Kommunale Informationssicherheit : Unterstützung für Kommunen bei der Cybersicherheit

Die Bedrohungslage der öffentlichen Verwaltung durch Cyberangriffe steigt stetig an und führt auch in Niedersachsen immer wieder zu erfolgreichen Attacken. Dem niedersächsischen Computer-Emergency-Response-Team (N-CERT) werden monatlich hunderte Hochrisikoobjekte gemeldet. Da die Kommunen direkt oder indirekt am Landesdatennetz angeschlossen sind, kommt der Cybersicherheit in den Kommunen eine große Bedeutung zu. Darüber hinaus gilt es, die Verfügbarkeit öffentlicher Dienstleistungen sicherzustellen. Der Ausfall der IT durch Cyberangriffe kann durchaus zu monatelangen Einschränkungen bei der Leistungserbringung führen.

Zur Erhöhung des Niveaus der Cybersicherheit besteht die Möglichkeit einer stärkeren gesetzlichen Regulierung, wie es die NIS-2-Richtlinie vorsieht, oder das Angebot von Unterstützungsleistungen zur besseren Selbsthilfe für die Kommunen. Niedersachsen setzt auf den letztgenannten Weg und hat diverse Angebote für Kommunen entwickelt. So werden über das N-CERT umfangreiche Schulungsangebote, Hilfestellungen im Ernstfall, Informationsdienste, Beratungen und Tagungen angeboten.

Hinzu kommen Angebote des Bundesamts für Sicherheit in der Informationstechnik (BSI) beispielsweise auf der Basis des IT-Grundschutzprofils „Basis-Absicherung Kommunalverwaltung“ sowie den dazu veröffentlichten Hilfsmitteln. Damit können auch Kommunen mit wenig Ressourcen erste Schritte in die Absicherung gehen und einen substantiellen Schutz erreichen.

Kostenlose Cybersicherheitsanalyse für Kommunen

Als zentrale Maßnahme zur Sensibilisierung hat das Niedersächsische Ministerium für Inneres und Sport im Juni 2022 damit begonnen, den Kommunen die Durchführung von standardisierten kostenlosen Cybersicherheitsanalysen über eine spezialisierte Firma anzubieten. Mithilfe einer Cybersicherheitsanalyse kann ermittelt werden, ob die bereits getroffenen Schutzmaßnahmen eine ausreichende Widerstandsfähigkeit gegen Cyberangriffe gewährleisten. Dazu wurden bei den teilnehmenden Kommunen die wesentlichen technischen und organisatorischen Anforderungen an eine angemessene Absicherung gegen Bedrohungen aus dem Internet untersucht und fachlich bewertet.

Dabei erfolgte die Bearbeitung von 18 Analysethemen mit insgesamt 62 Bausteinen. Die Kommunen erhalten nach Abschluss des Checks eine Unterlage mit den Untersuchungserkenntnissen und Hinweisen zu notwendigen Maßnahmen. Das Konzept wurde mittlerweile auch von anderen Bundesländern übernommen.

Mit Abschluss der Cybersicherheitsanalysen in den ersten 83 Kommunen konnten erste allgemeine Erkenntnisse gewonnen werden. So hat sich gezeigt, dass der Umfang der Mittel, die in die Cybersicherheit einer Kommune investiert werden, sich positiv auf das Ergebnis auswirkt. Weiter zeigen die Ergebnisse, dass Schulungen zur Awareness für Sicherheitsbedrohungen durchaus Einfluss auf die messbare Sicherheitsstufe einer Kommune haben.

Tendenziell werden in größeren Kommunen Prozesse besser beschrieben und festgehalten. Grundsätzlich haben Kommunen technische Maßnahmen überwiegend gut umgesetzt, größerer Nachholbedarf zeigt sich bei den organisatorischen und prozessualen Maßnahmen. Optimierungsbedarfe liegen auch bei der Logdatenauswertung, fehlender Durchführung von Penetrationstests, ungenügenden Basis-Sicherheitsrichtlinien und nicht vorhandenen Notfallkonzepten für kritische IT-Systeme.

In Summe werden bis Ende 2025 insgesamt 224 (von 443) Kommunen das Angebot genutzt haben. Viele Kommunen haben nicht teilgenommen, weil nach eigener Beurteilung der Stand als gut einschätzt wurde. Insbesondere kleinere Kommunen mit einem Anschluss an kommunale IT-Dienstleister verfügten nicht über ausreichende personelle Ressourcen für eine Beteiligung am Programm. Die Cybersicherheitsanalysen und deren Ergebnisse sind allerdings nur ein erster Schritt. Nach vorliegenden Erkenntnissen setzen die Kommunen die Handlungsempfehlungen aber auch konsequent um.

Regulierung nicht der richtige Weg

Vor diesen Hintergrund hat sich das Land Niedersachsen wie alle Bundesländer im IT-Planungsrat für die Ausnahme der Kommunen vom Anwendungsbereich der NIS-2-Richtlinie ausgesprochen. Die kommunalen IT-Dienstleister mit eigener Rechtsform werden jedoch unter die Richtlinie fallen. Diese Entscheidung ist von verschiedenen Seiten mit dem Hinweis auf den bestehenden dringenden Handlungsbedarf bei der Cybersicherheit kritisiert worden. Bei genauer Betrachtung der kritischen Stimmen lag der Schwerpunkt bei Unternehmen aus der IT-Sicherheitsbranche und vielen öffentlichen IT-Dienstleistern. Die Schaffung gesetzlicher Anforderungen erhöht naturgemäß den Druck auf die Kommunen zum Einkauf von Dienstleistungen und zur Anhebung des Sicherheitsniveaus ihrer IT-Strukturen.

Allerdings ist die NIS 2-Richtlinie auch mit einem hohen bürokratischen Aufwand, mit der Schaffung neuer Stellen in den Aufsichtsbehörden und umfangreiche Berichtspflichten verbunden. Die immer wieder geäußerte Vermutung einer Zurückhaltung der Länder mit Blick auf die Konnexität greift nicht, da keine Konnexität vorliegen würde. Die Kommunen sind nach Auffassung des Landes Niedersachsen auch jetzt schon verpflichtet, ihre IT-Systeme und Verwaltungsvorgänge durch technische, personelle und organisatorische Maßnahmen ausreichend abzusichern.

Diese Verpflichtung ergibt sich aus dem Grundsatz des rechtmäßigen Verwaltungshandelns sowie unmittelbaren datenschutzrechtlichen Anforderungen zum Schutz personenbezogener Daten. Es ist auch zweifelhaft, ob ein neues Gesetz eine spürbare Erhöhung des allgemeinen Sicherheitsniveaus bewirkt oder nur neue Bürokratie erzeugt, die unnötig knappe Fachkräfte bindet. Unternehmen oder Kommunen, die bei der bekannten Gefahrenlage noch nicht reagiert haben, sind wahrscheinlich auch mit einem Gesetz schwer zu motivieren.

Durch die gewonnenen Erfahrungen können die Unterstützungsangebote für Kommunen noch zielgenauer ausgebaut werden. Beispielsweise befindet sich aktuell ein Cyberportal in Vorbereitung, um die Kommunen umfassend zu informieren und konkrete Hilfestellungen zur Umsetzung von Maßnahmen anzubieten.