Im Zuge der voranschreitenden Digitalisierung gewinnen urbane Datenplattformen (UDP) zunehmend an Bedeutung. Sie sind das Rückgrat smarter Städte und ermöglichen die Verarbeitung, Analyse und Nutzung unterschiedlichster Daten zur Verbesserung von Prozessen und zur Schaffung ganz neuer Anwendungsfälle. Mit der Veröffentlichung der TR-03187 (Technische Richtlinie) des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden nun nach verschiedenen Kategorien untergliederte Sicherheitsanforderungen an diese Plattformen gestellt. In diesem Artikel beleuchten wir, was die TR-03187 für Kommunen und Datenplattformanbieter bedeutet und geben Empfehlungen zur effektiven Umsetzung.
Was ist die TR-03187 und warum ist sie wichtig?
Bei der TR-03187 handelt es sich um eine neue technische Richtlinie des BSI, welche in ihrer ersten Version Ende Februar dieses Jahres veröffentlicht wurde. Die Richtlinie definiert spezifische Sicherheitsanforderungen an urbane Datenplattformen. Hiermit soll der Schutz sensibler Daten gewährleistet und das Vertrauen der Bürgerinnen und Bürger in digitale Lösungen gestärkt werden. Durch die Anwendung der Richtlinie sollen typische Schwächen im Aufbau und Betrieb urbaner Datenplattformen und daraus resultierende Schäden vermieden werden.
In einer Zeit, in der Datenschutz und Datensicherheit von größter Bedeutung sind, bietet die TR-03187 einen Rahmen für die Entwicklung und den Betrieb von urbanen Datenplattformen. Sie legt Wert auf die sichere Handhabung und Speicherung vertraulicher Informationen. Damit fördert sie das Vertrauen aller Beteiligten in digitale Lösungen. Wesentliche Aspekte sind die Verschlüsselung sensibler Daten während Transport und Speicherung, strenge Zugriffskontrollen sowie die sorgfältige Verwaltung geheimer Schlüssel und Zugänge. Zudem werden Vorgaben zur »Data Governance« definiert. Diese regeln den Lebenszyklus gespeicherter Daten und stellen sicher, dass nicht mehr benötigte Informationen rechtzeitig gelöscht werden. Die Richtlinie adressiert alle Beteiligten, von der Entwicklung bis hin zum Betrieb, und trägt so zu einer vertrauensvollen digitalen Umgebung bei.
Zur besseren Einschätzung, zu welchen sicherheitskritischen Zwecken eine urbane Datenplattform genutzt werden kann, wurden die Anforderungen in drei unterschiedliche Schutzlevel eingeteilt. Für Kommunen und Datenplattformanbieter ist es dabei entscheidend, diese Anforderungen zu verstehen und umzusetzen, um die Integrität und Vertraulichkeit der verarbeiteten Daten zu schützen und den stabilen Betrieb der Datenplattform sowie der abhängigen Systeme sicherzustellen. Dieser Artikel soll sowohl Kommunen als auch Datenplattformanbietern als Hilfestellung dienen, indem wir Empfehlungen geben, wie mit der technischen Richtlinie TR-03187 verfahren werden kann.
Was sollte ich als Kommune nun tun?
Nachdem die TR-03187 Ende Februar veröffentlicht wurde, stehen Kommunen vor der Herausforderung, die Richtlinie auf ihre Datenplattformprojekte anzuwenden. Dies betrifft sowohl bestehende als auch zukünftige Datenplattformen. Einige zentrale Empfehlungen für Kommunen haben wir hier gesammelt.
Zentrale Empfehlungen für Kommunen zur Umsetzung von TR-03187
-
Bestandsaufnahme bestehender UDP
Haben Sie als Kommune bereits eine UDP im Einsatz, so treten Sie mit dem Betreiber Ihrer aktuellen Datenplattform in Austausch zur TR-03187 des BSI. Fordern Sie von dem Betreiber eine ganzheitliche und umfassende Bewertung der bestehenden UDP hinsichtlich der Erfüllung der Richtlinie. Dies hilft Ihnen als Kommune, vorhandene Schwachstellen zu identifizieren und Maßnahmen zur Verbesserung zu planen. Des Weiteren lässt sich so einfacher identifizieren, welches Schutzlevel Ihre aktuelle UDP erfüllt und ob dieses den Einsatzzwecken Ihrer UDP gerecht wird.
