Derzeit ist viel zu lesen rund um das Thema i‑Kfz (internetbasierte Kfz-Zulassung), dem KBA (Kraftfahrtbundesamt) und Kommunen, die aufgrund mangelnder Sicherheit den Zugriff auf diese digitale Zulassungsmöglichkeit verlieren (sollen). Einige der Artikel strotzen vor Clickbaiting und gegenseitigen Schuldzuweisungen. Doch das sollen andere austragen. Diejenigen, die sich mit der Umsetzung der sog. Mindestsicherheitsanforderungen (MSA) des KBA auseinandersetzen müssen, haben zumeist genug und wichtigeres zu tun, als sich mit diesen Effekthaschereien zu befassen. Es gilt, praktische Umsetzungswege zu finden.
Nicht jede Kommunalverwaltung in Deutschland verfügt über ein Informationssicherheitsmanagementsystem (ISMS) wie die ISO 27001, möglichst noch zertifiziert als sog. “ISO 27001 auf Basis IT-Grundschutz”. In diesem Fall zeigt das KBA nämlich durchaus geneigt, diese Mindestsicherheitsanforderungen als erfüllt zu betrachten und den Zugriff auf i‑Kfz weiter zu gewähren. Einige wenige Kommunen sind in anderen (“kleineren”) Normen unterwegs. In diesem Fall gilt es, die noch fehlenden Anforderungen zwischen dem eigenen ISMS und den MSA zu identifizieren, umzusetzen und den Nachweis darüber führen zu können. Andere Kommunen haben schlimmstenfalls überhaupt kein ISMS zu Hand. Diese stehen vor der Aufgabe, diese Anforderungen in einer mit Informationssicherheit bisher wenig oder sogar gar nicht vertrauten Verwaltung umzusetzen.
Hilfe durch das BSI IT-Grundschutz Profil zu i‑Kfz
Der Arbeitskreis i‑Kfz hat zur Erleichterung ein sog. Profil für den BSI IT-Grundschutz aufgesetzt und modelliert. Anhand dieses Profils können die KBA-Mindestanforderungen innerhalb der IT-Grundschutz-Systematik bearbeitet und der Umsetzungsstand nachgewiesen werden. Auf der oben verlinkten Seite des BSI ist jedoch nicht das eigentliche i‑Kfz-Profil zu finden, sondern lediglich der Hinweis, dieses aus dem geschützten Anwender-Bereich des KBA zu laden. Wir hoffen, dass es mittlerweile nicht mehr einen generischen Zugang für alle Anfragenden zu diesem “geschützten” Bereich gibt 😉
Dieses Profil aus dem Anwender-Bereich des KBA ist ein mehrseitiges PDF, in dem die Modellierung der typischen Systemlandschaft und für den Betrieb von i‑Kfz notwendigen Bausteine beschrieben wird. Eine sehr praktische Anleitung, die jedoch einen Haken hat: Man kann diese nicht einfach in das ISMS-Tool seiner Wahl als sog. “Katalog” einlesen und damit praktisch arbeiten.
i‑Kfz Anforderungen zum Import in Verinice
Verinice ist ein bekannter Vertreter von vielen in der Kategorie ISMS-Software, mit dem man verschiedene Kataloge wie die ISO 27001 oder auch die Absicherungsstufen des BSI IT-Grundschutz laden und bearbeiten kann. Wie jedes ISMS-Tool hat es Stärken und Schwächen, doch auch das wollen wir hier nicht weiter vertiefen. Wer jedoch den Einsatz von Verinice als ISMS-Tool plant oder Verinice bereits im Einsatz hat, kann sich freuen. a.s.k. Informationssicherheit hat eine Import-Datei erstellt, mit der das vom KBA herausgegebene i‑Kfz Profil mit den aktuellen MSA in Verinice eingelesen werden und nach Anpassungen auf die eigene Organisation genutzt werden kann. Das spart einige Stunden an Erstellungsaufwand.
Wie erhalte ich die Import-Datei für Verinice zu den i‑Kfz Anforderungen?
Ganz einfach: Fordern Sie als Kommunalverwaltung Ihr unverbindliches Angebot einfach per Email bei info@ask-informationssicherheit.de an.