Stärkung der gesamtstaatlichen Resilienz durch Informationssicherheit: Herausforderungen und Lösungen für Kommunen

Gastbeitrag von Christian Stuffrein

In Ihrem ÖFIT-Impulspapier zur »Resilienz im Digitalen Kontext« erläutern Dr. Karoline Krenn, Gabriele Goldacker und Jana Plomin, dass gerade Digitalisierung und Digitalität zur Lösung gesellschaftlicher, organisationaler oder individueller Herausforderungen beitragen können. Damit wird die Resilienz gegenüber diesen erhöht. Die Digitalisierung müsse dann allerdings selbst resilient ausgestaltet werden. Dazu trägt insbesondere die Informationssicherheit bei.

Definition und Abgrenzung von Informationssicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Informationssicherheit wie folgt: »Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.« Insbesondere durch Hackerangriffe, fehlerhafte Updates oder Umweltkatastrophen kann es zu großen Einschränkungen der genannten Grundwerte kommen.

Zur Bedeutung der Informationssicherheit in Kommunen

Laut aktuellem Bericht zur Lage der IT-Sicherheit in Deutschland wurden monatlich durchschnittlich zwei Kommunalverwaltungen oder kommunale Betriebe als Opfer von Ransomware-Angriffen bekannt. Damit waren sie nach Aussagen des BSI überproportional häufig von Ransomware-Angriffen betroffen. Die Ereignisse zu den bekannten Cyberangriffen auf öffentliche IT-Dienstleister, Landkreise, Städte und Gemeinden und die daraus resultierende eingeschränkte Handlungsfähigkeit, Folgekosten und Vertrauensverluste gegenüber der Öffentlichkeit verdeutlichen die Bedeutung der Informationssicherheit in den Kommunen. Neben den Dienstleistungen für die Bürger ist eine funktionierende Verwaltung auch ein Wirtschaftsfaktor. Daseinsvorsorge der Kommune sei für die Gesellschaft extrem wichtig, aber schlecht geschützt. Der Bund sei gut geschützt, aber für das Leben der Menschen nicht so kritisch, erläuterte auch der Vizepräsident des BSI, Gerhard Schabhüser, auf der Potsdamer Konferenz für Nationale Cybersicherheit 2023. Da vor allem die Landkreise diverse Krisen wie Covid-19, Tierseuchen, Hochwasser, Waldbrände sowie die Folgen von Flucht und Migration bewältigen und den Verwaltungsvollzug leisten, sind die Auswirkungen von Informationssicherheitsvorfällen besonders auf kommunaler Ebene für die Gesellschaft spürbar. Zu den bestehenden Aufgaben kommen steigende Anforderungen durch das Onlinezugangsgesetz, die Registermodernisierung oder Smarte Landkreise mit dem Internet der Dinge dazu. Der Deutsche Landkreistag betont die Bedeutung der Informationssicherheit seit Beginn an und hat 2021 nochmals die Rolle der Landräte im Prozess hervorgehoben.

Herausforderungen

Viele Kommunen betreiben ihre IT selbstständig oder greifen auf eine Vielzahl kommunaler IT-Dienstleister zurück. Stand 2022 gab es 59 kommunale IT-Dienstleister in Deutschland. In den Stellenplänen fehlen bereits heute Positionen für Informationssicherheitsbeauftragte, entweder aufgrund fehlender Haushaltsmittel oder mangelnder Priorisierung. Hinzu kommt, dass viele Stellen im Vergleich mit der privaten Wirtschaft zu niedrig eingruppiert werden und dadurch eine Besetzung mit guten Fachexperten schwer möglich ist.

