Die NIS2-Richtlinie steht vor der Tür, und Deutschland soll „Cyber-sicherer“ werden. Doch nicht alle sind zufrieden: Kommunen sind von der Verpflichtung ausgenommen, und die nationale Umsetzungsfrist zum 17. Oktober wird vom Bund voraussichtlich nicht eingehalten. Auf dem AKDB Kommunalforum in München wurde die Zukunft der Cyber-Sicherheit in Deutschland diskutiert – und welche Bewusstseinslücken es bei den Mitarbeitenden im öffentlichen Dienst noch gibt.
Im Mittelpunkt stand die NIS2-Richtlinie. „Man hat sich nicht mit Ruhm bekleckert“, kritisierte Prof. Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen. Erst morgen, am 11. Oktober, werde der Bundestag über das Umsetzungsgesetz beraten. Aus juristischer Sicht sei das viel zu spät. Auch für Kommunen bringe NIS2 kaum Vorteile: „Für Kommunen wird das fast keine positiven Auswirkungen haben“, warnte Kipker.
Dr. Isabel Skierka-Canton von govdigital schlug stattdessen vor, die Kommunen in die Lage zu versetzen, eigenständig Maßnahmen zur Cyber-Sicherheit zu ergreifen. Dabei sei ein pragmatisches Vorgehen notwendig. Der Austausch und die Bündelung von Ressourcen seien besonders angesichts des Fachkräftemangels essenziell. Govdigital biete in diesem Bereich auch Notfallübungen bei Cyber-Angriffen und Phishing-Simulationen an, so Skierka-Canton.
Notfallübungen und Computer-Sperrung
Neben Notfallübungen seien auch kleinere Maßnahmen zur Sensibilisierung der Mitarbeitenden wichtig. IT-Sicherheitsexperte Tobias Schrödel erklärte, dass viele Mitarbeitende noch immer glauben, sie seien unwichtig und daher kein Ziel für Cyber-Kriminelle. Das sei ein Irrtum. Schrödel plädierte dafür, Privatpersonen stärker zu schützen und riet dazu, nicht dasselbe Passwort für mehrere Zugänge zu verwenden. Dem stimmte Hermann Schambeck von der Gesellschaft für kommunalen Datenschutz zu. Er ergänzte, dass Passwörter nicht nur unterschiedlich, sondern auch komplex sein sollten. Ideale Passwörter bestünden aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Die Panelisten erzählten in diesem Zusammenhang eine Anekdote: BSI-Chefin Claudia Plattner erlaube es, dass Mitarbeitende von den PCs ihrer Kolleg:innen E-Mails verschicken, in denen sie ihre Mitstreiter zu Kuchen einladen. Natürlich nur, wenn diese ihre PCs bei Abwesenheit nicht sperrten – sozusagen als Lerneffekt für die Zukunft. Manchmal sind es eben die kleinen Dinge, die das Bewusstsein für Cyber-Sicherheit schärfen.