Prof. Dennis-Kenji Kipker ist nicht nur ein renommierter Professor für IT-Sicherheitsrecht an der Hochschule Bremen, sondern auch Keynote-Speaker auf dem 6. AKDB Kommunalforum am 10. Oktober. Wir haben ihn zur derzeitigen Sicherheitslage in Kommunen befragt.
"Die Sicherheitslage ist nicht erst seit den letzten Monaten schlecht, sondern bereits seit Jahren."
Prof. Kipker, wie bewerten Sie die aktuellen gesetzlichen Rahmenbedingungen für IT-Sicherheit in der öffentlichen Verwaltung in Deutschland und welche Verbesserungen halten Sie für notwendig, um den aktuellen Bedrohungen gerecht zu werden?
Die aktuellen gesetzlichen Rahmenbedingungen zur Cybersicherheit in der öffentlichen Verwaltung sind unzureichend. Schon 2009 wurde in der KRITIS-Strategie bestimmt, dass auch die IT ebenjener Infrastrukturen zu schützen ist, wozu definitorisch auch die öffentliche Verwaltung gehört. Überdies wurde bestimmt, dass ein kooperativer Ansatz zwischen Bund, Ländern, Landkreisen und Kommunen verfolgt werden soll. Im Bereich der Cybersicherheit und der digitalen Infrastruktur sind wir leider nicht über das Jahr 2009 hinausgekommen - obwohl sich die Cyberbedrohungslage und die Angewiesenheit auf IT gravierend erhöht hat. Insoweit ist ein gesetzgeberisches Umdenken dringend notwendig, denn weder das erste IT-Sicherheitsgesetz aus 2015 noch die erste NIS-Richtlinie aus 2016 haben das Thema kommunale Cybersicherheit ausdrücklich adressiert. Und wie wir alle wissen, ist die kommunale Cybersicherheit in NIS2 lediglich fakultativer Bestandteil, von dem Deutschland keine Anwendung macht.
Wie schätzen Sie die aktuelle Sicherheitslage in der öffentlichen Verwaltung in Deutschland ein, und welche sofortigen Maßnahmen sollten ergriffen werden, um die IT-Sicherheit angesichts der zunehmenden Cyberbedrohungen zu verbessern?
Generell ist bei der Cybersicherheit in der öffentlichen Verwaltung in Deutschland noch viel Luft nach oben – aber Deutschland bildet da keine Ausnahme. Mit einem Blick auf die Schweiz zum Beispiel ist die Sicherheitslage genauso verheerend. Zentrale Erkenntnis aber: Die Sicherheitslage ist nicht erst seit den letzten Monaten schlecht, sondern bereits seit Jahren. Noch lange bevor wir überhaupt von Corona oder dem Russland-Ukraine-Krieg gesprochen haben, wurden öffentliche Einrichtungen bis hin zum Bundestag erfolgreich von ausländischen Cyberangreifern kompromittiert. Und die Situation hat sich seither nicht verbessert. Zur Verbesserung der Situation wichtig ist der Aufbau von eigenem Know-how vor Ort. Sinnvoll sind zum Beispiel lokale kommunale Zusammenschlüsse, um gemeinsam IT zu betreiben und die entsprechenden Kenntnisse aufzubauen. Derlei Modellprojekte gibt es ja schon.
Sollte die öffentliche Verwaltung in der NIS2-Richtlinie aufgenommen werden? Welche Vorteile oder Herausforderungen würden sich daraus für die IT-Sicherheit in diesem Sektor ergeben?
Der Vorteil von kommunaler Infrastruktur unter NIS2 wäre definitiv gewesen, dass man diesem wichtigen Thema in jedem Falle mehr Aufmerksamkeit schenken muss und dementsprechend auch Budgets bereitzustellen gewesen wären. Aber genau davor haben sich ja letztlich vor allem auch die Länder gefürchtet und überlassen die kommunale Cybersicherheit deshalb lieber der kommunalen Selbstverwaltungsautonomie. Natürlich können mit NIS2 nicht sämtliche Probleme der kommunalen IT-Infrastruktur sofort gelöst werden, zumindest jedoch wäre es ein wichtiger Schritt in die richtige Richtung gewesen anzuerkennen, dass Kommunen für das Funktionieren des öffentlichen Gemeinwesens in Deutschland einen bedeutenden Stellenwert einnehmen.