Wie der Papiertiger Zähne bekommt: Grundschutz++ und der neue Weg zu praktikabler IT-Sicherheit | Sebastian Reinhardt

00:00:01: Wir haben einfach den Fall, dass in vielen Behörden werden viele Generalisten auch eingesetzt.

00:00:08: Die viele Dinge können aber manchmal auch bestimmte Dinge nicht allzu tief.

00:00:13: Viele haben dann schon gehört ja okay wir wissen was IT Security ist und wir wissen ungefähr was IT Grundschutz ist.

00:00:17: Aber so richtig im Detail wissen sie es da nicht!

00:00:19: Und dann schauen sich's den IT GrundSchutz an und in der aktuellen Fassung hat er Hundert Elf Bausteine mit.

00:00:27: Was haben Sie gesagt?

00:00:28: Ich glaube, viertausend irgendwas Teilanforderungen.

00:00:31: Das ist viel!

00:00:32: Eben da ist ja jeder der dann nicht tief drin ist erstmal völlig ich will nicht sagen überfordert aber zumindest überwältigt von einfach der Masse an Informationen und Anforderung Maßnahmen die ein da aufgedrückt werden in Einführungszeichen manchmal.

00:00:55: HiWay dein Wegweiser für Digitalisierung und Sicherheit präsentiert von HiSolutions.

00:01:06: Hi und herzlich willkommen zu einer neuen Folge vom HiWay, dem Podcast der HiSolutions.

00:01:12: Stellen wir uns mal alle vor, wir sind in einem Krankenhaus und auf einmal funktioniert nichts mehr.

00:01:17: Keine Patientendaten können abgerufen werden, ganze OPs fallen aus weil auf die Pläne nicht zurückgegriffen werden kann und selbst die Notaufnahme ist nicht mehr arbeitsfähig.

00:01:27: Das klingt sehr dystopisch aber es ist gar nicht mehr so weit hergeholt denn Cyberangriffe gehören mittlerweile zu unserem Alltag.

00:01:35: Behörden, Krankenhäuser und Co.

00:01:37: werden immer häufiger Ziele von

00:01:38: Cyberangriffen.".

00:01:40: Und genau über dieses Thema möchte ich heute mit Sebastian sprechen.

00:01:43: Sebastian beschäftigt sich eigentlich jeden Tag damit wie Institutionen, wie Behörde, wie Unternehmen sicherer gestaltet werden können und vor allem beschäftigt er sich auch sehr stark mit der Frage, wie der Grundschutz eingesetzt werden kann um eben all diese Einrichtungen ausreichend zu schützen.

00:02:01: Herzlich willkommen Sebastian!

00:02:03: Danke Hallo

00:02:06: Frage eins.

00:02:08: Ich habe es ja schon eingangs gerade erwähnt, Krankenhäuser sind auf Ziele, kommunale Verwaltungen sind auf ziele.

00:02:14: Es gab im letzten Jahr zwanzig vierundzwanzig eine Studie vom BSI die besagt hat dass Cyberangriffe auf kritische Infrastrukturen in den letzten zwölf Monaten über dreißig Prozent zugenommen haben.

00:02:28: das trifft eben Gesundheitswesenverwaltung und Co.

00:02:32: Welcher Fall, welcher Cyberangriff ist dir besonders in Erinnerung geblieben?

00:02:38: Insbesondere KRITIS oder Kommunalverwaltung.

00:02:41: Da gibt es natürlich viele Beispiele, die einem da so einen Kopf kommen.

00:02:47: Mir persönlich ist jetzt nicht so kurzweilig gewesen, aber das ist jetzt ... Nicht irgendwie gestern gewesen oder so, aber schon ein bisschen länger her.

00:02:57: Der mir im Kopf gebliebene ist tatsächlich Anhalt Bitterfeld.

00:03:00: Das ist ja der... der eine Cyberangriff oder die eine Cyberkrise in Deutschland gewesen, wo er es durch sämtliche Medien gegangen.

00:03:07: Ich glaube das ist ganz vielen im Kopf geblieben.

00:03:10: von was kann alles schiefgehen und wie kann vielleicht auch Kommunikation und Mitarbeit miteinander in Rahmen einer Krise alles?

00:03:18: Was kann da alles schief gehen?

00:03:19: Vielleicht auch nochmal für die Zuhörer-Anhalt.

00:03:21: Bitterfeld ist ne Kommune in Deutschland Und die wurde eben Opfer eines Cyber Angriffs.

