Nach dem Hacker-Angriff auf das Krankenhaus Agatharied haben wir unsere Bürgermeister im Tal gefragt: Wie sicher sind die Rathäuser aufgestellt? Wie wappnen sie sich gegen Cyber-Angriffe? Ergebnis: ein eher gemischtes Bild …
Bis heute ist das Krankenhaus Agatharied nur telefonisch erreichbar. Der Hack vor wenigen Wochen beschäftigt das Haus weiterhin. In den Kommunen werden digitale Prozesse immer wichtiger: Das ist praktisch und ein notwendiger Schritt hin zu einer digitaleren Gesellschaft. Doch was nutzerfreundlich ist, muss nicht immer IT-technisch klug sein.
Wir haben die Tal-Politiker nach ihren Einschätzungen gefragt. Auch, ob sie sich vorstellen können, dass ihre IT über das Landratsamt – sozusagen als Knotenpunkt – laufen kann. Das hat Landrat Olaf von Löwis am Rande der vergangenen Kreistagssitzung angesprochen.
Gmund: Mit Siegel und Standard
Briefwahlunterlagen, das war das meist genutzte digitale Verfahren der Gemeinde Gmund in den letzten Monaten. Im Februar war Bürgermeisterwahl und im Juni die Europawahlen. Dahinter klicken die Bürger vor allem Anträge zum Führungszeugnis oder zur Wohnsitzanmeldung.
Gmund hat den VdS 10000-Standard. Hinter dieser langen Zahl steckt ein Bekenntnis zur IT-Sicherheit, weil damit bestimmte Handlungen verbunden sind: In einer Selbstauskunft muss ein Unternehmen zum Beispiel angeben, welche Vorgaben es für Passwörter gibt. Anschließend schaut jemand vorbei und überprüft die Antworten. Randnotiz: Das Krankenhaus Agatharied wich bis zuletzt der Frage nach seinem Standard aus.
Auch weitere Maßnahmen, lassen darauf schließen, dass Gmund seine IT-Sicherheit ernst nimmt: Es gibt einen Informationssicherheitsbeauftragten, der regelmäßig vorbeischaut, einmal im Jahr sind Schulungen für Mitarbeiterinnen und Mitarbeiter geplant. Ein Notfallhandbuch ist vorhanden und ein Maßnahmenplan.
Im November 2022 wurde Gmund mit dem Siegel „Kommunale IT-Sicherheit“ vom Landesamt für Sicherheit in der Informationstechnik ausgezeichnet.
Was halten Sie davon, die IT über das Landratsamt laufen zu lassen? “Das ist nur in Teilbereichen denkbar. Der Weg geht wohl vielmehr Richtung Service-Rechenzentrum, …”
Herausforderung: “Die Sicherung und Weiterentwicklung der IT-Sicherheit ist sehr arbeits- und kostenintensiv.”
Rottach-Egern: 71 Online-Verfahren
Die Gemeinde Rottach-Egern ist mit 71 Online-Verfahren auf den vorderen Plätzen, was ihren digitalen Service angeht. Es gibt einen externen Dienstleister zum Thema Datenschutz und einen zum Thema IT-Sicherheit. Auch in Rottach werden Mitarbeiter regelmäßig geschult. Ein Notfallplan sei ebenfalls vorhanden. “Wir haben die Firma Insidas als externen Dienstleister für Datenschutz und Datensicherheit – gemeinsam mit dem Dienstleister haben wir entsprechende Pläne erarbeitet und diese werden regelmäßig überprüft bzw. überarbeitet.”
Was halten Sie davon, die IT über das Landratsamt laufen zu lassen? “Eher skeptisch, da die Gemeinden unterschiedliche Software für die Fachanwendungen von diversen Dienstleister (u.a. AKDB / Komuna) im Einsatz haben!”
Herausforderung: “Die größte Herausforderung ist, die Mitarbeiter zu sensibilisieren, da sie oft das schwächste Glied in der IT-Sicherheit sind! Deshalb sind regelmäßige Schulungen sehr wichtig (früher konnte man an Hand vom Text (fehlerhaftem deutsch) eine Phishing-Mail erkennen – dies ist heute nicht mehr der Fall).”
