Obwohl die Bedrohungslage durch Cyber-Angriffe ständig zunimmt, sind viele kommunale IT-Infrastrukturen nicht ausreichend abgesichert. Eine stärkere Vernetzung, mehr finanzielle Mittel, die Einstufung als KRITIS und der Ausbau des BSI zur Zentralstelle könnten den Kommunen zu mehr IT-Sicherheit verhelfen.
Dr. Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), verdeutlichte in seiner Keynote auf dem VITAKO-Frühjahrsempfang, dass der Reifegrad der kommunalen IT-Sicherheit typischerweise bei 1 oder 2 (auf einer Skala von 1-10) liege. Angesichts der zunehmenden Cyber-Angriffe auf Kommunen und ihrer Relevanz für die Leistungserbringung für Bürgerinnen und Bürger, müsse eine „deutlich höhere Resilienz“ erreicht werden: „Wenn das Bundesinnenministerium ein paar Monate ausfallen würde, wäre es gar nicht so schlimm – zumindest für die Bürgerinnen und Bürger“, sagte Schabhüser mit einem Augenzwinkern. Bei den Kommunen sehe das anders aus.
Melitta Kühnlein, Leiterin des Bereichs IT-Strategie und Gesamtsteuerung der Landeshauptstadt Potsdam, berichtete von einem Cyber-Angriff kurz vor Silvester. Sie betonte, dass standardisierte Krisenpläne helfen würden, um mit der zunächst verspürten Überforderung zurechtzukommen. Während die Stadt Potsdam in der Cyber-Sicherheit insgesamt gut aufgestellt sei, treffe dies auf die wenigsten Kommunen zu. „So wie es momentan gestaltet ist, wird es mit der IT-Sicherheit in Deutschland nicht funktionieren“, warnte Kühnlein. Doch woran hapert es?
Mehr Geld für IT-Sicherheit?
Kühnlein betonte, dass die Cyber-Sicherheit ohne eine Zusammenarbeit zwischen den Kommunen und die Generierung von Skaleneffekten in Zukunft nicht finanzierbar sei. William Schmitt, Vorstandsvorsitzender der Komm.ONE und stellvertretender Vorsitzender von VITAKO, unterstrich – neben dem Appell zu mehr Zusammenarbeit – die Forderung von VITAKO nach mehr Geld für Cyber-Sicherheit auf kommunaler Ebene. Eine bloße Erhöhung der finanziellen Mittel für die bestehenden Strukturen reiche nicht aus, meinte Lars Hoppmann, Geschäftsleiter der OWL-IT und stellvertretender Vorsitzender von VITAKO. Vielmehr müsse an den Strukturen selbst gearbeitet werden, appellierte er.
Hoppmann sieht die nächste Stufe für Kommunen bei den kommunalen IT-Dienstleistern, die in der Cyber-Sicherheit unterstützen könnten. Außerdem machte er auf die Rolle der Kommunikation aufmerksam: So seien bei dem Sicherheitsvorfall von Südwestfalen-IT im Oktober letzten Jahres mehrere Wochen vergangen, bis andere Dienstleister über die Hintergründe des Vorfalls informiert wurden.
„Man muss teilen und über Vorfälle reden“, findet auch BSI-Vizepräsident Schabhüser. Eine Ausnahme sei, wenn das Opfer dies nicht wolle. Momentan plant das BSI zusammen mit dem Bundesinnenministerium (BMI) eine zentrale Rufnummer Deutschland für Cyber-Vorfälle, was Anke Domscheit-Berg, digitalpolitische Sprecherin der Gruppe Die Linke, als „großartige Idee“ begrüßte. Ihr zufolge würde diese Nummer vor allem den Kleinstkommunen zugutekommen.
Kommunale IT als KRITIS
Eine weitere Kernforderung der VITAKO ist die Einstufung der kommunalen IT als Kritische Infrastruktur (KRITIS) im Rahmen der NIS2-Richtlinie. „Wir müssen ihnen dabei helfen, auf ein höheres Niveau zu kommen,“ äußerte Domscheit-Berg. Sie hält es für falsch, die Kommunen aufgrund schwerer Voraussetzungen – wie fehlende Ressourcen – von NIS2 auszuschließen. Die Regulierung auf kommunaler Ebene würde zu mehr Standardisierung und damit zu mehr Sicherheit führen, glaubt auch Lars Hoppmann von OWL-IT.
Die Panelisten diskutierten weiterhin den Ausbau des BSI zur Zentralstelle für IT-Sicherheit. Dabei handelt es sich um ein Vorhaben von Bundesinnenministerin Nancy Faeser (SPD) und eine Forderung im VITAKO-Positionspapier. Es gehe nicht um ein Machtgefälle, stellte Schabhüser klar, sondern: „Ich möchte, dass das BSI mehr für die Länder machen kann,“ sagte der Vizepräsident des Bundesamts. Dazu gehörten eine gemeinsame Datenhaltung und ein Echtzeit-Datenaustausch. Die einzelnen Kooperationsvereinbarungen zwischen BSI und Ländern seien bislang über das erlaubte Mittel der Amtshilfe an konkrete Vorfälle gekoppelt. Schabhüser will hingegen die Zusammenarbeit institutionalisieren.
Vereinbarungen weit interpretieren
Der digitalpolitische Sprecher der SPD-Bundestagsfraktion, Dr. Jens Zimmermann, sprach sich ebenfalls für „eine starke Rolle des BSI“ aus und wies auf die derzeitigen Schwierigkeiten hin, in diesem Vorhaben Einigkeit unter den Ländern zu schaffen. Einige befürchteten die Wegnahme von Zuständigkeiten durch den Bund. „Wir müssen den Bund viel mehr machen lassen“, bekräftigte Martina Klement, CDO & Staatssekretärin für Digitalisierung und Verwaltungsmodernisierung Berlin. Im Länderkreis versuche sie genau dafür zu werben. Auch die Erwägung einer Grundgesetzänderung hält sie für richtig. Die Kräfte müssten gebündelt werden.
In der aktuellen Legislaturperiode scheint der Ausbau des BSI zur Zentralstelle jedoch unwahrscheinlich, spekuliert Schabhüser. Bis dahin sollten dem Vize-Präsident nach Kooperationsvereinbarungen „sehr weit interpretiert“ und auch Graubereiche begangen werden, um die Cyber-Sicherheit zu stärken. Zimmermann machte auf Bemühungen der Ampel-Koalition aufmerksam: Das BSI werde weiter gestärkt und Kompetenzen aufgebaut. Denn, so der Digitalpolitiker: „Wenn diese da sind, können die im Ernstfall auch irgendwie genutzt werden.“
