Symbolbild Hacker, Cyberangriff auf öffentliche Gebäude
Bildrechte: IMAGO/Jochen Tack

IT-Sicherheit in Kommunen Gesucht: Personal und Verständnis für IT-Sicherheit

12. März 2024, 04:57 Uhr

Schon der Landesrechnungshof hatte im vergangenen Jahr die IT-Sicherheit aller elf Landkreise und der 16 größten Städte in Sachsen-Anhalt heftig kritisiert. Eine Recherche von MDR SACHSEN-ANHALT zeigt nun: In kleinen Kommunen ist IT-Sicherheit wohl noch schlechter organisiert.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Der Kreis Vorpommern-Rügen, der Kreis Neu-Ulm und dutzende Orte in Nordrhein-Westfalen – das sind nur einige Kommunen, die in der Vergangenheit nicht immer arbeitsfähig sind oder waren. Bürgerinnen und Bürger, die Kontakt aufnehmen oder Anträge ausfüllen wollten, waren aufgeschmissen. Im vergangenen Jahr war auch die Website der Landesregierung von Sachsen-Anhalt zeitweise nicht zu erreichen. Und über den Hackerangriff auf den Landkreis Anhalt-Bitterfeld wurde 2021 deutschlandweit berichtet.

Sind Gemeinden, Städte oder Landkreise lahmgelegt, ist das für Bürgerinnen und Bürger besonders ärgerlich. Denn mit ihnen haben sie in der Regel mehr zu tun als mit Landes- oder Bundesbehörden: In der Gemeinde beantragen sie ihren Personalausweis und ihren Reisepass, ihre Geburts- und Heiratsurkunde. Landkreise und kreisfreie Städte organisieren die Schuluntersuchungen, zahlen Sozialhilfe, Grundsicherung, Wohngeld und Elterngeld. In ihren Gesundheits- und Jugendämtern liegen heikle Daten, von Kindern, die das Jugendamt vor ihren Eltern schützen will, von Adoptionen und Menschen mit meldepflichtigen Krankheiten.

Was Datendiebe antreibt

Daten müssen also vor Missbrauch geschützt werden. Mit solchen Daten können Kriminelle einiges anfangen. Die lukrativste Methode: Sie können mit den Daten Identitäten stehlen und online Geschäfte im Namen anderer Personen abwickeln. Am einleuchtendsten ist das Beispiel eines so genannten Warenbetrugs: Kriminelle bestellen teure Produkte auf Namen und Rechnung eines Menschen, dessen Daten sie erbeutet haben. Die Rechnung geht dann an die echte Adresse, die Waren an eine andere.

Selbst fremde staatliche Akteure könnten sich für Daten aus Landkreisen oder kreisfreien Städten interessieren: Wer hat ein Tarnkennzeichen an seinem Fahrzeug? Wer besitzt eine Waffe?

IT-Sicherheit in Sachsen-Anhalts Kommunen: beunruhigend

Aber tun Landkreise und Gemeinden genug, um die Daten ihrer Bürgerinnen und Bürger zu schützen? Wohl nicht. Sachsen-Anhalts Landesrechnungshof hat 2023 dazu alle elf Landkreise und die 16 größten Städte und Gemeinden für einen Bericht befragt (PDF, ab S. 75). Das Ergebnis: Die Lage der IT-Sicherheit in Sachsen-Anhalts sei "besorgniserregend" – "ein Spiel mit dem Feuer". 93 Prozent der Kommunen haben demnach kein IT-Sicherheitskonzept, 67 Prozent kein Notfallhandbuch und 54 Prozent kein Konzept für eine minimale Datensicherung.

Der Präsident des Landesrechnungshofes, Kay Barthel, ist besorgt: Lange nach dem Angriff auf den Landkreis Anhalt-Bitterfeld würden noch immer Regeln fehlen, um solche Angriffe abzuwehren: "Wenn man weiß, dass wir nur Einblick in 28 von 247 Kommunen hatten, macht uns das große Sorgen." Den großen Kommunen würde er zutrauen, auf Angriffe zu reagieren. "Aber welche Zustände bei kleineren Kommunen herrscht, können wir gar nicht einschätzen", sagt Barthel MDR SACHSEN-ANHALT.

