Zur Stärkung der Informationssicherheit in der Europäischen Union wurde die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) auf den Weg gebracht. Ziel der NIS-2-Richtlinie ist der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen.
Die NIS-2-Richtlinie gilt erstmals auch für öffentliche Verwaltungen auf zentraler und regionaler Ebene. Diese eröffnet zusätzlich den Spielraum, dass die Mitgliedstaaten, im Rahmen der nationalen Gesetzgebung, die lokale Ebene – in Deutschland die Kommunen – in den Anwendungsbereich einbeziehen können. Zuvor hatte sich Deutschland im Rahmen der Trilog-Verhandlungen auf europäischer Ebene, auch auf Drängen der Länder, gegen eine Einbeziehung der lokalen Ebene ausgesprochen. Mit der fakultativen Ausgestaltung wurde ein europäischer Kompromiss gefunden.
In Deutschland obliegt den Ländern die Erweiterung des Anwendungsbereiches auf die Kommunen. Für ein koordiniertes Vorgehen hatte sich der IT-Planungsrat mit der Thematik beschäftigt und sich schließlich am 3. November ohne weitere Diskussion gegen eine Ausweitung des Anwendungsbereiches der NIS-2-Richtlinie auf die Kommunen ausgesprochen. Durch die enge Verzahnung der nationalen Umsetzung der NIS-2-Richtlinie mit der Cer-Richtlinie, auf nationaler Ebene umgesetzt durch das Kritis-Dachgesetz, ergibt sich hierdurch auch eine Ausnahme der kommunalen Ebene für den Schutz der physischen Infrastrukturen.
Das Paradox der kommunalen IT-Sicherheit
Noch am Vortag des IT-Planungsratsbeschlusses hatte die Bundesinnenministerin Nancy Faeser (SPD) öffentlichkeitswirksam den Bericht zur Lage der IT-Sicherheit in Deutschland 2023 vorgestellt. Im aktuellen Berichtszeitraum wurden monatlich durchschnittlich zwei Kommunalverwaltungen oder kommunale Betriebe als Opfer von Ransomware-Angriffen bekannt. Damit waren sie nach Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) überproportional häufig von Ransomware-Angriffen betroffen. Fast zeitgleich fand außerdem der Ausfall der Südwestfalen IT mit fast 100 betroffenen Kommunen statt. Die Ereignisse zu den bekannten Cyberangriffen auf die Landkreise Anhalt-Bitterfeld, Ludwigslust-Parchim und auf den Rhein-Pfalz-Kreis sowie die dadurch bedingten Folgen der in vielen Bereichen gegebenen stark eingeschränkten Handlungsfähigkeit, Folgekosten und Vertrauensverluste gegenüber der Öffentlichkeit zeigen die Bedeutung der Informationssicherheit in den Landkreisen auf.
Neben den Dienstleistungen für die Bürgerinnen und Bürger ist eine funktionierende Verwaltung auch ein Wirtschaftsfaktor. Darauf einzahlend sprach sich der Bundesverband der Deutschen Industrie für eine Erweiterung des Anwendungsbereiches der NIS-2-Richtlinie auf die Kommunen aus. „Daseinsvorsorge der Kommune sei für die Gesellschaft extrem wichtig, aber schlecht geschützt. Der Bund sei gut geschützt, aber für das Leben der Menschen nicht so kritisch“, erläuterte auch der Vizepräsident des BSI, Gerhard Schabhüser, auf der Potsdamer Konferenz für Nationale Cybersicherheit 2023. Die Aussagen lassen sich zusätzlich auf die Länder übertragen. Der Verwaltungsvollzug und die Krisen (Covid-19, Flüchtlinge, Tierseuchen, Hochwasser, Waldbrände) werden maßgeblich durch die Landkreise bewältigt. Dazu kommen steigende Anforderungen durch das Onlinezugangsgesetz oder die Registermodernisierung.
Man möchte meinen, dass diese Ereignisse auch im politischen Raum zu denken geben. Aber nein, weit gefehlt! Im IT-Planungsrat wurde unter anderem über die Einbeziehung der Landkreise und kreisfreien Städte zwar seicht diskutiert, gerade die Landkreise als homogenste kommunale Ebene mit der teilweise janusköpfigen Funktion (staatliche und kommunale Verwaltung) wären prädestiniert gewesen, eine echte Diskussion über die thematische Tiefe und Tragweite fehlte jedoch im politischen Raum. Das Thema erfährt weiterhin nicht die notwendige Beachtung und bleibt Stückwerk.
