Die Einführung der NIS-2-Richtlinie durch die Europäische Union markiert einen bedeutenden Schritt zur Stärkung der Cybersicherheit innerhalb der Mitgliedsstaaten. Während die Richtlinie darauf abzielt, das Sicherheitsniveau in verschiedenen Sektoren zu erhöhen, geraten Informationssicherheitsbeauftragte (ISBs) auf kommunaler Ebene in eine schwierige Lage. Obwohl Kommunen weder zur Umsetzung der NIS-2-Richtlinie noch zur Einhaltung der KRITIS-Anforderungen verpflichtet sind, müssen sie nun aufgrund der Anbindung ihrer Waffenbehörden an das nationale Schengener Informationssystem (N.SIS) höchste Sicherheitsstandards erfüllen. Diese Situation stellt die ISBs vor erhebliche Herausforderungen, die durch Entscheidungen des IT-Planungsrats der Länder noch verstärkt werden.
Zur Verbesserung der Cybersicherheit hat die Europäische Union die NIS-2-Richtlinie (Network and Information Security Directive 2) erlassen. Diese Richtlinie bildet den EU-weiten Rechtsrahmen für Cybersicherheitsmaßnahmen und enthält verbindliche Vorgaben zur Erhöhung des allgemeinen Sicherheitsniveaus. Durch die Modernisierung des bestehenden Rechtsrahmens reagiert die NIS-2-Richtlinie auf die zunehmende Digitalisierung und die sich ständig verändernde Bedrohungslandschaft. Sie erweitert den Anwendungsbereich der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen, um die Resilienz und Reaktionsfähigkeit sowohl öffentlicher als auch privater Akteure zu stärken.
Weitere Informationen zur NIS-2-Richtlinie sind im offiziellen EU-Dokument
"Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union" zu finden.
Für die IT-Strukturen auf Bundes- und Länderebene, einschließlich der Kommunen, ist der IT-Planungsrat von Bund und Ländern zuständig. Dieses politische Steuerungsgremium fördert nutzerorientierte elektronische Verwaltungsdienste und soll einen wirtschaftlichen, effizienten und sicheren IT-Betrieb der Verwaltung gewährleisten.
Im November 2023 hat der IT-Planungsrat eine Empfehlung ausgesprochen, die erhebliche Auswirkungen auf die kommunale IT hat. In seinem Beschluss bat er Bund und Länder, von der Möglichkeit keinen Gebrauch zu machen, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen auszudehnen. Zudem wurde ein einheitliches Vorgehen unter den Ländern angestrebt – entweder setzen alle die NIS-2-Richtlinie um oder keiner.
Ein bemerkenswertes Detail dieses Beschlusses betrifft die Schaffung von Regelungen außerhalb der NIS-2-Richtlinie auf Ebene des jeweiligen Landesrechts für lokale öffentliche Verwaltungen und Bildungseinrichtungen, sofern dies gewünscht ist. Diese Vorgehensweise wurde auch in einem
Artikel von Heise Online thematisiert.
Die Empfehlung des IT-Planungsrats signalisiert, dass trotz der erkannten Bedeutung von Cybersicherheit finanzielle und organisatorische Bedenken einer umfassenden Umsetzung der NIS-2-Richtlinie auf kommunaler Ebene im Wege stehen. Die Hoffnung, dass einzelne Bundesländer eigenständige Schritte unternehmen, zeigt sich am Beispiel von Rheinland-Pfalz.
Der Verzicht auf die umfassende Umsetzung der NIS-2-Richtlinie bleibt jedoch nicht ohne Konsequenzen für die Kommunen. Solange kein schwerwiegender Cybervorfall eintritt, mag diese Entscheidung unproblematisch erscheinen. Doch Ereignisse wie der
Ransomware-Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT) verdeutlichen die realen Risiken. Ein weiteres Beispiel ist die digitale Kfz-Zulassung (i-Kfz): Im September 2023 gestartet, musste das Kraftfahrt-Bundesamt (KBA) bereits im Dezember 2023 rund zwei Drittel der Kfz-Zulassungsstellen aufgrund gravierender Sicherheitsmängel vom digitalen Verfahren ausschließen.
Diese Vorfälle zeigen, dass die Entscheidung gegen eine umfassende Umsetzung der NIS-2-Richtlinie die Verwundbarkeit der kommunalen IT erhöht und potenzielle Risiken für die öffentliche Sicherheit birgt.
