Die gegenwärtige geopolitische Lage verlangt, sich noch stärker um den Schutz der Informationstechnologie (IT) vor Cyberangriffen zu kümmern. Schwerwiegende Ausfälle in der IT-Infrastruktur verursachen erhebliche wirtschaftliche Schäden. Wenn staatliche Institutionen oder öffentliche Einrichtungen erfolgreich angegriffen werden, wirkt sich das auf das Vertrauen der Bürgerinnen und Bürger aus. Auch Bibliotheken sind gefordert, sich um die Sicherheit der von ihnen verarbeiteten Informationen zu sorgen und einen effektiven Schutz zu etablieren. Autorinnen und Autoren des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben in diesem Artikel einen Überblick über die aktuelle Bedrohungslage und wie Bibliotheken den sogenannten IT-Grundschutz etablieren können.
Informationssicherheit ist die Voraussetzung einer sicheren, erfolgreichen und nachhaltigen Digitalisierung. Sie gewährleistet die Verfügbarkeit kritischer Dienstleistungen. Sie gewährleistet Datensicherheit und Datenschutz. Und sie gewährleistet in letzter Konsequenz das Funktionieren von Staat, Wirtschaft und Gesellschaft in der digitalen Welt.
Dies birgt vor dem Hintergrund der aktuellen geopolitischen Situation eine besondere Brisanz. Denn der russische Angriffskrieg auf die Ukraine findet nicht nur in der Luft, auf dem Wasser und dem Boden statt, sondern in einer hochgradig vernetzten Gesellschaft auch im Netz. Cyberangriffe gehören im Rahmen einer ganzheitlichen Offensive zu den Mitteln der Kriegsführung. Diese Entwicklung schürt auch in Deutschland Unsicherheit und Sorge.
In Anbetracht dessen bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheitslage fortwährend und sieht im Kontext dieses Krieges eine erhöhte Bedrohungslage für Deutschland im Bereich der Informationssicherheit. Es kann weiterhin nicht ausgeschlossen werden, dass es durch die digitalen Auseinandersetzungen zwischen Russland und der Ukraine zu Kollateralschäden in der deutschen Wirtschaft kommt.
Das BSI ruft daher weiterhin Unternehmen, Behörden und Organisationen dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der Bedrohungslage anzupassen. Außerdem wurden Maßnahmenempfehlungen im Hinblick auf die aktuelle Lage in der Ukraine veröffentlicht.
Vernetzung verbreitert die Angriffsfläche
Ein substanzielles Merkmal der Digitalisierung ist die Vernetzung. Sie wird weiter zunehmen, je mehr digitale Produkte und Prozesse unseren Alltag durchdringen. Dadurch entstehen zwar viele Erleichterungen, gleichermaßen erhöht sich aber auch die Angriffsfläche für Cyberkriminelle. Denn je stärker wir datentechnisch miteinander verbunden sind, umso mehr gewinnt auch die Formel vom schwächsten Glied in der Kette an Bedeutung.
Vernetzung besitzt auch für Büchereien und Bibliotheken einen hohen Stellenwert. Auf diese Weise können Aufgaben gemeinsam bewältigt werden. Es besteht die Möglichkeit, sich gegenseitig zu unterstützen und Informationen den Bürgerinnen und Bürgern bibliotheksübergreifend zur Verfügung zu stellen. Zahlreiche
Vernetzungsprojekte wie beispielsweise im Bereich von Open Access zeigen, dass Bibliotheken hier wichtige Akteure sind. An vielen Einrichtungen übernehmen sie gemeinsam mit dem Rechenzentrum einen großen Teil der praktischen Umsetzung.
Cyberkriminalität unverändert hoch
Die Gefährdung durch Cyberangriffe wird unabhängig vom geopolitischen Geschehen weiter Bestandteil unseres Alltags sein. Ein Beispiel: Am 5. Juli 2021 fiel die Landkreisverwaltung Anhalt-Bitterfeld einem schweren Cyberangriff zum Opfer. Die Bereitstellung öffentlicher Dienstleistungen war nach der Ransomware-Attacke nachhaltig eingeschränkt. Der Landkreis rief den Katastrophenfall aus. Auch Monate nach dem Angriff war noch kein Regelbetrieb möglich.
