Ein Kommentar von:
Tim Berghoff,
Security Evangelist
bei G DATA CyberDefense
IT-Sicherheit in den Kommunen und deren Verwaltungen lässt seit Jahren zu wünschen übrig. Mangelndes Problembewusstsein, gepaart mit zu wenig Budget, fehlendes Personal und gleichzeitiger Investitionsstau haben sich für einige Städte bereits in überaus unangenehmen IT-Ausfällen bemerkbar gemacht. Diese dauern teils mehrere Wochen bis Monate und bis der Normalbetrieb komplett wiederhergestellt ist, kann ein Jahr und länger vergehen.
Weiter so?
Gerade vor diesem Hintergrund ist es für Sicherheitsfachleute unverständlich, warum die Politik hier dem Anschein nach die Hände in den Schoß legt. Große Hoffnungen machte die europäische NIS-2-Direktive. Diese hat zum Ziel, die IT- und Netzwerksicherheit europaweit zu vereinheitlichen und gegen Angriffe und Ausfälle abzusichern. Doch diese Hoffnungen zerstoben nach einer Empfehlung des IT-Planungsrates, der sich dafür aussprach, unter anderem Kommunalverwaltungen explizit von den Regelungen der NIS-2 auszunehmen.
Der aktuelle Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das die EU-Vorgaben bis zum 17. Oktober 2024 in nationales Recht umsetzen soll, sieht keine direkten Regelungen für Länder und Kommunen vor. Das ist eine verpasste Chance und zugleich fast eine Einladung für kriminelle Akteure.
Ob Witten, Anhalt-Bitterfeld oder der Kreis Neu-Ulm – überall erfolgen Angriffe auf IT-Systeme, die eine Kaskade der Zerstörung auslösen. Leidtragende sind letztlich die Bürgerinnen und Bürger. Unternehmen der Privatwirtschaft schnüren Maßnahmenpakete, um die Auswirkungen von Angriffen zu minimieren und handlungsfähig zu bleiben.
Mut zur Lücke
Die Absicherung von IT-Infrastrukturen ist jedoch nicht immer automatisch mit riesigen Investitionen verbunden. IT-Sicherheit ist keine Einkaufsliste, sondern besteht aus vielen Einzelteilen. Die meisten dieser Teile sind Prozesse, die aktuell entweder fehlen, veraltet oder unvollständig sind. Dazu gehören neben „Dauerbrennern“ wie Datensicherung und Schutz vor Schadsoftware auch Dinge, wie ein belastbares Notfallkonzept und eine Wiederanlaufstrategie. Bisherige Ansätze waren zumeist auf die Verhinderung von Angriffen gerichtet. Durchbrechen Angreifer eine Verteidigungslinie, finden sie meistens ein freies Feld vor, in dem sie sich relativ ungehindert bewegen können.
Der Angriff fällt erst dann auf, wenn es zu spät ist. Die Praxis hat gezeigt, dass in der überwältigenden Mehrheit der Fälle der Angriff hätte gestoppt werden können – wenn denn die passenden technischen Maßnahmen und Prozesse vorhanden gewesen wären, die die Bewegungen der Angreifer sichtbar gemacht hätten. Genau so etwas ließe sich mit gemanagten Sicherheitslösungen bewerkstelligen. Hier beweisen Verwaltungen eine Menge Mut zur Lücke – entweder aus Budget-Gründen oder weil zuerst ein langwieriges und aufwendiges Ausschreibungsverfahren durchlaufen werden müsste.
Die Tatsache, dass eine Vorgabe wie die NIS-2 nicht für einen selbst gilt, bedeutet unterm Strich nicht, dass man sich nicht an ihr orientieren darf. Es wäre schön, wenn Verwaltungen hier zur Abwechselung einmal „vor die Lage“ kämen, statt ihr hinterherrennen zu müssen. (sg)
