Deutschlands erste CyberkatastropheBilanz nach Cyberangriff: Wie schlimm ist es wirklich?

• Vorgaben für die IT-Sicherheit einer Gemeinde oder Kommune kommen nicht vom Bund, sondern von den Bundesländern.
• Wie gut Kommunen und Landkreise zwei Jahre nach der Cyberkatastrophe in Anhalt-Bitterfeld vorbereitet sind, ist unklar.
• Für diese Vorbereitung braucht es eine gesamtgesellschaftliche Diskussion über die IT-Sicherheit.

Ja, der Landkreis Anhalt-Bitterfeld war fuc… Nicht einer der Rechner konnte mehr benutzt werden. Niemand in der Verwaltung konnte arbeiten. Auch die IT im Filmmuseum in Bitterfeld und in Musikschulen ging nicht mehr. Fast zwei Jahre lang war das gewohnte Arbeiten gestört. Das Schlimmste aber: Niemand war darauf vorbereitet. Es gibt kein Buch mit Anweisungen, das jemand aus der Schublade ziehen konnte.

Und das ist das größte Versäumnis damals und heute: Verwaltungen, Unternehmen und auch Privatpersonen, die nicht auf den schlimmsten Fall vorbereitet sind. Und die sich nicht fragen, wie sie schnellstmöglich wieder das tun, wofür sie da sind.

Deutschlands erste Cyberkatastrophe war für solche Fragen ein Weckruf. Aber das heißt nicht, dass zwei Jahre danach alle Kommunen und Landkreise besser auf solche Fälle vorbereitet sind. Sie wissen nur, welche Aufgaben sie zu erledigen haben. Und die sind enorm: Jede einzelne Gemeinde muss ihre IT-Infrastruktur selbst schützen – vor Akteuren, die mit krimineller Energie und womöglich mit staatlicher Unterstützung handeln.

Im Podcast "You are fucked – Deutschlands erste Cyberkatastrophe" sagt ein Experte, dass die Oberbürgermeisterin von Magdeburg nicht dafür zuständig ist, ihre Elbbrücken vor Luftangriffen zu schützen. Für den Schutz der IT der Stadtverwaltung Magdeburg, die aus dem internationalen Cyberraum bedroht wird, ist sie sehr wohl zuständig. Hat sie dafür genug Geld? Genug Expertise in IT-Abteilung und Verwaltung? Vorgaben hat sie dafür bislang nicht. Nur Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Aber BSI und Bund können Städten und Gemeinden keine Vorgaben für die IT-Sicherheit machen. Das können nur die Bundesländer. Möglicherweise könnten deshalb demnächst unterschiedliche Vorgaben in den einzelnen Bundesländern gelten: Die IT der Stadt Halle muss dann andere Vorgaben erfüllen als die in Leipzig. Das wäre absurd. Der Cyberraum ist international.

Aber darauf sind wohl unsere Verwaltungen auch zwei Jahre nach der ersten Cyberkatastrophe nicht genügend vorbereitet. Das ist meine persönliche Bewertung. Objektiv und faktenbasiert kann das niemand in diesem Land ernsthaft bewerten. Denn niemand weiß wirklich, wie gut unsere Städte und Gemeinden, unsere Landkreise vor Cyberangriffen geschützt sind. Niemand fragt strukturiert ab, wie IT-sicher die deutschen Verwaltungen sind.

Sachsen-Anhalts Digitalministerium musste bei der Kommunalen IT-Union anklopfen, einer Genossenschaft, in der Kommunen, Landkreise und das Land IT betreiben. "Auf kommunaler Ebene ist ein sehr unzureichendes Informationssicherheitsniveau gegeben", so das Digitalministerium. Man sei deshalb auch nur unzureichend auf Sicherheitsvorfälle vorbereitet. Auch für Teile der Landesverwaltung sieht das Digitalministerium die IT-Sicherheit durchschnittlich als unzureichend an.

Bemerkenswert: Die Antwort kommt vom Digitalministerium und nicht vom Innenministerium – dem "Sicherheitsministerium", wie es auf der Webseite heißt. Dabei steckt in "IT-Sicherheit" derselbe Begriff. Aber das Digitale – und damit auch die digitale Sicherheit – lässt sich nicht delegieren. Jedes Ministerium muss sich für seinen Bereich darum kümmern. 

Wie sicher sind also die Städte und Gemeinden? Sauber kann das niemand beantworten.

Wer nicht weiß, wo er steht, weiß auch nicht, wohin er gehen muss. Ein "100-Meter-Lauf der Orientierungslosen", so nennt Valentina Kerst die Digitalisierung in Deutschland in ihrem Buch "Schleichender Blackout" in Anlehnung an die britischen Komiker Monty Python.

Kerst schreibt, die Verwaltung ist das Betriebssystem unserer Gesellschaft. Wer sie angreift, greift unser soziales Miteinander an. Und Kerst fordert ein Update für das Betriebssystem unseres Landes.

Eine unterstützenswerte Forderung. Nur: Dafür müssen wir alle unsere Komfortzone verlassen. Wir müssen uns einbringen, unsere Meinung, unsere Werte teilen. Wir müssen sagen, wie wir uns einen digital kompetenten Staat vorstellen. Und: Wir müssen wissen, worüber wir reden. Wir müssen uns trauen, Fragen zu stellen: Wie funktioniert eigentlich so eine Smartphone-App? Wie geht maschinelles Lernen? Kann ein Smartphone ohne SIM-Karte funktionieren? Wie gehen Hacker vor? Was wollen sie? 

Und solche Fragen dürfen nicht nur Menschen stellen, die glauben, sie hätten "digital" verstanden – solche Fragen müssen alle, überall stellen. Viel zu ruhig ist es zum Beispiel bei der gesamtgesellschaftlichen Diskussion um die KI-Regulierung, an der die EU arbeitet. Wo wird darüber mit allen diskutiert? Wo reden wir über die Zukunft?

Was Deutschlands erste Cyberkatastrophe gezeigt hat: Wir dürfen uns nur über das ärgern, was wir in der Hand haben. Wir dürfen uns über den Landkreis Anhalt-Bitterfeld ärgern. Aber nicht, weil er angegriffen wurde, sondern weil er nicht vorbereitet war, weil Zuständigkeiten und Befindlichkeiten Zeit gekostet haben und weil gesamtstaatlich kaum jemand vorbereitet war – weder auf die IT-Probleme noch auf die organisatorischen Probleme, die eine Cyberkatastrophe verursacht.

Schon klar: Solcher Ärger und solche Diskussionen sind fürchterlich anstrengend. Aber sie lohnen sich, weil wir sie beeinflussen können. Weil wir sehen, dass wir handeln können. So werden wir selbst zu souveränen IT-Nutzern und bleiben nicht nur Konsumenten großer Konzerne. Wir haben es also in der Hand: vorbereitet zu sein auf Cyberangriffe, vorbereitet zu sein auf eine bessere digitale Welt.

MDR (Marcel Roth)