„WiBA“ steht für „Weg in die Basis-Absicherung“. WiBA ist als Einstieg in die Informationssicherheit konzipiert, um die Hürde zur Umsetzung von anerkannten Standards der Informationssicherheit – insbesondere dem IT Grundschutz - zu verringern. Die WiBA-Anforderungen wurden so ausgewählt, dass ihre ggf. noch notwendige Umsetzung effektiv einen Sicherheitsmehrwert generiert. Sie sollen mit wenig Aufwand direkt zur Erhöhung der Informationssicherheit beitragen und enthalten viele Quick Wins.

WiBA besteht insbesondere aus 19 themenspezifischen Checklisten und insgesamt rund 250 Prüffragen. Diese können entweder im Word-Format, oder aber mithilfe eines Tools bearbeitet werden. Zudem unterstützen folgende Dokumente bei der Umsetzung von WiBA:

• Vorgehensweise
• Empfohlene Bearbeitungsreihenfolge
• Management Summary
• Mappingtabelle

Alle oben genannten Dokumente bzw. Tools finden Sie auf der BSI-Website
unter https://www.bsi.bund.de/dok/WIBA.

WiBA wurde für Kommunen, insbesondere kleine Kommunen, entwickelt. Grundsätzlich können die Checklisten aber auch für andere, vergleichbare Informationsverbünde eingesetzt werden. Hierbei ist jedoch zu beachten, dass ggf. weitere Anforderungen zu berücksichtigen sind, die für Kommunen jedoch nicht relevant sind.

• WiBA ist gezielt für kleine Kommunen erstellt worden.
• WiBA kann durch die Kommune selbst bearbeitet werden.
• WiBA kann unabhängig vom Bundesland verwendet werden.
• WiBA ist eine niedrigschwellige Einstiegsstufe in die Informationssicherheit.
• WiBA basiert auf dem IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“, dessen Anforderungen als Ausgangspunkt verwendet werden. Diese werden selektiv ausgewählt, abstrahiert und zusammengefasst, um eine zielgruppengerechte Zusammenstellung wesentlicher Aspekte zu erzeugen.
• WiBA setzt keine Methodik(-kenntnisse) voraus, was den Einstieg in die Informationssicherheit vereinfacht und eine schnellere Maßnahmenumsetzung zu Beginn ermöglicht.
• WiBA setzt den Fokus auf das schnelle Erreichen eines höheren Informationssicherheitsniveaus.
• WiBA verzichtet bewusst auf eine umfangreiche Planung, Konzeption und Dokumentation.
• WiBA ist mit relativ wenig Aufwand umsetzbar.
• WiBA unterstützt bei der Sachstandserhebung mittels themenspezifischer Checklisten.
• Die Prüffragen enthalten teilweise Hilfsmittel zur Konkretisierung und Unterstützung bei der Umsetzung von Maßnahmen der Informationssicherheit.
• Prüffragen in den Checklisten von WiBA sind bewusst konkret gefasst.

Nein, das BSI kann die Umsetzung von WiBA nicht vorschreiben. Es kann jedoch landesspezifische Regelungen geben, wonach eine Umsetzung von WiBA verpflichtend sein kann. In Anbetracht der Tatsache, dass auch und immer häufiger Kommunen Ziel von Cyberangriffen sind, sollte WiBA aber im eigenen Interesse umgesetzt werden. Neben finanziellen Auswirkungen zur Wiederherstellung ist - je nach Art des Vorfalls - auch mit Konsequenzen aus dem Datenschutz (Verstoß gegen gesetzliche Pflichten) oder mit Reputationsschädigung der Gemeinde gegenüber ihren Bürgerinnen und Bürgern sowie vertraglichen Partnern zu rechnen.

Nein, WiBA wird allen interessierten Organisationen kostenlos vom BSI zur Verfügung gestellt. Es können allerdings Kosten für die Umsetzung der jeweiligen Maßnahmen anfallen. Bei den entsprechenden Maßnahmenempfehlungen in WiBA wurde jedoch darauf geachtet, dass diese nach Möglichkeit von den Mitarbeitenden selbst ohne große Anschaffungen umgesetzt werden können.

