Der IT-Planungsrat von Bund und Ländern ist ein zwar ungemein wichtiges, zugleich aber weitgehend unbekanntes Gremium für die Digitalisierung und die digitale Sicherheit der Bundesrepublik. Der mit Fachleuten aus Bund und Ländern besetzte Zirkel ebne „den Weg für eine effiziente, sichere und gut vernetzte digitale Verwaltung in Deutschland“, so schreibt der Rat auf seiner Webseite. Wenn es doch nur so einfach wäre.
Tatsächlich hat der Expertenkreis am 3. November einen Beschluss gefasst, der in höchstem Maße daran zweifeln lässt, dass es dem Expertengremium ernst ist mit dem Ziel, eine „sichere digitale Verwaltung“ zu erreichen – eher im Gegenteil. Denn was da in ihrer 42. Sitzung in Beschluss 2023/39 unter Punkt 2 festgeschrieben steht, bedeutet nicht weniger als eine Bankrotterklärung für die IT-Sicherheit kommunaler Behörden: Demnach sollen Bund und Länder darauf verzichten, die neuen Vorgaben der sogenannten NIS-2-Richtlinie der EU auf „Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und auf Bildungseinrichtungen“ anzuwenden.
Welche Brisanz in dem lapidaren Vorschlag steckt, wird klar, wenn man bedenkt, dass das Kürzel „NIS-2“, für Network Information Security 2 steht, also die Neuauflage der EU-Richtlinie für Netzwerk- und Informationssicherheit. Die Richtlinie ist das derzeit wohl wichtigste Regelwerk der EU, um Cybersicherheit und Resilienz von Unternehmen und kritischen Infrastrukturen gegen Hackerattacken zu steigern.
NIS-2 wurde Ende 2022 verabschiedet und muss spätestens bis Herbst 2024 in allen EU-Staaten in nationales Recht umgesetzt sein. Zehntausende Unternehmen und Institutionen in Deutschland bekommen damit konkrete Vorgaben zur Bewertung von Sicherheitsrisiken und zur Umsetzung von Schutzmaßnahmen gegen Hacker. Ein Großteil von ihnen muss erstmals Konzepte entwickeln, wie sie im Fall von Attacken mindestens einen Notbetrieb aufrechterhalten, wo sie sich Hilfe holen und wie sie in möglichst kurzer Zeit wieder in den Regelbetrieb zurückkehren wollen.
Kaum Schutz für Schulen oder Rathäuser
Schlimm genug, dass es eine EU-Direktive braucht, damit Unternehmen solche im Grunde ja völlig selbstverständlichen Vorsorgemaßnahmen umsetzen. Noch viel schlimmer aber ist, dass ausgerechnet diese Selbstverständlichkeiten nach den Empfehlungen des IT-Planungsrates bundesweit für kommunale Verwaltungen sowie Bildungseinrichtungen, also Grund- ebenso wie Hochschulen, nicht gelten sollen.
„Wir sind hier doch nicht bei Pippi Langstrumpf“, kommentiert Tim Berghoff, Cybersicherheitsexperte beim deutschen IT-Sicherheitsdienstleister G Data in Bochum. „Bund und Länder tun mit dem Beschluss ja gerade so, als wollten sie sich die Welt so zurecht denken, wie sie ihnen gefällt.“ Wie sie aber leider nicht ist.
„Ob in Anhalt-Bitterfeld, Schwerin, Witten, Siegen, oder, oder, oder – die Zahl massiv attackierter und von Erpressungsattacken betroffener Kommunalbehörden schießt nur so in die Höhe“, so Berghoff. Ebenso steige die Zahl von Angriffen auf Schulen und Hochschulen, mahnt der Security-Experte. „Was der IT-Planungsrat da verabschiedet hat, ist Ausdruck kompletter Realitätsverweigerung.“
Oder vielleicht auch das genaue Gegenteil. Was die Sache aber kaum besser machte. Denn dass die IT-Infrastrukturen auf kommunaler Ebene deutschlandweit vielerorts ebenso desolat sind wie das Niveau der dabei umgesetzten Schutzmaßnahmen gegen Hacker, ist Fachleuten allenthalben bekannt.
Fragwürdige Ausstiegsoption
Dass Bund und Länder nun von der in der NIS-2-Richtlinie vorhandenen Option Gebrauch machen wollen, lokale Behörden von den EU-Cybersicherheitsvorgaben zu befreien, erscheint vor diesem Hintergrund schlicht wie die Kapitulation vor den Realitäten. Und ein zumindest politisch geschickter Schachzug, die betroffenen Städte, Kommunen und Bildungseinrichtungen vor hohen Sanktionszahlungen wegen der Missachtung der EU-Vorgaben zu bewahren.
Die Kämmerer mag das beruhigen, für die vom Black-out der Behörden nach Cyberattacken betroffenen Bürgerinnen und Bürger aber sind es besorgniserregende Aussichten.
Lesen Sie auch: Cyberkriminelle zielen auf die Zerstörung ganzer Unternehmen. Nun wehrt sich die Wirtschaft. Endlich.