Für den legalen Erwerb, Besitz und das Führen von Schusswaffen ist in Deutschland eine waffenrechtliche Erlaubnis erforderlich. Die "Unteren Waffenbehörden" der Kommunen sind für die Erteilung dieser Erlaubnisse zuständig. Nun müssen diese Behörden ihre Systeme an das nationale Schengener Informationssystem (N.SIS) anbinden, um einen effizienten Informationsaustausch zu gewährleisten. Das N.SIS dient der europaweiten polizeilichen Zusammenarbeit und erfordert höchste Sicherheitsstandards.
Die Anbindung an das N.SIS erfordert einen IT-Schutzbedarf der Kategorie "sehr hoch". Dieser hohe Schutzbedarf übersteigt die Standardabsicherung des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI), der in der Regel nur einen Schutzbedarf von "normal" bis "hoch" abdeckt. Um den Schutzbedarf "sehr hoch" zu erfüllen, sind zusätzliche Risikoanalysen und erweiterte Sicherheitsmaßnahmen notwendig.
Diese Anforderungen bringen die Informationssicherheitsbeauftragten der Kommunen in eine schwierige Lage. Obwohl die NIS-2-Richtlinie nicht auf kommunaler Ebene umgesetzt wird und Kommunen nicht als Kritische Infrastrukturen (KRITIS) gelten, müssen sie dennoch höchste Sicherheitsstandards erfüllen. ISBs müssen nun Maßnahmen zur Informationssicherheit empfehlen, ohne dass klare Vorgaben oder ausreichende Ressourcen vorhanden sind
Das Bundeskriminalamt (BKA), das die nationale N.SIS-Stelle betreibt, fordert von den beteiligten Behörden eine Zusammenarbeitsvereinbarung. Diese Vereinbarung beinhaltet die Verpflichtung zur Einhaltung hoher IT-Sicherheitsstandards oder eine entsprechende Eigenerklärung. Für die ISBs bedeutet dies eine erhebliche Verantwortung, da sie die Einhaltung dieser Standards sicherstellen müssen, ohne dass sie über die notwendigen Mittel oder klaren Richtlinien verfügen.
Die ISBs stehen vor der Aufgabe, komplexe Sicherheitsanforderungen umzusetzen, während sie gleichzeitig mit begrenzten Ressourcen und fehlenden Standards konfrontiert sind. Die Berichte der Landesrechnungshöfe zeichnen ein ernüchterndes Bild: 71 % der geprüften Kommunen verfügen über keine IT-Sicherheitsleitlinie, 61 % haben keinen ISB, und 93 % besitzen kein IT-Sicherheitskonzept. Diese Defizite erschweren die Umsetzung der erforderlichen Sicherheitsmaßnahmen erheblich.
Zudem sehen sich die Kommunen mit divergierenden Anforderungen verschiedener Bundesbehörden konfrontiert. Bei übergreifenden Verfahren wie N.SIS, i-Kfz, Zensus oder Wahlen stellt jede Bundesbehörde eigene Sicherheitsanforderungen auf, ohne dass es eine übergreifende Abstimmung gibt. Dies führt zu einer zusätzlichen Belastung für die Kommunen und erhöht das Risiko von Sicherheitslücken.
Die aktuelle Situation verdeutlicht die dringende Notwendigkeit einer ganzheitlichen Strategie für die Informationssicherheit in Kommunen. Es bedarf klarer Vorgaben, praxisnaher Anleitungen und ausreichender Ressourcen, um die hohen Sicherheitsanforderungen erfüllen zu können. Eine koordinierte Vorgehensweise zwischen Bund, Ländern und Kommunen ist unerlässlich, um widersprüchliche Anforderungen zu vermeiden und die Effektivität der Sicherheitsmaßnahmen zu erhöhen.
Die Schaffung verbindlicher Mindeststandards und die Bereitstellung finanzieller Mittel für die Umsetzung sind zentrale Schritte in diese Richtung. Zudem sollte der Erfahrungsaustausch zwischen den Kommunen gefördert und gemeinsame Lösungen entwickelt werden.
