Wie lässt sich die Cyber-Resilienz in den Kommunen nachhaltig verbessern? Sachsen-Anhalt will zu diesem Zweck ein nationales Übungszentrum aufbauen. Auch das bayrische LSI hilft seinen 2056 Gemeinden bei der Erprobung des Ernstfalls und der Schulung von kommunalen Entscheidungsträgern. Die Stadt Witten übt, seitdem sie 2020 angegriffen wurde, ebenfalls den Cyber-Katastrophenfall und setzt darüber hinaus auf eine Mischung aus zentralen Lösungen und interkommunaler Zusammenarbeit.
„Wir dürfen nicht nur an den Bund und die Länder denken. Die wesentliche Arbeit am Bürger findet in den Kommunen statt. Wir müssen dafür sorgen, dass sie handlungsfähig und informationssicher aufgestellt sind“, betonte Bernd Schlömer, Staatssekretär und CIO in Sachsen-Anhalt, auf der PITS in Berlin. Er blickte auf den Cyber-Angriff auf den Landkreis Anhalt-Bitterfeld im Jahr 2021 zurück, als in der Folge der Katastrophenfall ausgerufen wurde. Dieses Erlebnis sowie die NIS-2-Richtlinie hätten ihn dazu bewogen, gemeinsam mit der Wissenschaft einen Konzeptvorschlag zur Einrichtung eines nationalen Übungszentrums zu entwickeln.
Trotz Angriff arbeitsfähig
Das Zentrum soll dazu dienen, Führungskräften, Hauptverwaltungsbeamten und auch dem Fachpersonal die kommunale Cyber-Sicherheit näherzubringen und die Frage zu beantworten: „Was passiert eigentlich in meiner Kommune, in meinem Landratsamt, Bürgeramt oder Rathaus, wenn ein Cyber-Angriff geschieht?“ Die Mitarbeitenden sollen lernen und üben, wie die Geschäftsbearbeitung ungehindert weiterlaufen könne – etwa die Auszahlung von Sozialleistungen.
Zudem soll das Zentrum eine Stelle für den Wissenstransfer werden. Kommunen sollen dort Sicherheitslösungen testen und evaluieren können. Auch die angewandte Cyber-Sicherheitsforschung und resultierende Prototypen sollen künftig verprobt werden. Daher gebe es viele Synergien, etwa mit der Cyberagentur, die ihren Sitz in Halle (Saale) hat. Das Konzeptpapier für das Papier sei fertig, eine Machbarkeitsstudie in Vorbereitung, teilte Schlömer mit.
Ziel sei, das Zentrum einmal bundesweit zugänglich zu machen – für Kommunen in ganz Deutschland. Dies könnte beispielsweise über den IT-Planungsrat ablaufen. Wichtig sei, dass es von der Politik getragen werde, von den Ländern und Kommunen, sagte Schlömer. Er erklärte: „Es gibt aus allen Bundesländern sehr starkes Interesse, dass wir die Idee fortsetzen und weiterentwickeln, weil alle glauben, dass es eine richtige Sache ist“. Auch mit BSI-Präsidentin Claudia Plattner stehe der CIO diesbezüglich im Austausch.
Skalierbare Tabletop-Übungen
In Bayern wurden ebenfalls bereits Wege gefunden, um Kommunen auf Cyber-Vorfälle vorzubereiten. Bernd Geisler, Präsident des Landesamts für Sicherheit in der Informationstechnik (LSI), berichtete von sogenannten Tabletop-Übungen, bei denen kommunale Entscheidungsträger wie Bürgermeister, Informationssicherheitsbeauftragte und Amtsleiter ihre Rollen und Reaktionen während eines Notfalls durchsprechen. Dafür wurden vier Szenarien entwickelt. „Die Übungen werden ganz gut angenommen – der Bedarf ist da“, so Geisler.
Angesichts der über 2.000 Gemeinden im Freistaat müsse das Angebot unbedingt skalierbar sein. Deshalb stelle das LSI die Übungsmodule inklusive Video-Unterstützung und Anleitung zur eigenständigen Durchführung bereit. Einige Kommunen wünschten sich dennoch eine Moderation durch das LSI. Dies sei zwar grundsätzlich möglich, aber bei derzeit 15 bis 20 Mitarbeitenden in der Kommunalberatung des LSI nicht flächendeckend realisierbar.
Unabhängige Beratung für Kommunen
Das LSI versuche darüber hinaus, die Kommunen mit einem niedrigschwelligen Angebot wie ein einfaches Informationssicherheitsmanagementsystem (ISMS) zu gewinnen. Ein vollständiger IT-Grundschutz überfordere kleine Gemeinden schnell. Daneben betreibe das LSI einen Warn- und Informationsdienst, über den sich Kommunen über aktuelle Bedrohungen informieren und ihre Systeme überprüfen könnten (Behörden Spiegel berichtete). Insgesamt begrüßten die Kommunen, eine unabhängige Stelle zu haben, die sie berate und „bei der sie anrufen können ohne dass gleich eine Rechnung ins Haus flattert“, verdeutlichte Geisler.
Matthias Kleinschmidt, Erster Beigeordneter und Stadtkämmerer von Witten, berichtete von einem Vorfall aus 2020: „Am Sonntag, 17. Oktober, war plötzlich unsere gesamte IT-Umgebung verschlüsselt.“ Daraufhin wurde der Stab für ungewöhnliche Ereignisse einberufen – eigentlich nicht für solche Fälle vorgesehen –, um die Krise zu bewältigen. Fragen wie die Wiederherstellung der Kommunikation, die Organisation der Öffentlichkeitsarbeit und die Schadensbegrenzung mussten geklärt werden.
Heute lasse die Stadt ihre Mitarbeitenden zweimal jährlich einen IT-Sicherheitstest absolvieren – bei dreimaligem Nichtbestehen drohten Konsequenzen. Außerdem sei im Katastrophenschutz der Fall ausfallender IT-Struktur(en) eingebaut worden, welcher nun ebenfalls geübt werde, so Kleinschmidt.
Incident Response zentral bereitgestellt
In Nordrhein-Westfalen sei nun ein landesweiter Rahmenvertrag für Incident Response geschlossen worden. Sollte eine Stadt einen Vorfall haben, könne sie sich dort bedienen und brauche daher nicht mehr einen eigenen Rahmenvertrag mit einem Unternehmen. „Dadurch werden wir deutlich Mittel sparen. So kann man durch gemeinsame Lösungen auf Landesebene etwas bewegen“, erklärte der Kämmerer der nordrhein-westfälischen Stadt.
Auch bei seiner Systemlandschaft setzt Witten auf einen hybriden Ansatz. Einige IT-Dienste werden selbst betrieben, andere liegen bei kommunalen Rechenzentren oder benachbarten Städten, etwa das Standesamtsverfahren in Dortmund. „Als wir gehackt waren, konnten die Kollegen nach Dortmund fahren und dort weiterarbeiten, weil ihnen ein Arbeitsplatz zur Verfügung gestellt wurde“, erzählte Kleinschmidt. Witten betreibe hingegen das Dokumentenmanagementverfahren für acht Städte im Kreis. Für Kleinschmidt ist das ein Beispiel für gelungene interkommunale Zusammenarbeit.
