Kommunale IT-Sicherheit in Niedersachsen geprüft

0
512
Hans-Jörg Friedrich vom Landesrechnungshof Niedersachsen erklärt auf dem CyberSicherheitsTag Niedersachsen wie seine Behörde die niedersächsischen Gemeinden auf ihre IT-Sicherheit prüft. (Foto: BS/Hilbricht)

Nur zwei von sechs geprüften Kommunen in Niedersachsen haben einen Informationssicherheitsbeauftragten (ISB). Außerdem fehlt es ihnen an einem Notfallmanagement, Sicherheitsmanagement und Konzepten und Vorgehensweisen. Das geht aus dem Kommunalbericht 2022 hervor, den der Niedersächsische Landesrechnungshof veröffentlicht hat.

Der Landesrechnungshof Niedersachsen prüft seit 2016 jedes Jahr verschiedene Kommunen. Jedes Jahr gibt es ein Schwerpunktthema. “Grundlage der Prüfung ist eigentlich immer der IT-Grundschutz”, erklärt Hans-Jörg Friedrich vom Landesrechnungshof auf dem CyberSicherheitsTag Niedersachsen. Aus dem IT-Grundschutz des BSI hat der Landesrechnungshof einen Fragebogen mit rund 190 geschlossenen Fragen entwickelt. Die Kommunen antworten mit “Ja” oder “Nein”. Am Ende machen die Prüferinnen und Prüfer einen Ortsbesuch und gehen den Fragebogen gemeinsam mit den Gemeindevertretern durch.

Der Landesrechnungshof verfolgt zwei Ziele dabei. Einerseits wollen sie vergleichsfähige Daten über die Cyber-Sicherheit der niedersächsischen Gemeinden sammeln. Andererseits sollen die Geprüften durch den Fragebogen für das Thema sensibilisiert werden. Letzteres sei das Hauptanliegen, betont Friedrich. “Wir gehen in einer sehr niedrigen Flughöhe durch das Land”, sagt er. Es gehe um den Grundschutz der IT. Aus den Antworten der Gemeinden leitet der Landesrechnungshof konkrete Handlungsbedarfe ab.

In diesem Jahr haben circa drei Viertel der Gemeinden Nachholbedarf beim Notfallmanagement. Katastrophenfälle müsse man üben, sagt Dr. Horst Baier, das gelte für den Feueralarm wie für den Cyber-Notfall. Der CIO der Niedersächsischen Landesregierung konstatiert: “An der Stelle sind wir noch nicht optimal vorbereitet.”

Handlungsbedarfe

Großer Handlungsbedarf besteht auch beim Sicherheitsmanagement. Oftmals fehlt es den Kommunen zum Beispiel an Vorgaben, wie Passwörter auszusehen haben und wie oft sie erneuert werden müssen. In vielen Kommunen gebe es auch kein Konzepte für regelmäßige Back Ups oder wie Beschäftigte sich bei einem Cyber-Angriff zu verhalten hätten.

Eine Gemeinde, die er geprüft habe, habe gar nichts aufgeschrieben, erzählt Friedrich vom Landesrechnungshof. “Die Gemeinde macht alles richtig. Man kann sie am Netz lassen, aber sie schreiben halt nichts auf.” Das stelle ein Risiko dar. Er empfehle den Verantwortlichen, einem Diktiergerät zu erzählen, wie sie Back Ups und andere Sicherheitsaufgaben durchführen. Wenn sie dieses Diktat verschriftlichen und von der Leitung unterschreiben ließen, hätten sie ihr Sicherheitskonzept.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here