IT-Sicherheit in Kommunen Gesucht: Personal und Verständnis für IT-Sicherheit

• In großen und kleinen Kommunen von Sachsen-Anhalts ist die IT-Sicherheit beunruhigend. Das zeigen ein Bericht des Landesrechnungshofes und Recherchen von MDR SACHSEN-ANHALT.
• Bürgermeister und Landräte müssen IT-Sicherheitsbeauftragte ernennen. Von ihnen gibt es nicht genug, es fehlen Geld und Personal. Die Landesregierung kann nur eingeschränkt helfen.
• Kann eine Verwaltung wegen eines IT-Ausfalls nicht arbeiten, stellt das das Funktionieren des Staates in Frage. Notfallpläne sollten deshalb bereitliegen.

Der Kreis Vorpommern-Rügen, der Kreis Neu-Ulm und dutzende Orte in Nordrhein-Westfalen – das sind nur einige Kommunen, die in der Vergangenheit nicht immer arbeitsfähig sind oder waren. Bürgerinnen und Bürger, die Kontakt aufnehmen oder Anträge ausfüllen wollten, waren aufgeschmissen. Im vergangenen Jahr war auch die Website der Landesregierung von Sachsen-Anhalt zeitweise nicht zu erreichen. Und über den Hackerangriff auf den Landkreis Anhalt-Bitterfeld wurde 2021 deutschlandweit berichtet.

Sind Gemeinden, Städte oder Landkreise lahmgelegt, ist das für Bürgerinnen und Bürger besonders ärgerlich. Denn mit ihnen haben sie in der Regel mehr zu tun als mit Landes- oder Bundesbehörden: In der Gemeinde beantragen sie ihren Personalausweis und ihren Reisepass, ihre Geburts- und Heiratsurkunde. Landkreise und kreisfreie Städte organisieren die Schuluntersuchungen, zahlen Sozialhilfe, Grundsicherung, Wohngeld und Elterngeld. In ihren Gesundheits- und Jugendämtern liegen heikle Daten, von Kindern, die das Jugendamt vor ihren Eltern schützen will, von Adoptionen und Menschen mit meldepflichtigen Krankheiten.

Aber tun Landkreise und Gemeinden genug, um die Daten ihrer Bürgerinnen und Bürger zu schützen? Wohl nicht. Sachsen-Anhalts Landesrechnungshof hat 2023 dazu alle elf Landkreise und die 16 größten Städte und Gemeinden für einen Bericht befragt (PDF, ab S. 75). Das Ergebnis: Die Lage der IT-Sicherheit in Sachsen-Anhalts sei "besorgniserregend" – "ein Spiel mit dem Feuer". 93 Prozent der Kommunen haben demnach kein IT-Sicherheitskonzept, 67 Prozent kein Notfallhandbuch und 54 Prozent kein Konzept für eine minimale Datensicherung.

Der Präsident des Landesrechnungshofes, Kay Barthel, ist besorgt: Lange nach dem Angriff auf den Landkreis Anhalt-Bitterfeld würden noch immer Regeln fehlen, um solche Angriffe abzuwehren: "Wenn man weiß, dass wir nur Einblick in 28 von 247 Kommunen hatten, macht uns das große Sorgen." Den großen Kommunen würde er zutrauen, auf Angriffe zu reagieren. "Aber welche Zustände bei kleineren Kommunen herrscht, können wir gar nicht einschätzen", sagt Barthel MDR SACHSEN-ANHALT.

Für ihn ist deshalb klar: "IT Sicherheit muss Chefsache sein." Gefragt seien Landräte und Bürgermeister. Sie seien "für die sachgemäße Erledigung der Aufgaben und für den ordnungsgemäßen Gang der Verwaltung verantwortlich". Deshalb müssten sie haften, wenn Dritten Schäden entstehen, weil sie IT-Sicherheit nicht regeln, kontrollieren oder kein geeignetes Personal einstellen. Bürgermeister und Landräte müssten IT-Sicherheitsbeauftragte ernennen, die ihnen organisatorisch direkt unterstehen. "Und IT-Sicherheitsbeauftragte müssen vor allem in den Verwaltungen bekannt sein, so dass man ihn frühzeitig in Diskussionen einbeziehen kann", so Barthel.

Im Bericht des Landesrechnungshofes hatten 61 Prozent der geprüften Kommunen keinen IT-Sicherheitsbeauftragten. Unter den elf Kommunen, die einen hatten, waren fünf Kommunen, bei denen der IT-Sicherheitsbeauftragte sich nur zu maximal sechs Prozent seiner Arbeitszeit um IT-Sicherheit kümmert. Das sei deutlich zu wenig Zeit für IT-Sicherheit, bemängelt der Landesrechnungshof. Er fordert deshalb 2023: Landkreise und Kommunen sollen die Mängel umgehend beseitigen. Und er empfiehlt, dass Kommunen und Landkreise bei der IT-Sicherheit zusammenarbeiten und die Landesverwaltung dabei unterstützt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen, worauf bei IT-Sicherheitsbeauftragten in Kommunen zu achten ist. Es könne zum Beispiel zu Konflikten führen, wenn sie Teil der IT-Abteilung seien. Schließlich ist eine Aufgabe der IT-Sicherheitsbeauftragten, die Arbeit der IT-Abteilung zu überwachen und Änderungen zu verlangen. Eine IT-Abteilung kann sich nicht selbst überwachen.

