Anhörung im NRW Landtag

IT-Sicherheit in Kommunen gefährdet

| Redakteur: Franz-Reinhard Habbel

Habbel Blog
Habbel Blog (Bild: Franz-Reinhard Habbel)

Im Rahmen einer jüngsten Anhörung im Nordrhein-Westfälischen Landtag Anfang Februar 2014 bezeichnete der IT-Sicherheitsexperte Tobias Morsches die allgemeine Sicherheitslage in der öffentlichen Verwaltung als kritisch.

In den von ihm untersuchten Kommunen in NRW war es möglich, vor Ort ohne Ausweis Geräte zu installieren und so einen Zugang zum Netzwerk zu erlangen. Bei fast allen vom ihm untersuchten Kommunen gelang es ihm, innerhalb von zwei bis acht Stunden, ohne Insider-Kenntnisse einen vollständigen Zugriff auf alle relevanten Systeme der betroffenen Kommunen zu realisieren. Es wurden sowohl Angriffe über das Internet, als auch Angriffe auf lokale Infrastrukturen durchgeführt. In vielen Fällen fehlten nach seinen Angaben essentielle Sicherheitsmaßnahmen.
Möglich war ein lesender und schreibender Zugriff auf Daten und Systeme wie z.B. komplette Personenregister, detaillierte Informationen über ansässige Ausländer, gesonderte Listen mit Alias-Identitäten (z.B. gefährdete Personen, das ist besonders bei Zeugenschutzprogrammen heikel), Daten des Ordnungsamtes, der Finanzverwaltung, Ratsinformationssysteme, Schülerleistungsdaten und Alarmierungs- und Leitsysteme der Feuerwehr. Über eine Kommune wurde versucht von dort aus auf Systeme der Länder oder des Bundes zuzugreifen. Diese Zugriffsversuche gibt es natürlich täglich auch direkt auf die IT des Bundes und der Länder.
Hier zeigt sich aber genau das Szenario, welches die Kommunalen Spitzenverbände bei der Beratung der IT-Sicherheitleitlinie im März 2013 im IT-Planungsrat aufzeigten. Es ist immer das kleinste Glied in der Kette, welches die gesamte Stabilität von Sicherheitssystemen ins Wanken bringen kann. Bekanntlich hatte der IT-Planungsrat es abgelehnt, die Sicherheitsleitline auch für die Kommunen als verbindlich zu erklären. Es bestand und besteht offenbar weiterhin die Sorge, dass bei der verpflichtenden Anwendung der Leitlinie durch die Kommunen die Konnexität greift und damit die Länder zahlungspflichtig werden. Den Kommunen wurde lediglich empfohlen, die Leitlinie für die Informationssicherheit freiwillig anzuwenden. Die Entscheidung des IT-Planungsrat, die Kommunen aus der Verpflichtung herauszunehmen, war falsch. Die Kommunen verfügen über einen enormen und sensiblen Datenbestand. Datenschutz und Datensicherheit sind ein elementares Recht der Bürgerinnen, Bürger und der ansässigen Unternehmen und müssen von allen Ebenen sichergestellt werden. Hier gilt höchste Sensibilität.
In der Landtagsanhörung wurde darauf hingewiesen, dass ein effektives Sicherheitskonzept und die qualifizierte Umsetzung von IT-Sicherheitsmaßnahmen oft wichtiger sind, als technische Programm-Merkmale. Mehr Aufmerksamkeit sollte auf der kommunalen Ebene auch der Datensparsamkeit und Datenvermeidung gewidmet werden. Grundsätzlich sei eine dezentrale Struktur einer zentralen Struktur vorzuziehen. Ebenso müssten auf der Basis eines Datenschutzprogramms regelmäßige Kontrollen durchgeführt werden.
Ein erster Schritt sollte sein, sich in den Kommunen dem heutigen Stand der Technik und der Regularien entsprechend den gültigen BSI-Standards aufzustellen. Die Kommunen genießen bei den Bürgerinnen und Bürger großes Vertrauen. Dieses Vertrauen muss sich auch in der Frage der Datensicherheit und des Datenschutzes widerspiegeln. Erkannte Schwachstellen sollten schnell bereinigt werden. Höchste Aufmerksamkeit in IT-Sicherheitsfragen gehören oben auf die Tagesordnung.