PITS 2021
Behörden Spiegel / Oktober 2021
E
in Streitpunkt unter Experten ist der Umgang mit Infrastrukturen, die nicht den KRITIS-Schwellenwerten entsprechen und dennoch von struktureller Relevanz für Bund und Länder sind. Daniel Kleffel, Präsident des bayerischen Landesamts für Sicherheit in der Informationstechnik, erklärt: “Es ist wichtig, auch Sub-KRITISUnternehmen zu schützen. Viele Krankenhäuser fallen nicht unter die KRITIS-Schwellenwerte, sind aber trotzdem anfällig für Attacken auf deren digitale Infrastruktur.” Hier braucht es seiner Meinung nach mehr Freiheiten für die einzelnen Länder, Sicherheitsvorgaben auch für diese Infrastrukturen zu formulieren. Dem kann sich auch Martin Schallbruch, Direktor des Digital Society Instituts der ESMT Berlin, anschließen: “Ich glaube, die Länder sollten eigene ITSicherheitsgesetze haben. Was beispielsweise Baden-Württemberg und Bayern gerade machen, ist gesetzlich etwas breiter angelegt, enthält aber Dinge, die es auch für die Bundesverwaltung im Sicherheitsgesetz gibt. Beispielsweise die datenschutzrechtliche Ermächtigung zu Zwecken der IT-Sicherheit, die man in den Ländern auch braucht. Und auch der Schutz der Landverwaltung kann und sollte so geregelt werden.” Er warnt allerdings vor dem Begriff und einer Definition von Sub-KRITIS. Dies würde neue Schwellwerte mit sich bringen und die Meldepflicht noch komplexer machen. “Bereits jetzt sa-
Zwischen Mensch und Technik “Cyber-Sicherheit ist ein Kostenfaktor, aber die Kosten durch Schäden sind höher” (BS/Malin Jacobson) Immer wieder werden neue Gesetze bezüglich der Digitalisierung und deren Sicherheit verabschiedet, wie zuletzt das ITSicherheitsgesetz 2.0 – aber wie kommen diese Regularien bei den ausführenden Organisationen an? Erhöhen sie die Sicherheit oder den Verwaltungsaufwand? Und wo sind allgemeine Sicherheitslücken zu verorten? kräfte beziehungsweise generell Mitarbeitenden bieten jedoch noch Grundlage für eine weitere Diskussion, die der Sicherheit. Dr. Kai Buchholz-Stepputtis, Security Consultant bei G4C German Competence Centre against Cybercrime, erklärt: “Homeoffice ist eines der größten Risiken. Die Angestellten schließen ihre Arbeitslaptops ans Heimnetzwerk an und kommen so in Kontakt mit Alexa, ihrem Fernseher, der Spülmaschine und der Heimbeleuchtung. Das ist ein Zoo an digitalen Endgeräten und damit das perfekte Einfallstor für Externe.”
Angestellte als Risiko
Diskutierten über die beste Herangehensweise zum Schutz von Unternehmen, die nicht die KRITIS-Schwellenwerte reißen: Daniel Kleffel (l.) und Martin Schallbruch. Foto: BS/Dombrowsky
tendenziell später gemeldet werde, wenn es Probleme gebe. “Man darf auch nicht vergessen, das eine sind Gesetze, das andere sind IT-Sicherheitsrichtund Leitlinien, welche oftmals komplementär zueinander sind,” argumentiert Ralf Stettner, Abteilungsleiter Cyber- und IT-Sicherheit, Verwaltungsdigi-
Ralf Stettner, CISO der hessischen Landesverwaltung, brach eine Lanze für mehr horizontales und vertikales Miteinander im Kampf für ein besseres Cyber-Sicherheitsniveau. Foto: BS/Dombrowsky
gen viele Unternehmen, dass die informelle Zusammenarbeit mit dem Bund besser war, bevor wir die Meldepflicht hatten”, führt Schallbruch aus. “Jetzt ist es ein Compliance-Thema. Bevor ein Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stattfinden kann, muss jeder bei sich im Haus alle möglichen Organisationseinheiten einbinden, um zu prüfen, ob es eine Rechtspflicht gibt.” Und das führe dazu, dass
talisierung im Hessischen Ministerium des Innern und für Sport sowie CISO der hessischen Landesverwaltung. In Hessen werde in Form von Angeboten, Prävention und Beratung bereits viel für Sub-KRITIS, beispielsweise Verwaltung, Wirtschaft, Wissenschaft und Bildung, gemacht.
