Björn Franken zu TOP 20 „Kommunale IT-Sicherheit sicherstellen – Aufbau eines zentralen Kommunal-CERT“

24.03.2021

Anrede Präsidium,
liebe Kolleginnen und Kollegen,

das vergangene Jahr hat uns allen deutlich vor Augen geführt, wie wichtig die digitale Vernetzung untereinander ist.
Sei es im privaten oder beruflichen Umfeld - die Corona-Pandemie hat in vielen Bereichen zu einem regelrechten „Digitalisierungs-Schub“ geführt.
Diese Zunahme wie auch die Akzeptanz digitaler Prozesse ist zweifelsohne sehr zu begrüßen.

Allerdings birgt der technologische Wandel neben seinen vielen Chancen immer auch Risiken:
Cyberkriminalität ist längst nicht mehr nur ein futuristisches Konstrukt aus Hollywood-Blockbustern – sie ist Realität:
Wie wichtig Sicherheit und Schutz hochsensibler personenbezogener Daten ist, zeigt die quantitative und qualitative Zunahme von „Cyber-Angriffen“: Netze, Daten und IT-Systeme werden immer öfter das Ziel staatlicher und nichtstaatlicher Cyberkrimineller.

Schauen wir uns bisherige Cyber-Angriffe genauer an, wird sehr schnell deutlich, wo sich ein immer häufigeres Ziel, aber auch eine Schwachstelle innerhalb unserer Informationstechnik befindet: In den kommunalen Einrichtungen!

Um Ihnen zwei Beispiele zu nennen:

1. Im September 2020 haben Hacker die technische Infrastruktur der Düsseldorfer Uniklinik lahmgelegt. Dieser Vorfall hat ein Menschenleben gekostet. Und es hat Tage gedauert, die IT-Systeme wiederherzustellen.

2. Im Juni 2020 haben Hacker die Server der Kölner Universitäts- und Stadtbibliothek angegriffen. Für mehrere Tage mussten die Server vom Netz genommen werden.

3. Gerade kommunale Verwaltungen werden immer öfter Ziel der Kriminellen: Laut Städtetag zählten die Datenschutzbeauftragen von Bund und Ländern 2019 bundesweit eine dreistellige Zahl von erfolgreichen Angriffen mithilfe der Schadsoftware.

Mit CERT-Bund und CERT-NRW (also der schnellen Eingreiftruppe bei Cyberangriffen) sind wir bereits gut aufgestellt: Die beiden Computer Emergency Response Teams sind von zentraler Bedeutung, um auf Bundes- und Landesebene die Cybersicherheit der kritischen Infrastrukturen zu gewährleisten.


In unseren insgesamt 396 Kommunen zeichnet sich hingegen ein anderes Bild ab:
Mit „civitec“ existiert lediglich ein einziges CERT auf kommunaler Ebene. Und dieses arbeitet weitgehend isoliert.
Die heterogenen Konstrukte unserer regionalen IT-Dienstleistern stellen ein weiteres Sicherheitsrisiko dar.

Der Cyberangriff auf eine städtische Behörde oder Einrichtung überfordert die lokalen Entscheidungsträger und kann sich sehr schnell zu einem landesweiten Sicherheitsproblem entwickeln, da viele kommunale Behörden und Verwaltungen untereinander vernetzt sind.

Und genau hier setzt der vorliegende Antrag an:
Unser Ziel ist es, auf der Basis vorhandener Strukturen, die Kommunen dabei zu unterstützen, ein zentrales Sicherheitssystem aufzubauen, indem die Landesregierung:

1. die Kommunen beratend unterstützt, zum Beispiel bei der IT-Ausstattung, der entsprechenden Nutzung oder den personellen Notwendigkeiten;

2. den Kommunen das IT-Grundschutz-Kompendium des BSI als Grundlage im Umgang mit hochsensiblen und personenbezogenen Daten anempfiehlt;

3. anstrebt, dass perspektivisch das
IT-Sicherheitsgesetz 2.0 die digitalen Infrastrukturen der Kommunalverwaltungen aufnimmt;

4. die Kommunen dabei unterstützt, einem kommunales CERT aufzubauen, welches in den Landes-CERT-Verbund aufgenommen wird. Hierfür sollen die Kommunen die Dienstleistungen des CERT-NRW in Anspruch nehmen können.

Meine sehr verehrten Damen und Herren, seit der vergangenen Woche unterstützt das Land NRW kleine und mittlere Unternehmen mit dem Kompetenzzentrum DIGITAL.SICHER.NRW dabei, ihre Cybersicherheit zu verbessern. Lassen Sie uns jetzt das letzte Stück des Puzzles zusammensetzen und unsere Kommunen unterstützen.

Ich danke für Ihre Aufmerksamkeit!

Autoren