Cyberresilienz : Ein Cyber Resilience Framework für die Kooperation in Krisenfällen

Im Dialog für Cybersicherheit des Bundesamtes für Sicherheit (BSI) spielt die organisierte Zivilgesellschaft eine Schlüsselrolle. Mit ihr und aus ihr heraus werden Lösungen für die aktuellen Herausforderungen entwickelt. Mit der Einreichung des Workstreams „Cyber Resilience Framework – schneller werden in der Krise“ – kurz „Resi“, wurde eine interdisziplinäre und ebenenübergreifende behördliche Zusammenarbeit angestoßen, die anderweitig nicht ohne weiteres möglich wäre und Erfahrungen und Ideen aus Wirtschaft und Zivilgesellschaft einbezieht. Doch gerade in Krisenzeiten ist eine koordinierte und effiziente Zusammenarbeit unerlässlich. Resi konzentriert sich zunächst auf Kommunen, hat aber auch kommunale Kritis-Unternehmen im Blick.

Derzeit treffen bei der ebenenübergreifenden Zusammenarbeit der Behörden, soweit sie überhaupt stattfinden kann, unterschiedliche Prozesse, Methoden und Erwartungen aufeinander. Während die Kommunen aufgrund ihrer Erfahrungen im Umgang mit Krisen generell gut aufgestellt sind und über eine ausgeprägte Krisenkompetenz verfügen, ist die Bewältigung von IT-Krisen im Speziellen für die kommunalen Krisenstäbe noch ein weitgehend blinder Fleck. Auch konkrete Hilferufe im Krisenfall und allgemeine Forderungen nach verbesserten Rahmenbedingungen scheitern an den Grenzen, die der Föderalismus mit dem ihm innewohnenden Subsidiaritätsprinzip setzt.

Kurzum: In der ebenenübergreifenden Zusammenarbeit knirschte es zuletzt mitunter gewaltig. Um in Zukunft zeitraubende Reibungsverluste zu vermeiden, bedarf es einer klaren inhaltlichen Ausrichtung.

Resi sorgt für Ordnung in der Chaosphase

Das Projekt wurde mit dem Ziel gestartet, die Kommunen in Krisensituationen schneller und zielgerichteter handlungsfähig zu machen und so einem Vertrauensverlust der Bürgerinnen und Bürger sowie der lokalen Wirtschaft entgegenzuwirken.

In Notfällen herrschen Stress und Zeitdruck. Ist die Situation für die Kommune neu, bewegt sie sich in vielerlei Hinsicht auf unsicherem Terrain. In kurzer Zeit und mit unvollständiger Informationslage müssen weitreichende Entscheidungen getroffen werden. Latente Unsicherheit und asymmetrische Kommunikation wirken sich grundsätzlich negativ auf die Zusammenarbeit mit anderen Behörden und auch mit Dienstleistern aus. Die Handlungssicherheit erhöht sich, wenn mögliche Verläufe und Entwicklungen der IT-Krise abgeschätzt werden können.

Ziel des Workstreams ist es daher, einen Rahmen zu schaffen, der die Aktivitäten im Krisenmanagement durch vorgefertigte Komponenten, standardisierte Abläufe und entsprechende Werkzeuge beschleunigt. Erste Recherchen und eine Bestandsaufnahme haben gezeigt, dass zwar eine Vielzahl von Hilfestellungen wie Broschüren, Studien und Analysen veröffentlicht sind, diese aber nur unstrukturiert zur Verfügung stehen. Im Ernstfall kann aber nicht lange recherchiert werden – Entscheidungen müssen schnell getroffen und verantwortet werden. Ein erstes wesentliches Ziel ist es, die Fülle der vorhandenen Informationen zu sichten und zu selektieren sowie in konkrete Hilfestellungen umzusetzen.

Das Cyber Resilience Framework bietet einen strukturellen und konzeptionellen Rahmen, der Kommunen bei der Organisation, Analyse und Bewertung des IT-Krisenmanagements unterstützt. Damit wird ein systematischer Ansatz zur Verfügung gestellt, der die Konsistenz und Effizienz des Gesamtprozesses fördert. Im Krisenfall muss dann nicht mehr um individuell eingespielte Vorgehensweisen gerungen werden.

Ein Szenario als Blaupause

Das Framework basiert auf einem fiktiven kommunalen Ransomware-Szenario, das detailliert beschrieben wird und als Blaupause dient. So können sich Kommunen ein Bild davon machen, wie ein größerer Vorfall abläuft, worauf sie achten und worauf sie vorbereitet sein sollten.

Entlang des interaktiven Szenarios werden verschiedene Werkzeuge zur Verfügung gestellt, darunter Checklisten, Vorlagen für Pressemitteilungen und Amtshilfeersuchen sowie eine individuelle Übersicht der notwendigen Ansprechpartner für Meldungen an das BSI, das Landesdatennetz / Landes-CERT, die Netze des Bundes, den Landesdatenschutzbeauftragten und die jeweiligen Zentralen Ansprechstellen Cybercrime der Polizeien.

