Nicht erst seit der „Zeitenwende“ gilt: Wir müssen unsere Gesellschaft auch im Cyberraum verteidigen. In einer zunehmend digitalisierten Welt wird der Schutz unserer Daten und Systeme immer wichtiger. Der Cyberraum eröffnet uns große Chancen, macht uns aber gleichzeitig auch angreifbar. Ein resilienter Staat ist sich dieser Gefahren bewusst und passt seine Instrumente permanent an neue Bedrohungslagen an. Cyber- oder Informationssicherheit geht uns alle an. Und die Gewissheit, dass Staaten oder Unternehmen sicher sind, muss einer realistischen Bewertung weichen. Absolute Sicherheit gibt es nicht. In Rheinland-Pfalz ist der Rhein-Pfalz-Kreis vor einem halben Jahr Opfer eines Cyberangriffs geworden. Diese besondere Betroffenheit hat dazu geführt, dass wir in Rheinland-Pfalz den Schulterschluss zwischen kommunaler Ebene und Landesebene erneuern.
Mobiles Einsatzteam für Land und Kommunen
Nach dem Cyberangriff auf die Kreisverwaltung des Rhein-Pfalz-Kreises haben wir schnell und pragmatisch reagiert. Das Land hat den Landkreis mit Expertise und Beratungsleistungen unterstützt sowie weitere Hilfe wie bspw. die Durchführung von Penetrationstests angeboten. Auf der Landesebene haben wir mit den kommunalen Spitzenverbänden und den IT-Dienstleistern zunächst aktuelle Handlungsbedarfe identifiziert und darauf aufbauend Schritte zu einer gemeinsamen Informationssicherheitsstruktur für Rheinland-Pfalz entwickelt. Es soll auf Landesebene ein aus IT-Sicherheits-Spezialisten bestehendes Team konzipiert werden, das nach einem möglichen Cyberangriff auf eine Verwaltung zum Einsatz kommt. Dieses Mobile Incident Response Team Rheinland-Pfalz (MIRT-rlp) unterstützt die betroffene Behörde vor Ort durch die Vornahme einer ersten Bewertung, bei der Sicherung von Daten sowie bei der Eindämmung des Vorfalls.
Der Fokus der Verwaltungen muss aber insbesondere auch auf der Prävention liegen. Hier arbeiten wir in Rheinland-Pfalz seit langem zusammen. Zum Beispiel haben wir die Kommunen bei der Durchführung von Sensibilisierungsmaßnahmen, sogenannten Awareness-Kampagnen, unterstützt. Es ist aber – und das zeigen viele Fälle erfolgreicher Cyberangriffe – ein vermessener Anspruch, jede oder jeden Beschäftigten in Unternehmen oder in Verwaltungen zu Sicherheitsexperten auszubilden. Wir brauchen ein gutes Sicherheitsdesign und wir müssen über Absicherungen sprechen.
Informationen teilen
Das Land Rheinland-Pfalz stellt der kommunalen Ebene zentral relevante Informationen zur Verfügung. Wir werden dafür sorgen, dass der Umfang unserer sicherheitsrelevanten Informationen kontinuierlich zunimmt. Nach Vorbild des bereits bestehenden Computer Emergency Response Teams auf Landesebene (CERT-rlp) wurde im Jahr 2017 das CERT-rlp-kommunal etabliert. Dieses kann sich unter anderem kostenlos dem Warn- und Informationsdienst des Landes bedienen, über den unter anderem Informationen zu aktuellen Malware-Kampagnen ausgetauscht werden. Später wurde diese Kooperation auch für Land und Kommunen im Saarland erweitert.
Ganz konkret werden wir nun auch die Daten unserer Malware Information Sharing Plattform (MISP-rlp) teilen. Somit kann allen Kommunen eine Sammlung eindeutiger Merkmale – die sogenannten Kompromittierungsindikatoren (IoCs) – zur Verfügung gestellt werden. Dadurch kann es Verwaltungen gelingen, frühzeitig eine mögliche Cyberbedrohung zu erkennen.
Unsere Zusammenarbeit wollen wir in Zukunft auch in anderen Feldern intensivieren. Durch eine Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bündeln wir dafür die Kräfte. Als Kooperationsfelder sind unter anderem gegenseitige Hospitationen, die Durchführung von Penetrationstests, die Beratung und Unterstützung nach Sicherheitsvorfällen sowie die gegenseitige Zurverfügungstellung von relevanten Warn- und Informationsmeldungen der jeweiligen CERTs benannt.
