In der Debatte um urbane Resilienz spielt das Risiko von Cyberattacken für Kommunen eine zunehmend wichtige Rolle. In kommunalen Verwaltungen kommen nicht nur teils sensible Daten von Bürgern zusammen, sondern Kommunen und ihre kommunalen Unternehmen sind an vielen Stellen auch verantwortlich für kritische Infrastrukturen – insbesondere im Bereich der Daseinsvorsorge. Wie gefährdet sind sie also, was Cyberattacken auf ihre IT-Systeme betrifft? Und wie können sie sich aufstellen, um sich bestmöglich gegen derartige Angriffe zu schützen? Was sollten sie im Schadensfall tun? Darüber spricht der Rechtsexperte Nicolas Sonder. Er ist Partner bei PwC Legal und leitet dort den kommunalen Bereich.
Fälle von Cyberattacken auf Kommunen nehmen zu
Nicolas Sonder, Partner PwC Legal (Quelle: PwC Legal)
#stadtvonmorgen: Herr Dr. Sonder, immer wieder gibt es Fälle, in denen Kommunen Opfer von Cyberattacken sind. Wie würden Sie die Problemlage beschreiben? Wo liegen Herausforderungen für Kommunen?
Nicolas Sonder: Eine Herausforderung liegt darin zu erkennen, dass Kommunen potentielle Opfer von Cyberangriffen sind und ins Visier der Cyberkriminalität geraten können. Tatsächlich haben in den vergangenen Jahren Fälle sowohl bei Kernverwaltungen als auch bei kommunalen Unternehmen zugenommen. Kommunen sind an vielen Stellen in der Verantwortung für kritische Infrastrukturen. In diesen Bereichen kommt der Cybersicherheit eine zusätzliche Bedeutung und Wichtigkeit zu. Sie ist hier wie der Datenschutz eine stetige Kernherausforderung. Ich denke beispielsweise an Rechenzentren, die Energie- oder Wasserversorgung, Krankenhäuser oder den öffentlichen Personennahverkehr. Zur Problemlage gehört, dass Kommunen sich nicht wie die Privatwirtschaft bereits vor etwa 20 Jahren intensiv mit der Thematik auseinandergesetzt haben, sondern die Beschäftigung damit vielerorts erst in jüngerer Zeit eingesetzt hat. Das bedeutet, sie müssen in kürzerer Zeit mehr lernen. Hinzu kommt die Heterogenität von Kommunen, was Knowhow und Mittel betrifft: In der Regel ist die IT-Verwaltung einer Landeshauptstadt anders aufgestellt als die einer mittelgroßen oder kleinen Stadt. Während die einen zentrale Koordinatoren wie CIO oder CISO, Chief Information Officer oder Chief Information Security Officer, benennen, ringen andere damit, überhaupt Mittel und Ressourcen, um solche Strukturen aufbauen zu können, freimachen zu können. Allen ist gemein, dass sie immer stärker vom Fachkräftemangel erfasst sind, der selbstverständlich auch die IT-Abteilungen von Verwaltungen betrifft.
Im Schadensfall gerät die Cybersicherheit in den Fokus
#stadtvonmorgen: Sie sagen, dass Kommunen verstärkt aufs Radar von Cyberkriminellen geraten. Ist diese Gefahr in der öffentlichen Debatte überhaupt ausreichend repräsentiert? Wie schätzen Sie es ein: Gibt es eine Diskrepanz zwischen dem Bedrohungsszenario und dem Bewusstsein für den Ernst der Lage?
Nicolas Sonder: Ich schätze, dass die öffentliche Wahrnehmung des Risikos für den Privatsektor nicht mehr oder weniger ausgeprägt ist als für den öffentlichen Sektor. Oft müssen erst messbarere Schäden entstehen, damit das Thema intensiv diskutiert wird. Dabei reicht allein der Vorfall meist nicht aus, um eine breite öffentliche Wahrnehmung zu erzeugen. Wenn allerdings ein spürbarer Schaden eintritt, ist die Wahrnehmung sofort da. Ich denke beispielsweise an den Fall des Landkreises Anhalt-Bitterfeld, der wegen eines Cyberangriffs sogar den Katastrophenfall ausrief – vor allem die lokale, aber auch die überregionale Presse berichtete intensiv über das Geschehen.
