Wer schützt unsere Informationen?

In den letzten Jahren ist es immer wieder zu Cyberangriffen auf Kommunen gekommen. Das kann die Verwaltung lahmlegen und ist gleichzeitig ein Angriff auf die Bevölkerung. Denn Städte, Gemeinden und ganz besonders Landkreise verfügen über sensible Daten ihrer Bürgerinnen und Bürger.

Beauftragte für Informationssicherheit in jeder Kommune

Dementsprechend wichtig ist der Schutz dieser Informationen. In allen Bundesländern gibt es Diskussionen darum. Einzigartig ist das Vorgehen bisher in Sachsen: Schon 2019 wurde das Sächsische Informationssicherheitsgesetz verabschiedet, nach dem jede Kommune einen Beauftragten für Informationssicherheit bestimmen muss. Eine Person, die sich im Bereich weiterbildet, die Prozesse in der Verwaltung überprüft und reagiert, wenn die Informationssicherheit nicht gegeben ist.

Das Land stellt den Kommunen digitale Infrastruktur zur Verfügung. Das erleichtert vieles, macht es aber auch wichtiger, dass wir alle gemeinsam auf unsere Informationssicherheit achten.

Jörg Steinig, Beauftragter für Informationssicherheit des Freistaates Sachsen

Deshalb bietet sein Büro fortlaufend kostenfreie Seminare sowie eine Sprechstunde an. Dieses Vorgehen soll die Informationssicherheit im Land erhöhen. Es sorgt aber auch für Arbeit bei den Kommunen. 

Vom Streetworker bis zum IT-Spezialisten

In großen Verwaltungen wie der von Chemnitz ist das kein Problem. Die Stadt hat eine Vollzeitstelle eingerichtet. „Das ist auch notwendig“, sagt Jörg Naumann, der die Stelle bekleidet. „Meine Arbeit geht vom Streetworker, der die Menschen an der Basis aufsucht und sensibilisiert, bis zum IT-Spezialisten.“ Die Angebote des Landes seien hilfreich und zu den Seminaren habe er schon mehrere Mitarbeiter der Verwaltung geschickt. 

Wie kümmern sich kleinere Verwaltungen um die Informationssicherheit?

Er weiß aber auch, dass es für Kommunen mit einer kleineren Verwaltung deutlich schwieriger ist. „Wir haben in Chemnitz 4.000 Mitarbeiter“, gibt er zu bedenken. „Das sieht in Kommunen mit unter 10.000 Einwohnern ganz anders aus. Und die machen 83 Prozent der Kommunen in Sachsen aus.“ Dass viele Kommunen diese Aufgabe selbst gar nicht leisten können, weiß Sebastian Nestler, Bürgermeister der Gemeinde Sehmatal.

Mit zwanzig Mitarbeitern gehören wir nicht mal zu den kleinsten Verwaltungen in Sachsen. Aber bei uns arbeitet auf jedem Amt eine – nur in seltenen Fällen eine zweite – Person. Niemand hat die Kapazitäten, sich zusätzlich das Knowhow anzueignen, um Beauftragter für Informationssicherheit zu sein.

Deshalb nutzt die Gemeinde einen Dienstleister. Ein kommunaler Zweckverband, der sich um die Informationsverarbeitung vieler sächsischer Kommunen kümmert. Das hat aber auch einen Preis: Sehmatal hat den Verband mit den Posten Beauftragter für Informationssicherheit, Datenschutz und Datensicherheit beauftragt. Insgesamt kostet das die Kommune jährlich einen niedrigen fünfstelligen Betrag. „Da bleibt für die schönen Dinge des Lebens – denn das sind oft die freiwilligen Aufgaben – immer weniger übrig“, sagt Nestler. 

Sollten Kommunen überhaupt zuständig sein?

Marcus Kurth vom Zweckverband betreut Sehmatal und hat eine klare Meinung dazu: „Die Kommunen sollten gar nicht zuständig sein. Sie sollen ihre Aufgaben vor Ort erledigen können, für die wir sie alle brauchen und in denen sie gut sind. Für ihre Software, Hardware und deren Sicherheit kann das Land zentral mehr Synergieeffekte erreichen.“ 

Einzellösungen sorgen für Kosten und Zeitaufwand

Für einheitliche Standards wirbt auch Jörg Naumann aus Chemnitz: „Es ist deutlich kostengünstiger, wenn nicht jeder sein eigenes Süppchen kocht und anschließend nachgearbeitet werden muss, sondern es von Anfang an einen Standard für alle gibt.“ Ähnlich sieht es Nestler: „Unsere Nachbarkommune hat seit Jahrzehnten andere Systeme mit anderer Software. Wir können unsere Erfahrungen nicht gegenseitig nutzen und ohne zusätzliche Schnittstellen nicht gemeinsam arbeiten.“ 

Cybersicherheitsstrategie soll für mehr Sicherheit sorgen

Das Land hat derweil den gesetzlichen Rahmen an die Forderungen der EU-Richtlinie NIS-2 angepasst. So ein Rahmen muss mit Inhalten, Zielen und Maßnahmen gefüllt werden, betont Steinig. Um auch für zukünftige Bedrohungen gewappnet zu sein, hat Sachsen eine Cybersicherheitsstrategie erarbeitet. Die Strategie soll Anfang Mai verabschiedet werden. Das Land hat dafür mit den Kommunalen Landesverbänden zusammengearbeitet. „Wir sehen uns in der Pflicht, die Kommunen zu unterstützen“, sagt Steinig. Auch der Beauftragte für Informationssicherheit aus Chemnitz konnte sich mit Anmerkungen an der Entwicklung der Strategie beteiligen. 

Cybersicherheitsstrategie ist erst der Anfang des Wegs

„Die Cybersicherheitsstrategie ist eindeutig ein Punkt, an dem Sachsen im deutschlandweiten Vergleich ganz vorne ist. An der Strategie hat das Land mit allen wichtigen Partnern, also auch mit den Kommunen, zusammengearbeitet. Der Anstoß kam vom Land. Und das Büro von Herrn Steinig hat verstanden, dass es sich die kommunale Seite genau anhören muss, um eine erfolgreiche Strategie zu finden“, sagt Naumann. Aber er gibt auch zu bedenken: „Mit der Strategie ist der Weg noch nicht zu Ende, sondern fängt gerade erst an. Die Strategie allein bringt noch nichts. Wir müssen auch konkret in die Umsetzung kommen. Und ob das möglich ist, hängt auch davon ab, wie die Kommunen dafür finanziert werden.“