Neben diesen organisationseigenen Herausforderungen treten externe dazu. Der Fachkräftemangel, eine der größten gesellschaftlichen Herausforderungen in Deutschland, ist besonders im IT-Bereich deutlich spürbar. McKinsey prognostiziert einen Mangel an IT-Fachkräften in der öffentlichen Verwaltung bis in das Jahr 2030 in Höhe von 136.000 Vollzeitstellen (2022: 39.000). Zu nennen ist weiterhin die schlechte kommunale Finanzausstattung, die maßgeblich von Bund und Ländern beeinflusst wird. Im laufenden Jahr verdoppelt sich das Defizit voraussichtlich auf eine Rekordhöhe von 13,2 Milliarden Euro. Auch in den Folgejahren wird das Defizit auf einem ähnlichen Niveau verharren. Dazu kommen unterschiedliche gesetzliche Anforderungen verschiedener Fachlichkeiten (z. B. EU-Zahlstelle, iKFZ, Schengener-Informationssystem). Zunehmend wird außerdem mit der Standardabsicherung des IT-Grundschutzes ein sehr hohes Absicherungsniveau normiert. Hierbei ist zu konstatieren, dass dieses nach aktuellem Stand von einem Großteil der Kommunen nicht erreicht wird. Gesetzgeber und Vollzug arbeiten an der Realität vorbei. Eine kontinuierlich fortschreitende Digitalisierung ergänzt das Potpourri an Herausforderungen, die durch immer kürzere Innovationszyklen und steigende Anforderungen bewältigt werden wollen. In einer wachsenden Bedrohungslage nehmen dabei insbesondere Schwachstellen in Software-Produkten und die Anzahl von Schadprogrammen zu.

Lösungen

Die größten Potenziale liegen sicherlich in der Bündelung des IT-Betriebes. Dies gilt zum einen für den eigenen Betrieb, zum anderen liegt die Notwendigkeit einer Konsolidierung bei der bestehenden Anzahl der kommunalen IT-Dienstleister unter Hinzuziehung der oben skizzierten Herausforderungen auf der Hand und soll an dieser Stelle nicht weiter vertieft werden.

Daneben bestehen weitere Lösungsmöglichkeiten, die hier nur auszugsweise skizziert werden können:

• Übergang zur Cloud: Einen Beitrag wird hier u. a. die Deutsche Verwaltungscloud leisten. Diese definiert klare Vorgaben zur Informationssicherheit an die Softwarebetreiber. Die Software lässt sich anschließend über ein Cloud-Service-Portal beziehen, sodass nicht mehr die Kommune oder eigene IT-Dienstleister jegliche Software selbst betreiben müssen. Hier ist zu beachten, dass der Großteil der – gerade für die Verwaltung relevanten – Fachverfahren noch nicht cloudfähig entwickelt ist. Hie benötigt es einen umfassenden Strategieprozess.
• Softwareentwicklung: Die wenigsten Bestandssoftwareprodukte dürften nach den Grundsätzen »security by design« und »privacy by design« entwickelt worden sein. Gerade durch gemeinsame Beschaffungsverfahren und die Konsolidierung der Fachverfahren unter Vermeidung von Monopolstrukturen liegen große Chancen.
• Open-Source-Software (OSS): Nach dem BSI bietet OSS für die IT-Sicherheit strategische Vorteile. Durch das ZenDiS und Open CoDe sind hier zukünftig weitere Unterstützungsangebote für Kommunen zu erwarten. Gerade der langfristige und professionelle Support von Open-Source-Produkten ist für die kommunale Ebene wichtig.
• Schulungen: Zukünftig werden die bestehenden On-Demand-Plattformen wie der »eGov-Campus« oder »Kommunalcampus« zu stärken sein. Die Potenziale werden aktuell nicht genutzt.
• Cybersicherheitsübungen: Ein Übungsszenario hatte der Deutsche Landkreistag in Kooperation mit dem GovTech Campus und der Führungsakademie der Bundeswehr durchgeführt. Hier wurde über das Szenariospiel »Neustart« der Katastrophenfall simuliert. Auf Bundes- und Landesebene besteht die Länder- und Ressortübergreifende Krisenmanagementübung (LÜKEX). Im Rahmen solcher Übungen wird besonders die Krisenkommunikation erprobt und blinde Flecken aufgedeckt. Für die Kommunen benötigt es mehr Angebote solcher Formate.
• Interkommunale Kooperation: Landkreise übernehmen bspw. Aufgaben zur Informationssicherheit für die kreisangehörigen Gemeinden oder erarbeiten praxisorientierte und übergreifende Notfallkonzepte. Daneben bestehen verschiedene Angebote der Kommunalen Spitzenverbände (z.B. DLT).

