Wie geht Ihre Gemeinde mit den obligatorischen Anforderungen der BIO, der Government Information Security Baseline, um? Unserer Erfahrung nach füllen die meisten Kommunen die BIO mindestens aus, um "ein Häkchen zu setzen". Aber das macht Ihre Organisation anfällig für Ransomware und andere digitale Angriffe. Ein solcher Angriff kann großen Schaden anrichten. Lesen Sie hier, wie Sie Ihre Informationssicherheit richtig einrichten und wie Secura Ihnen dabei helfen kann.
BIO für Gemeinden: eine Lückenfüller-Übung oder wirklich sicher?
Datum:
16 Januar 2023 |
Author(s):
Bram Blaauwendraad - Sicherheitsberater
16 Januar 2023 |
Author(s):
Bram Blaauwendraad - Sicherheitsberater
Zusätzliche Anforderungen
Die Gemeinden in den Niederlanden müssen seit dem 1. Januar 2020 die BIO einhalten. Dieser Normenrahmen gilt für alle staatlichen Organisationen und schreibt mehr als hundert zusätzliche Anforderungen an die Informationssicherheit zusätzlich zu den Maßnahmen der ISO/IEC 27002 vor, je nach der so genannten grundlegenden Sicherheitsstufe (BBN 1, 2 oder 3), die die Organisation erfüllen muss. Die BIO wendet das Prinzip 'apply-fit-or-lose-out' an, wonach alle Standards erfüllt werden müssen, es sei denn, die Organisation hat einen legitimen Grund, dies nicht zu tun.
Unsere Erfahrung zeigt, dass Organisationen in der Praxis oft die BIO einhalten, aber nicht wirklich sicher sind. Die BIO wird mit minimaler Ausfüllung angewandt, um 'das Kästchen anzukreuzen'. So werden beispielsweise Protokolle zwar gesammelt, aber nicht befolgt, und viele Grundsatzdokumente bleiben nur auf dem Papier bestehen. Das ist nicht völlig unverständlich, denn die Einhaltung der BIO ist eine gesetzliche Verpflichtung, aber bisher gibt es keine externe Zertifizierungspflicht. Darüber hinaus ist die Umsetzung natürlich mit finanziellen Kosten verbunden.
Digitale Sicherheit
Die BIO-Anforderung hat jedoch einen guten Grund. Die Anzahl und Komplexität digitaler Angriffe hat in den letzten Jahren stark zugenommen. Ransomware-Angriffe sind an der Tagesordnung und erfolgreiche Angriffe aufgrund unzureichender digitaler Widerstandsfähigkeit von Gemeinden können zu negativer Medienaufmerksamkeit führen, wie im Fall der Gemeinde Antwerpen, der Gemeinde Buren und sogar zu rechtlichen Konsequenzen im Fall des Hof van Twente (gehackt mit dem Passwort "welcome2020").
Darüber hinaus bedeutet die Einhaltung der BIO auch ein Stück guter Corporate Citizenship und kann den Stakeholdern zeigen, dass die digitale Sicherheit ernst genommen wird. Die Herausforderung besteht also darin, die BIO als Nebenprodukt einer guten Informationssicherheitspolitik einzuhalten, die auch pragmatisch so gestaltet ist, dass sie innerhalb der Organisation genügend Unterstützung findet.
Menschen, Prozesse und Technologie
Wie können Sie die BIO pragmatisch und nicht als Compliance-Verpflichtung einrichten? Nach Ansicht von Bureau Veritas Cybersecurity kann dies durch eine kritische Betrachtung von Menschen, Prozessen und Technologie erreicht werden:
- Mensch: Sensibilisierungsschulungen müssen die Mitarbeiter nicht belasten, sondern machen sie zu einer Waffe in der digitalen Schlacht;
- Prozess: Richtlinien und Prozesse sollten Einsicht und Kontrolle über die Informationssicherheit bieten;
- Technologie: Sicherheitsmaßnahmen und Forschung sollten die digitale Widerstandsfähigkeit der Organisation fördern.
Als unabhängiger Cybersecurity-Experte kann Secura Ihnen bei allen Themen sowohl der ISO/IEC 27002 als auch der zusätzlichen BIO-Maßnahmen helfen, den Reifegrad zu verstehen und sie effektiv umzusetzen.