Weil mit der Einreichung der Projektidee das BSI und die Kommunen gleichermaßen angesprochen wurden, ist der Dialog „von außen“ intendiert. Alle Beteiligten agieren in der Sache gleichberechtigt. Eine Über- oder Unterordnung der Verwaltungsebenen findet nicht statt, so dass Komplexität auf der inzwischen breit aufgestellten Arbeitsebene ehrenamtlich reduziert und auf der Sachebene aufgelöst werden kann. Die kommunale Selbstverwaltung wird dabei geachtet und die bislang eigenen Krisenbewältigungsstrategien in „Friedenszeiten“ werden einander vorgestellt, diskutiert und in einen möglichen gemeinsamen beschleunigenden Modus überführt.

Der Dialog für Cybersicherheit des BSI besteht seit 2016 und gilt als Erfolgsmodell. Das BSI und die initial beteiligten externen Partner haben frühzeitig erkannt, dass es eines gesamtgesellschaftlichen Ansatzes bedarf, um den Herausforderungen des digitalen Wandels zu begegnen. Durch den Dialog werden bisher geschlossene Diskursgruppen geöffnet und miteinander verbunden. Der Austausch zwischen gesellschaftlichen Gruppen bietet Raum, um gemeinsam nachhaltige Handlungsoptionen und unkonventionelle Lösungen im Bereich der Cybersicherheit zu entwickeln.

Gesamtgesellschaftliche Relevanz

Jedes Jahr werden viele hochwertige Projektideen eingereicht. Entscheidend für die Auswahl ist, ob das Thema in den Kompetenzbereich des BSI fällt, ob ein Projekt in der veranschlagten Zeit realistisch umgesetzt werden kann, wie viele verschiedene Stakeholder sich mit ihren Vertreterinnen und Vertretern zur Mitarbeit verpflichten und vor allem, wie hoch die gesamtgesellschaftliche Relevanz eingeschätzt wird.

Insbesondere diese gesamtgesellschaftliche Relevanz kam im Fall RESI zum Tragen, da eine schnellere Wiederaufnahme der Verwaltungsleistungen zu einer Abschwächung der Krise führt und ein sicheres und entschlossenes Krisenmanagement das Vertrauen in die öffentlichen Institutionen stärkt.

Für die Zivilgesellschaft und die kommunalen Vertreterinnen und Vertreter im Projekt dient das BSI als Dialogpartner und Multiplikator, um auch andere Kommunen zu erreichen und das Format in die Fläche zu tragen. Im Gegenzug arbeiten Personen aus den Bereichen Cybersicherheitsforschung, Verwaltungsdigitalisierung, Incident Response, IT-Krisenmanagement und Cybersicherheitspolitik ehrenamtlich im Projekt mit. Darunter sind aktuelle und ehemalige IT-Sicherheitsbeauftragte. Die Cybersicherheitsexperten kommen aus dem Verwaltungsumfeld aller Ebenen – selbstverständlich auch aus dem BSI.

Gleichsam relevant ist der zweite Workstream „Technische Anlaufstelle für Betroffene digitaler Partnerschaftsgewalt“, dessen Ergebnis ein Konzeptpapier zur Etablierung einer solchen technischen Anlaufstelle sein soll. Frühere Projekte des Dialogs für Cybersicherheit wie „Digitales Mindesthaltbarkeitsdatum“ und „BuntesBugBounty“ wurden erfolgreich abgeschlossen.

Das Projekt sucht Mitstreiter

Der Workstream befindet sich mitten in der Umsetzung und ist auf aktive Beteiligung angewiesen. Aktuell stehen die Durchführung und Auswertung der Interviews mit Vertreterinnen und Vertretern von Kommunen, Organisationen und Unternehmen und die detaillierte Beschreibung des Szenarios an. Regelmäßig werden weitere ehrenamtliche Mitstreiter an Bord geholt. Alle Arbeitsergebnisse werden uneingeschränkt veröffentlicht.

Wichtig ist auch die Verstetigung der Ergebnisse. Aus den Erfahrungen der aktiv Beteiligten wurde frühzeitig die Herausforderung erkannt, dass ein Wechsel von Ansprechpartnern und Angeboten der zuständigen Stellen schwer zu pflegen sein wird. Es ist frustrierend, wenn im Krisenfall veraltete Informationen im Umlauf sind. Es wäre daher wünschenswert, wenn sich die zuständigen Stellen dazu entschließen würden, Änderungen proaktiv zu kommunizieren und so gemeinsam für mehr Resilienz zu sorgen.

Sabine Griebsch ist freiberufliche IT-Projektleiterin und -managerin. Sie begann ihre Tätigkeit im Bereich Verwaltungsdigitalisierung im Jahr 2008 im Referat „eGovernment und Informationstechnik“ des Ministeriums des Innern des Landes Sachsen-Anhalt. Von 2020 bis 2022 war sie externe Chief Digital Officer (CDO) der Landkreisverwaltung Anhalt-Bitterfeld. Griebsch war als technische Einsatzleiterin für den Katastrophenstab federführend dafür verantwortlich, die Auswirkungen eines Ransomware-Angriffs auf den Landkreis im Jahr 2021 aufzuarbeiten. Von ihr bisher in dieser Rubrik erschienen: „Präventives Krisenmanagement bringt Geschwindigkeit!“, „Sicherheit für Sicherheitsforschende“, „Cyberkrisen den Schrecken nehmen“ und „Lasst uns den Cybernotfall üben!“ und „Organisationen in Krisensituationen“.