Im Interview mit Ulrich Heun, Gründer und geschäftsführender Gesellschafter der CARMAO GmbH mit Sitz in Limburg
Dass sich die Sicherheitslage in den letzten Wochen und Monaten zum Teil dramatisch geändert hat und mehr von einer akuten Gefährdungslage die Rede ist, haben sicher viele verantwortliche VerwaltungsleiterInnen oder (Ober-)BürgermeisterInnen mitbekommen. Doch wie schlimm ist die Situation wirklich und wie können Kommunen jetzt angemessen reagieren, um dem Thema Informationssicherheit langfristig Herr zu werden? Für unser Interview sind wir nach Limburg gefahren und haben uns mit Ulrich Heun getroffen, der sich als ausgewiesener Spezialist im Bereich der organisationalen Resilienz einen Namen gemacht hat. Neben der Beratung zu Themen wie Informationssicherheit, Datenschutz, Risikomanagement, Business Continuity Management (BCM) oder BSI IT-Grundschutz fokussiert er sich auf die konzeptionelle Weiterentwicklung des CHARISMA Resilience Management Frameworks der CARMAO. Dazu ist er ehrenamtlich als Vorsitzender des CISO Alliance e.V. aktiv. Sein Unternehmen führt anspruchsvolle IT-Security-Beratung durch, sodass die KundInnen einen dauerhaften und hohen Mehrwert in ihrer Informationssicherheit genießen können. Zu den KundInnen gehören bedeutende DAX-Unternehmen, aber auch viele mittelständische Unternehmen sowie zahlreiche Städte und Gemeinden.
DIGITAL FUTUREmag: Herr Heun, im Gespräch mit zahlreichen (Ober-)BürgermeisterInnen und leitenden Verantwortlichen im Bereich der öffentlichen Verwaltung sehen wir eine große Verunsicherung bezüglich der aktuellen Bedrohungslage im IT-Umfeld. Können Sie uns Ihren Eindruck über die aktuelle Situation beschreiben?
Ulrich Heun: Ich teile Ihre Einschätzung. Es herrscht einiges an Unsicherheit und vor allem Unwissenheit über die eigene Verantwortung. Zudem höre ich oft die Frage: Warum sollte jemand eine kommunale Verwaltung angreifen? Hierzu gibt es immer eine einfache Antwort: Weil man es kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt in den aktuell durch den Krieg ausgelösten Cyberattacken auch eine abstrakt erhöhte Bedrohungslage für Deutschland. Es ruft daher Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen. Doch auch zuvor gab es bereits größere Cyberattacken auf öffentliche Verwaltungen. Ich rufe hier die Fälle Anhalt-Bitterfeld oder Witten ins Gedächtnis.Insbesondere Kommunalverwaltungen mit ihrer Vielzahl an Bürgerkontakten, Verfahren und rechtlichen Rahmenbedingungen müssen in dieser Gefahrensituation ihren Aufgaben zum Schutz der Informationssysteme gerecht werden.
Obwohl kommunale Verwaltungen zunehmend beliebte Ziele für Cyberattacken darstellen, sind hier oft die Zuständigkeiten für die Informationssicherheit nicht geklärt. Ein weiteres strukturelles Problem in puncto Informationssicherheit liegt in der fehlenden Expertise in der Fläche. Die IT-Infrastruktur in den Kommunen ist oftmals technisch und finanziell schwach aufgestellt und personell dünn besetzt – und das für Systeme, die den Alltag einer Vielzahl von Menschen bestimmen bzw. beeinflussen.
DIGITAL FUTUREmag: Man hat den Eindruck, dass (Ober-)BürgermeisterInnen die Verantwortung für die Informationssicherheit gerne delegieren möchten. Dafür gibt es ja die eigenen Administratoren und IT-Beauftragten. Wie sieht hier die Rechtslage aus?
Ulrich Heun: Die Rechtslage ist hier eindeutig. Die letztendliche Verantwortung liegt bei den VerwaltungsleiterInnen bzw. (Ober-)BürgermeisterInnen.
Diese müssen ihre Pflicht ernst nehmen und die Sensibilisierung der Bürgerinnen und Bürger sowie insbesondere der Verwaltungsmitarbeitenden diesbezüglich vorantreiben. Man verlässt sich oft zu sehr auf den externen, oftmals kommunalen IT-Dienstleister. Der natürlich auch alles tut, um nach bestem Wissen und Gewissen die Risiken zu mindern. Aber kann der Dienstleister die individuellen Risiken jeder einzelnen Verwaltung kennen? Übernimmt der Dienstleister auch die Verantwortung? Freiwillig und selbstlos jedenfalls nicht. Delegieren kann man Aufgaben, aber nicht die Verantwortung.
DIGITAL FUTUREmag: Das Sicherheitsbewusstsein oder auch die Security Awareness in der öffentlichen Verwaltung ist in den letzten Monaten spürbar gestiegen. Warum ist das besonders wichtig?
