Kommunen sind häufig Ziel von Hackerangriffen – und dringend darauf angewiesen, schnell die kommunale Daseinsvorsorge wieder aufbauen zu können. Das Land Hessen setzt dabei auf Vorbereitung und Ausbildung. Rolf Richter, Leiter des Hessen CyberCompetenceCenter, stellt das Konzept vor.
Die Herausforderungen, vor denen Städte und Gemeinden in diesen Tagen stehen, sind vielfältig: Fachkräftemangel, Klimakrise und die Unterbringung von Geflüchteten sind nicht nur dringend, sondern stehen auch im Fokus der Öffentlichkeit. Die Notwendigkeit, die IT-Sicherheit zu stärken und Cyberangriffe gut bewältigen zu können, tritt oft erst dann in den Vordergrund, wenn es zu spät ist. Dabei stehen Kommunen vermehrt im Fokus von Cyberakteuren. Deren Ziel ist es, dass Bürgerinnen und Bürger das Vertrauen in den Staat und in die demokratischen Strukturen verlieren.
Bei vielen Führungskräften hält sich zudem das Vorurteil, dass es sich bei Cyber- und IT-Sicherheit um ein rein technisches Thema für Fachkräfte handelt. Dabei sind organisatorische Maßnahmen wie die präventive Erarbeitung von Notfall- und Wiederaufbauplänen sowie der Aufbau von interkommunalen Netzwerken entscheidende Faktoren der kommunalen Cyberresilienz.
Das sogenannte Business Continuity Management (BCM) befasst sich mit der Entwicklung von Plänen, die bei einer Störung des Normalbetriebs greifen. Ziel ist es, rasch einen Notbetrieb zu etablieren und parallel anhand einer vorab festgelegten Priorisierung den normalen Dienstbetrieb schrittweise wieder aufzunehmen. Die entwickelten Pläne und Abläufe sollten durch Übungen getestet und optimiert werden.
Das Business Continuity Management ist in der Norm ISO 22301:2019 definiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt als Grundlage den BSI-Standard 200-4 sowie Hilfsmittel wie beispielsweise Formatvorlagen zur Verfügung. Der BSI-Standard bildet eine gute Basis, doch das BCM muss auf jede einzelne Kommune individuell abgestimmt werden.
Die Grundlage bildet eine Analyse der eigenen Kommune: Von welchen Dienstleistern und Geschäftspartnern ist sie abhängig? Wer ist von ihr abhängig? Welche Leistungen der kommunalen Daseinsvorsorge bietet sie an? Welche davon sind von Computern abhängig – und wie können sie bei einem Ausfall überbrückt werden?
Passgenau für Kommunen
Wer ein BCM erarbeitet hat, kann im Ernstfall souverän agieren. Um die Kommunen bei diesen ersten Schritten zu mehr Cyber- und IT-Sicherheit zu unterstützen, gründete das Land Hessen das Hessische Cyberabwehrausbildungszentrum Land/Kommune (HECAAZ L/K). Gemeinsam mit den kommunalen Spitzenverbänden entwickelt das Hessen CyberCompetenceCenter (Hessen3C) ein Schulungsangebot, das auf die Bedürfnisse der Kommunen abgestimmt ist. Der Schwerpunkt der ersten Schulungsreihe: Business Continuity Management. Seit Beginn im Mai 2022 wurden 56 ortsnahe Schulungen für die Bedienstete aus den Bereichen Verwaltungsleitung, Organisation und IT-Betrieb durchgeführt. 430 Personen der Kommunalverwaltungen aus 255 Städten und Gemeinden wurden geschult.
Interkommunale Vernetzung
Anspruchsvoll, praxisorientiert und sehr hilfreich – so bewerteten die Teilnehmerinnen und Teilnehmer die dreitägigen Schulungsveranstaltungen. Denn der theoretische Teil wechselte sich mit praktischen Übungen ab, die den Teilnehmenden die Möglichkeit boten, gemeinsam Probleme zu diskutieren und Lösungen zu finden.
Die Entwicklung eines BCM gibt ebenfalls Gelegenheit zur Recherche nach bestehenden Hilfs- und Unterstützungsangeboten, die Kommunen zur Verfügung stehen. Das Land Hessen hält beispielsweise technische Ausstattung bereit, die Städten und Gemeinden im akuten Notfall zur Unterstützung und für die Arbeitsfähigkeit des Krisenmanagements zur Verfügung gestellt werden kann.
Auch die interkommunale Vernetzung ist sinnvoll. Kommunen können etwa Absprachen treffen, dass sie einander im Notfall Arbeitsplätze zur Verfügung stellen. So kann die Zulieferung von Daten an die Bundesdruckerei aufrechterhalten werden. Im Ernstfall hat man dann bereits ein Netzwerk, Ansprechpartner und ausgedruckt vorliegende Notfallnummern, auf die man zurückgreifen kann. So setzte sich beispielsweise der Hessische Landkreistag das Ziel, auf Landkreisebene eine koordinierende und führende Funktion wahrzunehmen, um im Notfall Unterstützung zu gewährleisten.
Mit starken Netzwerken und vorausschauender Planung lassen sich Cyber- und IT-Sicherheitsvorfälle souverän meistern. Wer etwas Zeit in die Vorbereitung investiert, muss keinen Vertrauensverlust seitens der Bürgerinnen und Bürger fürchten.
Rolf Richter
Der Autor
Rolf Richter ist Leiter des Hessen CyberCompetenceCenter (Hessen3C) in Wiesbaden. Gegründet wurde es im hessischen Ministerium des Innern, für Sicherheit und Heimatschutz.