Cybersicher zusammen – zusammen cybersicher?
Sehr geehrte Damen und Herren,
sie hat es in sich gehabt, die Tour d’horizon, auf die uns der Vorstandsvorsitzende von Komm.ONE gerade mitgenommen hat. Es ist nochmals sehr deutlich geworden, weshalb Cybersicherheit zu einem der ganz wichtigen Megatrends geworden ist. Megatrend verstanden als langanhaltende und systemverändernde Entwicklung mit globaler Ausprägung und einer Dauer von mehreren Jahrzehnten.
Auf diesen Megatrend will ich gerne zu Anfang noch einmal drei Schlaglichter werfen.
1. Schlaglicht: Die Cyberangriffe nehmen nicht nur zu, sie wachsen exponentiell an. Dies kommt nicht von ungefähr. Der wachsende Einfluss von künstlicher Intelligenz auf Cyberangriffe ist bereits erwähnt worden. Zugleich machen die sich immer weiter ausdehnende Welt der IT, das Internet der Dinge sowie operative Technologien uns immer vulnerabler. Man muss daher kein Prophet sein, um zu konstatieren, dass sich der Megatrend Cybersicherheit in Zukunft nur noch weiter verstärken wird. Oder um es etwas flapsiger zu formulieren: Das Thema Cybersicherheit ist gekommen, um zu bleiben und immer bedeutsamer zu werden.
2. Schlaglicht: Eben weil Cyberangriffe exponentiell wachsen, werden auch immer häufiger kommunale Verwaltungen davon betroffen. Einer der größten Angriffe auf die öffentliche Verwaltung, die es in Deutschland bisher gab, fand bekanntlich in Nordrhein-Westfalen statt. In der Nacht auf den 31. Oktober 2023 wurden auf den Servern der Südwestfalen-IT, die über 100 Kommunen betreut, Ransomware aufgespürt und bereits verschlüsselte Dateien gefunden. Die Cyberkriminellen der Gruppe Akira forderten Lösegeld.
Nun hatten wir in Baden-Württemberg zum Glück noch keinen Cyberangriff auf kommunale Verwaltungen, der in seinen Auswirkungen dem gegen die Südwestfalen-IT vergleichbar gewesen wäre. Aber wir alle wissen: Selbst in „The Länd“ kann es uns über kurz oder lang massiv erwischen. Erste Vorboten gab es schon. Darüber wird ja heute auch berichtet werden. Und dass wir in Baden-Württemberg bisher eher glimpflich davongekommen sind, ist keine Garantie für die Zukunft.
3. Schlaglicht: Kommunen geraten nicht nur deswegen immer mehr ins Zielfeld von Cyberangriffen, weil diese exponentiell anwachsen. Die Anfälligkeit gerade von Kommunen für Cyberangriffe hängt natürlich auch damit zusammen, dass die Landkreise, Städte und Gemeinden über einen veritablen Schatz an wertvollen, sensiblen Daten verfügen. Sensible, wertvolle Daten, die ihnen von ihren Bürgerinnen und Bürgern anvertraut worden sind. Adressen, Identifizierungsinformationen, Bankdaten. Ein echtes Eldorado für Cyberkriminelle.
Meine sehr verehrten Damen und Herren,
was wollte ich mit diesen drei Schlaglichtern zum Ausdruck bringen? Eigentlich nur das, was wir alle wissen, was aber bei all den sonstigen Herausforderungen des Alltagsgeschäfts manchmal aus dem Blickfeld gerät: Der Megatrend Cybersicherheit ist eine epochale Herausforderung. Er fordert die einzelnen Staaten und die Weltgemeinschaft, Unternehmen und Gesellschaft – aber eben auch jede der 1.101 Städte und Gemeinden und jeden der 35 Landkreise in Baden-Württemberg.
Damit sind wir mitten im Thema angelangt: Was bedeutet der Megatrend Cybersicherheit für die baden-württembergischen Kommunen. Lassen Sie mich dazu sieben Thesen mit Ihnen teilen.
