Schutz vor HackerangriffenSachsen-Anhalts Cyberkooperation mit dem BSI: Stabile Seitenlage
Die Landesregierung von Sachsen-Anhalt hat eine Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vereinbart. So soll die IT in der Verwaltung des Landes sicherer werden. Der Hackerangriff auf den Landkreis Anhalt-Bitterfeld hatte 2021 deutlich gezeigt: Wenn Computer nicht funktionieren, kann eine Verwaltung nicht arbeiten.
- Mit der Cyberkooperation wollen BSI und Land die IT-Sicherheit verbessern. Dazu soll es Informationsveranstaltungen geben und Hilfe im Fall eines Hackerangriffs.
- Ungelöst bleibt, ob das BSI grundsätzlich für die Bundesländer und Kommunen zuständig sein darf. Die Lage der IT-Sicherheit ist in Sachsen-Anhalt besorgniserregend.
- Experten finden die Vereinbarung grundsätzlich gut, sehen aber auch Verbesserungsmöglichkeiten. Denn: Cybersicherheit ist nur so gut wie das schwächste Glied der Kette.
Als fünftes Bundesland hat Sachsen-Anhalt eine "Kooperationsvereinbarung im Bereich Cyber- und Informationssicherheit" mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geschlossen. Sachsen-Anhalts Digitalministerin Lydia Hüskens (FDP) sieht das als großen Fortschritt: "Wir sorgen dafür, dass Verwaltung und Behörden und die Daten der Menschen in unserem Land sicher sind."
BSI soll Verwaltungen in Sachsen-Anhalt unterstützen
In neun Felder arbeiten Sachsen-Anhalt und das BSI zusammen. Unter anderem soll das BSI die Verwaltungen im Land über IT-Sicherheit informieren und bei Veranstaltungen und Workshops dabei sein.
Wir sorgen dafür, dass Verwaltung und Behörden und die Daten der Menschen in unserem Land sicher sind.
Lydia Hüskens, Digitalministerin
Auch für Kommunen und Landkreise werden Hüskens zufolge mit Hilfe des BSI Workshops organisiert. "Ich glaube fest daran, dass es am wichtigsten ist, Menschen zu sensibilisieren. Wenn man einen entsprechenden Kompass hat, ist das meiste zu vermeiden." Außerdem könne das BSI Sachsen-Anhalts Behörden helfen, Informationssicherheit zu organisieren oder zu testen.
Im Audio können Sie hören, was sich BSI und Land von der Vereinbarung versprechen;
Nach Anhalt-Bitterfeld: Was ändert die Vereinbarung?
Das Herzstück der Vereinbarung: Nach einem Hackerangriff kann das Land das BSI um Hilfe bitten. Als 2021 die Landkreisverwaltung Anhalt-Bitterfeld Opfer von vermutlich russischsprachigen Hackern wurde, hatte der Landkreis den Katastrophenfall ausgerufen. Nur so konnte zum Beispiel die Bundeswehr helfen.
Das BSI ist offiziell nur für die Netze des Bundes zuständig. Nach Anhalt-Bitterfeld kam das BSI damals, weil der Landkreis um Amtshilfe gebeten hatte. Die Hilfe des BSI ist nach einem Hackerangriff begrenzt: "Es ist unsere Aufgabe, das Opfer in eine stabile Seitenlage zu bringen", erklärte BSI-Vizepräsident Gerhard Schabhüser.
Gehackten Verwaltungen wird also akut geholfen – den langfristigen Wiederaufbau müssen sie selbst erledigen. Die neue Vereinbarung ändert daran kaum etwas. Sie gilt zwischen dem BSI und der unmittelbaren Verwaltung, die der Landesregierung unterstellt ist. Aber bei Vorfällen in Kommunen und Landkreisen soll nun Hüskens Ministerium die Hilfe mit dem BSI koordinieren.
Was das BSI von der Vereinbarung hat
Vor allem das Land scheint von der Zusammenarbeit zu profitieren. Aber der BSI-Vize Gerhard Schabhüser sagt, es sei ein Nehmen und Geben: "Wir lernen bei gemeinsamen Veranstaltungen ganz viel über die Kommunen. So erfahren wir, was wir müssen tun müssen, um dort Cybersicherheit ans Fliegen zu bekommen."
