Bessere IT-Grundsicherung für kleine Gemeinden

Auto anmelden, den neuen Reisepass beantragen oder die Wohnung ummelden – im Oktober des vergangenen Jahres war das in mehr als 70 Kommunen in Nordrhein-Westfalen nicht mehr möglich. Die Behörden hatten schlichtweg keinen Zugriff mehr auf ihre Verwaltungssysteme. Grund war ein Hackerangriff auf den IT-Dienstleister „Südwestfalen-IT“, wie der WDR berichtete. Sämtliche Dienste, für die eine Verbindung zu einem Server nötig ist, waren lahmgelegt. Bürgerämter mussten schließen, unbearbeitete Anfragen türmten sich – und die Reparatur der Software-Systeme nach dem Hackerangriff dauerte mehrere Wochen.

Wie können Kommunen sich schützen?

Dabei sind sowohl kleine Kommunen und Kreise als auch Großstädte von Cyber-Angriffen betroffen, stellt Bundesinnenministerin Nancy Faeser im aktuellen Lagebericht des BSI klar.

2022 wurden insgesamt 27 Kommunen in Deutschland angegriffen. Zahlen von 2023 liegen noch nicht vor. Dass allein bei dem Angriff im Oktober des vergangenen Jahres 70 Kommunen betroffen waren, spricht für einen deutlichen Anstieg. Wie können sich Kommunen schützen und eine IT-Grundsicherung aufbauen?

18 Checklisten für IT-Grundsicherung

Insbesondere für kleinere Gemeinden hat der BSI kürzlich 18 Checklisten veröffentlicht:

• mit einfachen Prüffragen und Hilfsmitteln,
• um bei einer ersten Bestandsaufnahme der IT-Sicherheit zu unterstützen,
• um den Einstieg in die IT-Absicherung zu erleichtern und Cybersicherheit zu ermöglichen,
• um dringliche Maßnahmen als Kommune selbst zu bestimmen und umzusetzen.

Diese Checklisten entstanden während des Projektes „Weg in die Basisabsicherung (WiBA) zusammen mit sechs Modellkommunen, darunter zwei Gemeinden, zwei mittelgroße Städte, eine größere Stadt und ein Landkreis. Mit dabei waren etwa Balgheim, Rees, Markkleeberg, Schwerin und Regen. Das Ziel: den Einstieg in den IT-Grundschutz weiter zu vereinfachen. Denn die Erfahrungen zeigen, dass die bisherigen BSI-Empfehlungen für eine IT-Basis-Absicherung von Kommunen als zu aufwändig eingestuft werden; auch würde kleineren Kommunen schlichtweg das Personal dafür fehlen.

Niedrigschwellige und praxisnahe Unterstützung

In Workshops mit den Modellkommunen sammelte das BSI deren Erfahrungen und Rückmeldungen, um die praxistauglichen Checklisten auf den Weg zu bringen. „Wir wollen Kommunen so niedrigschwellig, praxisnah und effektiv wie möglich unterstützen“, heißt es seitens des BSI in einer Pressemitteilung. Um die Checklisten abzuarbeiten, sollten Kommunen etwa zwei Tage einplanen; der personelle Aufwand könne dafür relativ gering gehalten werden. Wie aufwändig die Umsetzung der IT-Sicherheitsmaßnahmen schließlich sein werde, dafür geben die Checklisten Schätzwerte an.

19 Bereiche für IT-Sicherheit

Die Prüflisten konzentrieren sich auf 19 Bereiche, die für die IT-Sicherheit von Bedeutung sind – und zur Gefahr werden können. Zum Beispiel:

• IT-Administration
• Serversysteme
• Bürosoftware
• Mobile Endgeräte
• Arbeiten im Homeoffice
• Backups
• Personal und Organisation
• Vorbereitung für IT-Sicherheitsvorfälle

Ohne Expertenwissen anwendbar

Bei den empfohlenen Maßnahmen für eine IT-Grundsicherung in kleinen Gemeinden handelt es sich indes nicht um rechtliche Vorgaben, sondern um freiwillige Angebote. Das Ziel sei, Kommunen zu helfen, ihre Schutzmaßnahmen zu verbessern und sich für die wachsenden Herausforderungen der Cyber-Sicherheit zu wappnen, so das BSI.

Die Checklisten sollen auch ohne Expertenwissen anzuwenden sein. Das Schutzniveau, das sich Kommunen mit dem IT-Einstiegslevel aufbauen, lässt sich langfristig zum IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln.

So sichern sich Kommunalverwaltungen ab (PDF)

Hier geht es zu den Checklisten.