1. These: Für ihre Cybersicherheit ist die Kommune selbst verantwortlich.
Dies mag auf den ersten Zuruf hin etwas hart klingen. Aber so ist nun einmal unsere Verfassungsordnung gestrickt. Selbstverwaltungsgarantie, Subsidiaritätsprinzip – all das, was die kommunale Ebene ausmacht und, wie ich meine, auch stark macht, führt unweigerlich zu dieser Konsequenz: Für ihre Sicherheit ist die Kommune zunächst selbst verantwortlich.
Auch das Gesetzesrecht weist eindeutig in diese Richtung. Das Cybersicherheitsgesetz des Landes nimmt die Kommunen von seinem Anwendungsbereich aus – und die Landratsämter in ihrem staatsbehördlichen Aufgabenfeld gleich dazu.
Bund und Länder verfolgen hier eine gemeinsame Linie. Man verzichtet darauf, das Thema Cybersicherheit in Bezug auf die Kommunen gesetzlich zu regeln. Stattdessen will man die Kommunen anstoßen, anreizen, stupsen, selbst etwas zu machen. To nudge heißt das auf Englisch. Deswegen spricht man von Nudging. Nudging statt Regulierung. Das ist der Ansatz von Bund und Land.
Beispielhaft dafür ist der im Dezember vergangenen Jahres vom Land initiierte Stufenplan für mehr Cybersicherheit bei Kommunen. Dieser Stufenplan ist, anders als man vermuten könnte, kein Aktionsplan des Landes, um durch eigene Cybersicherheitssicherheitsmaßnahmen die Informationssicherheit im kommunalen Bereich zu erhöhen. Vielmehr handelt es sich bei dem Stufenplan um ein Hilfsinstrument für die Kommunen, mit dem sie für sich klären können, wo Sicherheitslücken bestehen und wo sie zusätzliche Sicherheitsmaßnahmen treffen können. Der vom Land bereitgestellte Stufenplan ist also lediglich ein Werkzeug. Es anzuwenden, obliegt den Kommunen. Wenn sie es tun, werden sie von der Cybersicherheitsagentur des Landes unterstützt. Nudging statt Regulierung.
Entsprechendes gilt für die Bundesebene. Das Bundesamt für Sicherheit in der Informationstechnik, kurz: BSI, stellt viel Hilfreiches zur Verfügung, macht auf der Homepage aber zugleich unmissverständlich klar: Beratung könnt ihr von uns nicht erwarten.
Wie man es dreht und wendet. Es bleibt dabei. Für ihre Cybersicherheit ist die Kommune selbst verantwortlich.
2. These: Kommunale Cybersicherheit ist Chefinnen- und Chefsache.
Der grundsätzliche Umgang mit einem Megatrend, mit einer epochalen Herausforderung lässt sich nicht delegieren. Daher müssen die kommunalen Spitzen die abschließende Gesamtverantwortung für den Sicherheitsprozess übernehmen. Die politische Verantwortung haben Sie ja ohnehin.
Dies bedeutet, dass sie den Sicherheitsprozess initiieren müssen, die Erstellung einer IT-Sicherheitsleitlinie vorantreiben müssen und für deren regelmäßige Fortschreibung sorgen müssen.
Klar ist, dass damit keine fachliche Verantwortung verbunden ist. Es geht um die organisatorische Verantwortung und Verortung.
Dies ist zugegebenermaßen viel verlangt. Aber es entspricht nun einmal der Größe der Herausforderung.
Daher: Kommunale Cybersicherheit ist Chefinnen- und Chefsache.
3. These: Zur kommunalen Cybersicherheit gehört es, die Mitarbeitenden mitzunehmen.
In der Fachwelt wird durchaus heftig darüber gestritten, was für die Cybersicherheit wichtiger ist: die IT und ihre Schutzvorkehrungen oder aber die – neudeutsch – Awareness, die Sensibilität der Mitarbeitenden für das Cybersicherheits-Thema.
