Resilienzfähigkeiten von Kommunalverwaltungen stärken

In den vergangenen Jahren kam es vermehrt zu IT-Sicherheitsvorfällen, zum Beispiel durch Ransomware, bei denen die kommunale Verwaltung in Deutschland betroffen war. Der Bund, die Länder und die Kommunen selbst entwickeln momentan unterschiedliche Modelle und Ansätze, wie Kommunen ihre Resilienzfähigkeiten stärken können und wie eine Kooperation bei einem Vorfall aussieht. Denn Deutschlands Kommunen sind selbst zuständig für Teile der Vorfallsbearbeitung. 

 

Die Schritte der Vorfallsbearbeitung und Kapazitäten hierfür sehen dabei in Deutschland sehr unterschiedlich aus. Zum Beispiel konnte der Landkreis Anhalt-Bitterfeld externe Unterstützung von Ministerium der Finanzen des Landes Sachsen-Anhalt, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bundeswehr, CERT Nord, Landeskriminalamt und einem Professor der Hochschule Hartz in Anspruch nehmen, während die Verwaltung weiterhin die Federführung für die Bearbeitung inne hatte. Im Fall der Kreisverwaltung Rhein-Pfalz bietet das Bundesland verschiedene Leistungen, zum Beispiel Beratungsleistungen via Kooperationsvereinbarung zwischen dem Land Rheinland-Pfalz und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder Leistungen, die der für die Informationstechnologie der Landesverwaltung zuständige Landesbetrieb für Daten und Information (LDI) mit externen Dienstleistern über Rahmenverträge vereinbart hat. Diese Leistungen sollen vor allem die kostspielige Wiederherstellung der Systeme unterstützen. Andere Städte erhalten vor allem Unterstützung bei der Forensik und Ursachenuntersuchung (Stadt Witten).  Es ist anzunehmen, dass eine stark professionalisierte Cyberkriminalität sich weiterhin auf die kommunale Ebene in Deutschland konzentrieren wird. Ein Grund dafür ist die Digitalisierung der Verwaltung, welche zur Vergrößerung der Angriffsfläche beiträgt, bei gleichzeitig hoher Anfälligkeit der IT-Systeme für Vorfälle.



Das Projekt “Policy Good Practices für die Zusammenarbeit von Bund, Bundesländern und Kommunen zur Verbesserung der Vorfallsbearbeitung” finanziert durch die Konrad-Adenauer-Stiftung beschäftigt sich deswegen mit der systematischen Identifizierung von Leistungspaketen, zum Beispiel Warn- und Informationdienst oder Schulungen die kurz- und mittelfristig besonders zur Erhöhung der Resilienzfähigkeit von Kommunen beitragen können. Um die Good Practice Leistungspakete zu identifizieren wurden bestehende Leistungen für Kommunen zur Resilienzerhöhung erhoben und in Interviews und einem Workshop geprüft. Eine interdisziplinäre Arbeitsgruppe begleitet das Projekt. Die Ergebnisse des Projekts werden in einer Kurzstudie im Frühjahr 2023 veröffentlicht. 


Im Projekt “Smart Cities sicher gestalten” bearbeitet die SNV in Kooperation mit dem Deutschen Städtetag, im Auftrag der Koordinierungs- und Transferstelle Modellprojekte Smart Cities (KTS), finanziert durch das Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen. In dem Projekt werden die Bedarfe von deutschen Städten, um Resilienzfähigkeiten aufzubauen, abgefragt, analysiert und aggregiert geteilt, denn Deutschlands Kommunen sind sehr heterogen organisiert. Zum einen, weil die Verwaltungsdigitalisierung unterschiedliche Strukturen annimmt, aber auch die Organisation von Krisenstäbe, die Größe, Dienstleistungen für Bürgerinnen usw. wirken sich darauf aus, welche Resilienzfähigkeiten Verwaltungen In-house bereithalten müssen. Um die Resilienzfähigkeiten noch gezielter weiterentwickeln zu können, braucht es eine Analyse des Status Quo der Bedarfe von deutschen Städten.  Die Analyse dient der besseren Bewertung und gezielten Entwicklung von Leistungen, die die Bedarfe der Städte decken sollen. Außerdem müssen Schlüsselakteure, zum Beispiel Bürgermeister:innen oder IT-Sicherheitsbeauftragte, Bewusstsein darüber erhalten, welche Leistungen sie am besten nutzen, um Resilienzfähigkeiten aufzubauen. Eine Orientierungshilfe für Städte, die bestehende Leistungspakete beschreiben und die möglichen Bedarfe der Städte zusammenführt, wird in diesem Projekt entwickelt.