1. Einleitung

In den vergangenen Jahren kam es vermehrt zu IT-Sicherheitsvorfällen bei denen kommunale Verwaltungen in Deutschland betroffen waren. Städte, Landkreise und Gemeinden stellen eine Vielzahl staatlicher Leistungen bereit. Nirgends kommen Bürgerinnen und Bürger so unmittelbar mit der öffentlichen Hand in Berührung wie in den Kommunen. Kommt es hier zu IT-Sicherheitsvorfällen, sind die Schäden für die Einwohnerinnen und Einwohner spürbar. Im schlimmsten Fall funktioniert die kommunale Verwaltung bei solchen Vorfällen nur sehr eingeschränkt. Für die deutsche Cybersicherheitspolitik ist der Schutz kommunaler Einrichtungen deshalb eine wichtige strategische Aufgabe. 

Kommunen sind gemäß Subsidiaritätsprinzip zunächst einmal selbst für ihre Informationssicherheit zuständig. Der aktuelle deutsche Ansatz zur Förderung von Informationssicherheit und Resilienz von Kommunen sieht eine Unterstützungsfunktion von Bund und Ländern vor. Bund und Länder wollen Anreize setzen, die Kommunen dazu motivieren, ihre Resilienz zu verbessern. 

Die Analyse zeigt, dass Unterstützungsleistungen von Bund und Ländern unterschiedlich verfügbar sind, je nachdem, wo eine Kommune liegt.

Die Weiterentwicklung des Ansatzes sollte vor allem konkrete Bedarfe der Kommunen berücksichtigen. Darüber hinaus sollten bestimmte praxis-geprüfte Leistungen für alle Kommunen bereitgestellt werden. Ein wichtiger Aspekt ist es, die Transparenz des Angebots für die Kommunen zu erhöhen und eine Verlässlichkeit der Leistungen anzubieten. Diese Leistungen müssen systematisch verknüpft werden, um die Effektivität zu steigern.

Die Verbesserung der Resilienz von Kommunen benötigt die Zusammenarbeit von Bundes-, Länder-, und Kommunalebene. Voraussetzung ist ein regelmäßiger Austausch zwischen den unterschiedlichen Akteuren. Dadurch wird Vertrauen zwischen den jeweiligen Entscheidungsträgerinnen und Entscheidungsträgern aufgebaut, um eine verbesserte Zusammenarbeit zu ermöglichen.

2. Beschreibung des deutschen Ansatzes – Zuständigkeiten und Instrumente

2.1. Welche Leistung kann eine Kommune nutzen?

Die bestehenden Leistungen der Bundes- und Landesbehörden lassen sich in zwölf Kategorien zur Förderung der Informationssicherheit und Resilienz bündeln.

Nicht alle Leistungskategorien sind für alle Kommunen gleichermaßen verfügbar. Die Verfügbarkeit einer Leistung für die Kommune variiert von Bundesland zu Bundesland, da die Länder bisher ihre Funktion für die kommunale Cybersicherheit unterschiedlich definieren und somit verschiedene Portfolios an Leistungskategorien anbieten.

Leistungen, die allen Kommunen zur Verfügung stehen, sind:

1. Vorfallsbearbeitung (nicht in allen Funktionen)
2. Bewertung/Evaluation
3. Warn- und Informationsdienst
4. Orientierungshilfen
5. Veranstaltungen
6. Zertifizierung
7. regelmäßiger Austausch
8. Beratung (IT-Sicherheit und Resilienz)
9. und Schulungen (Kompetenzen). Leistungen, die wenigen Kommunen zur Verfügung stehen, sind:
10. Tools zur Gefahrendetektion
11. finanzielle Förderung
12. und Übungen/Spiele. Nur für hessische Kommunen gibt es in jeder Kategorie mindestens eine Leistung, auf die sie zugreifen können.

Nur für hessische Kommunen gibt es in jeder Kategorie mindestens eine Leistung, auf die sie zugreifen können.

2.2. Wann können alle Kommunen die Leistung nutzen?

Einige Leistungen werden bereits nach dem „Einer für Alle“-Prinzip (EfA-Prinzip) bereitgestellt. Das bedeutet, dass einige Länder ihre Leistungen für Kommunen bereitstellen, die in anderen Ländern liegen. Einige Länder tun dies allerdings nur auf Nachfrage und kommunizieren dies nicht proaktiv. Zudem werden ausgewählte Leistungen, die allen Kommunen, manchmal unter bestimmten Umständen, zur Verfügung stehen, auch vom Bund bereitgestellt. Teilweise kann es bei den angebotenen Leistungen innerhalb einer Kategorie zu Dopplungen, Überschneidungen oder Ergänzungen kommen. Kommunen haben beispielsweise Zugang zu verschiedenen Warn- und Informationsdiensten. In der Kategorie Orientierungshilfe ergänzen sich die Leistungen gegenseitig und erhöhen die Diversität der behandelten Aspekte (etwa Informationssicherheit für Schulen, Krisenkommunikationstipps oder Informationssicherheit bei Digitalisierungsprojekten).