Zuletzt zeigte der Cybersicherheitsvorfall in der Kreisverwaltung des Rhein-Pfalz-Kreises, dass diese partnerschaftliche Kooperation zwischen BSI, Landesebene und Kommunen schnell und unkompliziert funktioniert. Von solchen Formen der ganz pragmatischen Zusammenarbeit im Bereich der Informationssicherheitsarchitektur profitieren wir alle.
BSI, die kommunalen Spitzenverbände und das Land Rheinland-Pfalz bieten eine „Roadshow Kommunen“ an. In diesem virtuellen Format, das sich unter anderem an kommunale Behördenleitungen richtet, wird die aktuelle Bedrohungslage analysiert und Erfahrungen beispielsweise aus Ransomware-Angriffen diskutiert. Ein Erfahrungsbericht aus der betroffenen Kreisverwaltung des Rhein-Pfalz-Kreises sowie die Vorstellung der Leistungen der CERTs auf Landes- und Kommunalebene stehen ebenfalls auf der Tagesordnung. Dies ist eines von vielen Angeboten für die Leitungsebene kommunaler Behörden, um für das Thema Informationssicherheit zu sensibilisieren.
Ziel ist es, dass wir alle zusammen sicherer werden und dass wir gemeinsam Antworten auf neue Bedrohungslagen finden. Das IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ bietet den Kommunen beispielsweise einen schnellen Einstieg in die Informationssicherheit, um eine grundlegende Absicherung der IT-Infrastruktur vorzunehmen und möglichst viele Schwachstellen zu schließen.
Informationssicherheit gesetzlich einfordern
Auch Gesetze der Länder mit klaren Forderungen an die Informationssicherheit können als zentrale Vorgabe dienen. In diesen könnten beispielsweise für jede Behörde die Funktion des Informationssicherheitsbeauftragten (ISB) – in Analogie zu der des behördlichen Beauftragten für den Datenschutz – oder eine Meldeverpflichtung von IT-Sicherheitsvorfällen verbindlich geregelt werden.
Wir müssen uns mit den Strukturen der Informationssicherheit in Deutschland beschäftigen. Vertrauen in die verantwortlichen Behörden ist dabei die wesentliche Grundlage bei der Cybersicherheit. Dafür müssen wir die Diskussion über Aufgaben und Unabhängigkeit des BSI entscheidend führen. Gerade bei der Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2) gilt es, unsere Formen der Zusammenarbeit zu optimieren. Bei allem Verständnis für die Betonung der Zuständigkeiten der unterschiedlichen staatlichen Ebenen brauchen wir eine gemeinsame defensive Cybersicherheitsstrategie.
Der digitale Aufbruch in Deutschland gelingt nur, wenn wir auch Veränderungen an unserer Informationssicherheitsarchitektur vornehmen. Denn durch die zunehmende Digitalisierung der Verwaltung werden sich auch die Sicherheitsanforderungen und die lukrativen Ziele erhöhen. Das ist die Kehrseite der digitalen Moderne. Deswegen ist es wichtig, dass der IT-Planungsrat bereits 2013 in seiner verbindlichen Leitlinie zur Informationssicherheit neben Maßnahmen zur Absicherung der Netzwerkinfrastruktur öffentlicher Verwaltungen auch einheitliche Standards bei der Nutzung von ebenen-übergreifenden Verfahren festgelegt hat. Dies gilt gleichermaßen für die Umsetzung des Onlinezugangsgesetzes (OZG).
Wenn wir die ehrgeizige Agenda bei der Registermodernisierung umsetzen, mit dem OZG-Änderungsgesetz die Ende-zu-Ende-Digitalisierung beschleunigen und eine Ebenen übergreifende staatliche Cloud-Infrastruktur etablieren, stellen sich zahlreiche weitere Fragen der Informationssicherheit. Auch hierbei gilt, dass Transparenz und Kommunikation wichtige Schlüssel zur gemeinsamen Umsetzung sind. Dabei muss auch die digitale Zivilgesellschaft eingebunden und deren Knowhow genutzt werden. Absolute Sicherheit wird es nicht geben. Wenn wir uns gemeinsam auf den Weg machen, können wir unsere erfolgreiche Informationssicherheitsarchitektur für kommende Herausforderungen resilient aufstellen.
Alexander Schweitzer (SPD) ist Digitalisierungsminister von Rheinland-Pfalz, Fedor Ruhose ist CIO und CDO des Landes.