BIO-Themen | Secura Dienstleistungen |
|---|---|
| Organisatorische Politik | Um festzustellen, wo Ihre Organisation steht, beginnt Secura mit einer Bewertung des Sicherheitsreifegrads. Während die GAP-Analyse des VNG nur die zusätzlichen BIO-Maßnahmen testet, bewertet Secura den Reifegrad auch anhand der (obligatorischen) ISO/IEC 27002-Maßnahmen in einem übersichtlichen Bericht, der durch Grafiken unterstützt wird. Anschließend kann Secura Sie bei der Einrichtung der fehlenden Teile des BIO durch Implementierungsunterstützung unterstützen. Hinweis: Das BIO basiert derzeit auf der Version 2013 der ISO/IEC 27002, die jedoch in naher Zukunft aktualisiert wird. Bureau Veritas Cybersecurity kann die Organisation auch anhand der ISO27002:2022 testen, um zusätzliche Arbeit und Kosten in der Zukunft zu vermeiden. |
| Risikobewertung | In Übereinstimmung mit der BIO stützt sich die Informationssicherheit auf das Risikomanagement, um eine angemessene Sicherheit von Informationen und Informationssystemen im Kontext und im Rahmen der Ziele der Organisation zu erreichen. Zu diesem Zweck sollte eine angemessene Risikobewertung durchgeführt werden, bei der der Kontext, das einzigartige Profil und die Risikobereitschaft des Unternehmens berücksichtigt werden. Secura kann Sie bei allen Schritten des Risikobewertungsprozesses unterstützen: von der Methodik der Risikobewertung bis hin zur Analyse der Risiken und der Gewichtung/Priorisierung der Ergebnisse. |
| Sensibilisierung und Verhaltensweisen, die darauf abzielen, zu lernen, zu motivieren und zu erleichtern. | Der Faktor Mensch ist entscheidend für den Schutz Ihres Unternehmens und Ihrer digitalen Werte. In der Praxis sehen wir oft, dass das Wissen der Mitarbeiter nicht mit dem Bewusstsein übereinstimmt, weil die Menschen von verschiedenen Faktoren angetrieben werden. Secura bietet ein Programm zur Sensibilisierung für Sicherheitsfragen und zur Verhaltensänderung sowie entsprechende Dienstleistungen und Schulungen an, um die Cyber-Resilienz Ihrer Mitarbeiter zu erhöhen. Dabei konzentrieren wir uns nicht nur auf das Wissen (Awareness), sondern auch auf die Steigerung der Motivation und die bessere Unterstützung Ihrer Organisation. |
| Technische Sicherheit | Angreifer nutzen oft technische Schwachstellen aus, sowohl um einzudringen als auch um maximalen Schaden anzurichten. Indem Sie Ihr eigenes Netzwerk, Ihre Systeme und Anwendungen regelmäßig überprüfen lassen, können Schwachstellen identifiziert und präventiv behoben werden. In dieser Hinsicht ist Ransomware eine der größten Bedrohungen, denen sich die Kommunen stellen müssen. Der erste Schritt besteht darin, die Umgebung abzubilden. Dies geschieht durch Threat Modelling. Dabei kann auch die physische Sicherheit der Umgebung untersucht werden. Danach können externe Scans durchgeführt werden, gefolgt von Anwendungsumfragen und internen Penetrationstests. Bei diesen Tests können Themen wie Backups und Anfälligkeit für Ransomware explizit angesprochen werden, wobei die Taktiken, Techniken und Verfahren (TTPs) moderner Ransomware-Gruppen berücksichtigt werden. All dies wird von Sicherheitsspezialisten der Gruppe Öffentlicher Sektor innerhalb von Bureau Veritas Cybersecurity durchgeführt, die mit den einzigartigen Herausforderungen des öffentlichen Sektors vertraut sind. |
Bureau Veritas Cybersecurity kann Ihnen bei der BIO helfen, Sie aber nicht völlig entlasten. Die Einhaltung der BIO erfordert Engagement und Maßnahmen seitens der Gemeinde selbst. Schließlich muss die Organisation in ihrem Tagesgeschäft selbst die Verantwortung für die BIO tragen. Sollten Ihnen in dieser Hinsicht die Kapazitäten fehlen, kann unser CISO-as-a-Service-Service eine Lösung bieten.
Prävention und Heilung
Secura konzentriert sich auf die unabhängige Prüfung und Beratung zur Informationssicherheit. Die Cybersicherheit ist jedoch ein komplexes und dynamisches Tätigkeitsfeld und in der Praxis gelingt es Angreifern immer noch manchmal, einzudringen. Sie sollten daher immer dieses Szenario in Betracht ziehen, das so genannte 'assume breach'-Prinzip. In solchen Fällen ist es von entscheidender Bedeutung, dass eine Organisation sowohl über ausreichende Erkennungskapazitäten als auch über Sicherheitsexperten verfügt, die rund um die Uhr zur Verfügung stehen, um die Auswirkungen eines erfolgreichen Angriffs abzumildern und Schaden zu verhindern.
Deshalb arbeitet Secura mit Eye Security zusammen, einem führenden Anbieter von Cybersicherheitsdiensten, der sich auf Überwachung, Versicherung und Reaktion auf Vorfälle spezialisiert hat. Eye Security bietet eine Komplettlösung zum Schutz Ihrer Systeme und Netzwerke und neutralisiert einen Cyberangriff innerhalb von vier Stunden.
Die Dienstleistungen von Eye Security und Secura ergänzen sich gegenseitig, so dass die Gemeinden ihre BIO-Herausforderungen abdecken können, wenn beide Unternehmen zusammenarbeiten. Deshalb freuen wir uns, allen Gemeinden gemeinsam "Willkommen2023" zu sagen!