Immer mehr Hackerangriffe haben Verwaltungen zum Ziel – mit teilweise dramatischen Folgen. Auf welche Risiken sich Kommunen einstellen müssen, wie sie für mehr Sicherheit sorgen können und welche rechtlichen Pflichten zu erfüllen sind, erläutert Dr. Nicolas Sonder, Experte für Telekommunikationsrecht, im Interview.
Ein Hackerangriff hat vor wenigen Wochen die Verwaltung des Landkreises Anhalt-Bitterfeld lahmgelegt. Geraten Kommunen und der öffentliche Sektor verstärkt ins Visier von Cyberkriminellen?
Nicolas Sonder: Ja, neben den Unternehmen der Privatwirtschaft sind inzwischen auch vermehrt Kommunen und öffentliche Einrichtungen von solchen Angriffen betroffen. Hier kommen mehrere Punkte zusammen: Zum einen verschaffen sich Cyber-Kriminelle auf diese Weise Zugriff auf besonders sensible Informationen und zum anderen sehen sie wegen der Wichtigkeit der Verwaltungsvorgänge das Potenzial für hohe Lösegeldzahlungen.
Verlaufen diese Attacken nach einem ähnlichen Muster? Gibt es typische Bedrohungsszenarien?
Sonder: Insbesondere die Ransomware-Attacken nehmen stetig zu. Hierbei wird der Zugang zu Daten und System blockiert, häufig mittels Verschlüsselung. Um die Daten wieder zu entschlüsseln, soll das Opfer ein Lösegeld bezahlen. Gleichzeitig wird häufig auch mit der Veröffentlichung der Daten gedroht.
Der Landkreis Anhalt-Bitterfeld hat nach der Attacke den Katastrophenfall ausgerufen. Welche rechtlichen Konsequenzen hat diese Vorgehensweise?
Sonder: Der Katastrophenschutz ist Sache der Länder, weshalb es in den einzelnen Bundesländern etwas unterschiedliche Katastrophenschutzgesetze gibt. Im Prinzip bedeutet das Vorliegen eines Katastrophenfalls aber, dass die Katastrophenschutz-behörden erforderliche Maßnahmen veranlassen und koordinieren können und hierzu auch leichter andere Stellen um Hilfe ersuchen können. Es wird mithin auch eine Rechtsgrundlage für eine kurzfristige Zusammenarbeit verschiedener Zuständigkeitsträger geschaffen. Dem Landkreis Anhalt-Bitterfeld konnte so unkomplizierter und schneller bei der Bewältigung des Problems geholfen werden.
Welche Haftungsrisiken kommen auf Kommunen zu, wenn ihre Systeme von Hackern kompromittiert werden?
Sonder: Die Haftungsthematik ist hochkomplex. Zunächst muss in der Regel einem potenziell Betroffenen, also einem Inhaber eines Rechtsguts, überhaupt ein Schaden entstanden sein. Zu denken wäre dann im Falle einer Amtspflichtverletzung an einen Amtshaftungsanspruch. Es gibt aber auch weitergehende Haftungsrisiken, etwa mit Blick auf nicht ausreichende Vorkehrungen für Datenschutz und Datensicherheit. Die Frage nach der Haftung muss dabei aber letztlich in jedem Einzelfall sorgfältig beurteilt werden.
Wie gut – oder schlecht – sind Kommunen Ihrer Einschätzung nach im Bereich IT- und Datensicherheit aufgestellt?
Sonder: Die Lage ist hier noch recht heterogen. Kommunen haben sich freilich längst dem Thema Cybersicherheit angenommen und Maßnahmen zum Schutz von IT und Daten getroffen. Auch wird hier viel über interkommunale oder landesweite IT-Dienstleister bewegt. Allerdings ist nicht jede Kommune hinsichtlich Ressourcen und Know-how gleich aufgestellt – darin liegt sicher eine besondere Herausforderung.
Was sind zentrale Maßnahmen, die eine Kommune im Zuge der Digitalisierung angehen muss, um Risiken zu minimieren und mehr Sicherheit zu gewährleisten?
Sonder: Zunächst muss sich eine Kommune der Bedeutung solcher Maßnahmen bewusst werden. Die digitale Infrastruktur muss regelmäßig überprüft und auf den neuesten Stand gebracht werden, Sicherheitsupdates sollten immer zeitnah durchgeführt werden. Naheliegend erscheint insofern eine Zertifizierung für die IT-Sicherheit nach ISO/IT-Grundschutz. Nicht zu vergessen sind außerdem die Mitarbeitenden, die regelmäßig entsprechend geschult und sensibilisiert und über die Risiken aufgeklärt werden müssen. Somit kommt eine Kommune auch ihren rechtlichen Verpflichtungen mit Blick auf die Vorsorge nach.
Welche Rolle spielt der Rechtsrahmen mit Blick auf Datenschutz und IT-Sicherheit bei der fortschreitenden Digitalisierung von Verwaltungsleistungen?
Sonder: Natürlich bilden die Gesetze den Rahmen, in dem sich die Digitalisierung abspielt. Das neue IT-Sicherheitsgesetz trägt auf jeden Fall dazu bei, der Problematik der IT-Sicherheit mehr Raum und Stabilität zu geben. Gleichzeitig wird aber das Datenschutzrecht etwa immer wieder kontrovers diskutiert – der datenschutzrechtliche und der IT-sicherheitsrechtliche Rahmen gehen nicht immer Hand in Hand. Die Gesetzgebung ist daher jedenfalls noch nicht am Ende angekommen, sie muss die dynamischen Entwicklungen stets im Blick behalten und eine pragmatische Umsetzung der dringend notwendigen Digitalisierung von Verwaltungsleistungen ermöglichen und proaktiv begleiten.
Interview: Dirk Täuber
Zur Person: Dr. Nicolas Sonder ist Rechtsanwalt und Partner bei PwC Legal Deutschland in Stuttgart, wo er sich mit Telekommunikationsrecht und Recht der digitalen Netze für Bund, Länder und Kommunen befasst.
