Aus (historischen) Fehlern lernen:
Ende Oktober 2023 wurde ein Hackerangriff auf die Südwestfalen IT verübt. In der Konsequenz sind über hundert Verwaltungen davon betroffen. Abhängig vom Nutzungsgrad der Angebote wurden teilweise ganze Verwaltungen lahmgelegt. Ab Mitte Dezember 2023 sollte ein Betrieb von priorisierten Fachanwendungen ermöglicht werden. s.a. https://notfallseite.sit.nrw/
Ob jemand mit einem Cyberangriff konfrontiert wird, ist nicht mehr eine Frage des ob, sondern vielmehr eine Frage des wann. Deshalb ist es unbedingt erforderlich, sich darauf vorzubereiten. Allerdings ist ein Cyberangriff kein reines IT Problem. Natürlich hat die IT dafür Sorge zu tragen, dass nach einem erfolgten Cyberangriff die IT schnellstmöglich wieder ans Laufen gebracht wird. Allerdings geht bei der Reanimation Sicherheit vor Geschwindigkeit. Schließlich ist es fatal, nach kurzer Zeit auf Grund derselben Attacke erneut befallen zu werden. Vielmehr ist es die Aufgabe einer jeden Verwaltung, sich Gedanken über die Geschäftsfortführung zu machen. (BCM - Business Continuity Management) Das BSI liefert hier im Ansatz mit seinem Standard 200-4 eine Hilfe, die jedoch in die Praxis umgesetzt werden muss. Die entsprechenden Lösungen sind da für jede Verwaltung unterschiedlich - je nachdem, ob ein Verfahren selber gehostet wird oder ein kommunaler Dienstleister Hilfsmöglichkeiten anbieten kann.
Ist jedoch ein kommunaler Dienstleister von einer Cyberattacke betroffen, sind die Auswirkungen gravierend. Auch der WDR berichtet zu dem Thema (s.a. https://www1.wdr.de/nachrichten/landespolitik/vorwurf-hackerangriff-suedwestfalen100.html).
Auf die dort angeführten Schuldzuweisungen werde ich - unabhängig davon, dass diese nicht zielführend sind - nicht eingehen. Allerdings werden zwei weitere Aspekte genannt, die auch zukünftig zu Fehlern führen können:
Kommunale IT-Dienstleister liefern alles aus einer Hand.
Jede Verwaltung muss im Rahmen der kommunalen Selbstverwaltung eigenständig entscheiden, wie sie ihre Aufgaben wahrnimmt. Bei dem Hosting von IT-Verfahren liegt es auf der Hand, dass es unwirtschaftlich ist, alle Fachverfahren selber zu hosten. Schließlich ist eine Kommunalverwaltung kein Unternehmen, welches Produkte verkauft und deshalb einen 1a-Shop benötigt oder Versicherungen vertreibt und deshalb entsprechende Software für die Verwaltung von Versicherungsverträgen benötigt. Vielmehr ist eine Kommunalverwaltung ein Konzern, der für viele unterschiedlichste Aufgaben zuständig ist und im Rahmen des Datenschutzes viele Daten aus den unterschiedlichen Verfahren nicht verknüpfen darf. So sind - u.a. historisch gewachsen - viele IT-Verfahren für alle unterschiedlichen Aufgaben im Einsatz. Die Nutzung eines kommunalen IT-Dienstleisters in Bezug auf das Hosting von IT-Verfahren ist demnach sinnvoll und auch wirtschaftlich. Dass neben dem reinen Hosting von IT-Verfahren auch die Bündelung weiterer Bedarfe sinnvoll ist (z.B. Einkauf), sollte nicht in Frage gestellt werden. Für die IT-Sicherheit wiederum ist ebenfalls jede Verwaltung eigenständig verantwortlich. Natürlich muss eine Beratung auch in Abstimmung mit dem kommunalen IT-Dienstleister erfolgen. Auch - aber nicht nur!
