Die IT-Sicherheitslage in Deutschland ist besorgniserregend. Nicht nur private Unternehmen, sondern auch Kommunen sind massiv von Cyber-Angriffen betroffen, die immer wieder erfolgreich sind. Im Dezember traf es über 100 Kommunen in Südwestfalen, wo die Bürger noch wochenlang Einschränkungen hinnehmen müssen. Zu den jüngsten Opfern gehören auch Universitäten, Versicherungen und, wie erst vorgestern, Kliniken. Bundesweit waren auch Handwerkskammern betroffen. Ursache: Versäumnisse in der IT-Sicherheit.
Von der Politik ist offensichtlich keine Hilfe zu erwarten.
Auf EU-Ebene ist vor einem Jahr eine neue Richtlinie zur Netz- und Informationssicherheit (NIS2) in Kraft getreten. Damit gelten neue Cybersicherheitsregeln für Unternehmen, öffentliche Einrichtungen und Behörden, die von zentraler Bedeutung sind.
Auf nationaler Ebene ist der IT-Planungsrat das zentrale politische Steuerungsgremium für die Digitalisierung der öffentlichen Verwaltung. Seine Aufgabe ist es, wirksame Lösungen für Bund, Länder und Kommunen sowie Behörden und Einrichtungen zu erarbeiten.
Im November vergangenen Jahres hatte der IT-Planungsrat Bund und Länder aufgefordert, die EU-Richtlinie zur Cybersicherheit nicht umzusetzen. Der Grund dafür dürfte ein finanzielles Problem sein. Informationssicherheit ist teuer. Das Personal dafür ist knapp und angesichts des Tarifvertrags für den öffentlichen Dienst kaum zu bekommen.
Der Bundesverband IT-Sicherheit e.V. (Teletrust) hat nun eine drastische Warnung ausgesprochen und spricht von der Gefahr eines flächendeckenden Zusammenbruchs von Verwaltungs- und Bildungseinrichtungen. Gefordert wird die Umsetzung der Richtlinie.
Nun kann man sich über die Ungleichbehandlung aufregen: Private Unternehmen müssen eine Richtlinie mit großem Aufwand umsetzen, die öffentliche Hand tut gar nichts.
Man kann auch mit der Realität argumentieren, dass Cyberkriminelle keine Beschlüsse lesen, sondern alles angreifen, was ihnen vor die Flinte kommt.
IT-Entwickler sind rar und teuer.
IT-Sicherheitsexperten sind noch knapper und teurer.
Man kann aber auch resignieren. Das haben viele IT-Sicherheitsexperten bereits getan. Denn bei NIS2 geht es im Wesentlichen um Dokumentationspflichten und die Festlegung von Verantwortlichkeiten, insbesondere bei der Auslagerung von Tätigkeiten. Ziel ist es, Schuldige zu benennen, wenn ein Altsystem an einen Dritten ausgelagert wird, dieser plötzlich den Betrieb einstellt und das System endgültig stirbt.
Die Richtlinie NIS2 trägt nicht dazu bei, IT-Systeme sicherer gegen kriminelle Angreifer zu machen, was eigentlich mit IT-Sicherheit gemeint ist. Neben der Festlegung von Verantwortlichkeiten war den Politikern die Verfolgung von virtuellen Straftaten wie Urheberrechtsverletzungen, Beleidigungen und Bedrohungen wichtig. Die Sicherung der IT-Systeme selbst stand nicht im Fokus.
Wie man es auch dreht und wendet: Erfolgreiche Cyber-Angriffe werden weiterhin zum Alltag gehören.
Verfassen Sie den ersten Kommentar