Resilienz ist mehr als nur Cyber-Resilienz. Das stellte Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI), im Rahmen der Konferenz Public-IT-Security 2024 klar. Ein Bewusstsein für Cyber-Angriffe seitens des Behördenpersonals sei nicht unwichtig – jedoch auch nicht entscheidend.
Zur gesamten Resilienz von Behörden und Unternehmen gehören laut Häger auch analoge Maßnahmen. Wichtig sei in erster Linie „ein Plan B, falls etwas schiefläuft“ – wie auch immer dieser aussehen mag. Die EU etwa lagere so manche Backups – ganz physisch – in einem Bergwerk in Österreich. Nationaler und lokaler wurde es bei der Rolle der Kommunen. Hier liefe laut Häger der wahre „Austausch zwischen Behörden und Bürgern“, nicht über die Bundesbehörden. Könnten Bürgerinnen und Bürger Verwaltungsservices nicht nutzen, weil kommunale Behörden-IT durch Denial of Service (DoS) lahmgelegt wurde, hätten die Behörden „ihre Hausaufgaben nicht gemacht“.
Stichwort Awareness
Um Cyber-Attacken bestmöglich zu verhindern und die behördliche Resilienz zu stärken, dürfe man die Basis nicht vernachlässigen, ergänzte Dr. Karoline Busse, Hochschuldozentin für Datenschutz und Informationssicherheit am Niedersächsischen Studieninstitut für kommunale Verwaltung: Es seien immerhin „die kleinen Angestellten“, die Phising-Mails bekämen und Hacker-Angriffen dadurch potenziell Tür und Tor öffneten. Das Schaffen von Awareness, also ein Bewusstsein des Personals für das Erkennen und den Umgang mit solchen Angriffsversuchen, sei ein wichtiger Baustein. Dirk Häger stimmte bedingt zu. Natürlich sei diese Awareness wichtig – sie sei aber auch teuer und es gebe keine validen Beweise, dass entsprechende Workshops und Weiterbildungen für die Mitarbeitenden die IT-Sicherheit von Behörden signifikant erhöht. Das Geld solle man lieber in die Administration stecken, so Häger: „Wenn Mitarbeitende IT-Fehler machen, hat die IT der Behörde versagt.“