2.3. Welche Unterschiede haben die Leistungen?

Es gibt Unterschiede (etwa in Umfang oder Format), wie die Leistungen innerhalb einer Kategorie bereitgestellt werden. Die Unterschiede werden an folgenden Beispielen deutlich:

Beispiel: Kategorie Vorfallsbearbeitung

› die Abdeckung der Erreichbarkeit (24/7 versus Bürozeiten)

› die Funktion, die übernommen wird (Vermittlung an Expertinnen und Experten versus operative Unterstützung)

› die Art und Weise der Zusammenarbeit (Telefonische Unterstützung versus Vorortunterstützung)

› die Verfügbarkeit der Funktion oder Leistung (Unterstützung bei herausgehobenen Fällen und nach Verfügbarkeit von Ressourcen versus in jedem Fall)

Beispiel: Bewertung und Evaluation

› die Methode (Pentest, Selbstauskunft, Audit, Übung und so weiter)

› die Vorortinterviews versus Onlineumfrage

2.4. Welche konkreten Funktionen übernehmen Bund und Länder?

Die Länder nehmen ihre Funktion und Rolle für die Informationssicherheit und die Resilienz von Kommunen uneinheitlich wahr. Aus den bereitgestellten Leistungen lassen sich die unterschiedlichen Funktionen, die Länder bei der Informationssicherheit und Resilienz von Kommunen einnehmen, ableiten. So deutet etwa die Bereitstellung von Orientierungshilfen darauf hin, dass Bund oder Länder eine informierende Funktion einnehmen, während die Bereitstellung von Schulungen eine bildende Funktion hat. Finanzielle Förderung deutet auf eine finanzierende Funktion hin, während die Bereitstellung von Tools zur Gefahrendetektion sowohl eine operative als auch administrative Funktion hat, da die Bereitstellung von Tools durch Rahmenverträge erfolgt (administrative Ressourcen werden bereitgestellt) oder die Tools direkt gemanagt werden (operative Funktion). Eine explizit finanzierende Funktion nehmen bisher nur Bayern, Hessen und das Saarland ein. Aus den derzeit bereitgestellten Leistungen lässt sich ableiten, dass unterschiedliche Bundesländer unterschiedliche Funktionen einnehmen – es ist kein einheitliches Bild zu erkennen. Neben der Kategorie ist deswegen auch die Leistungsbeschreibung/inhaltliche Ausgestaltung der Leistung ausschlaggebend. Diese Divergenz wurde einmal beispielhaft für die Kategorie Vorfallsbearbeitung aufgeschlüsselt (siehe Grafik): Länder wie Bayern, Baden-Württemberg, Hessen, Saarland und Rheinland-Pfalz schreiben sich mehrere Funktionen zu, während andere ihre Funktion/ Aufgabe – öffentlichen Quellen zufolge – noch nicht klar formuliert und kommuniziert haben.

3. Analyse des deutschen Ansatzes – Nudging statt Regulierung

Kommunen sind im Rahmen der kommunalen Selbstverwaltung für die Implementierung von Informationssicherheit und den Aufbau von Resilienzfähigkeiten verantwortlich. Die Unterstützungsleistungen des jeweiligen Bundeslandes oder des Bundes selbst sind hierbei uneinheitlich und zudem abhängig vom jeweiligen Einzelfall. Bund und Länder unterstützen Kommunen bisher nur teilweise bei der Aufgabenwahrnehmung. Bisweilen stellen Bund und Länder Leistungen zur Förderung bereit und nehmen eher eine unterstützende Rolle ein. Zudem existieren nur in einigen Ländern auf Kommunen ausgerichtete Regulierungen, die die Informationssicherheit betreffen. Bund und Länder schaffen grundlegend Anreize und verfolgen einen Nudging-Ansatz.

Nudges sind verhaltenspolitische Instrumente, die darauf abzielen, individuelles Verhalten ohne Zwang zu ändern. Die Leistungen, die Bund und Länder den Kommunen anbieten, sollen Anreize schaffen, das Verhalten von kommunalen Akteuren zu verändern. Gesetze bestimmen ebenfalls menschliches Verhalten, jedoch beinhalten Gesetze oftmals eine Pflicht zur Umsetzung. Anders als bei Regulierungen muss beim Nudging nichts umgesetzt werden, vielmehr kann die handelnde Person das empfohlene Verhalten umsetzen. Pflicht und Anreize haben unterschiedliche Rechtsfolgen. Anreize sind nur wirksam, wenn sie wirklich das Verhalten verändern.

4. Weiterentwicklung des deutschen Ansatzes – Vorschläge und Anregungen

Der aktuelle Ansatz – eher (unterschwellig) zu nudgen als (klar) zu regulieren – weist eine hohe Komplexität auf und wird sehr uneinheitlich von den Ländern umgesetzt. Es stellt sich also die Frage: Wie kann der Nudging-Ansatz weiterentwickelt und wirksam gestaltet werden?

Beispielsweise könnte ein deutschlandweites Programm zur Förderung Anreize setzen, bestimmte Funktionen des Bundes und der Länder für alle Kommunen vergleichbar auszubauen. Da einige Leistungen auf regionale Unterschiede und Bedarfe eingehen müssen, ist eine gewisse Flexibilität in der Umsetzung sehr sinnvoll. So könnten Länder, in denen mehrheitlich IT-Dienstleister die IT der Kommunen betreiben, diese eng in die Leistungserbringung einbinden. Wohingegen in anderen Ländern, in denen Kommunen die IT-Sicherheit eigenständig verwalten, die Kommunen direkt vom Land unterstützt werden könnten. Da die Länder ihre Leistungen und Funktionen unterschiedlich definiert und ausgebaut haben, bedarf es momentan noch eines großen Engagements und Einsatzes der Kommunen selbst, um auszuhandeln, welche Leistungen und Funktionen besonders hilfreich und notwendig sind. Die folgenden Vorschläge zeigen beispielhaft, wie der Einsatz von Nudges wirksam ausgebaut werden könnte und welche weiteren Maßnahmen diskutiert werden sollten.

In der Studie werden Vorschläge genannt, welche beispielhaft zeigen, wie der Einsatz von Nudges wirksam ausgebaut werden könnte und welche weiteren Maßnahmen diskutiert werden sollten

Lesen Sie die gesamte Studie: „Kommunale Informationssicherheit und Resilienz“ hier als PDF.