Kreuth: 58 Online-Verfahren
Hat am schnellsten geantwortet auf unsere Anfrage. Sie bieten bereits 58 Verfahren digital an, darunter das Ausstellen eines Ausweises oder auch der Antrag, einen Baum fällen zu wollen. Dennoch sind vor Ort Besuche weiterhin nötig. Aber die Zwischenschritte, etwa zum Ausfüllen eines Antrags auf einen Ausweis, lassen sich am heimischen Rechner gut vorbereiten.
Auf die Frage nach der Bewertung ihre IT-Sicherheit schreibt die Gemeinde Kreuth:
“Wir bewerten es als gut. Wir verfügen über regelmäßig überarbeitete Notfall- und Maßnahmenpläne bei denen wir durch die Fa. Actago, unserem mit dem Thema Datensicherheit und Datenschutz beauftragten Dienstleister, unterstützt werden.”
Was halten Sie davon, die IT über das Landratsamt laufen zu lassen? “Die Gemeinde Kreuth beschafft und verwaltet die IT selbst. Schon aus dem Grund, weil jede Kommune andere Fachverfahrens-Software von unterschiedlichen Herstellern verwendet, macht die Verlagerung der IT ins Landratsamt derzeit keinen Sinn.”
Herausforderung: “Die große Herausforderung beim Thema Datensicherheit ist vermutlich, dass es nie eine 100-prozentige Sicherheit geben wird. Aber zumindest wurde und wird von unserer Seite alles menschenmögliche getan, um der Gefahr zu begegnen bzw. um im Falle eines Angriffs schnellstmöglich wieder auf die Daten zugreifen zu können.”
Tegernsee: Wiederanlaufplan und Siegel
In Tegernsee ist man mit den digitalen Prozessen noch in der Testphase, auch ein paar mit Bezahl-Funktionen sollen demnächst kommen. Die IT-Sicherheit scheint man auch hier ernst zu nehmen. Dafür spricht ebenfalls das Siegel des Bayerischen Landesamt für Informationssicherheit “Kommunale IT-Sicherheit”, das die Stadt Tegernsee seit zwei Jahren hat. Der Stadtrat hat 2007 beschlossen, die Aufgaben des Informationssicherheitsbeauftragten an die Firma LivingData GmbH vergeben. Die betreut die IT-Ausstattung und schult Mitarbeiterinnen und Mitarbeiter im Haus. Die Schulungen sind für alle verpflichtend.
Mit dem Siegel erübrigt sich die Frage nach dem Notfallplan, der ist nämlich eine der Voraussetzungen. Auch ein “Wiederanlaufplan”, wenn es zum Hack kommt, kann die Stadt Tegernsee vorweisen. Es war “mit erheblichem Arbeits- und finanziellem Aufwand verbunden” schreibt die Stadt Tegernsee über den Prozess hin zum Siegel, gibt es aber auch als Grund an, warum sich Tegernsee hier recht gut aufgestellt sieht.
Was halten Sie davon, die IT über das Landratsamt laufen zu lassen? “Dem stehen wir skeptisch gegenüber.”
Herausforderung: “Herausfordernd ist, alle Bediensteten der Stadt möglichst zeitnah über die neuesten Entwicklungen (z. B. Hackerangriffe andernorts, Meldungen des Landesamts) zu informieren und dafür zu sorgen, dass die Bediensteten dies auch gut erfassen. Es ist aus unserer Sicht außerordentlich wichtig, die Kolleginnen und Kollegen der Stadtverwaltung, des Bauhofs, der Stadtbücherei und der Wasserversorgung auf dem Laufenden zu halten. Beispiel: Konnte man vor ein paar Jahren per E-Mail versandte Trojaner u. ä. relativ gut erkennen (z. B. an schlechtem Deutsch im Begleittext), ist dies heutzutage nicht mehr unbedingt der Fall.”
Bad Wiessee: Datensicherheit zuerst
Hat unsere Fragen nicht eigens beantworte, aber in einer Pressemeldung ihre Maßnahmen vorgestellt. Daraus geht hervor, dass sie etwa einen Pen-Test planen. Also eine Art “positiven Hack”, um das eigene System zu prüfen. Auch Bad Wiessee setzt auf Mitarbeiterschulungen und Notfallpläne.
SOCIAL MEDIA SEITEN
