i‑Kfz Grundschutz-Profil in Verinice

Der­zeit ist viel zu lesen rund um das The­ma i‑Kfz (inter­net­ba­sier­te Kfz-Zulas­sung), dem KBA (Kraft­fahrt­bun­des­amt) und Kom­mu­nen, die auf­grund man­geln­der Sicher­heit den Zugriff auf die­se digi­ta­le Zulas­sungs­mög­lich­keit ver­lie­ren (sol­len). Eini­ge der Arti­kel strot­zen vor Click­bai­ting und gegen­sei­ti­gen Schuld­zu­wei­sun­gen. Doch das sol­len ande­re aus­tra­gen. Die­je­ni­gen, die sich mit der Umset­zung der sog. Min­dest­si­cher­heits­an­for­de­run­gen (MSA) des KBA aus­ein­an­der­set­zen müs­sen, haben zumeist genug und wich­ti­ge­res zu tun, als sich mit die­sen Effekt­ha­sche­rei­en zu befas­sen. Es gilt, prak­ti­sche Umset­zungs­we­ge zu fin­den.

Nicht jede Kom­mu­nal­ver­wal­tung in Deutsch­land ver­fügt über ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) wie die ISO 27001, mög­lichst noch zer­ti­fi­ziert als sog. “ISO 27001 auf Basis IT-Grund­schutz”. In die­sem Fall zeigt das KBA näm­lich durch­aus geneigt, die­se Min­dest­si­cher­heits­an­for­de­run­gen als erfüllt zu betrach­ten und den Zugriff auf i‑Kfz wei­ter zu gewäh­ren. Eini­ge weni­ge Kom­mu­nen sind in ande­ren (“klei­ne­ren”) Nor­men unter­wegs. In die­sem Fall gilt es, die noch feh­len­den Anfor­de­run­gen zwi­schen dem eige­nen ISMS und den MSA zu iden­ti­fi­zie­ren, umzu­set­zen und den Nach­weis dar­über füh­ren zu kön­nen. Ande­re Kom­mu­nen haben schlimms­ten­falls über­haupt kein ISMS zu Hand. Die­se ste­hen vor der Auf­ga­be, die­se Anfor­de­run­gen in einer mit Infor­ma­ti­ons­si­cher­heit bis­her wenig oder sogar gar nicht ver­trau­ten Ver­wal­tung umzu­set­zen.

Hilfe durch das BSI IT-Grundschutz Profil zu i‑Kfz

Der Arbeits­kreis i‑Kfz hat zur Erleich­te­rung ein sog. Pro­fil für den BSI IT-Grund­schutz auf­ge­setzt und model­liert. Anhand die­ses Pro­fils kön­nen die KBA-Min­dest­an­for­de­run­gen inner­halb der IT-Grund­schutz-Sys­te­ma­tik bear­bei­tet und der Umset­zungs­stand nach­ge­wie­sen wer­den. Auf der oben ver­link­ten Sei­te des BSI ist jedoch nicht das eigent­li­che i‑Kfz-Pro­fil zu fin­den, son­dern ledig­lich der Hin­weis, die­ses aus dem geschütz­ten Anwen­der-Bereich des KBA zu laden. Wir hof­fen, dass es mitt­ler­wei­le nicht mehr einen gene­ri­schen Zugang für alle Anfra­gen­den zu die­sem “geschütz­ten” Bereich gibt 😉

Die­ses Pro­fil aus dem Anwen­der-Bereich des KBA ist ein mehr­sei­ti­ges PDF, in dem die Model­lie­rung der typi­schen Sys­tem­land­schaft und für den Betrieb von i‑Kfz not­wen­di­gen Bau­stei­ne beschrie­ben wird. Eine sehr prak­ti­sche Anlei­tung, die jedoch einen Haken hat: Man kann die­se nicht ein­fach in das ISMS-Tool sei­ner Wahl als sog. “Kata­log” ein­le­sen und damit prak­tisch arbei­ten.

i‑Kfz Anforderungen zum Import in Verinice

Ver­inice ist ein bekann­ter Ver­tre­ter von vie­len in der Kate­go­rie ISMS-Soft­ware, mit dem man ver­schie­de­ne Kata­lo­ge wie die ISO 27001 oder auch die Absi­che­rungs­stu­fen des BSI IT-Grund­schutz laden und bear­bei­ten kann. Wie jedes ISMS-Tool hat es Stär­ken und Schwä­chen, doch auch das wol­len wir hier nicht wei­ter ver­tie­fen. Wer jedoch den Ein­satz von Ver­inice als ISMS-Tool plant oder Ver­inice bereits im Ein­satz hat, kann sich freu­en. a.s.k. Infor­ma­ti­ons­si­cher­heit hat eine Import-Datei erstellt, mit der das vom KBA her­aus­ge­ge­be­ne i‑Kfz Pro­fil mit den aktu­el­len MSA in Ver­inice ein­ge­le­sen wer­den und nach Anpas­sun­gen auf die eige­ne Orga­ni­sa­ti­on genutzt wer­den kann. Das spart eini­ge Stun­den an Erstel­lungs­auf­wand.

Wie erhalte ich die Import-Datei für Verinice zu den i‑Kfz Anforderungen?

Ganz ein­fach: For­dern Sie als Kom­mu­nal­ver­wal­tung Ihr unver­bind­li­ches Ange­bot ein­fach per Email bei info@ask-informationssicherheit.de an.