#stadtvonmorgen: Sie vergleichen die Privatwirtschaft mit dem öffentlichen Sektor und meinen, der öffentliche Bereich hinke dem privaten in Sachen Cybersicherheit hinterher beziehungsweise müsse diesbezüglich noch mehr und schneller lernen. Wieso? Wie meinen Sie das?
Nicolas Sonder: Die konsequente Digitalisierung im öffentlichen Sektor hat in vielen Bereichen etwas später eingesetzt. Insofern standen die Kommunen vor 20, 30 Jahren – auch dem Stand der Technik geschuldet – weniger stark auf den Listen von Cyberkriminellen als heute. In den vergangen Jahren sind sie allerdings ein interessanteres Ziel von Cyberkriminellen geworden. Entsprechend haben sie sich später mit entsprechenden Themen beschäftigt, dafür müssen sie nun umso schneller lernen.
Cybercompliance als Organisationsaufgabe
#stadtvonmorgen: Nehmen wir den abstrakten Fall eines Cyberangriffs. Wie sollten sich Kommunen im Vorfeld darauf vorbereiten? Wie sollten sie vorbeugen?
Nicolas Sonder: Erstens sollten sie Knowhow aufbauen, indem sie etwa Fachkräfte einstellen oder Fortbildungen für ihr Personal organisieren. Zweitens ist es für Cybersicherheit essentiell, dass es freie Ressourcen dafür gibt und sich eine Kommune, drittens, technisch-organisatorisch dem Thema widmet. Dazu gehören gewisse Standards für die eigene IT, die Cybercompliance, das Informationssicherheitsmanagement und hier insbesondere einschlägige Zertifizierungen. Darüber hinaus ist Kollaboration wichtig. Die Cybersicherheit ist ein Paradebeispiel für die Vorteile interkommunaler Zusammenarbeit. Das reicht von der Vernetzung kommunaler IT-Rechenzentren bis hin zur inhaltlichen Abstimmung innerhalb kommunaler Verbände. Dabei muss man aufpassen, dass die Kleinen nicht unter die Räder geraten. Letztlich geht es nicht nur um die Frage, was Kommunen in Sachen Cybersichheit tun können, sondern auch, was sie müssen.
#stadtvonmorgen: Inwiefern? Was müssen sie denn?
Nicolas Sonder: Wenn sich, beispielsweise nach einem Angriffsversuch auf ein IT-System, Sicherheitslücken offenbaren, ist es nicht zuletzt eine rechtliche Frage und ein Compliancethema, wie die Akteure damit umgehen und Prävention betreiben. Die Verwaltungsspitze und Kommunalverwaltungen sind dazu verpflichtet, Schaden von der Gebietskörperschaft abzuwenden. Ist nun eine Lücke offenbar, ist es an ihnen, zu prüfen, ob und welche Risiken bestehen beziehungsweise wie diesen zu begegnen ist. Demnach sollten sie Anstrengungen unternehmen, Risiken von Schadensszenarien zu minimieren. Es geht letztlich um Präventionscompliance im Cyberbereich.
Cyberschäden abwenden: Prävention und Reaktion
#stadtvonmorgen: Ist diese präventive Verantwortung allen bewusst?
Nicolas Sonder: Manchen mehr, anderen weniger. Cyberkriminalität alleine ist ein komplexes Thema, nun kommt auch noch der Begriff der Präventionscompliance hinzu. Das erfordert eine intensive Beschäftigung, für die Raum sein muss. Denn Cybersicherheit und Präventionscompliance sind Transformationsthemen, die mit Veränderung, zusätzlicher Steuerung und organisatorischen Governanceeinschnitten verbunden sind. Viele Kommunen sind dafür sensibilisiert, gleichwohl ist nicht allen klar, wie und in welchem Umfang sie sich auf einen Schadensfall vorbereiten können oder müssten. Zur Präventionscompliance gehört außerdem die Reaktionscompliance als zweite Seite der Medaille dazu. Dabei geht es nicht um Vorbereitung oder Vorbeugung, sondern um die Reaktion auf Cyberattacken.