Der Aufwand für die Umsetzung von WiBA kann nicht pauschal beziffert werden. Er hängt insbesondere vom individuellen Umsetzungsstand sowie den konkreten Gegebenheiten vor Ort ab. Eine erste Sachstandserhebung mittels der Checklisten kann mit relativ geringem personellen Aufwand innerhalb von ca. 2 Tagen erfolgen. Der sich daran anschließende finanzielle und personelle Aufwand für die Umsetzung evtl. noch offener Anforderungen ist aufgrund der unterschiedlichen Ausgestaltungsmöglichkeiten nicht allgemeingültig einschätzbar. Die Aufwände für die Umsetzung der jeweiligen Anforderungen werden jedoch in Form von vier verschiedenen Aufwandskategorien angegeben (siehe Frage „Wie sind die bei den Prüffragen innerhalb der Checklisten hinterlegten Aufwandskategorien definiert?“).

Es müssen ausreichend personelle Ressourcen zur Durchführung der ersten Erhebung sowie ausreichende personelle und finanzielle Ressourcen für die Umsetzung von Sicherheitsmaßnahmen bereitstehen. Für beide Schritte ist zudem das entsprechend geeignete (Fach-)Wissen notwendig (siehe hierzu auch Frage „Sind für die Anwendung von WiBA Schulungen erforderlich?“).

Die Gesamtverantwortung für Informationssicherheit liegt bei der Leitungsebene, in der Kommunalverwaltung also in der Regel bei der Landrätin / dem Landrat oder der Bürgermeisterin / dem Bürgermeister. Für die operative Umsetzung sollte eine federführende Stelle auf Arbeitsebene benannt werden. Dies sind im Idealfall Informationssicherheitsbeauftrage. Da diese Rolle meist nur in großen Kommunalverwaltungen vorhanden ist, sollten alternativ bspw. Mitarbeiterinnen und Mitarbeiter aus dem Bereich IT, Organisation oder Personal mit der Koordination bzw. Umsetzung von WiBA beauftragt werden.

Die WiBA-Checklisten können grundsätzlich ohne spezielle Schulungsmaßnahmen umgesetzt werden. Fortbildungen im Bereich der Informationstechnik bzw. Informationssicherheit können aber natürlich dabei helfen, die Maßnahmen besser umzusetzen.

Als Teil von WiBA hat das BSI eine Management Summary veröffentlicht, welche die Vorteile der Umsetzung von WiBA für die Zielgruppe der Führungskräfte
darstellt und Aufgaben enthält, welche von dieser Ebene umgesetzt werden müssen.

Zusätzlich steht im internen Bereich der BSI Sicherheitsberatung für Länder und Kommunen das Dokument „Wie überzeuge ich meine Leitung?“ zur Verfügung, das sich an für Informationssicherheit zuständige oder verantwortliche Personen richtet. Für weitere Informationen haben auch die Kommunalen Spitzenverbände (KSV) in Zusammenarbeit mit dem BSI Positionspapiere veröffentlicht, die die Bedeutung der Leitungsebene in der Informationssicherheit unterstreichen:

• Handlungsleitfaden „Informationssicherheit für Landrätinnen und Landräte – IT-Grundschutz in den Landkreisen“
  
• „Informationssicherheit für Verwaltungsspitzen von Städten und Gemeinden“

Zusätzlich kann auf die zahlreichen Cyberangriffe verwiesen werden, denen Kommunen in der letzten Zeit ausgesetzt waren.

Nein, WiBA soll dazu dienen, wesentliche Maßnahmen zur Erhöhung der Informationssicherheit bezüglich ihrer Notwendigkeit zu identifizieren und umzusetzen, um eine Grundlage für ein Informationssicherheitsmanagementsystem (ISMS) zu schaffen.

