Das Thema IT-Sicherheit betrifft Kommunen jeder Größe. Die Anforderungen an den Schutz kommunaler IT-Systeme nehmen bei fortschreitender Digitalisierung sowie bei so einschneidenden Ereignissen wie dem Ukraine-Krieg weiter zu. Anlass für die Fraktion der Grünen im Bayerischen Landtag, ein Online-Fachgespräch zum Thema IT-Sicherheit aus Sicht der kommunalen Praxis zu veranstalten.
Als Referenten und Referentinnen auf dem digitalen Podium unter anderem: Benjamin Adjei, Sprecher der Grünen für Digitalpolitik im Bayerischen Landtag, Daniel Kleffel, Präsident des Landesamts für Sicherheit in der Informationstechnik, Manuel Atug von der AG KRITIS sowie Heike Leise, Mitglied der AKDB-Geschäftsleitung.
Wie wichtig das Thema ist, zeigte sich schon zu Beginn der Veranstaltung, als unter den etwa hundert Teilnehmerinnen und Teilnehmern ein reger Austausch zu den Gefahren von Cyberattacken begann und wie sich Kommunen in Bayern dagegen wappnen können. Zielgruppe des Fachgesprächs waren kommunale Entscheider und Mitarbeitende der Kommunalverwaltungen.
Trojaner legte Landratsamt lahm
Beeindruckender Vortrag von Manuel Atug, Gründer und Sprecher der AG KRITIS, die sich der Versorgungssicherheit der Bevölkerung verschrieben hat: Er berät und begleitet Institutionen und Unternehmen bei der Einführung von Informationssicherheits-Managementsystemen. Er berichtete über die Vorfälle im Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt: Infolge des Cyberangriffs auf die Kreisverwaltung wurde im Juli 2021 der Katastrophenfall ausgerufen. Mehrere Server des Landkreises waren mit sogenannter Ransomware infiziert worden, nach Zahlung eines Lösegelds sollten diese wieder freigegeben werden, der Landkreis lehnte die Geldzahlung aber ab. Daraufhin konnte der Landkreis viele Dienstleistungen nicht mehr erbringen. Erst mit neu aufgebauten IT-Strukturen und BSI-Unterstützung stellte die Behörde nach über einem halben Jahr die Arbeitsfähigkeit der Verwaltung wieder her.
Ein Fall, wie er sich nur in größeren Kommunen ereignen könnte?
Awareness auf allen Ebenen von größter Wichtigkeit
Die Referenten waren sich einig: Auch in kleineren Kommunen können Cyberkriminelle jederzeit zuschlagen. Umso wichtiger die organisatorische und technische Security-Awareness, also unterschiedlichste Maßnahmen, um Mitarbeitende einer Behörde für Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren und dadurch die Gefahren für die IT-Sicherheit zu minimieren. Zielgruppen solcher Maßnahmen müssten alle Ebenen sein, von den Sachbearbeitern bis hin zur Amtsleitung.
Entscheidend sei, so war man sich einig, dass alle bayerischen Kommunen unabhängig von ihrer Größe über ein gewisses Maß an Basissicherheit im IT-Bereich verfügen müssten. Kommunale Netze könne man Stress- oder Penetrationstests unterziehen, um gerade Nicht-Fachleuten die Notwendigkeit einer wirksamen Informationssicherheit zu verdeutlichen. Viele Kommunen hätten aber noch erhebliche Schwierigkeiten, die erforderlichen Maßnahmen umzusetzen.
Dazu berichtete Regina Reitenhardt, Geschäftsführerin der GKDS (Gesellschaft für Kommunalen Datenschutz mbH): "Viele Gemeinderatsmitglieder zumindest in kleineren Kommunen kennen kein LSI, nicht einmal das Thema IT-Sicherheit". Dabei könnte man schon mit der Erstellung eines Informationssicherheitskonzepts vielen Gefahren präventiv entgegenwirken, neben der Sensibilisierung der Mitarbeiter sei das ein funktionierendes Notfallmanagement sowie der Schutz vor Schadsoftware.
"Gibt’s da was von der AKDB?"
Auf die zahlreichen Möglichkeiten, die Kommunen zusätzlich zur Verfügung stünden, verwies Heike Leise von der AKDB als öffentlich-rechtlicher IT-Dienstleister. Die von den bayerischen kommunalen Spitzenverbänden getragene AKDB unterstütze Kommunen beim Thema IT-Sicherheit im AKDB-Ökosystem, in dem unter anderem das Systemhaus-Tochterunternehmen LivingData und das Datenschutz-Tochterunternehmen GKDS zusammenarbeiten. Mit pragmatischen Angeboten, die die gesetzlichen Mindestanforderungen erfüllen, mit Unterstützung zur Erlangung einer Sicherheits-Zertifizierung durch das LSI, mit individuellen Beratungsangeboten und auch mit umfassenden Outsourcing-Konzepten: "Wir wollen im Sinne unserer Kunden die Komplexität des Themas IT-Sicherheit reduzieren und die Risiken minimieren". Eine weitere Stufe sei das Komplett-Outsourcing des IT-Betriebs, wo nicht nur die Fachverfahren, sondern auch ganze IT-Komponenten in das BSI-zertifizierte Rechenzentrum der AKDB ausgelagert werden. Perspektivisch sollten Kommunen ihre IT-Lösungen aus der Cloud beziehen können – und zwar flexibel und sicher. Bernd Schaps, Bereichsleiter Platform- & Cloud Services, Mitglied der Geschäftsleitung bei der AKDB und verantwortlich für den Rechenzentrumsbetrieb ergänzte: "Wir investieren stark in die Zukunft, auch mit dem Neubau eines Rechenzentrums. So können wir kommunale Daten weiter in Deutschland hosten und IT-Abteilungen entlasten. Kommunen sollen mehr wertvolle Zeit für ihre Bürger haben".
Als Vertreter des LSI, das ebenfalls wichtige Beratungsleistungen für Kommunen anbietet, versicherte Präsident Daniel Kleffel, das LSI wollte kein Kontrolleur sein, sondern vertrauensvoller Ansprechpartner. Von der Glaub- und Vertrauenswürdigkeit des Siegels "Kommunale IT-Sicherheit", mit dem Kommunen auf Basis einer Selbst-Auskunft eine Mindestabsicherung in der Informationssicherheit nachweisen können, ist Kleffel überzeugt: „Das Siegel ist wichtig und hat Aussagekraft – die Vertreter der öffentlichen Verwaltung wollen sich der Realität stellen und nicht in die eigene Tasche lügen.“
Fazit
Gastgeber Johannes Becher, Sprecher der bayerischen Landtagsgrünen für kommunale Fragen, appellierte als Fazit an die Vertreter der Kommunen: Auf jeden Fall wachsam sein, Prävention betreiben ("Wir müssen vor die Lage kommen!"), gerade in Zusammenhang der erhöhten abstrakten Gefährdungslage seit Beginne des Ukraine-Krieges. Und in die Umsetzung kommen, sich auch gegenseitig helfen ("Kommunen sind nicht allein!") und in puncto Informationssicherheit etwas unternehmen. Das sei man schon den Bürgerinnen und Bürgern im Freistaat schuldig. Prävention sei besser und günstiger als Schadensbewältigung. Becher wies auf die freie Entscheidungsmöglichkeit der Kommunen bei der Wahl ihres IT-Dienstleisters hin, dankte aber ausdrücklich der AKDB als "Partner der kommunalen Familie".