00:03:26: Korrekt Dort ist damals Ein, ich sag mal so der klassische Fall passiert von Ransomware Angriff.

00:03:35: Ich will jetzt gar nicht sagen ob da irgendjemand einen falschen Link angeklickt hat oder was auch immer aber auf jeden fall irgendwie ist ein Krypto Trojaner auf dem System gekommen und er hat sich dann quasi durch die ganze Kommune gefressen und hat sämtliche Systeme oder Großteil des Systems langgelegt sodass auch viele ja kommunale Dienstleistungen einfach nicht mehr im Einsatz waren.

00:03:57: In meinem Kopf, wenn jemand sagt, Kommune und Cyber-Sicherheitsangriff ist das so.

00:04:01: Das was mir einfällt sofort.

00:04:03: Vielleicht als kurze Nachfrage zu diesem Thema auch?

00:04:06: Was sagt es eigentlich über den aktuellen Sicherheitsstand unseres Landes aus?

00:04:11: Weil eigentlich sollte man ja meinen dass gerade Behörden einschließlich der Kommune abgesichert sind weil sie eben unsere Daten auch verarbeiten.

00:04:20: Das sprichst du eigentlich fürs Gutes an oder... Eigentlich was nicht gutes an.

00:04:23: , weil man würde meinen und man hat ja auch so ein gewisses Grundvertrauen eigentlich in viele Institutionen.

00:04:30: das ist ja auch angebracht.

00:04:32: aber sowas erschüttert es dann doch deutlich.

00:04:36: wir haben bei vielen institutionen bei denen wir auch mal vor Ort sind oder mit dem wir sprechen haben wir oftmals die situation dass die in bestimmten fällen Ich will nicht sagen überfordert sind, aber einfach aufgrund der Masse von Themen die bei denen letztendlich auf dem Butter-Brot sind so nach dem Motto.

00:04:58: Einfach nicht wissen wo sie anfangen sollen!

00:05:00: So dann wenn du viele Anforderungen hast aus vielen unterschiedlichen Bereichen weil es ist ja nicht nur IT Security die für eine Behörde wichtig ist sondern auch andere Bereiche.

00:05:12: Die wissen einfach nicht wo Sie anfangen soll und sie wissen einfach Nicht wie Sie's richtig machen sollen Was denn dazu führt, dass man vielleicht eine Einstelle was macht.

00:05:21: Eine andere Stelle was macht aber nie so einen roten Faden einmal durchgehen durchzieht und eine gewisse Basis letztendlich etabliert damit sowas nicht einfach passieren kann.

00:05:35: Ich will gar nicht sagen das ist überall einfach passiert Aber manchmal hat man das Gefühl Das es gerade so kleinere kommunale Behörden dann eher trifft weil sie eben diese Basics nicht gemacht haben oder nicht machen konnten.

00:05:50: Frage zwei.

00:05:51: Ich finde das auch insofern interessant, als dass diese BSI-Studie auch gesagt hat, dass zweiundvierzig Prozent der kommunalen Verwaltung den IT-Grundschutz vollständig umsetzen.

00:06:02: Das heißt aber es gibt diese achtunddreißig Prozent die ihn wahrscheinlich lückenhaft umsetzten.

00:06:08: und da würde mich interessieren und das hast du gerade angedeutet Es gibt einige die sind einfach mit dem Ausmaß an Aufgaben überfordert.

00:06:16: Kann es aber auch andere Gründe geben?

00:06:18: Kann das sein, dass die IT-Fachlichkeit nicht so stark vorhanden ist oder dass es an Awareness liegt oder an organisatorischen ... Wo siehst du noch weitere Hürden für die Verwaltung.

00:06:30: Ich denke, das liegt darin, dass unter anderem das Thema IT Security dann doch ein sehr spezifisches Fachthema ist und wir haben einfach den Fall, dass in vielen Behörden werden viele Generalisten auch eingesetzt, die viele Dinge können aber manchmal auch bestimmte Dinge nicht allzu tief.

00:06:51: Viele haben dann schon gehört ja okay wir wissen was IT Security ist, wir wissen ungefähr was IT Grundschutz ist Aber so richtig im Detail wissen sie es da nicht.

00:06:58: und dann schauen sich's den IT GrundSchutz an und in der aktuellen Fassung hat er hundertelf Bausteine mit... Was haben Sie gesagt?

00:07:07: Ich glaube viertausend irgendwas Teilanforderungen.

00:07:10: Da ist

00:07:11: eben, da ist ja jeder der dann nicht tief drin ist erstmal völlig ich will nicht sagen überfordert aber zumindest überwältigt.