Die Informationssicherheitsbeauftragten der Kommunen befinden sich in einer schwierigen Position zwischen hohen Sicherheitsanforderungen und mangelnden Ressourcen. Die Entscheidung, die NIS-2-Richtlinie nicht auf kommunaler Ebene umzusetzen, entbindet die Kommunen nicht von der Verantwortung, angemessene Sicherheitsstandards einzuhalten. Im Gegenteil: Durch spezifische Anforderungen wie die Anbindung an das N.SIS werden die Herausforderungen noch verstärkt.
Angesichts der komplexen Herausforderungen, vor denen die Informationssicherheitsbeauftragten und die kommunalen IT-Strukturen stehen, ist es wichtig, proaktiv zu handeln und mögliche Lösungswege zu identifizieren. Sowohl einfache Mitarbeiter als auch Entscheidungsträger wie Chief Information Officers (CIOs) oder Informationssicherheitsbeauftragte können durch gezielte Maßnahmen zur Verbesserung der IT-Sicherheit beitragen.
- Sensibilisierung und Schulung: Initiieren Sie regelmäßige Schulungen für Mitarbeiter aller Ebenen, um das Bewusstsein für Cybersicherheitsrisiken zu erhöhen. Ein informierter Mitarbeiterstamm ist die erste Verteidigungslinie gegen viele Bedrohungen.
- Ressourcenbündelung: Suchen Sie die Zusammenarbeit mit benachbarten Kommunen oder regionalen Netzwerken, um Ressourcen und Fachwissen zu teilen. Gemeinsame Projekte können den finanziellen und personellen Aufwand reduzieren.
- Einsatz bewährter Praktiken: Nutzen Sie vorhandene Leitfäden und Standards, beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik (BSI), um Ihre Sicherheitsmaßnahmen zu strukturieren und zu verbessern.
- Priorisierung von Risiken: Führen Sie eine Risikoanalyse durch, um die kritischsten Bereiche zu identifizieren und konzentrieren Sie Ihre begrenzten Ressourcen auf diese Schlüsselbereiche.
- Strategische Planung: Entwickeln Sie eine langfristige Strategie für die IT-Sicherheit Ihrer Kommune. Setzen Sie klare Ziele und Meilensteine, um Fortschritte messbar zu machen.
- Investition in Ressourcen: Erkennen Sie die Bedeutung von IT-Sicherheit als Bestandteil der kritischen Infrastruktur Ihrer Kommune an und stellen Sie angemessene finanzielle und personelle Ressourcen bereit.
- Lobbyarbeit: Treten Sie mit Landes- und Bundesbehörden in Dialog, um auf die spezifischen Herausforderungen der Kommunen aufmerksam zu machen und Unterstützung einzufordern.
- Kooperation fördern: Unterstützen Sie Initiativen zur interkommunalen Zusammenarbeit und fördern Sie den Austausch von Best Practices und Erfahrungen.
- Kommunikation verbessern: Offene Kommunikationskanäle zwischen Mitarbeitern und Führungsebene sind entscheidend. Sorgen Sie dafür, dass Anliegen und Vorschläge der ISBs Gehör finden und in Entscheidungsprozesse einfließen.
- Flexibilität bewahren: Bleiben Sie offen für innovative Lösungen und neue Technologien, die die IT-Sicherheit verbessern können, auch wenn sie anfänglich ungewohnt erscheinen mögen.
- Notfallpläne entwickeln: Erarbeiten Sie klare Handlungspläne für den Fall von Sicherheitsvorfällen, um im Ernstfall schnell und effektiv reagieren zu können.
Die Herausforderungen im Bereich der kommunalen IT-Sicherheit sind komplex, aber nicht unüberwindbar. Durch gemeinsames Handeln, strategische Planung und den Willen zur Veränderung können sowohl Mitarbeiter als auch Führungskräfte einen entscheidenden Beitrag leisten. Es liegt an jedem Einzelnen, Verantwortung zu übernehmen und aktiv an der Gestaltung einer sicheren digitalen Zukunft mitzuwirken.
Indem wir die vorhandenen Ressourcen effizient nutzen, Kooperationen eingehen und kontinuierlich lernen, können wir die Sicherheitsstandards erhöhen und die Kommunen widerstandsfähiger gegen Cyberbedrohungen machen. Jetzt ist der richtige Zeitpunkt, um die Weichen für eine sichere und zukunftsfähige kommunale IT zu stellen.
