IT-Sicherheit der öffentlichen Verwaltung in Niedersachsen stärken
IT-Sicherheit der öffentlichen Verwaltungen in Niedersachsen stärken
In der letzten Zeit nahmen Cyberangriffe gegen öffentliche Einrichtungen zu. Besonders häufig waren sogenannte Ransomware-Attacken, vor allem auch gegen kommunale Verwaltungen. Bei solchen Angriffen kompromittieren Cyberkriminelle die IT-Systeme einer Einrichtung und erpressen dann Lösegeld, nach dessen Zahlung die Verbrecher der Einrichtung wieder Zugriff auf ihre Systeme gewähren.
Während das IT-Sicherheitsgesetz (ITSIG) sowie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) die Informationssicherheit für die Einrichtungen des Bundes sowie für kritische Infrastrukturen in vielen Bereichen regelt, bestehen in Niedersachsen für die Landesverwaltung trotz des Niedersächsischen Gesetzes über digitale Verwaltungen und Informationssicherheit (NDIG) und die kommunalen Verwaltungen umfangreiche Regelungslücken. Die Freien Demokraten Niedersachsen fordern daher die Stärkung der IT-Sicherheit für die öffentlichen Verwaltungen des Landes Niedersachsen sowie insbesondere auch der Landkreise, Städte und Gemeinden.
Neue IT-Sicherheitsregelungen für Niedersachsen
Das Land Niedersachsen soll eine zentrale Einrichtung für die Sicherheit in der Informationstechnik einrichten bzw. eine bestehende Organisation wie Niedersachsen-CERT (N-CERT) oder IT.Niedersachsen (IT.N) zu einer solchen ausbauen, die in ähnlicher Weise zum Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheit der Einrichtungen des Landes sicherstellt und zusätzlich die kommunalen Verwaltungen berät und unterstützt. Diese zentrale Einrichtung soll eine eigene Abteilung haben, die ausschließlich für die IT-Sicherheit der Kommunen zuständig ist, sodass alle Städte und Gemeinden Niedersachsens eine direkte Ansprechstelle erhalten. Die Einrichtung soll wie die Landesdatenschutzbehörde unabhängig von der Landesregierung sein. Eine Kooperation mit der Landesbeauftragten für Datenschutz bietet sich an.
Die zentrale Einrichtung soll dabei auf einheitliche IT-Sicherheitsstandards für die Landes- und kommunalen Verwaltungen hinwirken und dazu die Standards des BSI übernehmen bzw. eigene festlegen falls nötig. Alle Kommunen sollen in ein verpflichtendes IT-Sicherheitsnetzwerk eingebunden werden, das den Austausch technischer Ressourcen und Know-how ermöglicht. Es sollen außerdem die Möglichkeiten für automatisierte IT-Sicherheit durch Künstliche Intelligenz geprüft und vorangetrieben werden.
Wesentliche Maßnahmen sollen regelmäßige unabhängige Prüfungen durch Dritte (IT-Sicherheitsaudits und Penetrationstests) sowie Transparenzberichte über den Zustand und die Umsetzung der IT-Sicherheit der jeweiligen Einrichtungen darstellen. Ein jährlicher Transparenzbericht über den Stand der IT-Sicherheit aller Landes- und Kommunalverwaltungen soll verpflichtend veröffentlicht werden, um Rechenschaftspflicht und Transparenz zu gewährleisten. Jedes Jahr soll außerdem eine IT-Sicherheitsampel veröffentlicht werden, die den Sicherheitsstatus aller Behörden und Kommunen aufzeigt (grün, gelb, rot). Dafür sind entweder in einem neuen IT-Sicherheitsgesetz oder durch Novellierung des NDIG vergleichbare Regelungen wie in §8 BSIG zu treffen. Bei den kommunalen Verwaltungen soll die Einrichtung beratend und unterstützend bei der Entwicklung von IT-Sicherheitskonzepten helfen und dabei auf die individuellen Gegebenheiten in den Landkreisen, Städten und Gemeinden eingehen. Für durch Cyberattacken hervorgerufene Notlagen in den öffentlichen Verwaltungen des Landes und der Kommunen sollen praktische Handlungsanleitungen und Notfallpläne für Cyberattacken vorgehalten werden. Die zentrale Einrichtung soll in solchen Gefahrensituationen Personal für die Wiederherstellung der Funktionsfähigkeit der öffentlichen Verwaltung des Landes und der Kommunen bereitstellen.
Die Einrichtung soll des Weiteren ein Bug Bounty-Programm durchführen, bei dem White Hat-Hacker für das Melden oder Aufdecken unbekannter IT-Sicherheitslücken im Responsible-Disclosure-Verfahren mit den betroffenen Stellen durch eine finanzielle Prämie vergütet werden. Das Programm soll an das BSI-Meldewesen angebunden werden.
Cyber-Angriffe sind ebenfalls eine zunehmende und ernste Bedrohung für alle niedersächsischen Unternehmen. Deshalb soll die Einrichtung auch eine Beratungsstelle für niedersächsische Unternehmen zum Schutz vor Cyberangriffen anbieten.
