheits-Managementsystem (ISMS) nicht herum.
Also lassen Sie sich gut beraten.