Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich einen umfassenden Bericht über die Bedrohungen im Cyber-Raum vor. Der aktuelle Bericht für 2021 ist seit Oktober verfügbar. Die Realität der Bedrohungslage lässt sich daraus schonungslos und durchaus beunruhigend ablesen.
Demnach hat von Juni 2020 bis Mai 2021 die Anzahl neuer Schadprogramm-Varianten um rund 144 Millionen zugenommen, das entspricht einem Zuwachs um circa 22 Prozent im Vergleich zum vorherigen Berichtszeitraum. Diese Zahlen machen deutlich: Das Geschäft mit der Online-Kriminalität wächst und floriert. Laut Digital-Branchenverband Bitkom entsteht der deutschen Wirtschaft jährlich ein Schaden von mehr als 220 Milliarden Euro durch Cyberangriffe. Wie schaut es bei den NRW-Kommunalverwaltungen aus?
Seit dem Jahr 2008 erfassen und analysieren wir die IT-Infrastruktur aller nordrhein-westfälischen Kommunen. Bestandteil dieser Analyse ist der Grad der Umsetzung von Maßnahmen des IT-Grundschutzes (IT-Sicherheit). Dazu nutzt die gpaNRW die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Grundlage. Unsere rund 500 durchgeführten IT-Prüfungen vor Ort in den Kommunen zeigen eines deutlich: Ein positiver Entwicklungstrend ist beim wichtigen Thema IT-Sicherheit feststellbar. Allerdings zeigen die aktuellen Prüfungen ebenso deutlich einen massiven Handlungsbedarf.
Um sich vor der wachsenden Bedrohung durch Cyberattacken zu schützen, müssen die NRW-Kommunen ihre IT-Sicherheit auch im Jahr 2022 weiter stärken. Dies gilt insbesondere für den konzeptionellen Teil der Informationssicherheit im Bereich der Notfallvorsorge.
Die jüngsten Fälle von Cyberangriffen führen ganz deutlich vor Augen, dass selbst gut geschützte IT- Infrastrukturen auf schwere Attacken gut vorbereitet sein müssen, um diese erfolgreich abzuwehren. Hierzu hat es sich bewährt, frühzeitig auf neue Gefahrenpotenziale zu reagieren und entsprechende Notfall-Lösungen zu erarbeiten.
Bei Städten und Gemeinden, die ihre Fachanwendungen über kommunale IT-Dienstleister betreiben, kümmern sich deren Spezialisten um die Sicherheit und Verfügbarkeit der Daten. Vielfach ist es aber so, dass daneben die Städte, Kreise und Gemeinden eine eigene IT-Infrastruktur in eigener Verantwortung betreiben. Sie müssen sich daher auch eigenständig um die Betriebssicherheit ihrer IT-Systeme kümmern. Hier setzt die Prüfung der gpaNRW an und unterstützt bei Bedarf mit Hinweisen zu Handlungsnotwendigkeiten und Empfehlungen zur Risikominimierung.
Bei den Betrachtungen zur IT-Sicherheit konnten wir deutliche qualitative Unterschiede zwischen den einzelnen Kommunen erkennen und in Einzelfällen erhebliche Sicherheitsrisiken identifizieren. Insbesondere in den Bereichen IT-Sicherheitsmanagement und Notfallvorsorge sehen wir bei zahlreichen NRW-Kommunen noch erheblichen Handlungsbedarf.
Häufig fehlen in den Kommunen die Grundlagen, die eine systematische Vorgehensweise zur Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen überhaupt erst ermöglichen wie beispielsweise
- eine Leitlinie zur Informationssicherheit,
- die Festlegung der Sicherheitsziele und –strategie sowie
- die Erstellung eines Sicherheitskonzepts.
Insgesamt konnten wir in unseren bisherigen IT-Prüfungen nur wenige kommunale Behörden ausmachen, die sowohl im Rahmen des operativen IT-Schutzes, als auch im Bereich des konzeptionellen IT-Grundschutzes, alle geprüften Kriterien erfüllen konnten. Bislang lag eindeutig der Schwerpunkt im Bereich der technischen Schutzmaßnahmen. Dies alleine reicht jedoch nicht mehr aus. Die aktuellen Fälle von Cyberattacken auf öffentliche Einrichtungen sind hierfür eindrucksvolle Belege.
Nur ein geplantes und organisiertes Vorgehen stellt eine optimale Vorsorge und die effektive Lösung von Notfällen sicher. Hierzu bedarf es eines Notfallmanagement-Konzeptes.
Ein gut durchdachtes Notfall-Management ist nicht nur für Cyberangriffe dringend erforderlich. Auch bei anderen Notfällen (Brand des Serverraums, Hochwasser, Personalausfälle durch Quarantänebestimmungen oder ein länger andauernder Stromausfall) hilft es den Kommunen, ihre sensiblen Daten zu sichern und weiterhin verlässlich für ihre Aufgabenerfüllung nutzen zu können.
In über 70 Prozent der bisher von uns untersuchten kommunalen Körperschaften existieren keine Notfall-Planungen für realistische Schadensereignisse. Übersichten zu den Anforderungen an die Verfügbarkeiten der IT- Systeme sind ebenfalls kaum vorhanden. Die festgestellten Defizite hängen vielfach mit den verfügbaren bzw. fehlenden Personalressourcen in den Kommunalverwaltungen zusammen.
Das Streudiagramm visualisiert die bei den Prüfungen festgestellten Umsetzungsgrade von Maßnahmen des technischen und organisatorischen IT- Grundschutzes, mit einer Spanne zwischen 38 und 100 Prozent bei den geprüften Kommunen. Der mittlere Wert liegt bei rund 74 Prozent.
Umsetzungsgrad IT- Grundschutzmaßnahmen Prüfjahre 2020 / 2021 in Prozent
Unserem Prüfungsansatz folgend konnten wir im Bereich der von uns kritisch bewerteten Aufgabenfelder insgesamt zwar eine positive Entwicklung seit 2008 feststellen, die aber aufgrund ihres zeitlichen Tempos nicht befriedigend ist.
Die hohe Abhängigkeit der Kommunalverwaltungen von betriebssicheren IT-Systemen muss zwangsläufig zu mehr Engagement hinsichtlich aller Aspekte des IT-Grundschutzes führen. Dabei sollten auch verstärkt Möglichkeiten der interkommunalen Zusammenarbeit in den Blick genommen werden. Eins steht fest: Die Digitalisierung wird unaufhaltsam weiter voranschreiten.
Damit die Handlungsfähigkeit der kommunalen Verwaltungen erhalten bleibt, ist daher der Grundsatz zu beherzigen:
„Erfolgreiche Digitalisierung geht nicht ohne Cyber-Sicherheit!“
Für Fragen zum Thema „IT-Grundschutz“ in Kommunalverwaltungen steht das Team „IT-Prüfung und Beratung“ der gpaNRW sehr gerne zur Verfügung.