Unterstützungen durch die Länder

Insgesamt von Bedeutung sind einfache Meldewege bei IT-Sicherheitsvorfällen als Grundlage für ein deutschlandweites kommunales Lagebild, die Benennung von Informationssicherheitsbeauftragten, Angebote von Schulungen und Ressourcen im Notfall. Insbesondere bei großen IT-Sicherheitsvorfällen besteht die Notwendigkeit externer Unterstützung. Die Kommunen benötigen Zugriff auf die Länder-CERTs oder Rahmenverträge zu externen spezialisierten Dienstleistern. Viele Länder haben bereits in den vergangenen Jahren ihre Bemühungen intensiviert. Das gilt es fortzuführen. Wenn auch die erheblichen Diskrepanzen zwischen den Angeboten der Länder nicht verschwiegen werden dürfen, wie eine Studie der Konrad Adenauer Stiftung und der Stiftung Neue Verantwortung zeigt. Eine Übersicht über die Unterstützungsleistungen der Länder bietet der Cybersicherheitskompass.

Daneben können auch gesetzliche Regulierungen einen Beitrag zur Informationssicherheit leisten. Der IT-Planungsrat hatte sich zuletzt gegen eine Ausweitung des Anwendungsbereiches der europäischen NIS-2-Richtlinie (Richtlinie zur Netzwerk- und Informationssicherheit) auf die Kommunen ausgesprochen. Natürlich können sich die Länder auch unabhängig von der NIS-2-Richtlinie mit der Informationssicherheit für Kommunen befassen. Zuletzt hat der Freistaat Sachsen ein Informationssicherheitsgesetz, welches auch die Kommunen umfasst, auf den Weg gebracht. Hier werden u. a. die Benennung von Informationssicherheitsbeauftragten und Meldepflichten geregelt. Dieses kann grundsätzlich auch Vorbild für andere Bundesländer sein. Deutlich unterschiedliche Anforderungen von Bundesland zu Bundesland sollten aus Sicht des Deutschen Landkreistages gemäß einer Mindestharmonisierung vermieden werden.

Unterstützungen durch den Bund

Insbesondere die Bundesebene fällt durch heterogene gesetzliche Anforderungen auf, die Informationssicherheit in der Umsetzung erschweren. Hier benötigt es für eine gesamtstaatliche IT-Architektur übergreifende und verlässliche Standards. Sonderlocken einzelner Fachlichkeiten, die zu enormen Bürokratiekosten führen, sollten zukünftig und rückwirkend vermieden werden.

Ergänzend müsste das BSI als maßgeblicher Standardgeber - IT-Grundschutz - gegenüber den Kommunen, als eine wesentliche Nutzergruppe, mehr Angebote unterbreiten. Beispielhaft könnte ein kostenfreies Tool zur Umsetzung des BSI-Grundschutzes auf Open Source-Basis angeboten werden. Bisher bilden hundert Seiten lange PDF-Dateien die Grundlage für die Informationssicherheit der öffentlichen Verwaltung in Deutschland. Hier könnten die Informationssicherheitsbeauftragten in der Umsetzung des BSI-Grundschutzes durch zielgerichtete Hinweise, womöglich unter Einsatz von KI, aktiv unterstützt sowie Grundschutzprofile direkt integriert werden. Auf der bestehenden Anbieterseite könnte darauf aufbauend ein eigenes Ökosystem entstehen.

Auch der IT-Grundschutz selbst gehört auf den Prüfstand. Dieser ist in Teilen für Kommunalverwaltungen schwer umsetzbar und bürokratisch, hier bedarf es eines Realitätschecks. Aktuell werden daher bereits vom BSI neue Wege zum Aufbau des IT-Grundschutzes beschritten. Zu nennen ist hier mit Sicherheit das Konzept »Wege in die Basisabsicherung«, welches vorbildlich in enger Begleitung mit den Kommunen als Nutzergruppe erarbeitet wurde. Die Kommunalen Spitzenverbände waren dabei von Beginn an eingebunden. Solche Ansätze sollten zukünftig ausgebaut werden.