Ulrich Heun: In der Vergangenheit wurde von kommunaler Seite der Fokus nicht stark genug auf die IT-Infrastruktur gelegt. Die Investitionen wanderten eher in andere Bereiche. Seitdem erste Verwaltungen Opfer von Cyberattacken geworden sind, findet langsam ein Umdenken statt. Bisher verfügt jedoch längst noch nicht jede Kommune in ihrer Verwaltung über Cybersicherheitsfachleute. Deshalb sind viele Kommunen auf die Zusammenarbeit mit dem BSI und externen Dienstleistern angewiesen. Um die Kosten für die einzelne Kommune zu senken und ggf. Fördermöglichkeiten in Anspruch nehmen zu können, ist beim Thema Informationssicherheit auch eine interkommunale Zusammenarbeit sinnvoll. Auf diese Weise können Kommunen große Synergieeffekte erzielen und deutlich Kosten sparen.
DIGITAL FUTUREmag: Das BSI warnt ganz konkret und massiv vor Angriffen aus Russland. Praktisch jede Stadt oder Gemeinde kann Angriffsziel werden. Was ist ihre konkrete Empfehlung an die Verwaltungsleitung?
Ulrich Heun: Jede Organisation kann zum Angriffsziel werden. Ein Cyberangriff auf die deutsche Tochter des russischen Mineralölkonzerns Rosneft beispielsweise hat zu einem massiven Datenverlust geführt. Mehrere Medien berichten auch von erhöhten Aktivitäten von sogenannten Trollen auf ihren Websites und Phishing-Mails mit Bezug zum Ukraine-Krieg, abgefasst in deutscher Sprache. Der erste konkrete Schritt sollte eine Sensibilisierung der MitarbeiterInnen für die erhöhte Gefahrenlage sein.
DIGITAL FUTUREmag: Die aktuelle gesetzliche Regelung sieht die Kommunen in der Pflicht, das Onlinezugangsgesetz bis Ende 2022 umzusetzen und die Verwaltung zu digitalisieren. Herr Heun, was kommt hier noch auf die Kommunen zu?
Ulrich Heun: Deutschland zählt beim Thema „Digitale Verwaltung“ definitiv nicht zu den Spitzenreitern in Europa. Das Onlinezugangsgesetz soll dies ändern. Es verpflichtet Bund und Länder, ihre Verwaltungsleistungen bis Ende 2022 auch elektronisch über Verwaltungsportale anzubieten. Hierfür müssen 575 Verwaltungsleistungen auf Bundes-, Länder- und kommunaler Ebene digitalisiert werden. Darüber hinaus muss eine IT-Infrastruktur geschaffen werden, die den Zugriff auf die Verwaltungsleistungen mit nur wenigen Klicks ermöglicht.
Für die IT-Sicherheit definiert das Bundesministerium des Innern und für Heimat (BMI) die notwendigen Sicherheits- und Kommunikationsstandards im Portalverbund. Die entsprechende „IT-Sicherheitsverordnung Portalverbund – IT-SiV PV“ soll die Informationssicherheit bei der Umsetzung des Onlinezugangsgesetzes gewährleisten. Die sehr späte Veröffentlichung dieser Verordnung im Januar diesen Jahres macht es natürlich nicht einfacher, die definierten Ziele bis Ende 2022 zu erreichen. Das BSI leistet dabei Basis-Unterstützung durch die Entwicklung und Bereitstellung von Richtlinien, Standards und weiteren Hilfsmitteln. Neben der Informationssicherheit sollte auch das Thema Datenschutz stärker in den Fokus gerückt werden. Jede Bürgerin und jeder Bürger soll davor geschützt werden, dass es zu einer missbräuchlichen Verbreitung ihrer bzw. seiner Daten kommt. Nur so kann das Recht auf informationelle Selbstbestimmung gewahrt bleiben.
DIGITAL FUTUREmag: Welche Empfehlungen geben Sie ganz konkret den Kommunen, um sich für die nächsten Monate und Jahre mit steigender Gefährdungslage besser zu schützen?
Ulrich Heun: Im Hinblick auf eine immer weiter voranschreitende Digitalisierung auf Verwaltungsebene sollte das Thema IT-Sicherheit als zentrale Säule einer resilienten Verwaltung umgesetzt werden. Für die IT-Sicherheit in Kommunalverwaltungen ist z.B. eine interkommunale Zusammenarbeit beim Informationssicherheitsmanagement sinnvoll. Die technische Umsetzung kann durch kommunale oder private Dienstleister erfolgen. Auch ein wirksames Service-Monitoring ist in diesem Zusammenhang empfehlenswert. Um Cyberangriffe abwehren zu können, raten wir Kommunen zudem zu gezielter Vorbereitung. Dazu zählen Datensicherungen, ein standardisiertes Sicherheitsmanagement sowie ein Notfallplan. Des Weiteren empfehlen sich Schutzkonzepte, die auf Prävention, Sensibilisierung, Heilung im Ernstfall und Immunisierung basieren.
DIGITAL FUTUREmag: Herzlichen Dank für Ihre eindrückliche Sensibilisierung und wertstiftenden Empfehlungen.