Die Zahl der Angriffe auf kritische Infrastrukturen, insbesondere die Zahl der Hackerangriffe, nimmt zu – das BSI hat darauf mit neuen Regeln reagiert. Wie wird das in den Kommunen aufgenommen? Worauf müssen Städte und Gemeinden achten? Fragen an BSI-Vertreter Matthias Gärtner.
Kritis-Betreiber, die bestimmte Größen oder Einflussbereiche überschreiten, müssen sich seit Inkrafttreten des IT-Sicherheitsgesetzes beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden und nachweisen, dass sie die Sicherheit der IT-Systeme und die Einhaltung der Informations- und Meldepflichten erbringen. Welche Erfahrungen machen Sie damit – funktioniert das von Seiten der Kommunen und der kommunalen Betriebe?
Matthias Gärtner: Aus Sicht des BSI funktioniert dieses Vorgehen gut. Eine vergleichbare Situation gibt es im Bereich der Abwasserentsorgung. Die Unternehmen und Kommunen haben die BSI-KritisV geprüft und sich beim BSI gemeldet. Das BSI hat zudem eigene Recherchen angestellt und vereinzelt Unternehmen darauf hinweisen müssen, dass eine Registrierungspflicht besteht.
Die Schwellenwerte werden aber auch diskutiert: Gerade auf dem Land seien sie zu niedrig, weil zum Beispiel in ländlichen Regionen die Versorgung von kleineren Betreibern abhängt, die unter die Schwellenwerte fallen – der Ausfall könne jedoch ganze Land-striche kollabieren lassen. Besteht hier noch Handlungsbedarf?
Gärtner: Die BSI-KritisV richtet sich dem Grundsatz nach danach, dass Anlagen, die für die Versorgung von mindestens 500.000 Personen wesentlich sind, als Kritische Infrastrukturen zu werten sind. Dass auch Infrastrukturen mit geringerem Versorgungs-grad wichtig sind, ist offensichtlich, allerdings eben für einen kleineren Teil der Bevölkerung. Das BSIG priorisiert hier die größten und wichtigsten Anlagen. Natürlich steht es den Ländern und Kommunen frei, die Vorgaben des BSIG in eigene Regulierungsansätze zu übernehmen. Insbesondere innerhalb von kommunalen Unternehmen dürfte es für die Kommunen möglich sein, auf eine Anhebung des IT-Sicherheitsniveaus hinzuwirken.
Wie sind Kommunen und kommunale Unternehmen beim Kritis-Schutz aufgestellt?
Gärtner: Bei KRITIS-Unternehmen, die gemäß § 8a (3) BSIG Nachweise über die Wirksamkeit der ergriffenen Maßnahmen einreichen, sind entsprechende Mängel gefunden worden. Dass bei Prüfungen Mängel gefunden werden, ist aber zu erwarten und nicht überraschend. Wichtig ist, dass die Mängel zeitnah abgestellt werden. Auch dies wird durch das BSI überwacht. Für Kommunen, die nicht unter KRITIS fallen, ist die Situation sehr heterogen, und das BSI verfügt hier nicht über einen Gesamtüberblick.
Ein hundertprozentiger Schutz ist nicht möglich – aber was sollte für Kommunen und Städte unbedingt anstehen?
Gärtner: Die angemessene Absicherung der Kritischen Infrastrukturen ist ein sehr wichtiger Schritt, der unbedingt durchgeführt werden sollte. Dabei können die Empfehlungen und branchenspezifischen Sicherheitsstandards, die für die regulierten Unternehmen herausgegeben werden, natürlich auch von kleineren Unternehmen zur Absicherung ihrer IT verwendet werden.
Wo sehen Sie vor allem Probleme?
Gärtner: Aus Sicht des BSI gibt es in Deutschland kein Maßnahmen-, sondern ein Umsetzungsproblem. Grundsätzlich sollten Kommunen erkennen, dass die Umsetzung von Maßnahmen das Informationssicherheitsniveau steigert. Um sich zum Beispiel vor Ransomware-Angriffen effektiv zu schützen, stellt das BSI Empfehlungen auf seinen Webseiten bereit. Für den grundsätzlichen Einstieg in die Informationssicherheit wurde mit dem Deutschen Landkreistag ein Eckpunktepapier für Landräte und Landrätinnen veröffentlicht. Ein ähnliches Dokument wird gerade mit dem Deutschen Städtetag abgestimmt. Außerdem gibt es, erstellt von Vertretern aus Bund, Ländern und Kommunen, ein spezielles Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“, das von den Informationssicherheitsbeauftragten vor Ort hinzugezogen werden kann.
Was sollten Kommunen tun?
Gärtner: Das Thema Cybersicherheit sollte in Gänze priorisiert werden: Innerhalb der Kommune sollte das Thema eine hohe Relevanz einnehmen und die Leitung zu der Überzeugung kommen, dass die Umsetzung wichtig und notwendig ist. Cybersicherheit ist Chefinnen- und Chefsache und die Voraussetzung einer erfolgreichen Digitalisierung. Dazu muss das Bewusstsein für Informationssicherheit weiter erhöht, Ressourcen müssen geschaffen und bereitgestellt sowie vorhandene Maßnahmen umgesetzt werden.
Wie sind Sie hier aktiv?
Gärtner: Das BSI versucht, Städte und Gemeinden mit etablierten Methoden zu unter-stützen. Daneben bietet es sich an, sich bewährten Netzwerken anzuschließen, zum Beispiel der Allianz für Cyber-Sicherheit und dem Kommunalen IT-SiBe-Forum, und vom Erfahrungsaustausch und der Expertise Dritter zu profitieren. Wir empfehlen außerdem, sich bei der Sicherheitsberatung des BSI anzumelden und dadurch gezielt an den Angeboten für Kommunen zu partizipieren.
Interview: Sabine Schmidt
Zur Person: Matthias Gärtner ist Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn.
Sicherheitsberatung für die Verwaltung
Welche BSI-Angebote es für Kommunen gibt, ist hier nachzulesen.