-
Integration in neue Projekte
Setzen Sie aktuell noch keine UDP ein und befinden Sie sich stattdessen im Planungsprozess einer solchen Plattform, sollten Sie bereits in der Konzeptphase das gewünschte Schutzlevel Ihrer UDP, entsprechend der TR-03187, mit den technischen Ansprechpartnern diskutieren. So stellen Sie sicher, dass alle Sicherheitsanforderungen von Beginn an berücksichtigt und später teure Anpassungen vermieden werden.
-
Ausschreibungen entsprechend gestalten
Stellen Sie bei der Planung neuer UDP-Projekte auch sicher, dass die Umsetzung der TR-03187 als verpflichtende Anforderung in Ihren Ausschreibungen deklariert wird. Damit wird gewährleistet, dass alle potenziellen Anbieter die nötigen Sicherheitsstandards erfüllen und Verantwortung für den Schutz der Daten übernehmen.
Herausforderungen durch TR-03187 für Datenplattformanbieter
Ebenso als Anbieter von Datenplattformen können für Sie neue Aufgaben durch die TR-03187 entstehen, da Kommunen verstärkt auf die Umsetzung der neuen BSI-Richtlinie für ihre Datenplattformen drängen werden. Auch werden einige Kommunen den Austausch mit Ihnen suchen, um zu erfahren, inwiefern die im Einsatz befindliche UDP Konformität zur Richtlinie aufweist. Zum einen wird für Sie hieraus die Frage entstehen, welcher Handlungsbedarf für Sie aus der Richtlinie entsteht, zum anderen aber auch, wie Sie bestmöglich damit umgehen sollten. Zur besseren Bewältigung dieser Anforderungen haben wir hier einige Empfehlungen für Sie als Datenplattformanbieter zusammengetragen.
Zentrale Empfehlungen für Datenplattformanbieter zur Umsetzung von TR-03187
-
Ist-Analyse durchführen
Zunächst ist es ratsam, eine Analyse Ihrer aktuellen Sicherheitskonzepte durchzuführen. Vergleichen Sie diese dazu mit den Anforderungen der TR-03187, um anschließend bereits erfüllte Anforderungen sowie Bereiche mit Verbesserungsbedarf aus dieser Analyse zu identifizieren.
-
Verknüpfung von Sicherheitsmaßnahmen
Verlinken Sie im nächsten Schritt bestehende technische und organisatorische Sicherheitsmaßnahmen (TOMs) mit den Anforderungen der technischen Richtlinie TR-03187. Dies ermöglicht Ihnen, einen Katalog zu erstellen, der die Anforderungen der technischen Richtlinie mit bereits umgesetzten konkreten Maßnahmen verknüpft und das erreichte Schutzlevel Ihrer UDP ableiten lässt.
-
Planung der Soll-Situation
Um einen detaillierten Plan für die Soll-Situation zu entwickeln, nutzen Sie den erstellten Katalog, um alle bisher nicht ausreichend adressierten Anforderungen der TR-03187 aufzulisten. Für diese können Sie dann spezifische Maßnahmen ableiten, je nachdem, welches Schutzlevel angestrebt wird. Schätzen Sie die Aufwände für die Umsetzung dieser zusätzlichen oder angepassten Maßnahmen und priorisieren Sie diese zuerst anhand der Risikoeinschätzung, sodass Maßnahmen, die besonders risikoreiche Lücken adressieren, zuerst umgesetzt werden. Im nächsten Schritt priorisieren Sie innerhalb einer Risikoklasse anhand der Aufwandsschätzungen, damit einfach umzusetzende Maßnahmen schnellstmöglich umgesetzt werden.
-
Implementierung und Dokumentation
Setzen Sie die Maßnahmen entsprechend Ihrer Priorisierung um und dokumentieren Sie den gesamten Prozess, auch bei angepassten und eventuell nicht mehr aktuell genug dokumentierten Maßnahmen. Eine saubere Dokumentation ist auch im Hinblick auf den Cyber Resilience Act (CRA) von großer Bedeutung. Dies hilft Ihnen, den Überblick zu behalten und sicherzustellen, dass alle Anforderungen erfüllt werden sowie der einfacheren Nachweisbarkeit Ihren Stakeholdern gegenüber.
