Der aktuelle Cyberangriff auf den Dienstleister Südwestfalen IT führt wieder einmal anschaulich die Angreifbarkeit kommunaler IT-Infrastrukturen vor Augen. Wie schon in Anhalt-Bitterfeld, Potsdam und zahlreichen anderen Kreisen und Kommunen, sind öffentliche Verwaltungen lahmgelegt und selbst essenzielle Dienste für Bürgerinnen und Bürger nicht mehr verfügbar.
Bund und Länder haben jahrelang vernachlässigt, wie abhängig Staat und Bürger inzwischen vom Digitalen sind – gerade auch in der Verwaltung, in Ländern und Kommunen. Diese ist und bleibt eine wichtige Drehscheibe der Gesellschaft. Bricht ihre Infrastruktur zusammen, droht Chaos. Gleichzeitig müssen wir den Weg der Digitalisierung konsequent weitergehen, wenn wir als Deutsche und Europäer nicht im globalen Wettbewerb abgehängt werden wollen. Bleibt nur, die Resilienz unserer Infrastrukturen massiv zu stärken.
Der Gesetzgeber ist jetzt gefordert, mit dem NIS2-Umsetzungsgesetz schnellstmöglich Klarheit zu schaffen: Es muss alsbald einen Status geben, auf den sich alle verlassen können. Anders als beim IT-Sicherheitsgesetz 2.0 geschehen, müssen auch Verbände und Zivilgesellschaft möglichst frühzeitig eingebunden und ihre Meinung gehört werden. Gerade neu regulierte KMUs und Institutionen benötigen Rechtssicherheit und Vorlaufzeit, um sich zu organisieren.
Während die Bundesbehörden im Referentenentwurf zum NIS2-Umsetzungsgesetz erwähnt werden, fehlen Länder und Kommunen. Wieder einmal steht der deutsche Föderalismus einer einheitlichen Digitalgesetzgebung im Weg. Ja natürlich, aus historischer Sicht gibt es gute Gründe für den Föderalismus hierzulande. Doch wenn es um die Zukunft der digitalen Infrastrukturen geht, stehen wir uns seinetwegen selbst im Weg. Das klägliche Scheitern der Umsetzung des OZG zeigt das eindrucksvoll.
Umso wichtiger ist es jetzt, dass Bund, Länder und Kommunen miteinander in Dialog treten, gemeinsam an einem Strang ziehen und ein durchgängiges IT-Sicherheitsniveau für das ganze Land etablieren, das die Mindestanforderungen der EU erfüllt. Da eine direkte Durchsetzung seitens des Bundes verfassungsrechtlich nicht möglich ist, sind jetzt die Länder gefordert: Wir benötigen einheitliche Cybersicherheits-Gesetzgebung in den Ländern, die vor allem auch die relevanten kommunalen Einrichtungen miteinschließt.
Auf keinen Fall darf es so weit kommen, dass wir 16 verschiedene IT-Sicherheits-Landesgesetze bekommen. Das wäre nicht nur kontraproduktiv – es wäre verheerend. Auch wenn vielerorten im nächsten Jahr Wahlkampf und damit die Versuchung groß ist, wieder einmal nur butterweiche Anforderungen zu erlassen: Es muss für das Schutzniveau egal sein, ob ein Landkreis in Sachsen-Anhalt liegt, in Bayern, oder in Nordrhein-Westfalen. Den Cyberkriminellen ist es das nämlich auch!
Unerlässlich ist es auch, gerade die erstmals unter Cybersicherheitsregulierung fallenden Institutionen möglichst schnell und umfassend zu informieren und ihnen Hilfen an die Hand zu geben. Viele wissen noch gar nicht, dass sie betroffen sind, gerade im kommunalen Bereich. Dabei handelt es sich bei ihnen durchaus um Kritische Infrastrukturen für die Daseinsvorsorge – denken wir beispielsweise an die eingangs erwähnten kommunalen Rechenzentren und IT-Dienstleister. Oder auch Rettungsdienste auf Landkreisebene.
Die Geschichte der Digitalgesetzgebung in Deutschland ist leider vor allem eine Geschichte des Scheiterns und der Misserfolge. Die Bedeutung der Digitalisierung und ihrer Sicherheit wurde viel zu lange unterschätzt. Wenn wir nicht in diesen herausfordernden Zeiten im internationalen Wettbewerb weiter zurückfallen wollen, ist es an der Zeit, es endlich einmal richtig zu machen!
Dirk Arendt ist Direktor für Regierung & Öffentlicher Sektor Deutschland bei der japanischen IT-Sicherheitsfirma Trend Micro.
