Beitrag: Vitako Aktuell 03 ’23 – Leitartikel: CYBERSECURITY IN DEN KOMMUNEN: VON DER KÜR ZUR PFLICHTAUFGABE!

Vitako Aktuell 03 ’23 – Leitartikel: CYBERSECURITY IN DEN KOMMUNEN: VON DER KÜR ZUR PFLICHTAUFGABE!

11 Okt '23 |

Magazinartikel,

Schockerlebnisse können hilfreich sein. Sie offenbaren Handlungsdruck und initiieren – im besten Fall – Prozesse, damit sich ähnliches nicht wiederholt. Erfolgreiche Cyberangriffe zählen dazu. Siehe den 6. Juli 2021, als eine Cyberattacke den Landkreis Anhalt-Bitterfeld auf Monate lahmlegte. Klar ist: IT-Sicherheit in kommunalen Verwaltungen darf nicht länger Kür sein, sondern muss sich zur Pflichtaufgabe entwickeln. In diesem Sinne kommen wir voran. Wesentliche Schritte für mehr digitale Sicherheit stehen aber noch aus – zumal die Bedrohungslage wächst.

Auf die sich verschärfende Gefahrensituation hat nicht zuletzt Claudia Plattner, die neue Präsidentin des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), in ihrer Antrittsrede Anfang Juli hingewiesen. Und weiter: Cybersicherheit entscheide darüber, ob unser digitalisierter Alltag und die kritischen Infrastrukturen funktionieren. Ausdrücklich erwähnte sie die öffentliche Verwaltung. Und damit – ohne sie namentlich zu erwähnen – die Kommunen, die über 80 Prozent der Verwaltungsleistungen abarbeiten. Ein Kernproblem aus meiner Sicht: Ausgerechnet die Kommunen verfügen in der Regel nicht über die Ressourcen, um Cybersicherheit zu gewährleisten.

RESSOURCEN BEREITSTELLEN

Abhilfe ist deshalb dringend geboten. Das gilt insbesondere für kleinere Kommunen. Sie benötigen Anreize – zum Beispiel durch finanzielle Unterstützung – um die Sicherheit der eigenen IT zu stärken. Wie wäre es mit einem Förderprogramm des Bundes zum Aufbau eines Informationssicherheitsmanagement-
Systems (ISMS) in den Kommunen? Es ist aus meiner Sicht befremdlich, dass der Bund für Hunderte Themen wie Elektromobilität, Waldmanagement oder den barrierefreien Tourismus zig Millionen Euro pro Jahr erübrigt – Cybersicherheit auf kommunaler Ebene aber komplett ignoriert. Den Einwand, dass Cybersicherheit Sache der Länder ist, lasse ich nicht gelten: Die Kommunen erbringen zahlreiche Dienste für den Bund, etwa die Ausstellung von Reisepässen und Personalausweisen. Wenn Kommunen die Cybersicherheit bei diesen Prozessen nicht sicherstellen können, bedarf es eben einer Grundgesetzänderung, um die notwendigen Ressourcen zu erschließen.

BSI IN DIE SPUR SCHICKEN

Dabei geht es nicht allein um harte finanzielle Mittel. Mindestens ebenso wichtig ist die Kompetenz, die auf Bundesebene – namentlich im BSI mit ihren über 1.400 Mitarbeiterinnen und Mitarbeitern – vorhanden ist. Das BSI darf Kommunen aktuell nicht unterstützen. Im erwähnten Katastrophenfall von Anhalt- Bitterfeld mussten die entsendeten Experten offiziell nach drei Tagen wieder abreisen. Worauf es jetzt ankommt: Bestehende Kooperationen zwischen dem BSI und den Kommunen verstetigen, Weiterbildungsangebote des Bundesamtes für Kommunen aufbauen und gesetzlich ermöglichen, Vernetzung – siehe die erfolgreichen IT-Grundschutztage – intensivieren und Unterstützung dauerhaft gewährleisten. Dabei sind die kommunalen IT-Dienstleister strukturell einzubinden. Denn kein Akteur kennt die Gegebenheiten in Landkreisen, Städten und Gemeinden besser als wir.

STANDARDS SETZEN

Eine gute Nachricht für Haushälter auf Bundesebene: Mehr Sicherheit ist nicht nur eine Frage der Ressourcen, sondern auch von verbindlichen Regeln. Tatsache ist, dass aufgrund fehlender Standards das Sicherheitsniveau zwischen den Kommunen vielfach unterschiedlich ist – wir sehen einen Flickenteppich! Zwar bietet das IT-Grundschutz-Profil klare Hinweise in technischer, organisatorischer und personeller Hinsicht. Allerdings handelt es sich dabei nur um Empfehlungen. Das muss sich dringend ändern. Wir brauchen für die kommunale Ebene einen verpflichtenden Standard. Gleichzeitig sind wiederkehrende Audits nötig, um sicherzustellen, dass die Vorgaben auch in der Praxis durchgesetzt werden. Denn: Ebenso wie der Erhalt von Feuerwehren oder der Katastrophenschutz muss Informationssicherheit zu den kommunalen Pflichtaufgaben zählen und ist entsprechend zu überprüfen.

VERANTWORTUNG KLÄREN

Und diese Pflicht muss gelebt werden. Von allen Mitarbeiterinnen und Mitarbeitern, vor allem aber, von der Spitze: den Dezernats- und Amtsleitenden, den Bürgermeisterinnen und Bürgermeistern. Das geschieht umso verlässlicher, wenn die Verantwortlichkeit klar geregelt ist, und zwar per Gesetz. Zwar existieren bereits Bestimmungen im Haftungsrecht, aus denen sogar eine persönliche Haftung der Behördenleitung abgeleitet werden könnte, allerdings bestehen hier in der Praxis viele Unsicherheiten. Verantwortlichkeiten sind zu klären – auch, um Grenzen der Verantwortung und gegebenenfalls auch der Haftung zu definieren.

ALS KRITIS EINSTUFEN

Ein letzter Aspekt ist mir noch besonders wichtig, das Thema Kritische Infrastruktur (KRITIS): Jetzt ist der Zeitpunkt, die kommunale Verwaltung hier zu verankern! Hintergrund ist die Umsetzung der europäischen NIS 2-Richtlinie, die neue Mindeststandards für Cybersicherheit definiert und aktuell in die nationale KRITIS-Regulierung zu überführen ist. Derzeit erfasst NIS 2 nur Bund und Länder – aber es spricht nichts dagegen, den Gestaltungsbereich auf die Kommunen auszudehnen. Warum wir uns als VITAKO dafür stark machen? In dem Moment, wo relevante Bereiche der kommunalen IT zur KRITIS zählen, ist der Weg quasi frei für mehr institutionelle und personelle Unterstützung durch das BSI und Verantwortlichkeiten würden systematisch sowie verbindlich geklärt. Eingangs habe ich formuliert, dass Schockerlebnisse hilfreich sein können. Treffender wäre: Schockerlebnisse MÜSSEN hilfreich sein und Prozesse initiieren, die Abhilfe  schaffen. Das gilt insbesondere für mehr Cybersicherheit als kommunale Pflichtaufgabe.

Dr. Rolf Beyer
Vorstandvorsitzender
von VITAKO.