Standpunkt : Dem Vertrauensverlust entgegenwirken

Laut Bericht zur Lage der IT-Sicherheit in Deutschland 2023 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden pro Monat durchschnittlich zwei erfolgreiche Ransomware-Angriffe auf Kommunalverwaltungen oder kommunale Betriebe bekannt. Gleichzeitig werden in einzelnen Verwaltungen die Kosten für die Abwehr von Cyberangriffen gegen den Nutzen dieser Technologien abgewogen. Die veröffentlichten Schadenssummen betroffener Kommunen erscheinen hoch und der Aufwand nicht zu stemmen, wenn es nicht akut ist, sprich: (noch) kein Angriff erfolgt ist.

Permanent wiederholte Phrasen wie „Es gibt keine einhundert Prozent Sicherheit“ und „Die Frage ist nicht ob, sondern wann ein erfolgreicher Angriff stattfindet“ werden zum Mantra, ohne Wirkung, außer der, dass sich Verantwortliche darin einrichten. Resilienz durch Resignation? „Wenn es uns erwischt, bauen wir halt alles wieder auf. Kann ja jedem passieren. Ups und sorry“, scheint ein verbreitetes Motto zu sein. 

Nicht messbar ist der Schaden, der der selbsternannten Cybernation dadurch entsteht, dass sich Nutzende und Interessierte zunehmend in Beobachter der Digitalisierung der Verwaltung verwandeln. Sie mögen indirekt betroffen sein, aber sie sind die primär Geschädigten der Cyberangriffe auf die Verwaltungen. Ihre Steuergelder werden für den Aufbau digitaler Infrastrukturen verwendet, zudem können sie sich nicht aussuchen, wo sie ihre Anträge stellen. Bestenfalls landen die mitunter höchstpersönlichen Daten früher oder später in sicheren digitalen Infrastrukturen. Sie sind der behördlichen Abwägung „Investition oder Risiko“ ausgeliefert.

Die Folgen für die Nutzenden

Sei es die Verletzung der Privatsphäre, wenn persönliche Daten oder sensible Informationen von Bürgerinnen oder Bürgern kompromittiert wurden, oder sei es der Verlust des Vertrauens in die Technologie oder in die Organisation: Angst und Unsicherheit wirken sich auf die Bereitschaft aus, Technologien und Dienste zu nutzen. Aus Angst vor weiteren Verletzungen wird der Umgang vermieden. Gleichzeitig wächst der Vertrauensverlust und der Unmut gegenüber der Organisation, wenn der Angriff auf bekannte Schwachstellen oder nicht angemessene Sicherheitsmaßnahmen zurückzuführen ist.

Die Verwaltung darf keinen Zweifel aufkommen lassen, dass sie die Lage zu jedem Zeitpunkt beherrscht – sie verantwortet sie. Mit Blick auf die externe Kommunikation ist es notwendig zu betrachten, welche Informationen wann kommuniziert werden. Provokative Fragestellungen führen zu vorschnellen Antworten, die das Krisenteam zusätzlich belasten und der Glaubwürdigkeit schaden. Rechtzeitig zu informieren heißt daher nicht „recht zeitig“, sondern zur rechten Zeit zu informieren. Nämlich dann, wenn alle Informationen vorliegen, die die Betroffenen weiterbringen. Wenn gesicherte Erkenntnisse vorliegen, was passiert ist. Und wenn entschieden wurde, welche Maßnahmen getroffen werden und wann mit spürbaren Fortschritten gerechnet werden kann – authentisch und belastbar. Spekulationen dürfen getrost den Kommentarschreibern in den sozialen Netzwerken überlassen werden.

Der Kongress des CCC (37C3), der vor Kurzem stattgefunden hat, war voller kluger Beiträge, die einmal mehr eindrücklich beweisen, dass die Community weiterhin ein erhebliches Interesse an einem nachhaltig sicheren und funktionierenden Staat und seinen Institutionen hat. Themen wie Mobilität, Digitale Identitäten, Medizinische Telematikinfrastruktur, Deep Fakes und der Blick auf die Innere Sicherheit waren vertreten. Staat und Verwaltung tun gut daran, diese Inhalte aufzugreifen und sollten insbesondere mit den informierte Anspruchsgruppen strukturiert im respektvollen Austausch stehen und Vorhaben diskutieren.

Missionsorientierung als Paradigmenwechsel in der Bearbeitung

Eine Verwaltung, die auf analoge Souveränität pocht und digitale Souveränität einfordert, muss sich ihrer Rolle für die digitale Gesellschaft bewusst werden und diese ausgestalten. Eine Empfehlung der EFI-Kommission aus dem Jahr 2023 legt nahe, dass es Themen gibt, bei denen eine Projekt- oder Auftragsorientierung zu kurz greift, vielmehr sollte über eine Missionsorientierung nachgedacht werden. Unvergessen der Moment in einer Kommune, als der Dienstleister im Cyberkrisenfall das Notebook zuklappte, weil nach diversen Aufschlägen aus seiner Sicht das Auftragsvolumen ausgeschöpft und „der kommerzielle Teil nicht geklärt“ sei.

Wenn die Bundesrepublik Deutschland sich anschickt, Cybernation zu werden, sollten wir über eine Missionsorientierung nachdenken. „Die Mission ist dann beendet, wenn die Sozialhilfe wieder ausgezahlt werden kann und die betroffenen Bürgerinnen und Bürger wissen, wie sie Wohnung und Essen bezahlen“ könnte ein Ziel sein, das mit einer strukturierten und zielorientierten Herangehensweise untersetzt ist. Das bedeutet einmal mehr, die Prioritäten im Wiederaufbau klar zu definieren, um kritische Leistungen schnell wiederherzustellen. Das muss mit resilienten Infrastrukturen und einer organisationsweiten, eingeübten, schnellen und koordinierten Reaktion vorbereitet sein.

Missionsorientierung reflektiert einen grundlegenden Zweck und langfristige Ziele. Dass Krisen kein Business Case sind, ist eine Frage der Haltung. Eine Frage des Respekts gegenüber der Gesellschaft. Das gilt für alle Beteiligten und im Besonderen auch für die Verantwortlichen in den Verwaltungen.

Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriff auf den Landkreis im Jahr 2021 aufzuarbeiten. Von ihr bisher in dieser Rubrik erschienen: „Präventives Krisenmanagement bringt Geschwindigkeit!“, „Sicherheit für Sicherheitsforschende“, „Cyberkrisen den Schrecken nehmen“ und „Lasst uns den Cybernotfall üben!“.