Was ist das Schlimmste, was einem neu gewählten Bürgermeister passieren kann? Am ersten Tag kommt es zu einer Krise. In Zeiten der Digitalisierung wird es wahrscheinlicher, dass die Krise durch einen Informationssicherheitsvorfall ausgelöst wird. Hackerangriff, Datenverlust, verschlüsselte Rechner oder gleich ein Sabotageakt, der Stromversorgung oder Datennetz betrifft.
Klingt unwahrscheinlich? Der damals neu gewählte Landrat von Anhalt-Bitterfeld ist sicher anderer Meinung. Sein "Schicksal" ging 2021 durch die nationale Presse. Er übernahm inmitten eines Katastrophenfalls - ausgelöst durch einen Hackerangriff, der weitreichende Folgen für die Arbeitsfähigkeit seiner Verwaltung hatte. Das spannende an solchen Vorfällen in der öffentlichen Verwaltung. Sie werden öffentlichkeitswirksam aufgearbeitet - selbst wenn IT-forensische Details unter Verschluss bleiben. Alle, die bisher verschont geblieben sind, können daraus etwas lernen und sich selbst besser vorbereiten. Hier kann man beispielsweise nachlesen, welche Überlegungen aus dem Vorfall in Anhalt-Bitterfeld entstanden sind, um Informationssicherheit in Landes- und Kommunalverwaltungen nachhaltiger und zentraler zu betreiben.
Wie es ist, wenn man als Bürgermeisterin am ersten Arbeitstag gleich einen Cyberangriff zu "managen" hat, kann man im Podcast Kleinstadtniveau hören. Claudia Brandes sagt: „Ich wusste sofort: Ich kann die Technik nicht reparieren. Aber ich kann Haltung zeigen – und Orientierung geben.“
Wenn man sich bewusst macht, dass jederzeit ein Angriff erfolgen kann, sollte es selbstverständlich sein, sich darauf vorzubereiten. Es geht längst nicht mehr nur um Firewalls und Passwörter – es geht um Haltung, Kommunikation und gemeinschaftliches Bewusstsein. Meldeketten, analoge Kontaktlisten und ein kleiner Pool an funktionstüchtiger "Back-up"-Arbeitsplatzausstattung kann im Ernstfall entscheiden, ob der Vorfall zur Krise oder gar zur Katastrophe wird. Nur wenn Mitarbeiter und Führungskräfte klar definierte Verantwortlichkeiten haben, Prozesse nachvollziehbar sind und eine offene Fehler- und Meldekultur gelebt wird, kann die (digitale) Handlungsfähigkeit auch im Ernstfall erhalten bleiben.
Im Blogbeitrag der Amtshelden: „Cybersicherheit in Behörden – warum Vorbereitung der beste Schutz ist“ werden 10 wichtige Punkte für Cybersicherheit in Behörden aufgezeigt. Einiges davon haben auch wir im vergangenen Monat immer wieder betont.
Wir sind überzeugt, dass die meisten Verantwortlichen in den Kommunen das Thema kennen. Aber: Bewusstsein allein reicht nicht. Jede Stadt, jede Gemeinde, jede Behörde muss handeln! Am besten zielgerichtet und strukturiert. Als etabliertes Vorgehensmodell für mehr Informationssicherheit kann WiBA ein Startpunkt sein. In Sachsen muss auch jede Behörde einen Beauftragten für Informationssicherheit (BfIS) benennen. Das Sächsische Informationssicherheitsgesetz lässt dabei ausdrücklich die Möglichkeit der interkommunalen Zusammenarbeit zu. Gerade, weil Informationssicherheit alle angeht, kann es zielführend sein, einen gemeinsamen BfIS zu haben, der sich die Ist-Situation ansieht, gemeinsam mit den Verantwortlichen das zu erreichende Sicherheitsniveau definiert und berät, wenn es darum, die dafür notwendigen Schutzmaßnahmen umzusetzen.
Dabei gilt: Ein angemessenes Informationssicherheitsniveau für die eigene Behörde sicher zu stellen, ist kein Projekt sondern eine Daueraufgabe. Nach den geschilderten Erlebnissen von Bürgermeisterin Claudia Brandes im Podcast sagen wir mit ihr: Cybersicherheit ist Kulturarbeit.