Wir lernen bei gemeinsamen Veranstaltungen ganz viel über die Kommunen.
Gerhard Schabhüser, Vizepräsident des BSI
Würden Hacker zeitgleich mehrere Behörden in verschiedenen Bundesländern angreifen, könne auch das BSI nicht unendlich viel Hilfe schicken. Wo geholfen wird, entscheide auch eine solche Kooperationsvereinbarung, sagt BSI-Vizepräsident Gerhard Schabhüser und vergleicht es mit einer Triage in der Notaufnahme: "Wenn wir drei ungefähr gleich komplexe und kritische Fällen haben und in zwei Fällen haben wir Kooperationsvereinbarungen, dann weiß ich, wie ich entscheide."
Das BSI hat solche Vereinbarungen auch mit dem Saarland, Niedersachsen, Hessen und Rheinland-Pfalz abgeschlossen. Weitere sind geplant. Außerdem wird diskutiert, ob das BSI eine Zentralstelle für Cybersicherheit wird – als Vergleich werden dabei die Kriminalämter und Verfassungsschutzbehörden von Bund und Ländern genannt.
Lage der IT-Sicherheit in Sachsen-Anhalts Landkreisen und Städten besorgniserregend
Dass IT-Sicherheit in Kommunen und Landkreisen nicht genügend organisiert ist, zeigt gerade erst wieder ein Bericht von Sachsen-Anhalts Landesrechnungshof. Er hat geprüft, wie Sachsen-Anhalts Landkreise und die 16 größten Städte in Sachen Cybersicherheit aufgestellt sind.
Das Fazit im Bericht des Landesrechnungshofes: "besorgniserregend" und "ein Spiel mit dem Feuer". 93 Prozent der Kommunen haben demnach kein IT-Sicherheitskonzept, 67 Prozent kein Notfallhandbuch und 54 Prozent kein Konzept für eine minimale Datensicherung. Der Landesrechnungshof fordert deshalb: Landkreise und Kommunen sollen die Mängel umgehend beseitigen. Und er empfiehlt, dass Kommunen und Landkreise bei der IT-Sicherheit zusammenarbeiten und die Landesverwaltung dabei unterstützt.
Dass der Landesrechnungshof sich damit beschäftigt, liegt an den Kosten für den Steuerzahler, die durch Hackerangriffe oder einem IT-Ausfall entstehen. Hier finden Sie Auszüge aus dem Bericht:
Leitlinie zur Informationssicherheit
"Die geprüften Kommunen verfügten nicht über die grundlegenden Regelungen und Maßnahmen, die für einen konzeptionellen Schutz ihrer IT-Systeme erforderlich sind.
Nach Einschätzung des Landesrechnungshofes war die vorgefundene Situation besorgniserregend.
Keine der geprüften Kommunen war zertifiziert oder testiert.
Größtenteils fehlten wesentliche Grundlagendokumente wie die Leitlinie zur Informationssicherheit, das IT-Sicherheitskonzept und das Notfallhandbuch. Auch einen Informationssicherheitsbeauftragten (ISB) hatten die meisten geprüften Kommunen nicht benannt.
[...]
Der Landesrechnungshof bewertet es als kritisch, dass bei ca. 70 % der geprüften Kommunen das grundlegende Dokument der IT-Sicherheit nicht vorlag. Die Kommunen sollten flächendeckend eine Leitlinie unter Berücksichtigung der o. g. Regelungen erlassen.
Die dem Landesrechnungshof vorgelegten Leitlinien bewertet dieser grundsätzlich als gut. Sie stellen eine Basis dar, enthalten allerdings noch Regelungslücken, die schnellstmöglich geschlossen werden sollten. Auch auf die Aktualität ist zu achten.
Eine Leitlinie, die beispielsweise im Jahr 2016 das letzte Mal aktualisiert wurde, kann dem Grunde nach nicht den aktuellen Gegebenheiten entsprechen und ist anpassungsbedürftig."
Sicherheitskonzepte
"Der Landesrechnungshof bewertet es als besorgniserregend, dass 93 % der geprüften Kommunen nicht über ein IT-Sicherheitskonzept verfügten und hält es für notwendig, dass alle Kommunen ein angemessenes Sicherheitskonzept erstellen. Dies dient der systematischen Umsetzung der Sicherheitsstrategie zur Erreichung der Sicherheitsziele.