In NRW wurde aktuell ein Prozess initiiert, die kommunalen IT-Dienstleister neu zu organisieren. Im Gegensatz zu sehr vielen anderen Bundesländern gibt es in NRW derzeit über 30 kommunale IT-Dienstleister. Der Trend geht zur weiteren Konsolidierung. In der technischen und wirtschaftlichen Diskussion sind die Argumente nachvollziehbar. In Bezug auf Präventivmaßnahmen sollte aber die Cyberattacke auf die Südwestfalen IT dafür sorgen, dass entsprechende Redundanzen pflichtig werden und ein erfolgreicher Angriff auf einen kommunalen Dienstleister dann nicht mehr so gravierend ausfällt.
Die Aktivitäten der Digitalministerin NRW
Es ist über alle Maßen löblich, dass das Land NRW die Kommunen besser unterstützen will. Allerdings ist die Digitalministerin wahrscheinlich falsch befragt worden. In Bezug auf eine Cyberattacke geht es nicht um den Fortschritt einer Digitalisierung. Ihre Antwort lässt die Vermutung zu, dass die Thematik eher in Richtung Umsetzung des Onlinezugangsgesetzes sowie weiterer Digitalisierung (z.B. Einführung von Dokumentenmanagementsystemen) ging. In dieser Beziehung hat die Digitalministerin absolut richtig geantwortet. Da jede Verwaltung überwiegend das Rad selber neu erfinden muss, sind erhebliche unterschiedliche Bearbeitungsstände vorhanden. Ebenfalls ist auf diesem Sektor noch viel zu tun.
All dies hat aber nichts mit der Cyberattacke auf die Südwestfalen IT zu tun. Ist eine einzelne Verwaltung von einer Cyberattacke betroffen, muss sie zusehen, wie sie ihre Aufgaben weiterhin wahrnehmen kann. Das kann nicht mal eben geschehen, sondern muss frühzeitig vorbereitet werden, da diese Planung für jede Aufgabe vorzunehmen ist. Möglich sind Hilfestellungen durch den Dienstleister oder andere Verwaltungen.
Wird jedoch ein kommunaler IT Dienstleister kompromittiert, ergeben sich ganz andere Konsequenzen. Ein kompletter Zugriff auf die Datenbestände der gehosteten IT-Verfahren ist von keinem Ort für lange Zeit mehr möglich. Hiervon ist eine ganze Region (nicht nur eine Stadt, eine Gemeinde oder ein Kreis) betroffen. Am Beispiel der Südwestfalen IT gab es Genehmigungen durch Regierungspräsidien, dass KFZ in anderen Städten (die ihre Verfahren nicht bei der Südwestfalen IT hosten) angemeldet werden können. Ferner besteht die Möglichkeit, Ausweisdokumente in anderen Städten auszustellen - wenn auf die Daten zugegriffen werden kann.
Es ist fatal, diesen möglichen bunten Strauß an Ausweichmöglichkeiten jetzt nicht zu sammeln. Leider reagiert das Land bisher nicht. Weder hilft es den betroffenen Verwaltungen noch - davon ist leider auch auszugehen - wird ein Essay erstellt, um Lösungsmöglichkeiten gesammelt zur Ferfügung zu stellen.
Mitte Januar (09.01.2024) sieht man immer noch Notfall-Homepages von betroffenen Verwaltungen, die in unterschiedlichster Qualität gestaltet sind. Grundsätzlich ist das nicht schlimm; allerdings wird auf viele Notfall-Homepages nicht automatisiert weitergeleitet. Ebenfalls findet man bei einigen eingerichteten Weiterleitungen nur die Informationen der SIT-Notfallseite. Als Mitte Oktober 2023 das Ausmaß der Katastrophe absehbar war, haben viele Verwaltungen Notlösungen geschaffen. Einige haben es aber bis heute nicht geschafft, für eine schnelle Kommunikation (z.B. Fax) zu sorgen; zumindest ist die Faxnummer nicht so einfach zu finden. Das hat aber nichts mehr mit fehlenden IT-Fachkräften zu tun.