Der IT-Grundschutz dient primär dazu, ein vollwertiges, ISO-27001-kompatibles Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Die Methodik dient dazu, einen Prozess bzw. ein Managementsystem aufzubauen, das bezüglich der Informationssicherheit die Schritte Plan/Do/Check/Act (PDCA) in einem kontinuierlichen Zyklus zur Errichtung, Etablierung und systematischen Verbesserung eines ISMS durchläuft. Die Bausteine des IT-Grundschutz-Kompendiums bilden dabei den Stand der Technik bzw. die BSI-Hauspositionen im Bereich Informationssicherheit ganzheitlich ab. Dadurch entsteht ein starkes Netz an Informationssicherheitsmaßnahmen, das alle wesentlichen Gefährdungen adressiert. In Folge ist ein solches ISMS sehr mächtig, erzeugt entsprechende Aufwände und benötigt ausreichende Ressourcen.

Die Basis-Absicherung des IT-Grundschutzes dient als reduzierte Einstiegsvariante, indem sie das ISMS auf wesentliche Schritte reduziert und nur die Basis-Anforderungen aus den Bausteinen betrachtet. Die Aufwände sind niedriger, aber trotzdem für kleine Institutionen häufig weiterhin zu hoch, da sich auch hier in die Methodik eingearbeitet werden muss und umfangreichere Anforderungen geprüft und entsprechende Maßnahmen überlegt, umgesetzt und dokumentiert werden müssen.

Die WiBA-Checklisten basieren auf dem IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“, um später einen nahtlosen Übergang zu ermöglichen. Im Vergleich zum Profil und dem regulären IT-Grundschutz wurde die Einstiegshürde deutlich gesenkt. Außerdem wurde auf aufwendige Dokumentationspflichten und Methoden verzichtet, sodass ein praxisnaher „Hands-on“ Ansatz entstanden ist.

Nein, WiBA ist lediglich ein vereinfachter Einstieg in eine systematische Informationssicherheit. Bei den aufgeführten Prüffragen handelt es sich um die wesentlichen Aspekte, die bei der Absicherung vorrangig betrachtet werden müssen. Dabei handelt es sich um einen Teilbereich des IT-Grundschutzes, der als Grundlage für den Aufbau einer Basis-Absicherung dienen kann.
Nach der Umsetzung der WiBA-Checklisten sind elementare Sicherheitsmaßnahmen umgesetzt. Allerdings stellen diese nur die notwendigsten Erstmaßnahmen dar. Um ein Sicherheitsniveau zu erreichen, das dem Stand der Technik entspricht, sind weitere Maßnahmen notwendig. Eine 100%ige Sicherheit wird man allerdings nie erreichen können. Wichtig ist, den jeweiligen Risiken geeignete Maßnahmen entgegen zu stellen.

Bei jeder Prüffrage ist eine Aufwandsschätzung in den Kategorien 1 bis 4 hinterlegt. Die Aufwandskategorien sind wie folgt definiert:

• Aufwandskategorie 1
  Bei Maßnahmen der Kategorie 1 handelt es sich um sogenannte Quick Wins, welche i.d.R. im Zeitraum von einem Tag und/oder mit wenig Aufwand erreichbar ist.
  Beispiel: Information an eine bestimmte Personengruppe.
• Aufwandskategorie 2
  Maßnahmen der Kategorie 2 lassen sich mit geringem Aufwand i.d.R. in einem kurzen Zeitraum (max. einige Wochen) umsetzen. Die Umsetzung erfolgt dabei grundsätzlich in Eigenregie (kein externer Dienstleister erforderlich)
  Beispiel: Erstellung einer Kontaktübersicht, die mit mehreren Fachbereichen abgestimmt werden muss.
• Aufwandskategorie 3
  Die Umsetzung von Maßnahmen der Kategorie 3 sind etwas aufwendiger. Die Umsetzung dauert i.d.R. einige Monate Umsetzungszeit und kann eine externe Beteiligung erfordern.
  Beispiel: Überprüfung von Konfigurationen in Software und ggf. Korrektur.
• Aufwandskategorie 4
  Maßnahmen der Kategorie 4 sind aufwendig und häufig mit einer längerfristigen Umsetzung verbunden. Es wird Expertenwissen und oftmals auch eine Unterstützung von Dritten benötigt.
  Beispiel: Initiierung und Umsetzung von Baumaßnahmen.