Der Deutsche Landkreistag hatte sich mit einem Schreiben an den IT-Planungsrat und die Innenministerkonferenz für die Einbeziehung der Landkreise ausgesprochen. Dass die kommunale Ebene Verbindlichkeit fordert, ist die Ausnahme und sollte als klares Zeichen verstanden werden. Zur Umsetzung von Bedeutung sind dabei die notwendige Finanzausstattung, Ansätze zur Lösung des Fachkräfteproblems und bürokratiearme Meldewege. Die Länder, die sich hinter Argumenten wie des Konnexitätsprinzips oder vermeintlicher Komplexität verstecken, perpetuieren allerdings nur die Probleme. Der Lauf im Hamsterrad bis zum Systemversagen setzt sich fort.
Quo vadis?
Wie also geht es weiter? Natürlich können sich die Länder auch unabhängig der NIS-2-Richtlinie mit der Informationssicherheit für Kommunen befassen und Rechtsakte veranlassen. Zuletzt hat der Freistaat Sachsen ein Informationssicherheitsgesetz, welches auch die Kommunen umfasst, auf den Weg gebracht. Dieses kann grundsätzlich auch Vorbild für andere Bundesländer sein. Deutlich unterschiedliche Anforderungen von Bundesland zu Bundesland sollten aus Sicht des Deutschen Landkreistages gemäß einer Mindestharmonisierung vermieden werden.
Aus dem Grund ist ein Mindestmaß an Einheitlichkeit Voraussetzung. Eine weitere Möglichkeit besteht durch die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates. Diese definiert beispielsweise Anforderungen an das Informationssicherheitsmanagement und das IT-Notfallmanagement. Für die Kommunen weist diese allerdings nur einen empfehlenden Charakter auf. Auch hier wäre eine verpflichtende Vorgabe möglich.
Insgesamt von Bedeutung sind einfache Meldewege bei IT-Sicherheitsvorfällen als Grundlage für ein deutschlandweites kommunales Lagebild, die Benennung von Informationssicherheitsbeauftragten, Angebote von Schulungen, Ressourcen im Notfall und die Umsetzung des IT-Grundschutz-Profils Basisabsicherung Kommunalverwaltung und künftig der Standardabsicherung. Die Landkreise sehen Informationssicherheit als organisationseigene Aufgabe, benötigen aber entsprechende Unterstützung der Länder oder des BSI. Viele Länder haben hierzu bereits in den vergangenen Jahren ihre Bemühungen dankenswerterweise intensiviert. Das gilt es fortzuführen. Wenn auch die erheblichen Diskrepanzen zwischen den Angeboten der Länder nicht verschwiegen werden dürfen, wie vor Kurzem auch in einem Projekt der Konrad Adenauer Stiftung und der Stiftung Neue Verantwortung festgestellt wurde.
Warum es mehr Kooperation braucht
Nicht zuletzt liegt in der interkommunalen Kooperation ein großer Hebel. Die Landkreise nehmen bereits vielfach Aufgaben für die kreisangehörigen Gemeinden wahr. Auch kreisübergreifende Kooperationen sind vermehrt anzustreben. Digitale Rettungsketten über die Landkreise mit Bündelung von Fachexpertise sind erfolgversprechende Ansätze. Informationelle Vernetzung wird heute schon stark gelebt, sei es das durch den Deutschen Landkreistag betriebene IT-SiBe-Forum, den kommunalen IT-Sicherheitskongress, der mit Unterstützung des IT-Planungsrates durchgeführt werden kann, oder verschiedenste Austauschformate in den Landesverbänden und Ländern.
Basanta Thapa hatte vor Kurzem im Tagesspiegel Background die politische Sinnfrage der Verwaltungsdigitalisierung gestellt. Als einen großen Anker nannte er die Handlungsfähigkeit des Staates in der vielbeschworenen „Polykrise“. Hierfür ist die kommunale Informationssicherheit Voraussetzung und Schlüsselelement zugleich. Kommunale Informationssicherheit ist essenziell für die Handlungsfähigkeit des Staates in Krisenzeiten. Nur mit einer robusten digitalen Infrastruktur können zukünftige Herausforderungen bewältigt werden. Scheinbar löst aber auch das Argument die politische Sinnfrage nicht auf.
Christian Stuffrein ist Referent für Digitalisierung beim Deutschen Landkreistag. In dem Rahmen ist er kommunaler Vertreter in verschiedenen Arbeitsgruppen des IT-Planungsrates, unter anderem AG Cloud und Digitale Souveränität sowie AG Informationssicherheit. Außerdem ist er Lehrbeauftragter an der Hochschule Nordhausen.