00:07:19: Überwältig von einfach der Masse an Informationen, von der Masse an Anforderungen und Maßnahmen die einen da aufgedrückt werden in Einführungszeichen manchmal was denn da gegen helfen könnte um das so ein bisschen zu bewältigen.

00:07:35: an der Stelle ist der Einsatz solchen spezifischen kleineren Konstrukten, die auch vom BSI zum Beispiel bereitgestellt werden.

00:07:43: Das BSI hat in ihrer Vorgehensweise ja schon auf solche Sachen reagiert.

00:07:49: Sie kennen ja die Studien, die sie selber machen, kennen sie ja durchaus und haben letztendlich auch solche Konstrukte ins Leben gerufen wie den sogenannten Weg in die Basisabsicherung oder allgemein diese Absicherungsvariante-Basisabsicherung.

00:08:06: das sind einfach Ich sag mal, der IT-Grundschutz mit seiner Gesamtheit von viertausend siebenhundert Anforderungen oder was es da nicht alles gibt heruntergebrochen in kleinere und besser verdaubare Stücke.

00:08:20: Und die sind extra darauf zugeschnitten dass man eben Stück für Stück Schritt für Schritt den IT Grundschutz aufbauen kann bzw mehr IT Sicherheit in der Kommune, in der Institution oder sonst wo etablieren kann.

00:08:33: Wenn ich dann alle umgesetzt habe, hab' ich den Grundschutz?

00:08:37: dann hat man beim Weg in die Basisabsicherung, dort hat man dann die Basisanbsicherung erreicht.

00:08:43: Das ist so das absolute Minimum wo das BSI sagt, dass sind so essenzielle Maßnahmen die dann umgesetzt werden, dass man zumindest sprechen kann.

00:08:51: okay man hat mal IT-Sicherheit gemacht.

00:08:53: Da ist immer noch eine Stufe drüber mehr geht immer aber das ist so absolut die Minimum.

00:08:58: also da sprechen wir von hab ne Passwortrichtlinie, da sprechen Enabled so nach dem Motto, also wirklich absolute Basics.

00:09:08: Aber es ist jetzt kein Heilmittel um gegen diese dreißig Prozent Steigung der Cyberangriffe entgegenzuwirken?

00:09:17: Es ist ein Schritt in die Richtung dass das mehr machen.

00:09:20: wenn ich dich richtig verstanden habe In der Studie wurde gesagt viele das ja nicht machen Also dass viele nicht den IT- Grundschutz umsetzen.

00:09:27: und beispielsweise für die weil sie sich vielleicht Weil die gar nicht wissen, dass sie es machen können.

00:09:32: Müssten.

00:09:33: für die wäre das vielleicht ein adäquates Mittel um überhaupt erstmal anzufangen und überhaupt erst mal in die Richtung zu gehen.

00:09:39: Grundsätzlich ein... weil das geht letztendlich alles um das Thema ISMS also Informations-Sicherheitsmanagement System Und so ein Informations-, Sicherheitsmanagementsystem.

00:09:50: Das ist ein standardisierter Weg um überhaupt mit Informationssicherheit umzugehen und IT Sicherheit letztendig zu etablieren.

00:09:59: das BSI und auch beispielsweise das Bundesamt für Katastrophenschutz, BKK.

00:10:07: Und hier haben eine gemeinsame Studie oder sowas Ähnliches rausgebracht wo zum Beispiel sie sich das explizit einmal angeschaut haben.

00:10:15: okay was kann man denn beispielsweise machen um diese kritischen Infrastrukturen im Kommunen oder ähnliches besser zu schützen?

00:10:23: Und da ist buchstäblich einer der ersten.

00:10:27: Eine der ersten Vorschläge, die man machen sollte ist eben die Etablierung von einem standardisierten ISMS wie zum Beispiel dem IT Grundschutz.

00:10:34: Aber es gibt natürlich auch andere Standards, die jemand anwenden kann.

00:10:37: aber der IT GrundSchutz mit dem Weg in die Basisabsicherung ist so die Empfehlung eigentlich um da langsam das ISMS aufzubauen und dann einen weiteren Aufbaustufen einer hohen Maß an Sicherheit zu gewährleisten.

00:10:55: Ich habe jetzt aus der Beantwortung der Fragen durch dich herausgehört.

00:10:59: Du hast aktuelle Versionen gesagt, du hast auch angedeutet dass das BSI mittlerweile gemerkt hat, dass die Umsetzung doch an einigen Stellen hakt weil es vielleicht zu komplex oder zu ausführlich ist und umfangreich.

