Die Abkürzung WiBA steht für "Weg in die Basis-Absicherung" und ist ein Projekt des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieses Konzept richtet sich primär an Kommunalverwaltungen und bietet einen strukturierten Einstieg in die Informationssicherheit. Im Rahmen von WiBA werden Checklisten und Prüffragen zur Verfügung gestellt, die es Behörden und Institutionen ermöglichen, grundlegende Sicherheitsmaßnahmen systematisch zu erfassen und umzusetzen.
Was ist der Hintergrund von WiBA?
Mit der fortschreitenden Digitalisierung sind Städte und Gemeinden zunehmend auf IT-gestützte Verfahren angewiesen. Gleichzeitig steigen die Bedrohungen durch Cyberangriffe, die insbesondere die kommunale Ebene treffen können. Angriffe auf Behörden können gravierende Folgen haben, wie z. B. die Veröffentlichung sensibler Daten oder die Handlungsunfähigkeit von Verwaltungen. Informationssicherheit wird daher zu einem essenziellen Thema.
Jedoch fehlen vielen Kommunen die personellen und finanziellen Ressourcen, um etablierte Sicherheitsstandards wie den IT-Grundschutz oder ISO 27001 vollständig umzusetzen. Der Einstieg in die Informationssicherheit wird oft als zu komplex empfunden, weshalb das BSI mit WiBA eine praxisnahe und einfachere Lösung anbietet.
Für wen ist WiBA geeignet?
WiBA richtet sich primär an Kommunen und öffentliche Institutionen, die einen ersten Schritt in Richtung Informationssicherheit machen möchten. Es ist speziell für kleinere Organisationen konzipiert, die nicht über ausreichende Ressourcen verfügen, um komplexe Sicherheitsmanagementsysteme direkt umzusetzen.
WiBA eignet sich jedoch nicht für Institutionen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind, da diese strengere gesetzliche Vorgaben einhalten müssen. Auch Datenschutz- und Geheimschutzanforderungen werden in WiBA nicht gesondert betrachtet.
ABER: Auch für KMUs und kleinere Unternehmen kann WiBA ein guter Einstieg in die Informationssicherheit sein. Die Checklisten und Prüffragen bieten eine strukturierte Möglichkeit, den aktuellen Sicherheitsstatus zu erfassen und gezielt zu verbessern. Es sollten ggf. Anforderungen der eigenen Branche zusätzlich betrachtet werden. Speziell für Verantwortliche, die nicht wissen, wo sie anfangen sollen, bietet WiBA eine gute Orientierung.
Wie funktioniert WiBA?
Checklisten als Kern des WiBA?
Das Herzstück von WiBA sind die 19 Checklisten, die verschiedene Aspekte der Informationssicherheit abdecken. Diese Checklisten wurden auf Basis des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ entwickelt und bieten eine strukturierte Möglichkeit, den aktuellen Sicherheitsstatus einer Institution zu erfassen.
Beispielhafte Themen der Checklisten:
- Backup-Strategien
- Mobile Endgeräte
- IT-Administration
- Webserver
Bearbeitung der Checklisten
Die Checklisten sind in sich abgeschlossen und können unabhängig voneinander bearbeitet werden. Jede Checkliste enthält Fragen, die mit "Ja", "Nein" oder "Nicht relevant" beantwortet werden können. Für Fragen, die mit "Nein" beantwortet werden, sind entsprechende Maßnahmen zur Erfüllung umzusetzen. Dies ermöglicht es, die Umsetzung von Sicherheitsmaßnahmen Schritt für Schritt voranzutreiben.
Aufbau einer Checkliste:-
Zielobjekt
Das betrachtete Zielobjekt, z. B. Mail-Server oder Client. -
Anzahl der Prüffragen
Übersicht der Fragen in der jeweiligen Checkliste. -
Umsetzungsstatus
Welche Maßnahmen wurden bereits umgesetzt? -
Bearbeitungsdatum
Datum der letzten Bearbeitung. -
Bearbeiter
Die Person, die für die Bearbeitung der Checkliste verantwortlich ist.
Was sind die Ziele von WiBA?
WiBA bietet einen niedrigschwelligen Einstieg in die IT-Sicherheit, ohne dass tiefgehende Vorkenntnisse erforderlich sind. Ziel ist es, dass Kommunen die wesentlichen Sicherheitsanforderungen umsetzen, um ein grundlegendes Sicherheitsniveau zu erreichen. Es handelt sich jedoch nicht um ein vollständiges Informationssicherheits-Managementsystem (ISMS). Stattdessen wird WiBA als Vorbereitung auf die Einführung des IT-Grundschutzes gesehen.
Welche Schritte kommen nach WiBA?
WiBA ist nur ein erster Schritt in Richtung umfassender Informationssicherheit. Nach der erfolgreichen Umsetzung der WiBA-Checklisten wird empfohlen, in Richtung IT-Grundschutz bzw. IT-Standardabsicherung. Dieses Profil stellt höhere Anforderungen und ist der nächste logische Schritt zur Etablierung eines ISMS.
Mapping auf den IT-Grundschutz
Das BSI stellt eine Mappingtabelle zur Verfügung, die es Institutionen ermöglicht, zu prüfen, welche Anforderungen des IT-Grundschutzes bereits durch WiBA erfüllt werden. Dies erleichtert den Übergang von WiBA zum vollständigen IT-Grundschutz.
Anpeilung erster fokussierter Penetrationstests
Befindet man sich auf dem Weg in die Basisabsicherung, so ist es ratsam, erste fokussierte Penetrationstests durchzuführen. Diese Tests können gezielt Schwachstellen in den zentralen IT-Systemen aufdecken und helfen, die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen. Auch Schwachstellenscans können hilfreich sein, um potenzielle Angriffspunkte zu identifizieren.
Fazit zu WiBA
WiBA ist ein praxisorientierter Ansatz des BSI, der Kommunen und kleineren Institutionen und Firmen einen einfachen Einstieg in die Informationssicherheit ermöglicht. Mit Checklisten und gezielten Maßnahmen hilft WiBA, die wichtigsten Sicherheitsanforderungen zu erfüllen, ohne dabei den komplexen Rahmen eines vollständigen Sicherheitsmanagementsystems zu verlangen. Es ist der erste Schritt auf dem Weg zu einer umfassenden IT-Sicherheit, der langfristig durch den IT-Grundschutz ergänzt werden sollte.
Unterschiede zwischen WiBA und IT-Grundschutz
WiBA | IT-Grundschutz | |
---|---|---|
Zielgruppe | Kommunen, kleinere Institutionen | Alle Institutionen, einschließlich KRITIS |
Anforderungen | Basis-Sicherheitsanforderungen | Vollständiges ISMS |
Komplexität | Niedrigschwellig, einfacher Einstieg | Hohe Anforderungen, umfassend |
Fokus | Absicherung zentraler IT-Systeme | Ganzheitliche Informationssicherheit |
Gesetzliche Anforderungen | Nicht verpflichtend | Für KRITIS verpflichtend |
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.