Der schmale Grat zwischen Notwendigkeit und Hemmnis

Für eine leistungsfähige und bürgernahe Verwaltung sind moderne Informations- und Kommunikationstechnologien unverzichtbar Viele moderne Anwendungen bringen jedoch neue Datenschutzrisiken für Städte und Kommunen mit sich. Eine Gratwanderung zwischen Sicherheit und Innovation.

Der Hackerangriff auf die Kreisverwaltung des Rhein-Pfalz-Kreises hat eindrücklich gezeigt, welche Folgen Ransomware-Attacken auf Kommunen haben können: Nicht nur berufliche Informationen der Verwaltungsmitarbeiter waren so ins Darknet gelangt, auch private Adressen, Fotos einer After-Work-Party und zahlreiche Passwörter von eMail-Konten veröffentlichte die Hackergruppe „Vice Society“, nachdem die Verwaltung nicht auf die Lösegeldforderungen eingegangen war.

Und damit steht der Rhein-PfalzKreis nicht allein da, die Liste betroffener Kommunen ist lang:

Potsdam, Anhalt-Bitterfeld, Geisenheim, Witten, Saßnitz oder auch die Kreisverwaltung in Wesel hat es bereits getroffen. Schon im Jahr 2020 sei laut Carsten Meywirth vom Bundeskriminalamt festgestellt worden, dass öffentliche Einrichtungen in stärkerem Maße Opfer von Angriffen mit sogenannter Ransomware werden. Seine Prognose für die Zukunft fiel dabei ernüchternd aus: Meywirth geht davon aus, dass das Problem nicht verschwinden, sondern eher das neue Normal werde.

Der so entstehende Schaden ist enorm. Für Anhalt-Bitterfeld wurden die finanziellen Einbußen bis zur Wiederinbetriebnahme beispielsweise auf etwa 1,5 bis zwei Millionen Euro geschätzt. Hinzu kommt die zusätzliche Arbeit für die Mitarbeiter und Mitarbeiterinnen, die die liegengebliebenen Anfragen noch zusätzlich abarbeiten müssen – und dass, obwohl das Personal bereits knapp ist. Noch schwerer wiegen jedoch der Vertrauensverlust und die Zweifel, die infolge erfolgreicher Angriffe bei den Bürgern und Bürgerinnen entstehen.

Den Angreifern einen Schritt voraus

Ein entscheidender Aspekt beim Umgang mit personenbezogenen Daten ist daher ihr Schutz vor Verlust und Missbrauch. Hier gilt es insbesondere die notwendigen technischen und organisatorischen Maßnahmen zu treffen. Die Datenschutzgrundverordnung (EUDSGVO) sieht beispielsweise folgendes vor:

W Zutrittskontrolle: Maßnahmen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen – etwa Rechenzentren, PCs,

Notebooks, Smartphones oder Kopierer – erhalten.

W Zugangskontrolle: Die Zugangskontrolle verhindert die Nutzung der IT-Systeme durch unbefugte Dritte. Zentrale Elemente sind dabei die Identifikation und Authentifizierung der Nutzer. Beispielsweise gilt es in diesem Zusammenhang aber auch Vorgaben zu erstellen, wie ein sicheres Passwort auszusehen hat und wie User mit Passwörtern umgehen sollten.

W Zugriffskontrolle: Mit der Zugriffskontrolle wird sichergestellt, dass Nutzer und Nutzerinnen eines Datenverarbeitungssystems ausschließlich für sie freigegebene Daten zugreifen können. Gleichzeitig wird verhindert, dass personenbezogene

Kein Geld, kein Personal, kein Schutz?

„Kleinheit ist kein Schutz an sich – jede Kommune kann zum Opfer von Cyberangriffen werden“, mahnt Daniel Kleffel, Präsident des bayerischen Landesamtes für Digitalisierung, Breitband und Vermessung (LSI). Für den Fall der Fälle rät er allen betroffenen Gemeinden, sich im Krisenfall sofort Hilfe beim Landesamt für Sicherheit in der Informationstechnik zu suchen. Je schneller die Kommune reagiere, desto leichter falle eine Schadensminimierung.

Gerade kleine Kommunen haben immerhin oft Schwierigkeiten, die Datensicherheit herzustellen. „Drei von vier Kommunen im Freistaat haben weniger als 5.000 Einwoh- re, und gibt zu bedenken: „Die hauseigene IT bleibt meist auf dem Stand, zu dem sie angeschafft wurde. Da ist mit knappem Personal kaum Innovation möglich – geschweige denn Sicherheit.“

Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen sieht auch den Gesetzgeber in der Pflicht: „Das Thema kommunale Cybersicherheit ist noch eine ganz, ganz große Baustelle. Das haben wir am Beispiel Potsdam gesehen, wo die Verwaltung eben wochenlang offline gewesen ist“, erklärt er bei den Bremer Rathausgesprächen. Er folgert, dass die Kommunen noch viel stärker in das Landesrecht für Cybersicherheit einbezogen werden müssen. Auch Potsdams Oberbürgermeister Mike Schubert (SPD) sieht Land und Bund in der

Mit digitalen Anwendungen Fehler bei der Polymedikation verringern.

