Farbbänder für Schreibmaschinen habe man glücklicherweise noch in alten Beständen der Verwaltung gefunden, und die kämen jetzt zum Einsatz, erklärt Landrat Clemens Körner. Der Rhein-Pfalz-Kreis ist im Oktober Opfer eines Hackerangriffs geworden. Das Computersystem des Kreises inklusive Telefonanlage liegt lahm. Die Hacker sperren die Daten und erpressen dafür ein „Lösegeld“. Erste Datensätze sind bereits im Internet aufgetaucht. In einem offenen Brief stimmt Landrat Körner die Bürger darauf ein, dass es „Monate dauern“ könne, bis die Kreisverwaltung wieder reibungslos arbeite. Bis dahin gilt es zu improvisieren – beispielsweise mit den alten Schreibmaschinen aus dem Lager im Keller: „Steinzeit“, sagt Körner dazu.
Rhein-Pfalz-Kreis als Beispiel für Sicherheitsrisiken
Der Fall des Rhein-Pfalz-Kreises ist nur ein Beispiel für ein zunehmendes Sicherheitsrisiko, dem Kommunen ausgesetzt sind. Nicht nur in Kernverwaltungen, sondern auch bei kommunalen Unternehmen haben in den vergangenen Jahren Fälle von Cyberkriminalität zugenommen. Dies ist auch eine Gefahr für die Daseinsvorsorge: Denn Kommunen sind an vielen Stellen in der Verantwortung für kritische Infrastrukturen.
„In diesen Bereichen kommt der Cybersicherheit eine zusätzliche Bedeutung und Wichtigkeit zu“, sagt der Rechtsexperte Nicolas Sonder. Er ist Partner bei PwC Legal und leitet dort den kommunalen Bereich. „Cybersicherheit ist hier wie der Datenschutz eine stetige Kernherausforderung.“ Um ihr zu begegnen, müsse die sogenannte Cybercompliance strukturell in den entsprechenden Organisationen verankert sein.
Cybercompliance als Organisationsaufgabe
Dabei spricht Sonder zum einen von der Präventionscompliance. „Wenn sich Sicherheitslücken offenbaren, ist es nicht zuletzt eine rechtliche Frage und ein Compliancethema, wie die Akteure damit umgehen und Prävention betreiben. Die Verwaltungsspitze und Kommunalverwaltungen sind dazu verpflichtet, Schaden von der Gebietskörperschaft abzuwenden.“ Es gehe darum, Risiken von Schadensszenarien zu minimieren.
Zum anderen spricht Sonder von der Reaktionscompliance. „Dabei geht es nicht um Vorbereitung oder Vorbeugung, sondern um die Reaktion auf Cyberattacken.“ Käme es zu einer Cyberattacke, müssten Handlungs- und Reaktionsmuster klar sein. Beide, Präventions- und Reaktionscompliance, seien „zwei Seiten einer Medaille“.
In den Bereich der Reaktionscompliance fällt beispielsweise, welche Server im Fall einer Cyberattacke zu isolieren sind, um weitere Datenschäden zu vermeiden, oder wie Rückverfolgungsmechanismen angelegt sind. Dazu gehören auch Modelle für Informationsflüsse, die aufzeigen, welche Gremien in Schadensfällen wann zu informieren sind, oder die Organisationsstruktur für ein Krisenmanagement. Sonder: „Im Grunde handelt es sich um viele Fragen, die auf der Hand liegen, die allerdings eine intensive Auseinandersetzung erfordern und daher im Schadensfall in kürzester Zeit und unter hohem Druck nur schwer zu beantworten sind.“
Kommunen jeder Größe betroffen
Für die Bedrohungslage spielt die Größe der Kommune keine Rolle. „Zu meinen, die Kleineren seien nicht oder weniger von dem Problem betroffen, ist naiv und im Schadensfall kein belastbares Argument“, erklärt Rechtsexperte Sonder. „Denn auch die kleinste Kommune hat eine große Verantwortung für die Daseinsvorsorge, wenn sie etwa ein Wasserwerk betreibt. Ohnehin muss, wer für kritische Infrastrukturen verantwortlich ist, besondere Anforderungen an Präventions- und Reaktionscompliance erfüllen.“ Überall stehen Kommunen für die Daseinsvorsorge ein: für die Energie- oder Wasserversorgung, für den öffentlichen Personennahverkehr, für die Abfallentsorgung, für Krankenhäuser oder für Rechenzentren.
Gleichwohl ist die Heterogenität von Kommunen, was Know-how und Mittel betrifft, ein Teil des Problems. „In der Regel ist die IT-Verwaltung einer Landeshauptstadt anders aufgestellt als die einer mittelgroßen oder kleinen Stadt. Während die einen zentrale Koordinatoren wie CIO oder CISO, Chief Information Officer oder Chief Information Security Officer, benennen, ringen andere damit, überhaupt Mittel und Ressourcen, um solche Strukturen aufbauen zu können, freimachen zu können“, sagt Sonder. „Allen ist gemein, dass sie immer stärker vom Fachkräftemangel erfasst sind.“ Insofern biete sich eine interkommunale Kooperation also geradezu an. Cybersicherheit sei „ein Paradebeispiel für die Vorteile interkommunaler Zusammenarbeit“, so Sonder. Schließlich seien alle Kommunen in gleichem Maße von den Anforderungen der Digitalisierung erfasst, und allen gehe es gleichermaßen darum, diesbezügliche Risiken zu minimieren.
Effizienzgewinne durch interkommunale Kooperation
Kollaborationen könnten von der Vernetzung kommunaler IT-Rechenzentren bis hin zur inhaltlichen Abstimmung innerhalb kommunaler Verbände reichen. „Dabei muss es um einen Austausch auf Augenhöhe gehen. Die Belange der kleineren und mittleren Städte dürfen nicht vergessen werden“, betont Sonder. „So bietet es sich an, jenseits vorhandener Kollaborationsstrukturen Plattformen zu bilden, die kleinere Kommunen erfassen und die deren Sichtweise oder besondere Herausforderungen bündeln. Dies können Zweckverbände oder kommunale Zusammenschlüsse auf regionaler Ebene sein.“
Info
Dieser Beitrag ist in der aktuellen Zeitungsausgabe 4/2022 von Der Neue Kämmerer erschienen.Hier geht es zum Zeitungsabo und hier zur Newsletter-Anmeldung.
