In diesen Tagen wären mit Rudolf Augstein und Loriot zwei der prägendsten Deutschen der Nachkriegszeit 100 Jahre alt geworden. Prägend, da diese beiden gezeigt haben, dass zwei vermeintlich deutsche Eigenschaften – Obrigkeitshörigkeit und Humorlosigkeit – möglich, aber sinnlos sind.
Was hat nun Cybersicherheit mit Rudolf Augstein zu tun? Eine seiner berühmtesten Überschriften war „Bedingt abwehrbereit“ – und was 1969 galt, gilt heute im Cyberraum weiterhin. Und was hat Loriot mit Cybersicherheit und „Bedingter Verteidigungsfähigkeit“ zu tun? Eins der beliebtesten Stilmittel zur Erschaffung von Komik bei Loriot war die Ton-Bild-Schere. Aus zwei komplett widersprüchlichen, nicht passenden Botschaften entsteht in Verknüpfung die Komik.
Ich konnte mich daher vor Lachen kaum halten, als ich die Botschaften „70 Kommunen durch Ransomware nicht arbeitsfähig“ und „IT-Planungsrat bittet, auf die Anwendung der NIS-2-Richtlinie bei Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu verzichten“ quasi gleichzeitig las. Nein. Um ehrlich zu sein, war mir eher zum Weinen zumute.
Am Ziel vorbei
Kaum eine Zielgruppe steht so im Fokus der Angreifer wie Kommunen und Hochschulen. Oder vermutlich korrekter ausgedrückt: Bei kaum einer Zielgruppe ist die Erfolgsquote der Angreifer so hoch. War die Zielsetzung von NIS-2 nicht die Steigerung der Resilienz unserer Gesellschaft?
Jetzt könnte man mir meine eigenen Kolumnen von vor einem Jahr vorlegen, die für eine zeitliche Streckung der Umsetzungsfristen plädierten, weil ein Gesetz, dessen Umsetzung nicht möglich ist, eben ein schlechtes Gesetz ist.
Ja, es ist vermutlich mittelfristig eine nicht erreichbare Forderung, dass alle deutschen Kommunen und Hochschulen zeitnah NIS-2-konform werden. Aber ist das Statement des IT-Planungsrates nicht dennoch einfach nur eine peinliche Kapitulation, in dem man sich von dem Ziel ganz verabschiedet?
Müssen wir lokaler denken?
Bürger- oder Gewerbeämter? Nicht betroffen. Und was nützt es Unternehmen, wenn sie in Resilienzsteigerung investiert haben, aber die für die eigenen Prozesse eben auch benötigten kommunalen Dienstleistungen teilweise über Monate nicht verfügbar sind, wie wir es heute schon in einigen Landkreisen erleben?
In einem seiner berühmtesten Sketche parodiert Loriot den Zoologen und Tierfilmer Bernhard Grzimek („Die Steinlaus“). Auf dessen Grabstein steht eine Weisheit, die uns hier vielleicht auch ein guter Ratgeber sein kann: „It is better to light a candle than to curse the darkness“.
So lobenswert und richtig Public Private Partnerships wie die „Allianz für Cybersicherheit“ mit ihrer beeindruckenden Zahl an Mitgliedern sind, so viele Initiativen es von staatlicher und privater Seite in der Vergangenheit und Gegenwart schon gab und gibt („Initiative Wirtschaftsschutz“, „Initiative Sicherheit in der Wirtschaft“ und so weiter und sofort), die alle mit besten Willen gegründet wurden, am Ende war und ist die praktische Wirkung doch eher niedrig. Vielleicht müssen wir einfach kleiner (und lokaler) denken.
Nicht auf die Sonne warten, die das ganze Land erhellt, sondern viele kleine Kerzen anzünden.
Gemeinsames Engagement statt Stirnrunzeln
Auch hier lohnt wieder der Blick über die Landesgrenzen, wenn auch gar nicht so sehr spezifisch auf das Thema Cybersecurity beschränkt. In den USA gab und gibt es themenunabhängig immer das Streben nach einem schwachen Staat, dessen Unzulänglichkeiten durch privates Engagement ausgeglichen wird.
Zumindest in Bezug auf Cybersecurity und die kommunale Ebene haben wir definitiv und durch den IT-Planungsrat bestätigt, einen schwachen Staat. Wir sollten also nicht auf die Erleuchtung warten, sondern selbst handeln. Denn wie schrieb ich weiter oben: Was nützt es Unternehmen, wenn sie selbst sicher sind, aber die Kommunen, in denen sie produzieren und deren Leistungen sie benötigen, nicht funktionieren?
Über staatliche Dysfunktionalität lachen oder stirnrunzeln, aber selbst nicht dagegen tun, ist am Ende auch wohlfeil und wenig hilfreich. Wie wäre es also, wenn die größten Arbeitgeber eines Landkreises sich gemeinsam engagieren und ganz praktisch, ohne Strategien, Visionen, Bekundungen einfach praktisch helfen? Wir reden über ein Cyberhilfswerk, wo Bürgersinn und ehrenamtliches Engagement helfen sollen, eine Krise zu überwinden?
Wie wäre es, wenn dieses Engagement seitens der Privatwirtschaft vorhanden wäre, um diese Krise gar nicht erst auftreten zu lassen. Ich denke hier in erster Linie an die Bereitstellung von Ressourcen, die beim allgemeinen Fachkräftemangel und dem Gehaltsrahmen der kommunalen Arbeitgeber vermutlich die schwierigste Hürde für die Verbesserung des Schutzes darstellen. Der Administrator, der einen Tag im Monat „auf dem Amt“ hilft, die IT zu sichern. Das Unternehmens-CERT, das die Kommune einbindet, die internen Schulungen, an denen Beamte teilnehmen können. Einfach, pragmatisch, ohne großes Aufheben.
Beispielprojekte gesucht
Nein, das ist keine perfekte Lösung. Aber vielleicht erreichen wir so viele Kerzen im ganzen Land, die die Dunkelheit ein bisschen aufhellen.
Ich bin mir auch sicher, dass es hier sogar schon viele Beispiele gibt, die uns im „Raumschiff Berlin“ einfach gar nicht erreichen. Wenn Sie, geehrte Leserin, geehrter Leser, also solche Beispiele kennen, so freue ich mich auf Ihre Rückmeldung (zum Beispiel über Linkedin), damit wir eine solche Diskussion lostreten können.
Es wäre schön, wenn wir pünktlich zum 125. Geburtstag eines anderen Humoristen im nächsten Jahr vielleicht ein paar Mal öfter sagen können: „Es gibt nichts Gutes, außer man tut es.“ (Erich Kästner)
Timo Kob ist Professor für Cybersecurity an der FH Campus Wien. Er leitet den Bundesarbeitskreis Cybersecurity im Wirtschaftsrat der CDU, ist Mitglied des Hauptvorstandes des Bitkom und Gründer und Vorstand von Hisolutions. Zuletzt von Kob erschienen: Vorhaben, Verordnungen und Strategien: Schnell und gut, bitte
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.