Um einen eigenen Überblick zu bekommen, hat MDR SACHSEN-ANHALT alle Landkreise, Gemeinden und kreisfreien Städte in Sachsen-Anhalt nach ihren IT-Sicherheitsbeauftragten gefragt. Das Ergebnis bestätigt das beunruhigende Fazit und die Befürchtung des Landesrechnungshofes für kleine Kommunen.

Von den 41 Kommunen, die geantwortet haben, haben 16 keinen IT-Sicherheitsbeauftragten, bei 14 gehört er zur IT-Abteilung und vier Kommunen haben die Arbeit extern vergeben. In nur sieben Kommunen liegt die Aufgabe bei Menschen außerhalb der IT-Abteilung. Selbst unter den Landkreisen und kreisfreien Städten hat nach der Recherche von MDR SACHSEN-ANHALT eine Mehrheit keinen IT-Sicherheitsbeauftragten so wie es das BSI empfiehlt.

Eine Kommune, eine Stadt im Harz, scheint gut organisiert und antwortet ausführlich: "Unser IT-Sicherheitsbeauftragter ist dem Hauptamt zugeordnet, seit 15. September in Vollzeit." Unter anderem sei es seine Aufgabe, die IT-Sicherheit durch technische und organisatorische Maßnahmen zu entwickeln und umzusetzen, die Sicherheit neuer Soft- und Hardware zu bewerten, kritische Prozesse zu erkennen und Notfallpläne weiterzuentwickeln.

Für Sachsen-Anhalts Digitalministerium kommen die Befunde nicht überraschend. Auf Anfrage von MDR SACHSEN-ANHALT schreibt das Ministerium, dass vor allem die "einwohner- und damit finanzstärkeren Landkreise und Kommunen teilweise gut aufgestellt" sind. Bei den meisten Kommunen und bei einzelnen Landkreisen bestehe erheblicher Handlungsbedarf.

Das liege vor allem am mangelnden Risikobewusstsein der Entscheidungsträger, so das Ministerium. Dass die IT-Sicherheit häufig unzureichend sei, liege an mangelnden "finanziellen und fachpersonellen Ressourcen". Außerdem seien die IT-Landschaften im Föderalismus zu fragmentiert und deshalb komplex. Mittelfristig ließe sich das nur durch zentralisierte, weitgehend standardisierte, übergreifende IT-Infrastrukturen bewältigen, glaubt das Digitalministerium.

Die Möglichkeiten der Landesregierung, Kommunen zu unterstützen, seien wegen des Kommunalverfassungsgesetzes stark eingeschränkt. Man plane ein Landesgesetz mit Pflichten für Kommunen und ein niedrigschwelliges Unterstützungsprojekt. Außerdem soll die Kommunale IT Union zentraler Anbieter von IT-Dienstleistungen für die Kommunen werden.

Einer der wenig bekannten IT-Sicherheitsbeauftragten ist Jens Lange von der hessischen Stadt Kassel. In seiner Freizeit betreibt er die Internetseite "Kommunaler Notbetrieb". Dort sammelt er IT-Sicherheitsvorfälle bei Kommunen, über die in den Medien berichtet wird. "Die sind vermutlich nur die Spitze des Eisbergs", sagt Lange. Die Fachabteilungen in seiner Kommune würde er immer fragen: "Stellt euch vor, ihr habt drei Stunden keine IT, drei Tage oder drei Wochen keine IT oder wenn es ganz doof läuft drei Monate keine IT. Was macht ihr dann?"

Als IT-Sicherheitsbeauftragter gibt er dem Thema ein Gesicht. "Denn sonst bleibt es nur leblos auf Papier und wandert in Notizen oder Tagesordnungen immer nach hinten", sagt Lange. Wie viele Kommunen IT-Sicherheitsbeauftragte haben, kann er nicht sagen. "Ich schätze etwa die Hälfte." In Kassel widmet er sich zu 100 Prozent der IT-Sicherheit. In kleinen Kommunen sind IT-Sicherheitsbeauftragte mitunter auch mit anderen Dingen beschäftigt: sie arbeiten im Sozialamt, in der Pressestelle oder der IT-Abteilung. Lange sagt, manchmal frage er sich, was so jemand im Alltag wirklich tun kann.

Funktioniert IT in den Kommunen nicht, erschüttert das den Glauben an den Staat, meint Kay Barthel, Präsident des Landesrechnungshofes: "Die Funktionsfähigkeit des Staates hängt unmittelbar mit dem sicheren und zuverlässigen Betrieb seiner Informationssysteme zusammen." Es ginge um das Vertrauen der Bürger in die Funktionsfähigkeit des Staates – ein hohes Gut, sagt Barthel. "IT-Infrastruktur ist insofern kritische Infrastruktur."

Bislang gelten Verwaltungen von Kommunen nicht als Teil der kritischen Infrastruktur. Das wird auch so bleiben. Zwar sollen demnächst neue EU-Regeln die IT-Sicherheit in Verwaltungen erhöhen. Die so genannte NIS2-Richtlinie wird aber wohl nur für Verwaltungen von Bund und Länder gelten.