Er bewertet die beiden vorgelegten Sicherheitskonzepte grundsätzlich als geeignet, die v. g. Ziele zu erreichen. Allerdings fehlten in den Sicherheitskonzepten noch wesentliche Festlegungen zu Fristen und zur Identifizierung des Schutzbedarfes."
Informationssicherheitsbeauftragter
"Der Landesrechnungshof bewertet es als sehr bedenklich, dass 61 % der geprüften
Kommunen keinen ISB hatten. Der Landesrechnungshof erwartet, dass Kommunen einen ISB, der direkt an den HVB berichten kann, benennen. Aufgrund der elementaren Bedeutung des ISB für eine Behörde und ihrer Geschäftsprozesse hält es der Landesrechnungshof für notwendig, dass die Kommunen den notwendigen Stellenanteil überprüfen bzw. ermitteln."
Notfallhandbuch
"Der Landesrechnungshof bewertet es als besorgniserregend, dass 67 % der geprüften Kommunen keine Regelungen für einen Notfall geschaffen haben.
Der Landesrechnungshof empfiehlt allen Kommunen, in die Notfallhandbücher die Klassifizierung möglicher Schadpotenziale, die Reaktions-/Abschaltpläne, die Alarmierungspläne sowie Geschäftsfortführungs- und Wiederanlaufpläne aufzunehmen."
Datensicherung - Backup
"Der Landesrechnungshof bewertet es als sehr bedenklich, dass 54 % der geprüften Kommunen über kein Minimaldatensicherungskonzept verfügten.
Der Landesrechnungshof regt an, dass alle Kommunen ein niedergeschriebenes Konzept zur Datensicherung erstellen und Datensicherungen danach durchführen. Die Datenträger von Datensicherungen sollten geeignet aufbewahrt werden, so dass diese vor unbefugtem Zugriff geschützt werden. Sie sollten räumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden."
Fazit des Landesrechnungshofs
"Die Prüfung hat vielschichtige Mängel im Bereich der IT-Sicherheit aufgezeigt. Es fehlte bisher bei der Mehrzahl der Kommunen an den durch das BSI als notwendig bestimmten Grundsatzpapieren. Keine der geprüften Kommunen hat sich zertifizieren oder testieren lassen.
Für einen guten Schutz nach dem BSI-Standard braucht es die Fokussierung auf den wichtigen Bereich der IT. Die HVB müssen ihre Verantwortung dafür erkennen, mögliche Risiken zu beherrschen und damit Schäden, die erhebliche finanzielle Auswirkungen haben können, zu vermeiden.
Der Landesrechnungshof erwartet von den Kommunen, dass sie die festgestellten Mängel umgehend beseitigen und die fehlenden Grundsatzdokumente schaffen. Er empfiehlt neben der Prüfung einer interkommunalen Zusammenarbeit im Bereich der IT-Sicherheit auch eine regelmäßige Prüfung der IT-Sicherheit durch das zuständige Rechnungsprüfungsamt der Kommunen.
Der Landesrechnungshof hält es auch aus haftungsrechtlichen Gründen für dringend erforderlich, dass der HVB die notwendigen Maßnahmen veranlasst. Insbesondere sind umgehend die notwendigen dienstlichen Regelungen zu erlassen. Außerdem haben die HVB dafür Sorge zu tragen, dass regelmäßig die dienstlichen Regelungen auf Wirksamkeit und Aktualität überprüft und deren Einhaltung kontrolliert werden. Die Ergebnisse der Überprüfung und Kontrollen sind zu dokumentieren.
Die Landesregierung sollte die kommunale Ebene unterstützen. Dabei sollten die zuständigen Ministerien für ihre Bereiche koordinierend tätig werden.
Insbesondere folgende Möglichkeiten sollten die Ministerien nutzen, um Mängel im Bereich der IT-Sicherheit zu vermeiden:
- regelmäßiger Austausch zwischen Kommunen, kommunalen Beteiligungen, Land/Landesverwaltung, Dritten (z. B. Dataport) usw. hinsichtlich geltender Vorschriften und ihrer Umsetzung unter der Regie des Landes,
- kommunalaufsichtliche Kontrollmechanismen zur Vermeidung von Mängeln,
- Unterstützung beim Aufbau der interkommunalen Zusammenarbeit im Bereich der IT-Sicherheit, u. a. im Hinblick auf Kumulierungseffekte.
