Uneinheitliche Cybersicherheitsstandards: Kommunen ohne klare Strategie
Aktuell gibt es bei der IT-Sicherheit von Kommunen noch viele Mängel. Eine Studie klärt über die Defizite und mögliche Maßnahmen auf.
(Bild: janews/Shutterstock.com)
Die aktuelle Lage der kommunalen Cybersicherheit in Deutschland ist besorgniserregend. Das geht aus der Studie "Defizite, Anforderungen und Maßnahmen: Kommunale Cybersicherheit auf dem Prüfstand" von Dr. Tilmann Dittrich und Prof. Dennis-Kenji Kipker und IT-Sicherheitsanbieter NordPass hervor. Als Grund für die aktuelle Lage nennt Kipker "eine Mischung aus leichtfertiger Digitalisierung, fehlenden einheitlichen Standards in Deutschland zur Cybersicherheit, einem deutlich verzögerten Reagieren der Politik und damit des Gesetzgebers, insbesondere in den Bundesländern". Vielen Kommunen fehle es zudem an Geld und Personal, um die für die Cybersicherheit erforderlichen Maßnahmen umzusetzen.
Rechtliche Vorgaben unĂĽbersichtlich und lĂĽckenhaft
Zwar bieten speziell die Datenschutz-Grundverordnung (DSGVO) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Rahmen und machen Vorgaben zu "Verfügbarkeit, Vertraulichkeit und Integrität von Daten und IT". Diese seien "jedoch im Anwendungsbereich vielfältig beschränkt und decken keineswegs die Gesamtheit kommunaler Cyberrisiken ab". Aktuell seien die organisatorischen Vorkehrungen der Kommunen unzureichend und würden "durch eine unübersichtliche Gemengelage aus landes-, bundesgesetzlichen und EU-rechtlichen Vorgaben bestärkt".
Die IT-Sicherheitsgesetze der Bundesländer sowie die geplanten Ausnahmen der NIS2-Regulierung der EU würden daran nichts ändern. Die Sicherheitsvorgaben des Onlinezugangsgesetzes betreffen zudem nur ausgewählte Verwaltungsleistungen. Eine einheitliche und übersichtliche Cybersicherheitsstrategie ist nach Einschätzung der Autoren nicht vorhanden. Auf Länderebene haben Baden-Württemberg, Hessen, Sachsen, Saarland, Bayern, Niedersachsen und Rheinland-Pfalz Regelungen zur Cybersicherheit in Kommunen getroffen. Die Länder haben teilweise bereits Landes-CISO ernannt, die sich um die IT-Sicherheit kümmern.
Handlungsempfehlungen
Die Verantwortung für die Cybersicherheit liegt den Autoren zufolge bei der Leitungsebene der Kommunen, die geschult werden und IT-Sicherheitsstandards sowie ein darüber hinausgehendes Risikomanagement etablieren sollten. Zudem sollten die Kommunen einen CISO samt Expertenteam ernennen. Outsourcing auf IT-Dienstleister müsse außerdem nach klaren Vorgaben an die Cybersicherheit erfolgen. Zu guter Letzt empfehlen Kipker und Dittrich einen Notfallplan und regelmäßige Schulungen.
Aus dem vergangenen BSI-Lagebericht ging hervor, dass von Juni 2022 bis Juni 2023 bis zu sechs Millionen Einwohner von Ransomware-Angriffen auf Kommunen betroffen waren. Bei den Kommunen finden überproportional häufig Ransomware-Angriffe statt. Das führte "nicht nur zu erheblichen Betriebseinschränkungen", sondern auch zu der Einschränkung grundlegender Verwaltungsdienstleistungen. Lösegeld ist laut Bericht in den vergangenen Jahren nur einmal gezahlt worden – 490 Euro in Bitcoin im Jahr 2016 nach einem Krypto-Trojaner-Angriff auf eine Gemeinde in Dettelbach.
Kommunen nicht vorbereitet
Als Beispiele sind in der Studie auch Lageberichte von Bundesländern aufgeführt, etwa von Hessen. Demnach wurden im vergangenen Jahr 21 Cyberangriffe auf hessische Kommunen gemeldet, allerdings verliefen diese in den meisten Fällen harmlos und ohne Datenabflüsse oder Systemausfälle. Als schwerwiegendes Beispiel wurde der Cyberangriff auf den Landkreis Bitterfeld aufgeführt. Vier Tage nach dem Angriff hatte Bitterfeld den Katastrophenfall ausgerufen. Ein ebenfalls schwerer Angriff erfolgte Ende 2023 auf die Südwestfalen-IT, der ebenfalls im BSI-Lagebericht aufgeführt wurde.
Laut den Autoren der Studie sind alle Lebensbereiche, in denen die Digitalisierung stattfindet, durch Cybervorfälle gefährdet. Besonders attraktiv sind für Cyberkriminelle kritische Bereiche wie Krankenhäuser, da dort ein hoher Zahlungsdruck herrscht. Das liegt unter anderem daran, dass der Betrieb durch den Cyberangriff gestört sein kann oder aufgrund der sensiblen Gesundheitsdaten.
Zu dem Bild in anderen Ländern befragt, antwortete Kipker bei der Vorstellung der Studie, dass in anderen Ländern wie Kroatien oder Griechenland der Staat die Länder bei der Umsetzung einer Cybersicherheitsinfrastruktur unterstützt. In Deutschland ist laut Dittrich der Föderalismus ein Problem.
(mack)