Wir Kommunale tun uns naturgemäß schwer mit solchen ideologischen Glaubenskriegen. Wir sind pragmatisch unterwegs. Und wenn es nun einmal so ist, dass 95 % der Cybersicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, dann gibt es doch eine starke Anscheinsvermutung dafür, dass es durchaus sinnvoll ist, die Mitarbeiterinnen und Mitarbeiter konsequent mitzunehmen, ausreichend zu schulen und immer wieder zu sensibilisieren.
Vor diesem Hintergrund würde ich daran festhalten: Zur kommunalen Cybersicherheit gehört es, die Mitarbeitenden mitzunehmen.
4. These: Nicht jede Kommune braucht bspw. ein Umweltmanagementsystem, aber jede Kommune braucht zwingend ein Informationssicherheitsmanagementsystem.
Durch ein solches Informationssicherheitsmanagementsystem wird gewährleistet, dass die Anforderungen der IT-Sicherheit systematisch erfüllt werden. Es geht darum, durch verbindliche Anweisungen, definierte Verantwortlichkeiten und konsequentes Monitoring die Informationssicherheit dauerhaft zu gewährleisten und fortlaufend zu optimieren.
Dabei ist es durchaus legitim, das Informationssicherheitsmanagementsystem allmählich, step by step zu entwickeln. Entscheidend ist nur, am Ball zu bleiben und den Anschluss nicht zu verlieren.
Natürlich gibt es Vorbehalte gegen solche Systeme. So sind sie beispielsweise immer auch ein Stück weit bürokratieanfällig. Und Lorbeeren kann man sich damit auch nicht verdienen. There is no glory in prevention. Dennoch halte ich an der These fest:
Nicht jede Kommune braucht ein Umweltmanagementsystem, aber jede Kommune braucht zwingend ein Informationssicherheitsmanagementsystem
5. These: Jede Kommune braucht einen Plan B in der Tasche.
Cyberangriffe können ganz schnell die gesamte kommunale Organisation lahmlegen. In diesen Fällen steht das staatliche Grundversprechen auf dem Spiel, jederzeit für Ordnung, Sicherheit und funktionierende Daseinsvorsorge zu gewährleisten. Deshalb braucht es einen klaren Notfallplan, der die Funktionsfähigkeit der Kommune und die Ausfallsicherheit der zentralen Geschäftsprozesse auch in solchen Krisenfällen gewährleistet.
Dabei kann man ein solches Notfallmanagement durchaus aufwachsend entwickeln. Auch hier gilt: Entscheidend ist, am Ball zu bleiben und den Anschluss nicht zu verlieren.
Aber klar ist: Jede Kommune braucht einen Plan B in der Tasche.
6. These: Durch Kooperation werden wir resilienter.
Gerade das Beispiel des Notfallmanagements zeigt, dass sich Kooperationen im Bereich der Cybersicherheit vielfach regelrecht aufdrängen. Denn natürlich macht es außerordentlich viel Sinn, sich vorab mit anderen Kommunen für den Fall zu committen, dass man aufgrund eines Cyberangriffs vom Netz gehen muss. Dann kann die andere Kommune, wenn entsprechende Vorbereitungen getroffen wurden, den Notbetrieb für die ausfallende Kommune übernehmen.
Dies ist nicht nur kein Widerspruch zur These 1, wonach die Kommune für ihre Cybersicherheit selbst verantwortlich ist. Es ist im Gegenteil Ausdruck gerade dieser Verantwortlichkeit der Kommune für ihre Sicherheit, wenn sie durch Kooperationen ihre Cybersicherheit optimiert und dadurch auf einem höheren Level gewährleistet.
Die Kooperationen können dabei unterschiedlichster Art sein. Besonders bedeutsam ist natürlich unser Kooperationsverbund Komm.ONE. Komm.ONE ist nicht nur, aber gerade auch in Fragen der Cybersicherheit die Mutter aller Kooperationen.