Schutz der Daten: Aufgabe der Bürgermeister und Landräte

Für ihn ist deshalb klar: "IT Sicherheit muss Chefsache sein." Gefragt seien Landräte und Bürgermeister. Sie seien "für die sachgemäße Erledigung der Aufgaben und für den ordnungsgemäßen Gang der Verwaltung verantwortlich". Deshalb müssten sie haften, wenn Dritten Schäden entstehen, weil sie IT-Sicherheit nicht regeln, kontrollieren oder kein geeignetes Personal einstellen. Bürgermeister und Landräte müssten IT-Sicherheitsbeauftragte ernennen, die ihnen organisatorisch direkt unterstehen. "Und IT-Sicherheitsbeauftragte müssen vor allem in den Verwaltungen bekannt sein, so dass man ihn frühzeitig in Diskussionen einbeziehen kann", so Barthel.

Der Präsident des Landesrechnungshofs, Kay Barthel, auf der Landespressekonferenz
Kay Barthel, Präsident des Landesrechnungshofs Sachsen-Anhalt: "Kommunale IT ist kritische Infrastruktur". Bildrechte: MDR

Im Bericht des Landesrechnungshofes hatten 61 Prozent der geprüften Kommunen keinen IT-Sicherheitsbeauftragten. Unter den elf Kommunen, die einen hatten, waren fünf Kommunen, bei denen der IT-Sicherheitsbeauftragte sich nur zu maximal sechs Prozent seiner Arbeitszeit um IT-Sicherheit kümmert. Das sei deutlich zu wenig Zeit für IT-Sicherheit, bemängelt der Landesrechnungshof. Er fordert deshalb 2023: Landkreise und Kommunen sollen die Mängel umgehend beseitigen. Und er empfiehlt, dass Kommunen und Landkreise bei der IT-Sicherheit zusammenarbeiten und die Landesverwaltung dabei unterstützt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen, worauf bei IT-Sicherheitsbeauftragten in Kommunen zu achten ist. Es könne zum Beispiel zu Konflikten führen, wenn sie Teil der IT-Abteilung seien. Schließlich ist eine Aufgabe der IT-Sicherheitsbeauftragten, die Arbeit der IT-Abteilung zu überwachen und Änderungen zu verlangen. Eine IT-Abteilung kann sich nicht selbst überwachen.

Kaum IT-Sicherheitsbeauftragte in Sachsen-Anhalt

Um einen eigenen Überblick zu bekommen, hat MDR SACHSEN-ANHALT alle Landkreise, Gemeinden und kreisfreien Städte in Sachsen-Anhalt nach ihren IT-Sicherheitsbeauftragten gefragt. Das Ergebnis bestätigt das beunruhigende Fazit und die Befürchtung des Landesrechnungshofes für kleine Kommunen.

You are fucked – Deutschlands erste Cyberkatastrophe

Ein stilisierter Totenkopf und ein Bildschir, der ein berühren-verboten-Schild zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
Ein stilisierter Totenkopf und ein Bildschirm, der eine zerbrochene Vase zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
51 min

Der Landkreis Anhalt-Bitterfeld hat den Katastrophenfall ausgerufen. Aber gelöst ist dadurch nicht ein einziges IT-Problem. Außerdem: Das BSI kommt und eine IT-Firma ist nach neun Tagen wieder weg.

MDR SACHSEN-ANHALT Do 13.07.2023 00:01Uhr 50:59 min

Audio herunterladen [MP3 | 46,7 MB | 128 kbit/s] Audio herunterladen [MP4 | 93,6 MB | AAC | 256 kbit/s] https://www.mdr.de/mdr-sachsen-anhalt/podcast/you-are-fucked/audio-die-zerbrochene-vase-folge-zwei-100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio
Ein stilisierter Totenkopf und ein Bildschirm, der ein Dokument zeigt.
Bildrechte: MDR/Stefan Schwarz, Max Schörm
Alle anzeigen (7)

Von den 41 Kommunen, die geantwortet haben, haben 16 keinen IT-Sicherheitsbeauftragten, bei 14 gehört er zur IT-Abteilung und vier Kommunen haben die Arbeit extern vergeben. In nur sieben Kommunen liegt die Aufgabe bei Menschen außerhalb der IT-Abteilung. Selbst unter den Landkreisen und kreisfreien Städten hat nach der Recherche von MDR SACHSEN-ANHALT eine Mehrheit keinen IT-Sicherheitsbeauftragten so wie es das BSI empfiehlt.

