Was ist WiBA/Weg in die Basisabsicherung?

Die Abkürzung WiBA steht für "Weg in die Basis-Absicherung" und ist ein Projekt des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieses Konzept richtet sich primär an Kommunalverwaltungen und bietet einen strukturierten Einstieg in die Informationssicherheit. Im Rahmen von WiBA werden Checklisten und Prüffragen zur Verfügung gestellt, die es Behörden und Institutionen ermöglichen, grundlegende Sicherheitsmaßnahmen systematisch zu erfassen und umzusetzen.

Was ist der Hintergrund von WiBA?

Mit der fortschreitenden Digitalisierung sind Städte und Gemeinden zunehmend auf IT-gestützte Verfahren angewiesen. Gleichzeitig steigen die Bedrohungen durch Cyberangriffe, die insbesondere die kommunale Ebene treffen können. Angriffe auf Behörden können gravierende Folgen haben, wie z. B. die Veröffentlichung sensibler Daten oder die Handlungsunfähigkeit von Verwaltungen. Informationssicherheit wird daher zu einem essenziellen Thema.

Jedoch fehlen vielen Kommunen die personellen und finanziellen Ressourcen, um etablierte Sicherheitsstandards wie den IT-Grundschutz oder ISO 27001 vollständig umzusetzen. Der Einstieg in die Informationssicherheit wird oft als zu komplex empfunden, weshalb das BSI mit WiBA eine praxisnahe und einfachere Lösung anbietet.

Für wen ist WiBA geeignet?

WiBA richtet sich primär an Kommunen und öffentliche Institutionen, die einen ersten Schritt in Richtung Informationssicherheit machen möchten. Es ist speziell für kleinere Organisationen konzipiert, die nicht über ausreichende Ressourcen verfügen, um komplexe Sicherheitsmanagementsysteme direkt umzusetzen.

WiBA eignet sich jedoch nicht für Institutionen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind, da diese strengere gesetzliche Vorgaben einhalten müssen. Auch Datenschutz- und Geheimschutzanforderungen werden in WiBA nicht gesondert betrachtet.

ABER: Auch für KMUs und kleinere Unternehmen kann WiBA ein guter Einstieg in die Informationssicherheit sein. Die Checklisten und Prüffragen bieten eine strukturierte Möglichkeit, den aktuellen Sicherheitsstatus zu erfassen und gezielt zu verbessern. Es sollten ggf. Anforderungen der eigenen Branche zusätzlich betrachtet werden. Speziell für Verantwortliche, die nicht wissen, wo sie anfangen sollen, bietet WiBA eine gute Orientierung.

Wie funktioniert WiBA?

Checklisten als Kern des WiBA?

Das Herzstück von WiBA sind die 19 Checklisten, die verschiedene Aspekte der Informationssicherheit abdecken. Diese Checklisten wurden auf Basis des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ entwickelt und bieten eine strukturierte Möglichkeit, den aktuellen Sicherheitsstatus einer Institution zu erfassen.

Beispielhafte Themen der Checklisten:

  1. Backup-Strategien
  2. Mobile Endgeräte
  3. IT-Administration
  4. Webserver

Bearbeitung der Checklisten

Die Checklisten sind in sich abgeschlossen und können unabhängig voneinander bearbeitet werden. Jede Checkliste enthält Fragen, die mit "Ja", "Nein" oder "Nicht relevant" beantwortet werden können. Für Fragen, die mit "Nein" beantwortet werden, sind entsprechende Maßnahmen zur Erfüllung umzusetzen. Dies ermöglicht es, die Umsetzung von Sicherheitsmaßnahmen Schritt für Schritt voranzutreiben.

Aufbau einer Checkliste:
  1. Zielobjekt
    Das betrachtete Zielobjekt, z. B. Mail-Server oder Client.
  2. Anzahl der Prüffragen
    Übersicht der Fragen in der jeweiligen Checkliste.
  3. Umsetzungsstatus
    Welche Maßnahmen wurden bereits umgesetzt?
  4. Bearbeitungsdatum
    Datum der letzten Bearbeitung.
  5. Bearbeiter
    Die Person, die für die Bearbeitung der Checkliste verantwortlich ist.

Was sind die Ziele von WiBA?

WiBA bietet einen niedrigschwelligen Einstieg in die IT-Sicherheit, ohne dass tiefgehende Vorkenntnisse erforderlich sind. Ziel ist es, dass Kommunen die wesentlichen Sicherheitsanforderungen umsetzen, um ein grundlegendes Sicherheitsniveau zu erreichen. Es handelt sich jedoch nicht um ein vollständiges Informationssicherheits-Managementsystem (ISMS). Stattdessen wird WiBA als Vorbereitung auf die Einführung des IT-Grundschutzes gesehen.

Welche Schritte kommen nach WiBA?

WiBA ist nur ein erster Schritt in Richtung umfassender Informationssicherheit. Nach der erfolgreichen Umsetzung der WiBA-Checklisten wird empfohlen, in Richtung IT-Grundschutz bzw. IT-Standardabsicherung. Dieses Profil stellt höhere Anforderungen und ist der nächste logische Schritt zur Etablierung eines ISMS.

Mapping auf den IT-Grundschutz

Das BSI stellt eine Mappingtabelle zur Verfügung, die es Institutionen ermöglicht, zu prüfen, welche Anforderungen des IT-Grundschutzes bereits durch WiBA erfüllt werden. Dies erleichtert den Übergang von WiBA zum vollständigen IT-Grundschutz.

Anpeilung erster fokussierter Penetrationstests

Befindet man sich auf dem Weg in die Basisabsicherung, so ist es ratsam, erste fokussierte Penetrationstests durchzuführen. Diese Tests können gezielt Schwachstellen in den zentralen IT-Systemen aufdecken und helfen, die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen. Auch Schwachstellenscans können hilfreich sein, um potenzielle Angriffspunkte zu identifizieren.

Fazit zu WiBA

WiBA ist ein praxisorientierter Ansatz des BSI, der Kommunen und kleineren Institutionen und Firmen einen einfachen Einstieg in die Informationssicherheit ermöglicht. Mit Checklisten und gezielten Maßnahmen hilft WiBA, die wichtigsten Sicherheitsanforderungen zu erfüllen, ohne dabei den komplexen Rahmen eines vollständigen Sicherheitsmanagementsystems zu verlangen. Es ist der erste Schritt auf dem Weg zu einer umfassenden IT-Sicherheit, der langfristig durch den IT-Grundschutz ergänzt werden sollte.

Unterschiede zwischen WiBA und IT-Grundschutz

WiBA IT-Grundschutz
Zielgruppe Kommunen, kleinere Institutionen Alle Institutionen, einschließlich KRITIS
Anforderungen Basis-Sicherheitsanforderungen Vollständiges ISMS
Komplexität Niedrigschwellig, einfacher Einstieg Hohe Anforderungen, umfassend
Fokus Absicherung zentraler IT-Systeme Ganzheitliche Informationssicherheit
Gesetzliche Anforderungen Nicht verpflichtend Für KRITIS verpflichtend

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema WiBA? Schreib uns!

Damian Strobel
Wir können Sie dabei begleiten, Ihre Basisabsicherung zu verbessern. WiBA ist ein erster guter Schritt!