Daneben werden wir freilich zukünftig mehr noch als heute auch über ortsnähere Formen interkommunaler Zusammenarbeit nachzudenken haben. Und dann gibt es ja auch noch Kooperationsformate wie etwa die Initiative digitale Landkreiskonvois, kurz: INDILAKO, auf die ich als Vertreter des Landkreistags ein klein wenig stolz bin, weil sich hier eine besonders agile Form der Zusammenarbeit herausgebildet hat.
So vielfältig die Formen der Kooperation sind, eines scheint mir unbestreitbar zu sein: Durch Kooperation werden wir resilienter.
7. und letzte These: Das Land nicht aus der Verantwortung entlassen.
Natürlich muss ich zum Schluss auf die Verantwortung auch des Landes zu sprechen kommen. Andernfalls hätte ich meinen Job als Vertreter der kommunalen Landesverbände einigermaßen verfehlt.
Worin liegt also die Verantwortung des Landes?
Erstens muss die Landesregierung nun möglichst schnell ihre vor mehr als vier Jahren gegebene Zusage einlösen, nämlich einen Cybersicherheitspakt mit den Kommunen abzuschließen. Dort muss geregelt werden, wie die Cybersicherheitsarchitektur im Verhältnis zwischen Land und Kommunen ausgestaltet wird und insbesondere auch welche Rollen die Komm.ONE einerseits, die Cybersicherheitsagentur Baden-Württemberg andererseits, in diesem Gefüge dauerhaft, nachhaltig und verlässlich einnehmen sollen. Es wäre schön, wenn das Land den Langsamkeitsrekord, den es beim Abschluss der Digitalisierungsvereinbarung aktuell aufstellt, beim Cybersicherheitspakt nicht noch toppen würde.
Zweitens geht es natürlich auch um das liebe Geld. Cybersicherheit hat ihren Preis. Angesichts der dramatischen Finanzlage der Kommunen stellt sich sehr ernsthaft die Frage, wie viele Landkreise, Städte und Gemeinden in der Lage sind, diesen Preis zu zahlen. Bei den aktuellen Finanzverhandlungen gewinnt man nicht den Eindruck, dass das Land die Dramatik der kommunalen Finanzlage erfasst hätte bzw. sich überhaupt damit auseinandersetzen wollte. Umso wichtiger ist es, das Land immer wieder auch auf das Delta zwischen den kommunalen Herausforderungen im Bereich der Cybersicherheit und der kommunalen Finanzausstattung hinzuweisen und Lösungen einzufordern.
Daher kann ich die 7. und letzte These auch nur nochmals dick unterstreichen: Das Land nicht aus der Verantwortung entlassen.
Meine sehr verehrten Damen und Herren!
Beim Thema Cybersicherheit geht es für die Kommunen um viel.
Denn wir werden als Kommunen unsere Leistungsfähigkeit schon wegen des demographischen Wandels und des damit verbundenen Fach- und Arbeitskräfteverlusts nur dann erhalten können, wenn die digitale Transformation unserer Verwaltungen gelingt. Genau diese unverzichtbare digitale Transformation aber wird durch Cyberangriffe massiv bedroht. Cybersicherheit ist daher die Voraussetzung dafür, dass kommunale Selbstverwaltung, wie wir sie kennen, auch morgen und übermorgen noch funktioniert.
Sich dafür einzusetzen, lohnt sich: Cybersicher zusammen – zusammen cybersicher – mit Ausrufe- statt mit Fragezeichen.
Ich will allerdings nicht schließen, ohne mich zu bedanken. Ich tue dies ausdrücklich auch im Namen von Gemeindetag und Städtetag, von Präsident Steffen Jäger und dem Geschäftsführenden Vorstandsmitglied Ralf Broß.
Bedanken will ich mit bei der Komm.ONE und stellvertretend bei Ihrem Vorstandsvorsitzenden, William Schmitt, für diesen 2. Cybersecurity-Tag. Wenn es den Cybersecurity-Tag nicht schon gäbe, müsste man ihn glatt erfinden.
Ihnen allen alles Gute und Glück auf!