„Bei IT-Sicherheit muss man kontinuierlich dazulernen”
SNV
Die Bedarfsanalyse „Wie sich die Informationssicherheit von deutschen Städten verbessern lässt” wurde von der Stiftung Neue Verantwortung (SNV) zusammen mit dem Deutschen Städtetag erstellt. Julia Schuetze ist Projektleiterin Cybersicherheitspolitik und Resilienz bei der SNV.
DEMO: Wie gut sehen Sie die Kommunen bei der IT-Sicherheit aktuell aufgestellt?
Julia Schuetze: Dass Kommunen immer mehr von Cybervorfällen betroffen sind, kann man im Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik nachlesen. Und es gibt es den „kommunalen Notbetrieb“, das ist eine Website von einem Freiwilligen aus der Stadt Kassel, der alle öffentlich bekannten Fälle erhebt. Da sieht man: Es sind nicht wenige.
Trotzdem kommt dies keiner systematischen Erfassung aller Fälle gleich oder gibt Aufschluss über den Stand der Informationssicherheit bei Kommunen. So etwas würde Deutschland ermöglichen, Informationssicherheit gezielt zu fördern und Resilienz zu testen. Wenn eine Stadt wissen will, wie gut sie aufgestellt ist, kann sie einen Pen-Test machen lassen oder eine andere Form der IT-Sicherheitsanalyse. Das ist immer eine gute Basis. Um schneller reagieren zu können, wenn Angreifer im Netz sind, braucht es außerdem Detektionswerkzeuge. Manche Kommunen nutzen so etwas bereits, andere stehen beim Thema Informationssicherheitsmanagement noch am Anfang.
Welche Folgen kann es konkret haben, wenn eine Kommune sich nicht ausreichend vor Cyberangriffen schützt?
Es kann dazu führen, dass die Kommunikation innerhalb der Verwaltung eingeschränkt wird. Oder dass die Verwaltung für die Bürger*innen gar nicht mehr erreichbar ist. Wichtige Dienstleistungen wie das Anmelden eines Autos sind dann nicht mehr verfügbar. In einem Fall musste eine Notlösung gefunden werden, um Sozialleistungen auszuzahlen, weil die dafür notwendigen Systeme und Daten betroffen waren.
Sie haben für eine Bedarfsanalyse mit 56 Mitarbeiter*innen aus 34 Städten über IT-Sicherheit gesprochen. Welche Probleme und Bedürfnisse wurden dabei besonders oft geäußert?
Besonders oft wurde der Fachkräftemangel beklagt. Es fehlen IT-Fachkräfte in den Verwaltungen. Es gibt aber auch nicht genügend Expertinnen und Experten, die man von außen hinzuziehen kann oder sie sind teuer. Deswegen wäre es sinnvoll, dass Städte genau über ihre IT-Organisation nachdenken, sich ggf. bei bestimmten Fragen zusammentun und Informationen teilen oder gemeinsame Rahmenverträge mit Firmen machen.
Es gibt außerdem einen großen Bedarf, sich mit Mitarbeiter*innen in anderen Städten auszutauschen, die gerade am selben Problem arbeiten. Wenn zum Beispiel eine Stadt ein bestimmtes IT-Sicherheitssystem umsetzen möchte, hilft es ihr, wenn eine andere Stadt schon Erfahrungen damit sammeln konnte. Ein persönlicher und vertrauensvoller Austausch der Mitarbeitenden verschiedener Kommunen ist ganz wichtig. IT-Sicherheit ist ein Gebiet, auf dem man kontinuierlich dazulernen muss.
Außerdem wurde der Wunsch geäußert, dass Bund und Länder zentrale, verständliche und transparente Vorgaben machen. Was soll bis wann gemacht werden? Solche Vorgaben helfen den Mitarbeitenden in den Städten auch, um gegenüber der Stadtspitze belegen zu können, warum bestimmte Maßnahmen jetzt umgesetzt werden müssen. Schließlich ist das in der Regel mit Kosten verbunden. Und weil selten genug Geld für alle Aufgaben da ist, müssen die Führungskräfte im Rathaus Prioritäten setzen. Deswegen ist es auch wichtig, dass die Kompetenz für Informationssicherheit und Resilienz nicht nur bei den Mitarbeiter*innen der IT-Abteilung liegen. Das muss auch in der Verwaltungsspitze angesiedelt sein. Am Ende müssen die sich bei den Bürger*innen verantworten, wenn ein Vorfall die Stadtverwaltung lahm legt.
Haben Sie konkrete Vorschläge, wie sich die IT-Sicherheit verbessern ließe?
Die Mitarbeiter*innen haben einige Dinge genannt, die aus ihrer Sicht schon hilfreich sind. Zum einen sind das die Orientierungshilfen und Checklisten, die von den kommunalen Spitzenverbänden und vom Bundesamt für Sicherheit in der Informationstechnik entwickelt wurden. Zweitens helfen Beratungsangebote, wo man sich zu einem ganz spezifischen Fall informieren und austauschen kann. Manche Länder bieten so etwas für Städte an, quasi wie eine Sprechstunde für Kommunen. Ein dritter Punkt sind Förderprogramme. Sie sollten möglichst konkret und unbürokratisch sein. Das kann zum Beispiel die Bereitstellung der Awareness-Plattformen sein, die über Rahmenverträge finanziert werden. Dann kann die Kommune diesen Service einfach nutzen, ohne ihn selbst ausschreiben zu müssen.
Wohin können sich Kommunen wenden, die beim Thema Cybersicherheit Unterstützung benötigen?
Die SNV hat mit dem Deutschen Städtetag den Cybersicherheitskompass für Kommunen entwickelt. (Cybersicherheitskompass.de) Dort haben wir die Leistungen von Bund und Ländern für Kommunen übersichtlich aufbereitet in zwölf Kategorien. Hier kann man sich informieren, wer auf Bundes- oder Landesebene für welche Themen zuständig ist und welche Unterstützung man als Kommune bekommen kann.
Ich empfehle aber auch allen Stadtspitzen, mal selbst proaktiv bei den eigenen Mitarbeiter*innen nachzufragen, wie die Informationssicherheit und Resilienz aktuell organisiert wird und welche Bedarfe es gibt. Um dann zu überlegen: Wie können diese Bedarfe gelöst werden, stadtintern oder mit anderen Kommunen, mit dem Land oder Bund? Unsere Analyse zeigt, dass die Situation in den Kommunen aktuell ganz unterschiedlich ist. Gerade deshalb braucht es aufseiten der Städte jetzt ein großes Engagement, um gemeinsam an einer besseren Informationssicherheit zu arbeiten.
Mehr Informationen:
Die Bedarfsanalyse steht auf stiftung-nv.de zum Download bereit.
Dirk Bleicker
ist Leitender Redakteur der DEMO. Er hat „Public History” studiert.