Beim Thema IT-Sicherheit geht es um sehr viel – dafür sind aber nicht alle Kommunen gut genug aufgestellt, warnt KRITIS-Experte Manuel Atug. Sein leiden-schaftlich vorgetragenes Anliegen: eine deutlich höhere Sensibilisierung für das wichtige Thema.
Wer sich die Frage stellt, was eigentlich die kritischste kritische Infrastruktur (KRITIS) ist, und keine Antwort weiß, kann sich beruhigen: Diese Frage kann Bürgern und Bürgerinnen ziemlich egal sein, denn alle KRITIS-Betreiberinnen sind das – eben weil sie für das Gemeinwohl und die Sicherheit der Bevölkerung „kritisch“ sind. Ob also das Wasserwerk nicht mehr funktioniert, der Strom ausfällt oder wir nicht mehr kommunizieren können: Das alles ist grundsätzlich fatal für die Gesellschaft und für das Miteinander.
Um es drastisch zu formulieren: Ob man einmal erschossen wird und tot ist oder zweimal, spielt keine Rolle – nach dem ersten Mal ist man tot, und das zweite Mal hat nicht dieselbe Relevanz wie das erste Mal. Fallen also KRITIS aus oder haben sie erhebliche Versorgungsengpässe, wird es unangenehm. Aber schauen wir doch mal genauer in die deutschen Definitionen, und noch wichtiger: was alles nicht KRITIS ist.
Wir haben einen Sektor Staat und Verwaltung definiert – das könnte entspannen. Denn staatliche und hoheitliche Aufgaben müssen schließlich für die Bevölkerung funktionieren und gewährleistet werden. Aber wie steht es um die Verwaltung denn dann genau? Ein Blick in die Definition dieses Sektors lässt schnell aufhorchen. Kommunen sind nicht KRITIS. Auch nicht mit einer Schwelle ab mindestens 500.000 Menschen Versorgung – einfach überhaupt gar nicht.
Sicherheit und Datenschutz leben
Na, dann werden die keine Cybersicherheitvorgaben benötigen, so wie es die Wirtschaft mit dem IT-Sicherheitsgesetz 2.0 verpasst bekommen hat, könnte man meinen. Aber schauen wir uns auch hier mal an, wie es um den Stand der Sicherheit steht. Um sichere (digitalisierte) Fachverfahren bereitzustellen, müssen Kommunen – wie jeder andere in diesem einen gemeinsamen Cyberraum auch – Sicherheit und Datenschutz leben können.
Dazu sind in der Regel die Stelle eines IT-Sicherheitsbeauftragten erforderlich und ein Budget, mit dem eine moderne und souveräne Digitalisierung der Prozesse umgesetzt werden kann, die Security by Design und Privacy by Design als Designprinzipien adressiert und umsetzt.
Dafür sind allerdings auch in der Organisationskultur mehr Miteinander und weniger Hierarchie erforderlich, eine offene Fehler- und Kommunikationskultur sowie ausgebildete Mitarbeiterinnen und Mitarbeiter, die Kompetenzen zu IT-Sicherheit und Digitalisierung haben. Hier reden wir nicht von Glitzer-Knowhow wie Blockchain und KI, sondern von sicheren Prozessabläufen und aktuell gehaltenen und gehärtet oder minimalistisch konfigurierten Systemen und minimaler Datenhaltung.
Das Defizit in der Bildungspolitik beispielsweise führt aber insgesamt in Deutschland zum Fachkräftemangel. Denn wir sind eine Industrienation, die in den Schulen Fabrikarbeiter ausgebildet hat, und selbst nach vollzogenem Wandel zu einer Informationsgesellschaft bilden wir immer noch Fabrikarbeiter statt digital souveräner Menschen aus.
Nachhaltige, sichere Digitalisierung in den Kommunen
Es gibt daher keine Silver Bullet, mit der das Thema mal eben als „Quick Win“ erschlagen werden kann. Es muss Kompetenz in die Kommunen und strukturiert eine nachhaltige und damit sichere Digitalisierung vorgenommen werden.
Im ersten Schritt hilft es, zu wissen, was man ausschreiben möchte und wie sicherer Betrieb ausgelagert oder selbst vorgenommen werden kann. Dann kann das in Ausschreibungen Berücksichtigung finden und in einem Auslagerungsmanagement und einer Providersteuerung, aber auch in den SLAs Betrachtung finden. Im eigenen Betrieb wird dann realisiert, welche Defizite vorliegen und welche Maßnahmen erforderlich sind.
Generell lässt sich sagen, dass keine Kommune um die Realisierung eines Informations-sicherheitsmanagementsystems mit Business Continuity Management (ISMS mit BCM) herumkommen wird. Die Wirtschaft versucht das seit vielen Jahren sehr erfolglos in gleicher Manier und steckt den Kopf in den Sand. Dazu lässt sich nur sagen: Machen ist wie dran denken, nur krasser.
Aktuelle Offline-Backups helfen im Cyberangriffsfall
Wenn es allerdings doch zu einem erfolgreichen Cyberangriff kommen sollte, hilft es der betroffenen Kommune sicherlich, wenn sie die Grundlagen des BCM schon abgedeckt hat und „Köpfe in der Krise kennen“ realisiert hat, also weiß, wen man rufen und fragen soll. Und: Wenn sie gute und aktuelle Offline-Backups der wichtigen Daten vorhält. Denn nichts ist frustrierender als archäologisch wertvolle Backups zu haben, mit denen die Fach-verfahren nicht wiederaufgebaut werden können.
Auch hier gilt die Devise, sich auf die Wirkung zu konzentrieren. Demnach ist es für die Praxis erst mal egal, ob aufgrund des Krieges „die Russen“ uns wegcybern wollten, ob es die organisierte Kriminalität ist, da Ransomware-Tätergruppierungen viel Geld erpressen möchten, oder ob es eine andere Ursache hat. Das kann gerne die Sicherheitsbehörden interessieren.
Die Kommunen sollten sich lieber die Frage stellen, welche Maßnahmen sie wie umsetzen oder umsetzen lassen. Dafür aber müssen sie digitale Kompetenz im eigenen Hause aufbauen und vorhalten, sonst werden wir morgen vielleicht nicht mehr ein Glas Wasser trinken oder Fachverfahren aufrecht halten können. Und das kann keiner wollen. Manuel Atug
Der Autor: Manuel Atug ist Gründer und Sprecher der unabhängigen AG KRITIS.