Eine Kommune, eine Stadt im Harz, scheint gut organisiert und antwortet ausführlich: "Unser IT-Sicherheitsbeauftragter ist dem Hauptamt zugeordnet, seit 15. September in Vollzeit." Unter anderem sei es seine Aufgabe, die IT-Sicherheit durch technische und organisatorische Maßnahmen zu entwickeln und umzusetzen, die Sicherheit neuer Soft- und Hardware zu bewerten, kritische Prozesse zu erkennen und Notfallpläne weiterzuentwickeln.

Sicherheitsvorfälle unbekannt – oder nicht erkannt?

Eigene IT-Sicherheitsvorfälle sind den meisten Kommunen in Sachsen-Anhalt nicht bekannt. Nur acht Kommunen melden Vorfälle. In diesen Fällen waren Geräte kurzfristig ausgefallen. Gründe dafür können Software-Updates oder verlorene Passwörter sein. Aber auch solche Ausfälle gelten als IT-Sicherheitsvorfälle, weil eine Organisation dann nicht richtig arbeiten kann. Denn egal ob Kriminelle dahinterstecken oder nicht: Das Ziel von IT-Sicherheitsbeauftragten ist es, dass alle IT-Geräte jederzeit verfügbar sind.

Dieses Ziel deckt sich mit dem jeder IT-Abteilung. Aber sie sind in kleinen Kommunen besonders herausgefordert. Denn auf eine IT-Fachkraft kommen mit Geräten in Schulen und Verwaltung mitunter hunderte Rechner, um die sie sich kümmern muss. Manche lassen sich deshalb von externen Dienstleistern unterstützen. Einige Kommunen in Sachsen-Anhalt geben auf Anfrage von MDR SACHSEN-ANHALT bekannt, dass sie dutzende Dienstleister haben. Aber die Verantwortlichen müssen die Arbeit solcher Dienstleister verstehen und kontrollieren können. Manche Expertinnen und Experten bezweifeln, dass dafür genug Zeit und Wissen in Kommunen vorhanden ist.

Hilfe vom Land? Stark eingeschränkt.

Für Sachsen-Anhalts Digitalministerium kommen die Befunde nicht überraschend. Auf Anfrage von MDR SACHSEN-ANHALT schreibt das Ministerium, dass vor allem die "einwohner- und damit finanzstärkeren Landkreise und Kommunen teilweise gut aufgestellt" sind. Bei den meisten Kommunen und bei einzelnen Landkreisen bestehe erheblicher Handlungsbedarf.

Das liege vor allem am mangelnden Risikobewusstsein der Entscheidungsträger, so das Ministerium. Dass die IT-Sicherheit häufig unzureichend sei, liege an mangelnden "finanziellen und fachpersonellen Ressourcen". Außerdem seien die IT-Landschaften im Föderalismus zu fragmentiert und deshalb komplex. Mittelfristig ließe sich das nur durch zentralisierte, weitgehend standardisierte, übergreifende IT-Infrastrukturen bewältigen, glaubt das Digitalministerium.

Die Möglichkeiten der Landesregierung, Kommunen zu unterstützen, seien wegen des Kommunalverfassungsgesetzes stark eingeschränkt. Man plane ein Landesgesetz mit Pflichten für Kommunen und ein niedrigschwelliges Unterstützungsprojekt. Außerdem soll die Kommunale IT Union zentraler Anbieter von IT-Dienstleistungen für die Kommunen werden.

"Stellt euch vor, ihr habt drei Monate keine IT"

Einer der wenig bekannten IT-Sicherheitsbeauftragten ist Jens Lange von der hessischen Stadt Kassel. In seiner Freizeit betreibt er die Internetseite "Kommunaler Notbetrieb". Dort sammelt er IT-Sicherheitsvorfälle bei Kommunen, über die in den Medien berichtet wird. "Die sind vermutlich nur die Spitze des Eisbergs", sagt Lange. Die Fachabteilungen in seiner Kommune würde er immer fragen: "Stellt euch vor, ihr habt drei Stunden keine IT, drei Tage oder drei Wochen keine IT oder wenn es ganz doof läuft drei Monate keine IT. Was macht ihr dann?"