Die Hilfsmittel dienen u. a. dazu, die Frage näher zu erläutern und Begriffe zu definieren. Zudem werden praxisbewährte Hinweise gegeben, wie eine Anforderung konkret erfüllt werden kann und worauf dabei besonders zu achten ist. Hilfsmittel enthalten teilweise auch Verweise auf externe Dokumente, die zur einfacheren Umsetzung der Anforderungen herangezogen werden können. Die Hilfsmittel sind zwar nicht verbindlich, aber in der Regel praxisbewährt, empfehlenswert und sinnvoll.

In den Hilfsmitteln unterhalb der Fragen sind häufig Begriffe erläutert, die eine besondere Bedeutung haben. Falls Sie hier nicht fündig werden, kann bspw. das Glossar im IT Grundschutz-Kompendium weiterhelfen.

Eine Gegenüberstellung zwischen den WiBA-Checkfragen und den IT-Grundschutz-Anforderungen steht als Excel-Tabelle auf der BSI-Website bereit.
Diese Mappingtabelle bildet die Checkfragen auf die Anforderungen des IT-Grundschutz-Profils bzw. damit auch der Basis-Absicherung des IT-Grundschutzes ab.

Die Checklisten basieren auf dem IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ der Arbeitsgruppe Kommunale Basis-Absicherung (AG KoBA). WiBA wird angepasst, sobald sich Änderungen im genannten IT-Grundschutz-Profil ergeben.

Derzeit nicht. Das BSI arbeitet an einer Möglichkeit, die Umsetzung von WiBA auf Basis einer Selbsterklärung bestätigen zu lassen. Eine echte Zertifizierung ist aber nicht beabsichtigt, weil das Ziel sein sollte, zeitnah nach WiBA das IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ und letztlich die Standard-Absicherung nach IT-Grundschutz umzusetzen. Für letztgenannte Absicherung ist auch eine Zertifizierung möglich.

Nach der Umsetzung der WiBA-Checklisten sollte die Umsetzung des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ angestrebt werden. Darauf aufbauend kann dann die vollständige Basis-Absicherung und in einem weiteren Schritt die Standard-Absicherung nach IT-Grundschutz erreicht werden.

Als Hilfestellung steht eine Mappingtabelle bereit, welche die Prüffragen auf die Anforderungen des IT-Grundschutz-Profils bzw. damit auch des IT-Grundschutz-Kompendiums abbildet.

Mit der Mappingtabelle lässt sich direkt erkennen, welche Anforderungen im Zuge von WiBA bereits erfüllt wurden und welche Anforderungen zur Erreichung des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ noch bearbeitet werden müssen.

Als Hilfestellung steht eine Mappingtabelle bereit, welche die Prüffragen auf die Anforderungen des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ bzw. damit auch des IT-Grundschutz-Kompendiums abbildet.

Mit der Mappingtabelle lässt sich direkt erkennen, welche Anforderungen im Zuge von WiBA bereits erfüllt wurden und welche Anforderungen zur Erreichung des IT-Grundschutz-Profils „Basis-Absicherung Kommunalverwaltung“ noch bearbeitet werden müssen. Sodann kann nahtlos mit der Umsetzung der Basis-Absicherung des IT-Grundschutz fortgefahren werden. Ggf. kann es sinnvoll sein, bei diesem Schritt auch externe Unterstützung in Anspruch zu nehmen.

Darüber hinaus bietet der interne Bereich der BSI-Sicherheitsberatung für Länder und Kommunen weitere Hilfsmittel für die Umsetzung der Basis-Absicherung und Informationen über aktuelle Schwachstellen und Bedrohungen.

Für Fragen und Anregungen steht das Projektteam gerne unter wiba@bsi.bund.de zur Verfügung.

Sofern bereits WiBA in der Version 1.0 umgesetzt wurde, empfehlen wir, dass zunächst mit Hilfe des „Änderungsdokumentes WiBA“ auf WiBA 2.0 gewechselt wird, d. h. dass geprüft wird, welche Fragen zwischen WiBA 1.0 und WiBA 2.0 eine Änderung erfahren haben bzw. neu hinzugekommen sind. Mit dem Stand von WiBA 2.0 kann dann auf das aktuelle IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ Version 4.0 gemappt werden.