Cybersicherheitsanalysen für Kommunen

Bereits 2022 hatte Niedersachsen eine Million Euro bereitgestellt, um seine Kommunen bei der Stärkung ihrer Cybersicherheit zu unterstützen. Mit den Mitteln wurden Cybersicherheitsanalysen finanziert. Rund 90 Städte, Gemeinden und Landkreise machten damals bereits von dem Angebot Gebrauch. „Die Nachfrage aus den Kommunen 2022 hat gezeigt, dass wir mit dem Angebot von Cybersicherheitsanalysen einen Nerv getroffen haben“, folgerte die Niedersächsische Ministerin für Inneres und Sport, Daniela Behrens. Aufgrund der äußerst positiven Resonanz wird das Programm daher in diesem Jahr mit einem Budget von 1,2 Millionen Euro fortgesetzt. „Mit den Cybersicherheitsanalysen leisten wir einen wichtigen Beitrag – die teilnehmenden Landkreise, Städte und Gemeinden wiederum können auf Basis der Ergebnisse ihre Maßnahmen individuell anpassen“, ist Behrens sicher.

Datenschutz darf kein Hemmnis sein ner. In den dortigen Rathäusern fehlt oftmals das Personal, um diese Herausforderung ganz alleine stemmen zu können“, erläutert beispielsweise Georg Große Verspohl, Direktor im Bayerischen Gemeindetag, und rät in diesem Fall, die Zusammenarbeit mit dem Landkreis oder in kommunalen Allianzen zu intensivieren.

Datenschutz und Sicherheit sollten jedoch nicht zum Hemmschuh für eine erfolgreiche Digitalisierung werden. „Jeder gibt heute –teilweise leider sehr sorglos – freiwillig seine persönlichen Daten im Internet und den sozialen Medien öffentlich preis, aber im Zusammenhang mit dem Staat kann der Datenschutz nicht hoch genug sein“, gibt etwa der Lichtenfelser Landrat Christian Meißner zu bedenken.

Daten bei der Verarbeitung, Nutzung und nach der Speicherung unbefugt gelesen, verändert oder gar entfernt werden können.

Doch das sind nur einige Beispiele, hinzu kommen das regelmäßige Updaten sowie Patchen der Systeme und das Überprüfen der Sicherheitsvorkehrungen insgesamt, um sicherzustellen, dass diese noch ausreichend sind. Hierbei müssen die Verantwortlichen etwa die Sicherheitssoftware und Zugangsberechtigungen kontrollieren. Eine weitere wichtige Maßnahme ist die Sensibilisierung der Mitarbeiter für das Thema Datenschutz. In Schulungen sollten sie über die Bedeutung des Datenschutzes sowie die geltenden Regeln aufgeklärt und für häufige Gefahren wie Phishing sensibilisiert werden.

Eine weitere Möglichkeit: kommunale Rechenzentren oder jene der Länder nutzen. „Viele Kommunen habe nicht die Ressourcen, um eine eigene Infrastruktur zu betreiben und gehen zu IT-Dienstleistern. Das ist meiner Ansicht nach auch der richtige Weg, denn nur so bleiben sie effizient und können von Modernisierung profitieren“, so André Schulz, Strategic Account Executive Government bei VMwa-

Pflicht: Datensicherheit sei eine elementare staatliche Aufgabe, erklärte Schubert der dpa. „Allerdings werden die Kommunen diesen wichtigen Bestandteil der Daseinsvorsorge auf Dauer nicht alleine für die Bürgerinnen und Bürger gewährleisten können.“ Der SPD-Politiker spricht sich daher dafür aus, Kommunen mehr Geld bereitzustellen und einen kontinuierlichen Austausch zur IT-Sicherheit sicherzustellen. „Wir müssen darüber nachdenken, wie wir uns als Kommunen beim Thema Cybersicherheit viel besser aufstellen können – finanziell sowie personell, aber insbesondere auch mit Blick auf die technische Infrastruktur“, sagte Schubert. „Für mich hat diese Herausforderung mittel- und langfristig höchste Priorität.“

Das Potenzial, das sich hinter der Datennutzung verbirgt, ist bekannt und wird in der Privatwirtschaft bereits umfassend genutzt. Auch im öffentlichen Sektor könnten Daten die Grundlage für politische und strategische Entscheidungen bilden, zunächst muss jedoch der (gesetzliche) Rahmen geschaffen werden, um sie auszuwerten, in den Kontext mit anderen Daten zu setzen und zu visualisieren. Die Auswertungen können dann auch dafür genutzt werden, Leistungen schneller und besser zu erbringen, aktuelle Entwicklungen zu analysieren und Prognosen für zukünftige Ereignisse zu stellen. Darüber hinaus können sie Handlungsspielräume aufzeigen und neue Geschäftsmodelle durch datengetriebene Innovationen ermöglichen. Künstliche Intelligenz und Algorithmen können zudem Routineaufgaben übernehmen, so dass die Beschäftigten mehr Zeit für anspruchsvolle Arbeit und Beratung von Bürgerinnen und Bürgern haben. na

Lust auf digital?