-
Regelmäßige Überprüfung und Anpassung
Aufgrund der sehr dynamischen Sicherheitslandschaft sollten Sie Ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen. Eine solche kontinuierliche Verbesserung ist entscheidend, um den sich ständig ändernden Bedrohungen und Anforderungen gerecht zu werden und Sicherheitsschwächen stetig zu reduzieren. Insbesondere auch bei der Weiterentwicklung der UDP hilft eine regelmäßige Überprüfung, etwaige Lücken durch die neue Kombination von Technologien zu vermeiden.
-
Externe Evaluierung
Um die Erfüllung der TR-03187 objektiv zu überprüfen, lassen Sie Ihre UDP von neutralen Gutachtern bewerten. Ergebnisse einer solchen Überprüfung können auch zur Bewerbung Ihrer Lösungen genutzt werden, und externe Validierungen können das Vertrauen in Ihre Plattform erhöhen.
Integration der TR-03187 mit dem BSI IT-Grundschutz für optimale Sicherheit
Ziele des BSI IT-Grundschutz
In der TR-03187 wird auch auf den IT-Grundschutz des BSI verwiesen, welcher die Integration bewährter Sicherheitsstandards in den Betrieb urbaner Datenplattformen fördert. Um die IT-Systeme und Prozesse von Kommunen abzusichern, bietet der IT-Grundschutz eine umfassende Methodik zur Gewährleistung der IT-Sicherheit.
Verbindung zwischen TR-03187 und BSI IT-Grundschutz
Zur besseren Adressierung und gezielten Anpassung von Sicherheitsanforderungen an die spezifischen Bedürfnisse von Organisationen eignen sich die verschiedenen Schutzlevel des BSI. Der Weg in die Basis-Absicherung (WiBA) stellt den Einstieg in den IT-Grundschutz des BSI dar und bietet insbesondere kleineren Kommunen eine praxisnahe Möglichkeit, grundlegende Sicherheitsmaßnahmen umzusetzen.
Praktische Umsetzung des IT-Grundschutz in urbanen Datenplattformen
Diese Unterstützung erleichtert den ersten Schritt zur IT-Sicherheit durch praxisorientierte Checklisten und Prüffragen und legt ein solides Fundament für die Informationssicherheit. Die Basis-Absicherung ist darauf ausgelegt, Organisationen in der Anfangsphase der Informationssicherheit zu helfen, indem sie einfache, priorisierte Maßnahmen zur Verfügung stellt, die leicht implementiert werden können.
Vorteile der Anwendung des BSI IT-Grundschutz
Auf der Basis-Absicherung aufbauend, bietet das IT-Grundschutz-Profil »Basis-Absicherung Kommunalverwaltung« eine spezifische Anpassung an die Bedürfnisse von Kommunen. Dieses Profil stellt sicher, dass grundlegende Sicherheitsmaßnahmen etabliert werden, die auf die besonderen Anforderungen und Gegebenheiten von kommunalen Verwaltungen zugeschnitten sind. Es ermöglicht den Kommunen, ein solides Fundament für ihre Informationssicherheit zu schaffen, auch wenn sie bislang nicht alle Anforderungen für eine Zertifizierung nach ISO 27001 erfüllen.
Verschiedene Absicherungslevels des BSI IT-Grundschutz und deren Nutzen
Die Basis-Absicherung nach dem BSI ist für Organisationen in der Anfangsphase der Informationssicherheit gedacht, die kein erhöhtes Risiko für ihre Prozesse haben. Sie ermöglicht es, grundlegende Sicherheitsmaßnahmen schrittweise umzusetzen. Zunächst wird der Anwendungsbereich festgelegt, gefolgt von der Identifikation und Priorisierung relevanter Bausteine. Für die Priorisierung und die eigentliche Umsetzung der Basisanforderungen dieser Bausteine wird das IT-Grundschutz-Kompendiumzurate gezogen, das standardisierte Anforderungen zur Informationssicherheit bereitstellt. Geringfügige Sicherheitsvorfälle werden in diesem Rahmen als akzeptabel angesehen.
Die Standard-Absicherung hingegen zielt auf eine umfassende Absicherung aller Prozesse und Bereiche einer Organisation ab. Hierbei wird zunächst der Geltungsbereich festgelegt, gefolgt von einer Analyse des Ist-Zustands und der Feststellung des Schutzbedarfs, wobei hierbei wieder das IT-Grundschutz-Kompendium genutzt wird. Die Standard-Absicherung ist dabei kompatibel mit einer ISO 27001-Zertifizierung. Diese Vorgehensweise erfordert eine strukturierte Planung und Umsetzung, um die IT-Sicherheit auf ein höheres Niveau zu heben.