Ein Mann mit grauem Sakko und schwarzem Hemd vor der Stadtsilhouette von Berlin. Er hat einen kurzen grauen Bart und keine Haare.
Jens Lange, IT-Sicherheitsbeauftragter in Kassel. Er sammelt Berichte über IT-Vorfälle auf seinem Blog "Kommunaler Notbetrieb": "Vermutlich nur die Spitze des Eisbergs" Bildrechte: Jens Lange

Als IT-Sicherheitsbeauftragter gibt er dem Thema ein Gesicht. "Denn sonst bleibt es nur leblos auf Papier und wandert in Notizen oder Tagesordnungen immer nach hinten", sagt Lange. Wie viele Kommunen IT-Sicherheitsbeauftragte haben, kann er nicht sagen. "Ich schätze etwa die Hälfte." In Kassel widmet er sich zu 100 Prozent der IT-Sicherheit. In kleinen Kommunen sind IT-Sicherheitsbeauftragte mitunter auch mit anderen Dingen beschäftigt: sie arbeiten im Sozialamt, in der Pressestelle oder der IT-Abteilung. Lange sagt, manchmal frage er sich, was so jemand im Alltag wirklich tun kann.

Ist kommunale IT kritische Infrastruktur?

Funktioniert IT in den Kommunen nicht, erschüttert das den Glauben an den Staat, meint Kay Barthel, Präsident des Landesrechnungshofes: "Die Funktionsfähigkeit des Staates hängt unmittelbar mit dem sicheren und zuverlässigen Betrieb seiner Informationssysteme zusammen." Es ginge um das Vertrauen der Bürger in die Funktionsfähigkeit des Staates – ein hohes Gut, sagt Barthel. "IT-Infrastruktur ist insofern kritische Infrastruktur."

Ein Gang im Hauptsitz der Kreisverwaltung des Landkreises Anhalt -Bitterfeld.
Ein Flur im Landratsamt im Landkreis Anhalt-Bitterfeld: Die Verwaltung konnte 2021 nach einem Hackerangriff fast zwei Jahre lang nicht arbeiten. Bildrechte: picture alliance/dpa/dpa-Zentralbild | Klaus-Dietmar Gabbert

Bislang gelten Verwaltungen von Kommunen nicht als Teil der kritischen Infrastruktur. Das wird auch so bleiben. Zwar sollen demnächst neue EU-Regeln die IT-Sicherheit in Verwaltungen erhöhen. Die so genannte NIS2-Richtlinie wird aber wohl nur für Verwaltungen von Bund und Länder gelten.


Die Recherche Mit Fragen zu IT-Sicherheitsvorfällen, zu den Firewalls und zur IT-Ausstattung an Schulen und zur Größe der IT-Abteilung hat MDR SACHSEN-ANHALT alle elf Landkreise, die drei Städte Magdeburg, Halle und Dessau-Roßlau sowie alle 119 Gemeinden und Verbandsgemeinden angeschrieben. Geantwortet haben alle Landkreise, die drei kreisfreien Städte und 41 der 119 Gemeinden. Nicht geantwortet haben zum Beispiel die Gemeinde Teutschenthal und Lutherstadt Wittenberg – ihre Begründung: Die Informationen würden ihre IT-Sicherheit gefährden. Andere Gemeinden haben nicht geantwortet und Personalmangel als Grund angegeben. Die meisten Gemeinden haben gar nicht reagiert. Die Verbandsgemeinde Obere Aller hatte bereits nach einem Tag auf alle Fragen geantwortet.

Mehr von Digital leben

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 11. März 2024 | 13:40 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/7360b8ed-436d-45f8-ba9f-64afbcb348a6 was not found on this server.

Mehr Politik in Sachsen-Anhalt

Kommentar Uli Wittstock
Die Verlängerung der Corona-Notlage sorgt bei unserem Kommentator für Kopfschütteln. (Symbolbild) Bildrechte: MDR/Uli Wittstock/Matthias Piekacz, MDR/Engin Haupt