#stadtvonmorgen: Welche Reaktionsmuster sprechen Sie konkret an?
Nicolas Sonder: Konkret geht es darum, was rechtlich geboten ist, um mögliche Schäden im Sinne der Datensicherheit und des Datenschutzes zu minimieren. Dazu gehört beispielsweise, welche Server im Fall einer Cyberattacke zu isolieren sind, um weitere Datenschäden zu vermeiden, oder wie Rückverfolgungsmechanismen angelegt werden können. Letztlich geht es darum, ein Reaktionsmodell zu schaffen. Dies betrifft im Übrigen auch die Zusammenarbeit mit Ermittlungsbehörden. Wer darf beispielsweise im Zusammenhang mit Internet-of-Things-Anwendungen die Daten auslesen, dürfen diese ohne weiteres an Ermittlungsbehörden weitergegeben werden? Im Grunde handelt es sich um viele Fragen, die auf der Hand liegen, die allerdings eine intensive Auseinandersetzung erfordern und daher im Schadensfall in kürzester Zeit und unter hohem Druck nur schwer zu beantworten sind. Darauf gilt es sich vorzubereiten. Zudem geht es um den Aufbau eines Krisenmanagements, das rund um die Uhr erreichbar und so organisiert ist, dass es schnellstens reagieren kann. Dabei sollten auch Kommunikationsstrukturen klar sein – interne und externe. Wer und welche Gremien dürfen und müssen über Schadensfälle informiert sein, wann und wie sind möglicherweise Dritte darüber zu informieren? Je vernetzter Infrastrukturen oder Systeme sind, beispielsweise wenn mehrere öffentliche Einrichtungen oder kommunale Unternehmen eingebunden sind, umso komplexer ist die Gemengelage. Noch dazu, wenn es zu Anfragen von Bürgern oder der Presse nach dem Informationsfreiheitsgesetz kommt: Welche Informationen dürfen oder müssen geteilt werden? Selbstverständlich kann derartigem Informationsinteresse zum Schutz der öffentlichen Ordnung und Sicherheit sowie bei laufenden Ermittlungen gegebenenfalls restriktiv begegnet werden. Die Parameter dafür sollten einem aber bewusst sein.
Digitalisierung betrifft alle: Kooperationen sinnvoll
#stadtvonmorgen: Sie haben im Zusammenhang mit der interkommunalen IT-Kooperation davon gesprochen, es gelte zu beachten, „dass die Kleinen nicht unter die Räder geraten“. Was meinen Sie damit?
Nicolas Sonder: In den kommunalen Netzwerken und Thinktanks diskutieren oftmals eher die Größeren über strategische Transformationsthemen. Doch die Digitalisierung betrifft alle. Dabei muss es um einen Austausch auf Augenhöhe gehen. Die Belange der kleineren und mittleren Städte dürfen nicht vergessen werden. So bietet es sich an, jenseits vorhandener Kollaborationsstrukturen Plattformen zu bilden, die kleinere Kommunen erfassen und deren Sichtweise oder besonderen Herausforderungen bündeln. Dies können Zweckverbände oder kommunale Zusammenschlüsse auf regionaler Ebene sein. Denn zu meinen, die Kleineren seien nicht oder weniger von der Problemlage betroffen, ist naiv und im Schadensfall kein belastbares Argument. Denn auch die kleinste Kommune hat eine große Verantwortung für die Daseinsvorsorge, wenn sie etwa ein Wasserwerk betreibt. Ohnehin muss, wer für kritische Infrastrukturen verantwortlich ist, besondere Anforderungen an Präventions- und Reaktionscompliance erfüllen. Inwiefern dies im Einzelfall gilt, lässt sich etwa mit einer Betroffenheitsanalyse klären.