Die Aufgabe, sich gegen derartige Cyberangriffe zu wappnen, muss ganz oben auch auf der Prioritätenliste der Verwaltungen und öffentlichen Einrichtungen stehen. Die Angreifer haben dabei zunehmend Kritische Infrastrukturen (KRITIS) und Behörden im Blick, weil diese von zentraler Bedeutung für das staatliche Gemeinwesen sind. Ein erfolgreicher Angriff kann die Strom- und Wasserversorgung empfindlich stören, die öffentliche Sicherheit gefährden oder öffentliche Dienstleistungen lahmlegen.
Das BSI beobachtet zudem mit Sorge, wie die kriminellen Methoden ausgebaut werden. So wird bei Ransomware-Angriffen neben der Forderung nach einem Lösegeld immer öfter auch damit gedroht, zuvor gestohlene Daten zu veröffentlichen. Auch die Kundschaft der eigentlichen Opfer kann damit erpresst werden, ihre Daten zu veröffentlichen, sollte keine Zahlung erfolgen. Mit dieser Schweigegelderpressung erhöhen Cyberkriminelle den Druck auf Betroffene.
Zudem haben DDoS-Angriffe (Distributed Denial of Service; Überlastungsangriffe) deutlich zugenommen. Sie werden dazu eingesetzt, digital Schutzgeld zu erpressen. Zusätzlich zur Datenverschlüsselung und -veröffentlichung legen immer mehr DDoS-Attacken die Webseiten der Opfer lahm. Im Jahr 2021 konnten verstärkt Multivektor-Angriffe, sogenanntes Carpet-Bombing, und eine Kombination von DDoS- und Ransomware-Angriffen festgestellt werden. Cyberkriminelle versuchen mit solchen Attacken, das Zielsystem mit einer großen Datenmenge derart zu überlasten, dass es nicht oder nur sehr eingeschränkt verfügbar ist.
Ransomware wird immer gefährlicher
Die Gefahr durch Ransomware-Angriffe ist nicht neu, aber sie erreicht jedes Jahr neue Dimensionen. Dazu trägt bei, dass es für Kriminelle immer einfacher wird, Angriffe zu starten, denn die dafür benötigte Malware ist inzwischen auf einschlägigen Seiten im Internet verfügbar. Durch ein solches »Ransomware as a Service«-Angebot nehmen die Verbreitung und die Professionalisierung der Angriffe weiter zu.
Auch die Schäden durch Cyberkriminalität erreichen jedes Jahr neue Rekordhöhen. Der jährliche Schaden durch Ransomware ist laut Bundeskriminalamt in den vergangenen Jahren rasant gestiegen: auf circa 24,3 Milliarden Euro im Jahr 2021 von 5,3 Milliarden Euro im Jahr 2019. Der durchschnittliche Schaden pro Attacke hat um 21 Prozent zugelegt.
Leider tragen die Opfer dieser Angriffe selbst nicht unerheblich zum Erfolg der Cyberkriminellen bei, weil sie nicht alle Standardmaßnahmen zum Schutz von IT-Systemen umgehend umsetzen. Zudem weisen auch weit verbreitete IT-Produkte nach wie vor viele gravierende Schwachstellen auf.
Dabei lassen sich viele Angriffsvektoren bereits durch einfache Maßnahmen abfedern, zum Beispiel durch eine ordentliche Backup-Strategie, ein vernünftiges Update- und Patch-Management, die Überprüfung des Sicherheitsniveaus aller eingesetzten Produkte oder die regelmäßige Sensibilisierung und Schulung der eigenen Mitarbeitenden zum sicheren Umgang mit der IT.
