Die jüngsten, gezielten Angriffe auf kommunale IT-Strukturen haben sehr deutlich gezeigt, dass die digitale Infrastruktur nach wie vor einer erhöhten Gefährdungslage ausgesetzt ist. Die aktuelle digitale Transformation der öffentlichen Verwaltung erfordert daher zusätzliche Maßnahmen, um die Arbeitsfähigkeit der digital ausgerichteten Verwaltung sicherzustellen und bei Ausfällen eine schnelle Bereitstellung der Systeme zu gewährleisten - das Ganze natürlich mit so wenig Schaden wie möglich.
Während im letzten Jahr noch über Blackout-Problematiken diskutiert wurde, haben zuletzt in erheblichem Umfang die Cyber-Kriminellen zugeschlagen und dabei durch einen Angriff auf einen IT-Dienstleister in Südwestfalen über 100 NRW-Kommunalverwaltungen entweder komplett außer Gefecht gesetzt oder zu massiven Angebotseinschränkungen geführt.
Grund genug, um sich Gedanken darüber zu machen, wie gut die Kommunen in NRW im Bereich der IT-Sicherheit aufgestellt sind, insbesondere wenn es um das Thema Notfallmanagement geht.
Seit 2008 führt das Fachteam der gpaNRW im Rahmen der überörtlichen IT-Prüfung auch regelmäßig einen Schnellcheck zu umgesetzten Maßnahmen der IT-Sicherheit in den NRW-Kommunen durch. Als Grundlage der Prüfung dient hierzu der Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), aus dem ausgewählte Aspekte des Grundschutzes in die Betrachtung einbezogen werden. Die Betrachtung erstreckt sich dabei über die örtliche Situation der Serverräume und Technikausstattung hinsichtlich Ausfallsicherheit, organisatorische Maßnahmen der IT-Sicherheit bis hin zu Notfallmanagement. Dabei werden in der Diskussion mit den IT-Verantwortlichen vor Ort konkrete Fragestellungen behandelt, was getan wird, um Notfälle möglichst zu vermeiden und – wenn dennoch mal ein Notfall eintritt – was geplant ist, um möglichst schnell wieder arbeitsfähig zu werden. Hier stehen also „Notfallprävention“ und „Notfallbehandlung“ im Fokus.
Die gpaNRW hat in den vergangenen 15 Jahren regelmäßig Standortbestimmungen vorgenommen und im Zeitablauf eine Entwicklung in NRW gesehen, die im kommunalen Umfeld eindeutig eine stetige Verbesserung des IT-Grundschutzes erkennen lässt. Dies gilt insbesondere, soweit es sich um Maßnahmen des technischen Grundschutzes, also des täglich IT-Betriebs handelt. Hinsichtlich vorbeugender Maßnahmen konzeptioneller Art und insbesondere auch bzgl. der Maßnahmenplanung der Notfallbewältigung besteht aber nach wie vor erheblicher Handlungsbedarf.
Erfüllung der Prüfkriterien der gpaNRW in Prozent IT-Sicherheit gesamt (2020-2023)
Der von der gpaNRW empfohlene anzustrebende Mindestwert von einem „Erfüllungsgrad IT-Sicherheit“ von 80 Prozent ist nur bei einer ausgewogenen Mischung von operativen und konzeptionellen Maßnahmen zum IT-Grundschutz erreichbar. Von den letzten 110 geprüften kommunalen Körperschaften erreichen gerade einmal 28 Prozent diese Zielmarke, die das unterste Level des IT-Sicherheitsniveaus sein sollte. Der Median, also die Mitte der Zahlreihe der erhobenen Erfüllungsrade, liegt bei 75 Prozent.
In der Detailbetrachtung kann man feststellen, dass überwiegend die Kommunen im operativen Grundschutz, also bei der Realisierung von Schutzmaßnahmen zur Absicherung des täglichen Betriebs, wie z.B. Gebäudeschutz, Firewall-Nutzung, Gefahrenmeldesysteme, technische Verkabelung, Datensicherung, technische Redundanzen, etc. gut aufgestellt sind. Verbesserungen sollten angestrebt werden im Bereich des Notfallmanagements (Median: 46 Prozent), des IT-Sicherheitsmanagements (Median: 56 Prozent) und der Personalsensibilisierung (Median: 68 Prozent).
Welche konkreten Verbesserungsmaßnahmen umgesetzt werden könnten und sollten, besprechen die IT-Spezialisten der gpaNRW im Rahmen der Prüfung mit den IT-Verantwortlichen vor Ort, bezogen auf die individuelle Situation. Teilweise wurden die im Rahmen der Prüfung ausgesprochenen Empfehlungen in zahlreichen Fällen auch in anschließenden Beratungen detailliert und individuell aufbereitet, vor allem, wenn entsprechende Ressourcen in den Kommunen nicht zur Verfügung standen.
So konnte eine Steigerung des Gesamterfüllungsgrades IT-Sicherheit seit 2008 von durchschnittlich 55 Prozent auf 75 Prozent nachvollzogen werden. Eine erfreuliche Entwicklung, die aber aufgrund der gestiegenen Risiken der letzten Jahre mit hoher Priorität weiter vorangetrieben werden muss. Denn durch die dynamische Entwicklung der Digitalisierung der öffentlichen Verwaltung ist auch die Abhängigkeit von den IT-Systemen exponentiell gestiegen. Im Extremfall kann dies zur völligen Handlungsunfähigkeit der betroffenen Verwaltungen führen.
Bei den künftigen Prüfungen werden die Aspekte mit den größten Optimierungspotentialen noch stärken in den Blick zu nehmen sein. Die aktuellen Ereignisse zeigen dabei auch, dass auch die Rolle der IT-Dienstleister einzubeziehen ist.
Für Fragen und Hilfestellungen zum Thema „IT-Sicherheit“ steht das Fachteam der gpaNRW gerne zur Verfügung. Wir stellen auch auf Anforderung individuelle Möglichkeiten der Optimierung zusammen. Sprechen Sie uns gerne an.