Hacker-Angriffe und andere IT-Bedrohungen nehmen zu. Eine Studie zeigt, was Städte und Gemeinden tun können, um sich vor Cyber-Kriminellen zu schützen, und wie Bund und Länder die Kommunen dabei besser unterstützen können.
Das Onlinezugangsgesetz (OZG) verpflichtet die Verwaltung, ihre Prozesse zu digitalisieren. Damit werden immer öfter sensible Daten von Bürgerinnen und Bürgern digital genutzt. Doch in vielen Städten und Gemeinden ist die IT-Infrastruktur veraltet. Außerdem sind Systeme unzureichend geschützt und Mittel für IT-Sicherheit gering. Dazu kommt ein Personalbedarf, den viele Kommunen etwa aufgrund des Fachkräftemangels nicht decken können. Was also tun?
Antworten liefert die Studie der Konrad-Adenauer-Stiftung „Kommunale Informationssicherheit und Resilienz – eine Analyse des deutschen Ansatzes zur Förderung“. Autorin Julia Schuetze beleuchtet die Unterstützungsleistung von Bund und Ländern gegenüber den Kommunen und zeigt Handlungsoptionen für mehr Cybersicherheit auf. Die Untersuchung basiert auf dem Austausch mit Sicherheitsexpertinnen und -experten in Deutschland sowie mit Praktikerinnen und Praktikern vor Ort.
Kommunen fehlt Kenntnis über Unterstützung
Mit Blick auf die Unterstützungsleistungen von Bund und Ländern gegenüber Kommunen diagnostiziert die Studie eher einen Flickenteppich als ein dichtes Netz aus nützlichen Abwehrmaßnahmen. Obwohl Städte und Gemeinden auf Unterstützung angewiesen seien, fehle es vor Ort an der Kenntnis über die zur Verfügung stehenden Leistungen. Eine bundesweite und fortlaufend aktualisierte Übersicht der Angebote könnte Abhilfe schaffen, schlägt die Autorin vor.
Zudem kooperierten Länder bei bestehenden Leistungen bis dato nur sehr eingeschränkt. Die Zusammenarbeit sollte aber aufgebaut oder verstetigt werden, um doppelnde oder sich überschneidende Leistungen wie Handreichungen, Checklisten und Übungsformate zu vermeiden.
Ansprechpartnerinnen und -partner vor Ort benennen
In den Kommunen fehlen den Ländern laut Studie häufig Ansprechpartnerinnen und -partner für Informationssicherheit. Hier könnte eine landesgesetzliche Regelung helfen. So ließen sich kommunale Einrichtungen und Stellen verpflichten, Informationssicherheitsbeauftragte zu benennen. Auch sollten Meldepflichten und -wege für Vorfälle, Standards für Sicherheitskonzepte und Austauschplattformen für die kommunale Informationssicherheit eingeführt werden.
Überdies zeige sich, dass die Länder ihre Funktion, die sie bei der Unterstützung der kommunalen Informationssicherheit einnehmen, unterschiedlich definieren. Sinnvoller wäre, heißt es in der Analyse, ein bundesweit einheitliches Verständnis über die Funktionen der Länder zu schaffen. Damit ließen sich die Verantwortungsbereiche abgrenzen, Unterstützungsleistungen gezielt anbieten und der Einsatz finanzieller und personeller Ressourcen reduzieren.
Anreize versprechen mehr Erfolg als neue Gesetze
Insgesamt listet die Studie erhebliches Optimierungspotenzial auf, um flächendeckend für höhere Cybersicherheit in den Kommunen hierzulande zu sorgen. Verbesserungen sollte allerdings weniger über neue Gesetze als vielmehr über ein Belohnungssystem angestoßen werden. Anreize könnten finanzielle Förderung, Schulungen, die Bereitstellung von Tools und andere Impulse sein. Belohnt werden sollten aber nicht die Verwaltungen, sondern auch deren Mitarbeitende.