In der digitalen Transformation bleiben Cyberkriminalität und Datenschutz große Herausforderungen – nicht nur für kleine Kommunen, aber insbesondere für sie. Wie lässt sich die IT-Sicherheit erhöhen? Worauf sollte man achten? Empfehlungen und Hinweise aus dem Bundesverband IT-Mittelstand.
Das Bundeslagebild Cyberkriminalität von BKA und BSI zeigt, dass im vergangenen Jahr die Bedrohung durch Cyberkriminalität weiter gestiegen ist. Neben großen, zahlungsfähigen Unternehmen sind auch weiterhin Ämter und Kommunen betroffen. Die größte Bedrohung sowohl für Unternehmen als auch Kommunal- und Verwaltungseinrichtungen ist dieselbe: Ransomware, also Schadsoftware, die in das IT-System eindringt und darin vorhandene Daten verschlüsselt, begleitet von einer Lösegeldforderung.
Diese Bedrohung ist nicht zu unterschätzen. Laut Lagebericht gab es im vergangenen Jahr im Durchschnitt zwei Ransomwareangriffe pro Monat auf Kommunalverwaltungen oder kommunale Betriebe. Ein solcher Angriff kann das entsprechende IT-System über einen längeren Zeitraum lahmlegen – und somit auch die Arbeit in der Kommune und die Leistungen für Bürgerinnen und Bürger.
Bewusstsein über die Bedrohung ist der erste Schritt
Die gute Nachricht ist aber: Mit dem Bewusstsein über die Bedrohung ist bereits der erste Schritt hin zur einem resilienten IT-System getan. Besonders verwundbar sind Unternehmen und Kommunen nämlich dann, wenn sie IT-Sicherheit nicht die nötige Priorität geben.
Allerdings stehen vor allem kleine Kommunen vor einer besonderen Herausforderung. Ihre IT-Landschaft ist oft sehr uneinheitlich, und es fehlt an spezialisierten Experten und Ressourcen. Auch hier macht sich der Mangel an IT-Fachkräften bemerkbar.
Viele Kommunen nutzen daher überkommunale IT-Dienstleister für die Bereitstellung und Pflege ihrer Systeme. Da zahlreiche digitale Dienstleistungen zentral bereitgestellt werden, müssen diese Anbieter besonders stark in deren Absicherung investieren. So wird sichergestellt, dass die Bürger von sicheren und effizienten digitalen Prozessen profitieren können. Von Seiten der Kommunalverwaltung ist allerdings wichtig, die Verantwortung für die Sicherheit von Systemen und Daten nicht ganz an den IT-Dienstleister zu übergeben.
Dafür braucht es in den Kommunen selbst eine gewisse Expertise und klare Verantwortlichkeiten, um einen kritischen Blick auf die vom Dienstleister bereitgestellten Lösungen für die IT-Sicherheit und die Sicherheit der eigenen Systeme zu haben. Kommunen sollten daher dringend mehr Ressourcen bereitstellen, um ihre IT-Systeme widerstandsfähiger zu machen und das notwendige Fachwissen aufzubauen.
Sowohl für Kommunen, die ihre eigenen IT-Systeme betreiben, als auch solche, die Dienstleister nutzen, sollten einige wichtige Faktoren bei der Wahl von Angeboten für die IT-Sicherheit beachtet werden. Der Blick sollte dabei auf IT „made und hosted in Germany“ gerichtet werden, die die Hoheit über wichtige Bürgerdaten garantiert.
Man muss das Rad nicht neu erfinden
Dienstleister stellen meist eine Vorauswahl an Lösungen für die IT-Sicherheit zur Verfügung, die Kommunen beschaffen können. Wichtig dabei ist, dass zahlreiche Lösungsmöglichkeiten zur Verfügung stehen, bei denen die jahrelange Expertise der mittelständischen IT-Sicherheitsanbieter in Deutschland einbezogen ist. Schädlich ist es dagegen, wenn der Dienstleister die Absicherung der Systeme hintenanstellt, um zeitaufwändig eine eigene Anwendung zu entwickeln, statt bereits existierende Lösungen einzukaufen. Eine solche Angebotsvielfalt stärkt gleichzeitig die Resilienz von Regionen und verhindert, dass ein Fehler in einem System flächendeckend für Ausfälle sorgt.
Erfahrungsaustausch zur IT-Sicherheit bringt viel
Sehr wichtig sind die regelmäßige Risikoanalyse und die Entwicklung gezielter Sicherheitskonzepte. Verantwortliche in den Kommunen sollten außerdem den Austausch von Wissen und bewährten Verfahren mit anderen Kommunen und übergeordneten Behörden aktiv suchen.
Eine gute Anlaufstelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dessen IT-Grundschutz bietet umfassende Best Practices für alle eingesetzten Technologien, die unbedingt berücksichtigt werden sollten.
Die Autoren
Isabel Weyerts ist Verbandsreferentin Presse- und Öffentlichkeitsarbeit beim Bundesverband IT-Mittelstand e.V. (BITMi). Jannik Schumann ist Geschäftsführer der Basec GmbH und Mitglied der BITMi-Fachgruppe IT-Sicherheit.
Isabel Weyerts, Jannik Schumann