Expertin Sabine Griebsch aus Anhalt-Bitterfeld: Keine substanzielle Unterstützung
Sachsen-Anhalts Landesverwaltung kann mit der BSI-Vereinbarung nun leichter Bundeskompetenz anzapfen. Grundsätzlich begrüßen Expertinnen und Experten diese Zusammenarbeit.
Sabine Griebsch, die 2021 im Landkreis Anhalt-Bitterfeld als Chief Digital Officer beim Wiederaufbau der IT-Infrastruktur im Einsatz war, hält die Zusammenarbeit für umfassend. Schade sei allerdings, dass Vorträge und Informationsveranstaltungen naturgemäß nicht über das Reden hinausgehen.
"Substanzielle Unterstützung sehe ich hier noch nicht," sagt Griebsch und wirft zudem die Frage auf, ob das BSI den hohen Beratungsbedarf decken kann. Ob die Zusammenarbeit nach einem Hackerangriff klappt, würde davon abhängen, wie genau zusammengearbeitet werden würde. "Solche Prozesse müssen einmal definiert und sinnvollerweise einmal eingeübt werden", so Griebsch.
IT-Experte Marian Kogler: Vereinbarung ist kein Rundum-Sorglos-Dienst
Der IT-Sicherheitsexperte Marian Kogler aus Halle, der mit seiner Firma "syret" auch die IT-Sicherheit von Firmen und Verwaltungen testet, hält die Vereinbarung für einen ersten richtigen Schritt. "Allerdings ist das BSI schon aus Kapazitätsgründen nicht in der Lage, einen Rundum-Sorglos-Dienst für die Länder anzubieten", so Kogler. Für die meisten Bürgerinnen und Bürger seien die Kommunen die wichtigsten Stellen; bei ihnen – und nicht bei der Landesverwaltung – würden ihre Daten liegen und bei ihnen würden sie die meisten Anträge stellen.
Kommunen sind allerdings in der Vereinbarung nicht explizit beteiligt. "Das Land muss also selbst aktiv werden und den umfassenden Schutz der IT-Infrastruktur und der Daten der Bürger gegenüber Cyberangriffen gewährleisten", sagt Kogler.
Cybersicherheit: So stark wie das schwächste Glied
Julia Schuetze ist Expertin für Cybersicherheitspolitik und hat zuletzt für die "Stiftung Neue Verantwortung" untersucht, wie der Bund und die Länder die Kommunen bei der Informationssicherheit unterstützen. Schuetze zufolge kann die Sicherheit von Bürgerdaten auch davon abhängen, in welchem Bundesland jemand lebt.
Die BSI-Kooperationsvereinbarung sei ein Baustein, um vertrauensvoll miteinander zu arbeiten. "Aber leider zeigen solche Verträge auch, dass Bund und Länder sich noch nicht darauf einigen konnten, welche Rolle das BSI längerfristig übernehmen sollte", so Schuetze.
Schuetze befürchtet, dass der Flickenteppich bei der Cybersicherheit noch eine Weile besteht. "Länder, die selbst Kompetenzen ausbauen, unterstützen die Kommunen auch mehr." Die BSI-Kooperationsvereinbarungen würden deshalb eine einheitliche Lösung hinauszögern. "Die eigentlich wichtige Frage ist ja, wer soll welche Leistungen bereitstellen", meint Schuetze. Bundesländer ohne Vereinbarungen mit dem BSI und ohne eigene Kompetenzen seien am schlechtesten dran. In einer vernetzten Welt stelle das aber ein Risiko für alle dar.
Die neue Vereinbarung scheint also der erster Schritt zu sein. Was sie konkret bringt, bleibt abzuwarten. Auf dem Papier ist die IT-Sicherheit in Sachsen-Anhalts Behörden nun in der stabilen Seitenlage.
Mehr zum Thema Digitale Verwaltung
MDR (Marcel Roth)
Dieses Thema im Programm:MDR SACHSEN-ANHALT – Das Radio wie wir | 20. Oktober 2023 | 12:30 Uhr
Kommentare
{{text}}