Weitere Unterstützungsangebote könnten Schulungen und professionelle sowie aktuelle Materialien für Awarenesskampagnen umfassen, da diese ein hohes Standardisierungspotential bieten.

Nahe Zukunftsperspektiven

Die Landkreise sehen Informationssicherheit als organisationseigene Aufgabe, benötigen aber aufgrund der bestehenden kommunalen Unterfinanzierung entsprechende Unterstützung der Länder oder des BSI. Letzteres hat dieses Jahr gemeinsam mit den kommunalen Spitzenverbänden im Rahmen des Formates »BSI im Dialog« Wege zur Stärkung der kommunalen Informationssicherheit gesucht. Beim 10. Kommunalen IT-Sicherheitskongresses der kommunalen Spitzenverbände wurde das Format fortgesetzt und vertieft. Ziel sollte es nunmehr sein, zukunftsfähige Wege im föderalen System für die Kommunen aufzuzeigen. Bisher fehlte eine echte Diskussion über die thematische Tiefe und Tragweite im politischen Raum.

Weiterführendes von ÖFIT:

Safety, Security und Privacy im Internet der Dinge

Die Kernidee des Internets der Dinge ist die Verknüpfung von »Dingen« der physischen Welt mit digitalen Systemen. Obwohl man vom »Internet der Dinge« (»Internet of Things«, »IoT«) spricht, sind nicht alle diese »Dinge« aus einer technischen Sicht Teil des Internets und manche sind nicht einmal direkt vernetzt. Insbesondere aus der Verknüpfung zwischen digitalen Prozessen und physischer Umwelt wie auch aus der komplexen und dynamischen Vernetzung der Systeme untereinander ergeben sich – nicht immer sofort erkennbare – Herausforderungen für Angriffs- und Betriebssicherheit und für die Privatsphäre betroffener Menschen.

Ein Open-Source-Ökosystem für die öffentliche Verwaltung

Wie kann ein nachhaltiges Ökosystem zwischen Open-Source-Software, staatlicher Finanzierung und Einflussnahme sowie Akteur:innen aus Wirtschaft und Zivilgesellschaft aussehen? Um diese Frage zu beantworten, haben wir bestehende Literatur ausgewertet und Expert:innen befragt. In der Publikation wird ein praktischer Vorschlag skizziert, wie etablierte Open-Source-Strukturen mit der öffentlichen Verwaltung verknüpft werden können. Ergebnis ist ein Netzwerk aus Rollen und deren Beziehungen zueinander, welche ein solches ideelles Ökosystem beschreibt. Anhand verwaltungsspezifischer Anwendungsszenarien wird gezeigt, wie die Verwaltung eigene Interessen in der Open-Source-Gemeinschaft vertritt, neue Codebases für eigene Bedarfe initiiert oder Inkubatorin für potentielle Startups wird.

Good Practices störungsresilienter, menschzentrierter Technikgestaltung

Warum geht die Entwicklung digitaler Werkzeuge so oft am Bedarf der Nutzenden vorbei, obwohl menschzentrierte Gestaltungsansätze hierfür doch zahlreiche Lösungen bereitstellen? Damit menschzentrierte Gestaltung erfolgreich ist, braucht es neben Methodenwissen ein gemeinsames Verständnis und die richtige Haltung. Der Impuls beschreibt Good Practices für einen resilienten Umgang mit typischen Störungen und skizziert entlang verschiedener Projektphasen eines fiktiven Projektszenarios das Ineinandergreifen von Rahmenbedingungen und idealen methodischen Abläufe im Forschungs- und Entwicklungskontext. Dabei gibt der Impuls Fördergebenden, Projektverantwortlichen und Entwickler:innen Einblicke in häufig nur implizit vorhandenes Praxiswissen.

Veröffentlicht: 23.10.2024