Die Freien Demokraten Niedersachsen fordern, dass die gesetzlichen Regelungen, die es den öffentlichen Verwaltungen verbieten, Lösegeld an Cyberkriminelle auszuzahlen, konkreter gefasst und vor allem deutlicher an Behördenleitungen und Öffentlichkeit kommuniziert werden. Das könnte dazu beitragen, dass Angriffe gegen öffentliche Einrichtungen für Kriminelle weniger attraktiv erscheinen. Zusätzlich fordern die Freien Demokraten Niedersachsen die Einführung einer Anti-Ransomware-Richtlinie, die präzise Schritte zur Sicherung von Daten und zur schnellen Wiederherstellung im Falle eines Ransomware-Angriffs vorschreibt. Regelmäßige Backup-Überprüfungen und redundante Server-Standorte sollen sicherstellen, dass Daten im Ernstfall sofort wiederhergestellt werden können.
Des Weiteren fordern die Freien Demokraten Niedersachsen, die Ausbildung von IT-Sicherheitsfachkräften in Niedersachsen zu stärken. Dabei sollen sowohl die berufliche als auch die hochschulische Ausbildung gefördert werden. Darüber hinaus sollen duale Studiengänge für Cybersicherheit in Zusammenarbeit mit Hochschulen und Unternehmen entwickelt werden, um den Fachkräftebedarf im öffentlichen Dienst und der niedersächsischen Wirtschaft gezielt zu decken. Um hochqualifizierte IT-Spezialistinnen und IT-Spezialisten langfristig für den öffentlichen Dienst zu gewinnen, müssen wettbewerbsfähige Gehälter und Zusatzleistungen bereitgestellt werden. Dazu sind neue Vergütungsregelungen zu entwickeln und in den Tarifvertrag für den Öffentlichen Dienst der Länder einzubringen.
Außerdem fordern die Freien Demokraten Niedersachsen das Land Niedersachsen dazu auf, den Aufbau einer Cybersecurity-Sparte im Technischen Hilfswerk (THW) auf Bundesebene in Anlehnung an das Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen der AG KRITIS zu unterstützen. Die Cybersecurity-Sparte des THW soll es ermöglichen, dass freiwillige und ehrenamtliche IT-Sicherheitsexpertinnen und -experten in akuten digitalen Gefahrenlagen die Sicherheit und Funktionsfähigkeit öffentlicher Verwaltungen und kritischer Infrastrukturen in Zusammenarbeit mit den Einrichtungsleitungen und Betreibern wieder herstellen können. Die Ehrenamtlichen sollen in so einer Lage von ihrer Arbeit freigestellt werden können und den Arbeitgebern der Arbeitsausfall entschädigt werden.
Um die Bevölkerung umfassend über Cybersicherheit aufzuklären, fordern die Freien Demokraten Niedersachsen eine Offensive zur Bürgeraufklärung. Zivilgesellschaftliche Organisationen sollen finanziell gefördert werden, um gezielte Aufklärungsarbeit zu leisten. Eine jährliche IT-Sicherheits-Woche soll Bürger über Cybersicherheit informieren und ihnen praktische Tipps geben. Außerdem soll ein Online-Bürgerportal eingerichtet werden, das niederschwellige Sicherheitstipps und Notfallkontaktstellen bietet.
Cybersecurity in den Kommunen stärken
Die IT-Sicherheit der Verwaltungen in den Landkreisen, Städten und Gemeinden kann am effektivsten durch eine Stärkung des Personals für diesen Zuständigkeitsbereich erzielt werden. Das Land unterstützt die Kommunen durch Bereitstellung entsprechender Ressourcen. Denn schon mit der regelmäßigen Wartung von IT-Systemen können viele und wesentliche Sicherheitslücken geschlossen werden. Darum sollten die Kommunen mehr Personalstellen für IT-Sicherheit ausweisen und dem Bereich in ihren Verwaltungen eine starke Position einräumen. Die IT-Sicherheitsfachkräfte sollen dann mindestens entsprechend dem IT-Grundschutzprofil Basisabsicherung Kommunalverwaltung des BSI sowie weitergehenden Anforderungen der landeseigenen Einrichtung für Sicherheit in der Informationstechnik Sicherheitskonzepte entwickeln, die ausreichend hohe Mindestsicherheitsstandards in allen Bereichen ihrer Verwaltungen sowie Notfallpläne für Sicherheitsvorfälle vorsehen, und die entsprechenden technischen und organisatorischen Maßnahmen umsetzen. Besser noch ist es, wenn sich das Sicherheitsniveau an der neuen NIS2-Richtlinie der EU orientieren.
Um dem personellen und finanziellen Aufwand gerecht werden zu können, können sich Kommunen übergreifend in kooperativen Zusammenschlüssen organisieren, in denen sowohl Personal und Wissen als auch technische Lösungen geteilt werden könnten.