Fachkräftemangel Auch der Umgang mit personellen Ressourcen ist umstritten. Über eine Blaupause zu definie-
ren, wie viel Kompetenz vor Ort je nach Größe der Kommune vorgehalten werden muss, schlägt hier Matthias Zimmermann, Competence Center IT-Security (CCITS), Leitung CERT/SOC beim Bundeswirtschaftsministerium, vor. Und er warnt: “In dem Moment, in dem wir die Menschen lokal binden, werden sie auf Bundesebene nicht verfügbar sein.” Diese Gefahr sieht auch Stettner und fordert daher, auch auf kommunaler Ebene mit Verbünden, mit Landesmitarbeitern oder mit Bundeskompetenzen die geforderten Strukturen umzusetzen. Kleffel argumentiert dagegen: “Wenn ich IT betreibe, brauche ich jemanden vor Ort, der sich kümmert, der Ansprechpartner ist und seine Systeme kennt. Sonst sieht ein Mitarbeitender vor Ort lediglich eine Fehlermeldung, kann diese nicht richtig interpretieren und somit auch nicht an die richtigen Stellen weiterleiten.” Da könne das BSI aus der Ferne nicht helfen. Konkret schlägt der Präsident des bayerischen Landesamtes für Sicherheit in der Informationstechnik vor, die faktische Kompetenz der Fachkräfte höher zu bewerten als die formale. “Wenn der Hauptschüler wunderbarer IT-Spezialist ist und er hat keinen Master-Abschluss, sollte man überdenken, ob man ihm nicht doch entsprechende Aufgaben beimisst. Wir müssen völlig anders denken im Bereich der Akzeptanz von Bildungsabschlüssen.” Zudem seien Studi-
Der Fachkongress Deutschlands für IT- und Cybersicherheit bei Staat und Verwaltung
PITS 2022: 25.–26. Oktober 2022, Hotel Adlon, 10117 Berlin
Foto: ©metamorworks - stock.adobe.com
e t a D e h t e v Sa
Eine Veranstaltung des
Seite 41
www.public-it-security.de
engänge zu Cyber-Sicherheit, Digitalisierung und IT-Sicherheit vollkommen heterogen und er empfiehlt, schon bei der Ausbildung stärker anzusetzen und die Leute an den Staat als Arbeitsgeber zu binden. Jochen Michels, Head of Public Affairs Europe bei Kaspersky, empfiehlt, sogar noch früher anzusetzen: “Coden muss – wie Lesen, Schreiben, Rechnen – eine Schlüsselqualifikation werden.” Dafür sei es notwendig, die Gesellschaft allgemein zu sensibilisieren und zu befähigen. Sowohl was den Nutzen der IT als auch deren Gefahren angehe. Die Fach-
Dagegen argumentiert Frank Moses, Leiter Technischer Datenschutz bei der Landesbeauftragten für Datenschutz und Informationsfreiheit des Saarlandes, auch die Büros seien nicht so viel sicherer als die Heimnetzwerke. Und auch bei physischen Gefahren, wie Hochwasser, wüssten die Menschen nur bis zu einem gewissen Grad, wie man sich davor schützen könne. In der IT sei das Unwissen noch sehr viel größer, deswegen wäre hier auch ein guter Ansatzpunkt, zu reformieren und die allgemeine Sicherheit durch Schulungen zu erhöhen. Eine andere Taktik vertritt Markus Wiegand, Stellvertretender Leiter am Hessen Cyber Competence Center. Seiner Meinung nach wird man nie in die Lage kommen, alle Sicherheitslücken zu schließen. Stattdessen müsse man “mit Kä-
sescheiben arbeiten, sprich die Löcher so verteilen, dass man nirgendwo durch alle Scheiben durchkommt”. Und wenn es dann doch zu Fehlermeldungen und erfolgreichen Cyber-Angriffen kommt? Peter Vahrenhorst, Kriminalhauptkommissar beim Landeskriminalamt Nordrhein-Westfalen, weiß: “Grundsätzlich erfahren wir recht früh von Gefahrensituationen und können entsprechend schnell reagieren. Allerdings muss sich die Gesellschaft noch dahingehend weiterentwickeln, Vorfälle schnell an die Öffentlichkeit zu melden, um andere zu warnen, statt zu glauben, Opfer von Cyber Crime zu sein, sei schlecht fürs Geschäft.” Außerdem plädiert der Kriminalhauptkommissar dafür, stärker die Strukturen zu nutzen, die bereits vorhanden sind. Mit Dienstwagen fahre man schließlich auch in eine Werkstatt und versuche nicht, in jeder Behörde einen eigenen Mechatroniker für solche Fälle vorzuhalten. Das ginge analog auch in der IT. Dann müssten die Behörden sich nicht gegenseitig die Fachkräfte wegnehmen, sondern könnten gemeinsam und nach Bedarf auf diese zugreifen.
Ende des Spartendenkens Sowohl bei den Fachkräften als auch beim Informationsaustausch sehen alle Beteiligten eine stärkere Zusammenarbeit zwischen allen Beteiligten als notwendig an. Stettner: “Wir brauchen ein allgemeines Miteinander – horizontal und vertikal. Alle müssen Antreiber der Digitalisierung sein, dann kann man pragmatisch sehr viel erreichen.” Ergänzend plädiert Michels für ein Ende des Spartendenkens und warnt: “Cyber-Sicherheit ist ein Kostenfaktor, aber die Kosten durch Schäden sind um ein Vielfaches höher.”