Informationssicherheit immer und überall mitdenken
Cybersicherheit muss heute eine zentrale Rolle in der Risikoabschätzung jeder Institution spielen, auch bei Bibliotheken. Sie wird damit zum integralen Bestandteil des Risikomanagements, das nicht nur die bestehenden Risiken überwachen, sondern auch auf Veränderungen des Umfangs oder der Struktur durch neue Risikofelder proaktiv hinweisen soll. Das ist weniger eine technologische Herausforderung, denn die entsprechenden Konzepte und Technologien liegen vor. Es verlangt eher ein verändertes Mindset. Die Bibliotheksleitungen sind aufgefordert, Cybersicherheit als Teil ihres Risiko- und Qualitätsmanagements zu betrachten und entsprechende Maßnahmen umzusetzen.
Am Anfang aller Überlegungen sollte darum ein strategisches Sicherheitskonzept stehen, das die wichtigen, schützenswerten Geschäftsprozesse, Daten und Systeme identifiziert. Es dient dazu, dass die Bibliothek auf potenzielle Cyberangriffe vorbereitet ist, ihnen effektiv begegnen kann und dabei gleichzeitig regulatorischen Anforderungen sowie geschäftlichen Entwicklungen Rechnung trägt.
Ein solches Sicherheitskonzept darf nicht statisch sein. Vielmehr muss es sich immer wieder den wechselnden Anforderungen an die Informationssicherheit anpassen. Denn auch Ransomware entwickelt sich weiter und wird mit jeder Iteration ausgefeilter. Darum muss das Sicherheitskonzept zukunftssicher und erweiterbar sein. Integrierte und interoperable Lösungen ermöglichen es, Bedrohungen schneller zu erkennen, zu untersuchen und zuverlässig darauf zu reagieren.
Für die Realisierung dieser Aufgabe gibt es unterschiedliche und auch kombinierbare Möglichkeiten wie:
-
Definition als Compliance-Pflichten und Delegation in die eigene Compliance-Organisation,
-
Entwurf einer IT-Sicherheitsrichtlinie mit Vorgaben für die Verschlüsselung von Informationsflüssen gemäß IT-Grundschutz des BSI,
-
Bestellung eines IT-Sicherheitsbeauftragten (wobei es vom Einzelfall abhängt, ob die Stelle von einer einzelnen Person, einer Personengruppe oder in Teilzeit wahrgenommen wird),
-
Anwendung gängiger Frameworks
-
Beauftragung eines externen Datenschutzbeauftragten, um die datenschutzspezifischen Vorschriften zu überwachen,
-
Einführung eines Informationssicherheits-Managementsystems (ISMS).
IT-Grundschutz: Ein praxiserprobtes Angebot des BSI
Ein etabliertes und anerkanntes Fundament ist der vom BSI entwickelte IT-Grundschutz, der es ermöglicht, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Er beinhaltet beispielsweise eine Schritt-für-Schritt-Anleitung, um ein ISMS in der Praxis zu entwickeln und nennt sehr konkrete Maßnahmen für alle Aspekte der Informationssicherheit.
Bestandteile der IT-Grundschutz-Methodik sind erstens die BSI-Standards. Der BSI-Standard 200-1 definiert die allgemeinen Anforderungen, die ein ISMS erfüllen sollte. Der BSI-Standard 200-2 erläutert, wie ein ISMS solide aufgebaut werden kann. Je nach Sicherheitsanforderungen kann mit einer der drei dort beschriebenen unterschiedlichen Vorgehensweisen (Basis-, Standard-Absicherung und Kern-Absicherung) begonnen werden. Der BSI-Standard 200-3 beinhaltet alle risikobezogenen Arbeitsschritte. Er bietet sich an, wenn Unternehmen bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und eine Risikoanalyse durchführen möchten. Der BSI-Standard 100-4 zeigt abschließend einen systematischen Weg auf, ein Notfallmanagement in einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen.
Zweitens: Im IT-Grundschutz-Kompendium können Interessierte in den IT-Grundschutz-Bausteinen Sicherheitsempfehlungen zu den unterschiedlichsten Themen nachlesen und erfahren, mit welchen Stellschrauben sie das Sicherheitsniveau gezielt anheben können. Detaillierte Hinweise und Maßnahmen in den Umsetzungshinweisen zu den IT-Grundschutz-Bausteinen erleichtern Informationssicherheitsbeauftragten im Arbeitsalltag, Informationssicherheit in der Praxis anzuwenden. So kann gezielt daran gearbeitet werden, den Status der Informationssicherheit einer Institution zu verbessern.
