Deutsche Kommunen erscheinen in Sachen Cybersicherheit eine leichte Beute zu sein.
motioncenter – shutterstock.com
Das cyberintelligence.institute hat in Zusammenarbeit mit dem Cybersicherheitsunternehmen NordPass in einer Studie die kommunale Cybersicherheit in Deutschland aus juristischer und organisatorischer Sicht analysiert. Demnach befinden sich Städte und Gemeinden in einer Zwickmühle.
Auf der einen Seite sind die Kommunen der Studie zufolge ein interessantes Ziel. Locken doch finanziellen Erlösen, die sich mit den gestohlenen Daten erzielen lassen, oder Hacktivismus-Kampagnen, um politische Ziele zu verfolgen. Auf der anderen Seite seien die staatlichen Einrichtungen häufig in Sachen Cybersicherheit nicht gut aufgestellt, sodass sie als leichte Beute erscheinen.
Unübersichtliche Lage
Die Security-Experten Dennis-Kenji Kipker und Tilmann Dittrich sehen hierfür mehrere Gründe. So werde das Thema Cybersicherheit rechtlich durch verschiedene Regelwerke wie DSGVO oder BSIG berührt, sei aber nicht umfassend geregelt. Und auch wenn einige Bundesländer eigene Verwaltungsvorschriften zur IT-Sicherheit erlassen haben, bleibe die Cybersicherheitsarchitektur auf Landes- und Kommunalebene unübersichtlich, mit vielen Ansprechpartnern und wenig klaren Zuständigkeiten. Dies erschwere es den Kommunen, ihre Cybersicherheit wirksam umzusetzen.
To-do-Liste für Kommunen
Letztlich müssen die Kommunen, so die Studie, ihre Cybersicherheit eigenständig stärken, bis notwendige rechtliche Anpassungen erfolgen. Hierzu empfehlen die Experten Kipker und Dittrich, mehrere Best Practices gleichzeitig im kommunalen Alltag umzusetzen und zu beherzigen:
- Cybersicherheit als Leitungsaufgabe verankern
Die Leitungsebene muss professionelle und standardisierte Cybersicherheitsprozesse einführen sowie die Wichtigkeit der Cyber-Resilienz hervorheben. Die Leitung übernimmt also die Verantwortung in Sachen Cybersicherheit. Das kann sowohl Vertrauen in der Bevölkerung als auch in der Wirtschaft schaffen. Ein Faktor, der sich sogar als Wettbewerbsvorteil für die Ansiedlung von Unternehmen erweisen kann.
- All-Gefahren-Ansatz etablieren
Der von der EU vorgelebte Ansatz muss auch in den Kommunen Fuß fassen. Ein alleiniger Fokus auf die IT-Sicherheit unter dem Deckmantel der Cybersicherheit reicht nicht aus. Der hybriden Gefährdungslage aus cyberbezogenen und nicht-cyberbezogenen Angriffen muss ganzheitlich entgegnet werden.
- Kommunalen CISO einführen.
Neben der Leitung, die die Verantwortung für die Cybersicherheit auf kommunaler Ebene übernimmt, muss es auch einen Experten, beziehungsweise ein Expertenteam geben, welches beratend und unabhängig die Awareness innerhalb der Kommune stärkt. Diese Experten können zum Beispiel Schulungen durchführen, um Mitarbeiter für das Thema Cybersicherheit zu sensibilisieren. Hier ist die Unabhängigkeit eines CISO das „A und O“.
- IT-Outsourcing sicher praktizieren
Für viele Kommunen führt am Outsourcing mangels eigener Ressourcen kein Weg vorbei. Die IT-Dienstleister für die Übernahme der Cybersicherheitsaufgaben sollten aber ausreichend zertifiziert sein. Außerdem müssen im Sinne der Absicherung der digitalen Lieferketten unbedingt Redundanzen etabliert werden, falls ein Dienstleister ausfallen sollte.
- IT-Notfallplan bereithalten.
Die Leitungsebene muss vor dem Stressfall ausreichende Vorbereitungsmaßnahmen ergreifen, die vom CISO umgesetzt werden können. Planung und Übung des Notfalls sind dabei ausschlaggebend. Die Abteilungen und Geschäftsbereiche der Kommunen müssen wissen, wie sie im Ernstfall handeln. Besonders relevante Prozesse müssen dabei priorisiert geschützt werden.