00:11:12: gibt es denn bestreben das Ganze zu überarbeiten?

00:11:18: diesen Grundschutz und das Prinzipgrundschutz.

00:11:22: Und wie müsste das deiner Meinung aussehen, um die Umsetzung damit es nicht mehr einfach nur noch auf dem Papier steht sondern auch wirklich in der Praxis umgesetzt wird und umgesetzt werden kann?

00:11:34: Vom BSI gibt es aktuell Bestrebungen den IT-Grundschutz ich würde schon fast sagen zu erneuern also wirklich komplett umzusticken um den zu vereinfachen um den auch besser anwendbar zu machen.

00:11:50: Sie nennen das aktuell den Grundschutz++, also die aktuelle Variante heißt IT-Grundschutz.

00:11:55: Die neue Variante heisst dann nur Grundschutz ++ ohne das IT.

00:12:02: Und diese Grundschütz++ ist letztendlich einfach eine Fortführung von dem was über die letzten... Lass mich lügen!

00:12:11: ...vom BSI mit dem Grundschuz überhaupt erst mal aufgebaut wurde.

00:12:15: Mit dem GrundSchutz++ so wie ich es bisher verstanden habe, soll viel an der bisherigen Methodik gearbeitet werden.

00:12:23: Dass das vereinfacht wird.

00:12:24: Schritte sollen wegfallen.

00:12:25: Schritten sollen noch einfacher werden.

00:12:28: Es wären viele Anforderungen, konsolidiert und gestrichen.

00:12:32: Sie hatten auf einem ihrer letzten öffentlichen Talks gesagt dass sie da von diesen viertausend siebenhundert Anforderung runter sind auf ein bisschen weniger als tausend.

00:12:41: Das ist schon eine deutliche Reduzierung wo sie letztendlich hin wollen dass jetzt, ich sag mal der letzte Schritt ist um das wirklich adäquat umzusetzen.

00:12:52: Das gesagt von vierhundert runter auf ein bisschen weniger als tausend?

00:12:56: Viertausend siebenhunderte Entschuldigung.

00:12:57: Vierdausend

00:12:58: Siebenhundert okay.

00:12:59: Also zumindest das was ich gerade im Kopf habe, dass es irgendwie viertausend siebhundert Anforderungen waren kann noch mehr sein, es kann auch weniger sein

00:13:05: Aber das ist schon mal eine sehr gute Reduktion

00:13:07: Genau!

00:13:08: Es ist auf jeden Fall eine Reduktions die sie dort aktuell umsetzen.

00:13:14: Ich denke aber der letzte Schritt, den Sie gehen müssen.

00:13:19: Beispielsweise diese Vorgehensweise mit dem Weg in die Basisabsicherung – das ist in meinen Augen der richtige Weg, dass man für unterschiedliche Adressaten unterschiedliche Wege anbietet und auch immer mehr aufbauend dort Wege bietet um das ISMS letztendlich zu etablieren.

00:13:41: Da bin ich gespannt auf die neue Version, auf den Grundschutz Plus Plus.

00:13:44: Vielleicht kannst du uns denen auch vorstellen wenn er dann mal so weit ist.

00:13:48: Ansonsten bedanke ich mich dafür dass du da warst und uns einen kleinen Einblick in die Sicherheit unserer kommunalen Verwaltung und unsere allgemeine Sicherheit gegeben hast.

00:13:57: Ich denke jeder der beim HiWay regelmäßig dabei ist hat schon ein Eindruck davon das Cyberattacken wirklich mittlerweile allgegenwärtig sind und gar nicht mehr... Gar nicht mehr so fern von uns sind.

00:14:09: Von daher danke ich euch, dass ihr alle wieder mit dabei wart.

00:14:11: Ich hoffe die Folge hat euch gefallen!

00:14:13: Die ganzen Berichte und Studien über die wir hier gesprochen haben findet ihr in unseren Shownotes mit weiteren spannenden Daten.

00:14:21: also falls ihr Interesse an der Thematik habt schaut dort gerne vorbei hinterlasst uns gerne eine Bewertung und abonniert uns wenn euch der Podcast gefällt.

00:14:30: ansonsten sage ich bis zum nächsten Mal wenn wir wieder ein Experten drei Fragen und zehn Minuten

00:14:35: haben

00:14:39: Der Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:14:46: Hat dir diese Episode gefallen?

00:14:48: Dann abonniere den Podcast und empfehle unsere Folgen weiter!