Ein Cyberangriff legte Anfang Juli die Kreisverwaltung Anhalt-Bitterfeld lahm. Daher musste die Kommune am 9. Juli den Katastrophenfall ausrufen. Zeitweise war die elektronische Kommunikation komplett zusammengebrochen, die Abläufe von Fachverfahren sind massiv beeinträchtigt. Am 16. Juli bestätigte der Landkreis, „dass abgeflossene Daten aus dem Netzwerk der Kreisverwaltung im Darknet veröffentlicht wurden“. Dies betreffe auch Sitzungsprotokolle aus nichtöffentlichen Sitzungen. Aber ist Anhalt-Bitterfeld ein Einzelfall? Wie sind Kommunen aufgestellt in Sachen IT-Sicherheit und Digitalisierung? Darüber spricht die OBM-Zeitung mit dem Rechtsexperten Nicolas Sonder. Als Partner bei PwC Legal leitet Sonder dort den Bereich „Digitalisierung im öffentlichen Sektor“.
„Eine ernsthafte Motivation der Angreifer“
Nicolas Sonder, Partner PwC Legal (Quelle: PwC Legal)
OBM: Herr Dr. Sonder, der Landkreis Anhalt-Bitterfeld ist einem Cyberangriff ausgesetzt, der seit Tagen die elektronische Kommunikation der Verwaltung lähmt. War es nur eine Frage der Zeit, bis so etwas in einer Kommune einmal auftreten würde?
Nicolas Sonder: Ja, definitiv – zumal das eigentlich nicht der erste Vorfall in diese Richtung im kommunalen Umfeld ist. Die Cybergefahr ist auch für Kommunen real. Hinter den Vorfällen steht meist eine ernsthafte Motivation der Angreifer, die nicht zu unterschätzen ist. Das betrifft im Übrigen nicht nur kommunale Verwaltungen, sondern auch kommunale Beteiligungsgesellschaften.
OBM: Wie sind Kommunen und ihre Beteiligungsgesellschaften aufgestellt, was IT- und Datensicherheit angeht?
Nicolas Sonder: Ich denke, dass Kommunen im Bereich der Datensicherheit nicht so schlecht aufgestellt sind, wie mancher vielleicht glauben mag. Die IT-Sicherheit ist wie in weiten Teilen der Privatwirtschaft inzwischen längst als wesentliche Säule in kommunalen IT-Strategien verankert. Zudem haben Kommunen entsprechende Leistungen eingekauft oder sich in diesem Bereich zertifizieren lassen.
„Absolute IT-Sicherheit nur sehr schwer zu erreichen“
OBM: Trotzdem geschehen Vorfälle wie in Anhalt-Bitterfeld. Woran liegt’s?
Nicolas Sonder: Grundsätzlich gilt zunächst einmal, dass eine durchgängige, absolute IT-Sicherheit nur sehr schwer zu erreichen ist. Gleichwohl können Risiken reduziert werden, indem man mehr in die Organisationsstruktur und in das Knowhow investiert – diese sind neben der technischen Seite von IT-Sicherheit genauso bedeutsam. IT ist eine Managementaufgabe, und das zeigt sich gleichsam im Bereich der Risikominimierung.
OBM: Der Fall Anhalt-Bitterfeld führt die Gefahr von Cyberangriffen vor Augen. Was bedeutet das, was die Resilienz von Städten und Kommunen angeht? Sind die Bemühungen um „digitale Resilienz“ nicht groß genug?
Nicolas Sonder: Ich glaube nicht, dass angesichts konkreter Bedrohungslagen die theoretische Diskussion auf einer abstrakten Ebene um Schlagworte wie „digitale Resilienz“ vordringlich ist. Klar ist: Kommunen müssen bestrebt sein, sich resilient oder widerstandsfähig aufzustellen. Dies gilt selbstverständlich auch fürs Digitale. Wichtig ist vielmehr, was konkret vor Ort strategisch und operativ getan wird, um der Herausforderung zu begegnen.
„IT ist eine Managementaufgabe“
OBM: Wie sieht die digital starke Kommune der Zukunft denn aus?
Nicolas Sonder: Die digital starke Kommune der Zukunft verfügt über eine leistungsstarke und sichere IT-Infrastruktur. Dies bedeutet durchaus, auf dem Weg dorthin entsprechende Investitionen zu tätigen. Insbesondere sind Infrastruktur, Systeme und Prozesse in der Kommune der Zukunft stärker vernetzt als es heute meist der Fall ist. Das Personal in allen Bereichen arbeitet zukünftig immer IT-affiner und agiler. Damit einher geht ein Bewusstseinswandel in der Arbeitspraxis, der letztlich eine höhere Sensibilität und Souveränität in Fragen der IT-Sicherheit mit sich bringt. Das Digitale gewinnt noch mehr an Selbstverständlichkeit. Moderne Technologien werden dort eingesetzt, wo sie echte Wertschöpfung der Erfüllung kommunaler Aufgaben erzeugen.
OBM: Welches sind zentrale Maßnahmen, die eine Kommune auf dem Weg zur erfolgreichen Digitalisierung jetzt angehen muss?
Nicolas Sonder: Zunächst die Sicherstellung des Ausbaus digitaler Infrastrukturen. Dann die zügige Umsetzung des Onlinezugangsgesetzes, soweit Leistungen der Kommunen betroffen sind. Zentral bleibt meines Erachtens auch die Fortentwicklung der behördlichen Organisationsstrukturen: Silos müssen aufgebrochen werden, damit Maßnahmen wirksamer werden, ineinandergreifen und die Reaktions- und Handlungsfähigkeit erhöht wird. Schnelligkeit und Agilität im Handeln sorgen nicht zuletzt für mehr Sicherheit. Wie gesagt: IT ist eine Managementaufgabe.
„Datenschutz und IT-Sicherheit sind zweierlei“
OBM: Welche Rolle spielt dabei der Rechtsrahmen, beispielsweise hinsichtlich des Datenschutzes?
Nicolas Sonder: Der Rechtsrahmen spielt bei der erfolgreichen Digitalisierung für die öffentliche Hand eine große Rolle. Bisweilen nutzen wir die Spielräume des vorhandenen Rechtsrahmens nicht aus, sei es im Bereich innovativer Beschaffungen oder im Bereich des Rechts der Daten. Darüber hinaus sollten wir dort, wo der Rechtsrahmen Lücken hat, diesen am Maßstab der Bedarfe einer erfolgreichen Digitalisierung fortentwickeln. Was den Datenschutz betrifft, glaube ich nicht, dass dieser in Kommunen unterschätzt wird. Im Gegenteil wird er oftmals sehr streng ausgelegt. Dabei gilt es bei Frage nach IT-Sicherheit zu verstehen, dass Datenschutz und IT-Sicherheit zweierlei sind – manchmal deckungsgleich, manchmal aber auch konträr zueinander laufend. Etwa gibt es sehr IT-sichere Lösungen, die aber nicht höchste Datenschutzstandards gewährleisten, und umgekehrt.