Für Organisationen, die sich zunächst auf die Absicherung besonders gefährdeter Geschäftsprozesse konzentrieren möchten, bietet sich die Kern-Absicherung an. Diese Vorgehensweise ermöglicht es, gezielt existenziell wichtige Assets zu schützen, während kleinere, nicht existenzbedrohende Sicherheitsvorfälle als vorerst akzeptabel gelten. Die Kern-Absicherung erfordert einen Soll-Ist-Vergleich zwischen den im IT-Grundschutz-Kompendium definierten und den bereits umgesetzten Anforderungen, um Schwachstellen zu identifizieren und geeignete Maßnahmen zur Schließung dieser Lücken zu ergreifen.
Durch die Umsetzung eines dieser Schutzlevel können Kommunen nicht nur die Anforderungen des gewählten Schutzlevels erfüllen, sondern ihre Sicherheitsmaßnahmen auch strategisch ausrichten und zukunftssicher gestalten. Dennoch ist diese Umsetzung aufwendig. Eine strukturierte Herangehensweise an die IT-Sicherheit ist somit entscheidend für den Schutz sensibler Daten sowie die Gewährleistung der Resilienz kommunaler Infrastrukturen.
Wesentliche Erkenntnisse zur TR-03187 für Kommunen und Anbieter
Mit der TR-03187 hat das Bundesamt für Sicherheit in der Informationstechnik einen ersten Schritt in Richtung mehr Sicherheit für urbane Datenplattformen gemacht. Indem Sie als Kommune oder Datenplattformanbieter die Richtlinie konsequent verfolgen und aktiv umsetzen, können Sie dazu beitragen, das Vertrauen der Bürgerinnen und Bürger in digitale Lösungen zu stärken. Zukünftige Weiterentwicklungen der technischen Richtlinie durch das BSI sowie klare Beispiele und Abgrenzungen zu weiteren existierenden Dokumenten wären wünschenswert, um die Umsetzung der Richtlinie durch Kommunen wie auch Datenplattformanbieter zu erleichtern.
Letztlich bringt die TR-03187 zwar Herausforderungen bei der Umsetzung mit sich, ist aber als eine große Chance für Kommunen und Anbieter zu sehen. Eine effektive Umsetzung kann dazu beitragen, die Sicherheitsstandards im kommunalen Umfeld zu erhöhen und ist damit die Grundlage für innovative und sichere Lösungen im Bereich der urbanen Datenplattformen. Dadurch erhöhen Kommunen weiter ihre Resilienz durch effiziente, datengetriebene Prozesse unter Wahrung ihrer digitalen Souveränität.
Ausblick
Nach Veröffentlichung der neuen DIN SPEC 91377 sollte die technische Richtlinie mit den dortigen Anforderungen abgeglichen und gegebenenfalls angepasst werden. Dies ist besonders auch in Hinblick auf die Architektur urbaner Datenplattformen relevant. Des Weiteren sollte der Gestaltungsspielraum bei der Umsetzung der Anforderungen reduziert und konkrete Beispiele in die Richtlinie aufgenommen werden. Insbesondere Ausdrücke wie »regelmäßig«, »kurzlebig« oder »entsprechend restriktiv« sollten in ihrer Ausgestaltung klarer definiert werden. Ein Mapping zwischen dem »Weg in die Basis-Absicherung«, dem »BSI-Grundschutz« und den »Sicherheitsanforderungen an urbane Datenplattformen« wäre hilfreich. Dies würde Implementierungsprozess vereinfachen und die Einhaltung von Sicherheitsstandards fördern.
Mehr zum Thema Smart City und urbane Datenplattformen
- Studie: Urbane Datenplattformen
Von der Idee bis zur Umsetzung: Entscheidungshilfen für Kommunen - Studie: Digitale Plattformen verändern Städte und Regionen
So können Kommunen handeln - Konzeption und Umsetzung von Urbanen Datenplattformen
Wir unterstützen bei der Analyse, der Planung bis hin zur Implementierung - Was ist der beste erste Schritt zur Digitalisierung?
Und warum eine Digitale Plattform nicht der erste Schritt sein darf!
Haben Sie Fragen oder eine Herausforderung für uns? Kontaktieren Sie uns!