Wie sicher sind wir wirklich? Unsere Talkrunde anlässlich der interface 2025 beleuchtete die oft unterschätzte Lücke zwischen theoretischen Sicherheitsrichtlinien und den realen Herausforderungen durch Cyberangriffe.
Rund 11.000 Kommunen gibt es in Deutschland, deren IT-Landschaft sich stark unterscheidet. Die meisten Kommunen sind mit weniger als 80.000 Einwohnern vergleichsweise klein – und nicht jede von ihnen hat einen Sicherheitsbeauftragten.
BSI-Grundschutz wird derzeit vereinfacht
Daher ist es gerade für kleinere Kommunen oft schwierig, den teilweise komplexen BSI-Grundschutz umzusetzen. „Wir arbeiten derzeit an einer Vereinfachung“, sagt Referatsleiterin Stefanie Euler vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Allerdings: „Gut aufgestellte IT-Sicherheit ist nicht von der Größe abhängig“ so Geschäftsführer Wolfgang Strasser vom Incident-Response-Dienstleister @yet. „Schon mit der Bewusstseinsschärfung bei den Verwaltungsspitzen ist viel gewonnen und die kann jede Kommune vornehmen.“
5 Empfehlungen der Talkrunde
mit Stefanie Euler, Wolfgang Strasser und Thomas Stasch (CISO regio iT):
- Bewusstseinsschärfung bei den Verwaltungsspitzen
- Rahmenbedingungen klären: Wie arbeite ich mit einem Dienstleister zusammen? Kooperieren wir mit einer anderen Kommune?
- ISO 27001 ist gut, BSI-Grundschutz ist besser. Generell sollte man daran denken, Netze, Systeme und das Rechenzentrum abzusichern; Prozessbeschreibungen sind gut, wichtig ist aber dann, auch die Technik sauber und regelmäßig nachzuziehen. In Umgebungen, in denen keine Informationssicherheit etabliert ist, findet man mehr gehackte Umgebungen und erfolgreiche Angriffe als beim angewendeten BSI-Grundschutz.
- Mit Nachbarkommunen austauschen, die gleiche Fachverfahren haben.
- Professionelles „Security Operations Center (SOC)“ sowie „Red und Blue Teaming“, regelmäßige Awarenessschulungen, Notfallplanung und Notfallübungen
Welche APT-Response Maßnahmen (Advanced Persistent Thread) sollte man unbedingt umsetzen für eine gute Basissicherheit?
- Sauber durchgezogene Netzsegmentierung
- Sauber aufgesetzte Active Directory (AD)-Szenarien: ein sauber vom Netz und vom Active Directory getrenntes Backup; physische Trennung von Backups
- User-Rechte minimieren: je weniger Admin-Rechte, desto besser
- Härtungsmaßnahmen
- Immer die neusten Updates (sauber patchen)
- Abgesicherte VPN-Zugänge
- Multi-Faktor-Authentifizierung
- Firewall – immer auf die neueste Technologie setzen
Das KomCERT der regio iT koordiniert und unterstützt mit vorbeugenden, reaktiven und nachhaltigen Maßnahmen bei Sicherheitsvorfällen und gibt vorbeugende Handlungsempfehlungen zur Vermeidung von Vorfällen. Zurzeit werden die Experten etwa jede zweite Woche wegen eines kommunalen Sicherheitsvorfalls aktiv.
Hilfreiche Links:
> WIBA – Weg in die Basis-Absicherung: Sanfter Einstieg in den BSI-Grundschutz mit der WiBA-Methodik– wird von manchen Ländern gefördert
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA_node.html
> Freiwillige Meldung beim BSI: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Kritische-Infrastrukturen-und-meldepflichtige-Unternehmen/Ich-muss-oder-moechte-einen-IT-Sicherheitsvorfall-melden/ich-muss-oder-moechte-einen-it-sicherheitsvorfall-melden.html
> Video-Vortrag Dr. Stefan Wolf, regio iT – Im Spiel bleiben: https://www.youtube.com/watch?v=4XxPrM7mJjg
Sie wollen die Expertise unseres KomCERT nutzen? Schreiben Sie uns an vertrieb@regioit.de!