Drittens: Seit 2018 bieten IT-Grundschutz-Profile als Muster für Sicherheitskonzepte einen erleichterten Einstieg in den IT-Grundschutz. Ein IT-Grundschutz-Profil bildet als Schablone eine Referenzarchitektur eines bestimmten Anwendungsfalls ab. IT-Grundschutz-Profile können von einzelnen Branchen-Vertretern auf Wunsch mit Unterstützung durch das BSI erstellt und veröffentlicht werden.
IT-Grundschutz-Testat nach der Basis-Absicherung
Die Vorgehensweise Basis-Absicherung nach IT-Grundschutz kann als schlanker Einstieg in den Aufbau eines ISMS dienen. Im Fokus der Sicherheitsbetrachtungen stehen dabei die Basis-Anforderungen aus dem IT-Grundschutz-Kompendium. Sie bieten eine grundlegende Erst-Absicherung über alle Geschäftsprozesse beziehungsweise Fachaufgaben hinweg. Die Umsetzung lässt sich mit einem vergleichsweise geringen finanziellen, personellen und zeitlichen Aufwand realisieren. Daher eignet sich die Basis-Absicherung besonders für kleine und mittlere Unternehmen beziehungsweise Einrichtungen, die einen ganzheitlichen Ansatz zum Aufbau eines ISMS verfolgen wollen.
Für den Nachweis einer erfolgreichen Umsetzung der Basis-Absicherung bietet das BSI ein Testat an. Mit diesem Testat kann ein Unternehmen belegen, dass alle Geschäftsprozesse beziehungsweise Fachaufgaben, Daten und Komponenten des Informationsverbundes unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit ausgestattet sind.
IT-Grundschutz-Zertifizierung
Um transparent zu machen, dass Unternehmen den IT-Grundschutz erfolgreich umgesetzt haben, können sie sich zertifizieren lassen. Mit so einem Zertifikat wird bestätigt, dass das IT-Sicherheitskonzept die Anforderungen nach ISO 27001 erfüllt. Das BSI hat hierzu ein Zertifizierungsschema für Informationssicherheit entwickelt, das die Anforderungen an ein ISMS aus ISO/IEC 27001 berücksichtigt und als Prüfkataloge das IT-Grundschutz-Kompendium sowie die BSI-Standards zugrunde legt.
Grundlage für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist die Durchführung eines Audits durch einen externen, beim BSI zertifizierten Auditor. Das Ergebnis des Audits ist ein Auditbericht, welcher der Zertifizierungsstelle vorgelegt wird. Diese entscheidet über die Vergabe des ISO 27001-Zertifikats auf der Basis von IT-Grundschutz. Das Zertifikat dient damit sowohl gegenüber der Kundschaft als auch Geschäftspartnerinnen und Geschäftspartnern als Qualitätsmerkmal und Wettbewerbsvorteil.
Wie ein geeignetes ISMS aussieht und welche Maßnahmen zu ergreifen sind, hängt natürlich von der individuellen Situation und der Größe der Institution ab. Dabei zeigt die praktische Erfahrung, dass eine Optimierung des Sicherheitsmanagements oftmals die Informationssicherheit effektiver und nachhaltiger verbessert als Investitionen in Sicherheitstechnik. Denn ein angemessenes Sicherheitsniveau ist in erster Linie abhängig vom systematischen Vorgehen und erst in zweiter Linie von einzelnen technischen Maßnahmen. In jedem Fall aber sollte der Fokus darauf liegen, ein einheitliches IT-Sicherheitsniveau zu erlangen. Damit die Kette kein schwaches Glied mehr aufweist.
Der Beitrag wurde von einem Team aus Autorinnen und Autoren des Bundesamts für Sicherheit in der Informationstechnik (BSI) verfasst. Erschienen ist er zuerst in der BuB-Ausgabe August/September 2022, Seite 470-473.
