NIS 2 – Was kommt da auf Kommunen zu?
Besser nicht so genau hinschauen. In manchen Verwaltungen war das bei der IT-Sicherheit die unausgesprochene Devise. Nach den zahlreichen IT-Vorfällen der letzten Monate und Jahre, ist auch in kleinen Verwaltungen klar, das geht so nicht gut. Aber an welchen Regeln sollen sich Verwaltungen orientieren? Mit NIS2 und seiner Umsetzung in deutsches Recht, steht eigentlich eine Regelungsbasis bereit. Die gilt für Kommunen aber nicht direkt. In vielen Einzelfällen aber eben doch. Und Regelungen der Bundesländer wird es ebenfalls geben. Genug Stoff für uns, um hier in einer ersten von zwei Episoden über Cybercrime-betroffene Dienstrechner, über kritische Infrastruktur, über Standards und eigene Verantwortlichkeiten zu sprechen. Das mache ich in dieser Folge – endlich mal wieder – mit Sabine Griebsch, der eGovernante für Deutschland. Sabine ist IT-Krisenmanagerin, Expertin für resiliente, kommunale IT-Systeme und natürlich für Cyber Cyber.
Abonnieren Sie unseren Newsletter
Alle zwei Wochen gibt es eine neue Folge des Podcasts zur Kommunalen Digitalisierung. Die bisherigen Ausgaben und Möglichkeiten den Podcast kostenlos zu abonnieren, gibt es hier.
Alle Links aus der Folge gibt es hier:
Transkript
Felix Schmitt Der Eindruck täuscht oft nicht. IT Sicherheit ist kein Lieblingsthema in den großen und kleinen Kommunalverwaltungen mit NIS 2 hat die EU einen neuen Rahmen gesetzt, der für Kommunen gilt und auch nicht, was auf sie zukommt. Da wollen wir heute etwas Licht ins Dunkle bringen.
Kommunale Digitalisierung der Podcast mit Felix Schmitt. Herzlich willkommen zu Folge 52 meines Podcasts zur kommunalen Digitalisierung. Mein Name ist Felix Schmitt, Ich bin dein Moderator und Begleiter auf dem Weg in die kommunale Digitalisierung.
Besser nicht so genau hinschauen in manchen Verwaltung war das bei der IT Sicherheit die unausgesprochene Devise nach den zahlreichen IT Vorfällen der letzten Monate und Jahre ist auch in kleinen Verwaltungen klar, das geht so nicht gut, aber an welchen Regeln sollen sich Verwaltungen orientieren mit NIS 2 und seiner Umsetzung in deutsches Recht steht eigentlich eine Regelungsbasis bereit, die gilt für Kommunen aber nicht direkt. In vielen Einzelfällen aber eben doch. Und Regelungen der Bundesländer wird es ebenfalls geben. Genug Stoff für uns, um hier in einer ersten von 2 Episoden über Cybercrime betroffene Dienstrechner über kritische Infrastruktur, über Standards und eigene Verantwortlichkeiten zu sprechen. Das mache ich heute endlich mal wieder mit Sabine Griebsch, der E Gouvernante für Deutschland. Sabine ist IT Krisenmanagerin, Expertin für Resiliente Kommunale IT Systeme und natürlich für Cyber Cyber. Ja Hallo Sabine, ich grüße dich.
Sabine Griebsch Hallo.
Felix Schmitt Sabine mal Hand aufs Herz, welches Thema ist in Kommunalverwaltungen? Unbeliebter Datenschutz oder IT Sicherheit?
Sabine Griebsch Ja. Unabhängig davon, dass das Miteinander zusammenhängt. Unwillkürlich, glaube ich, ist es IT Sicherheit, das macht wahrscheinlich auch ein bisschen mehr Arbeit und ist sogar teurer.
Felix Schmitt Und du arbeitest ja jetzt schon ne ganze Weile, ich glaube am Anfang gar nicht mal freiwillig im im Bereich IT Sicherheit. Warum hast du dir das jetzt unbedingt ausgesucht? Wenn das jetzt wirklich nicht so das Herzensthema von denjenigen ist, mit denen du zusammenarbeiten darfst?
Sabine Griebsch Das ist wichtig, das ist wichtig, damit die Morgen noch arbeiten können.
Felix Schmitt Und und woher kam so diese jetzt erst einmal so von von von deiner Seite? Woher kam denn diese, diese Leidenschaft, dass du dich auf einmal mit diesem Thema auseinandergesetzt hast?
Sabine Griebsch Na gefühlt. Ich bin ein ungeduldiger Mensch, du wirst es wahrscheinlich hören, wenn ich nachher relativ schnell rede, aber die. Die das Thema, was ich im Vorfeld hatte, Digitalisierung OZG ist halt unendlich langsam. So unfassbar langsam. Digitalisierung gerade aus einem Krisenfall heraus, also dieser Wiederaufbau, der geht schneller.
Felix Schmitt Mit dem Wiederaufbau hast du ja auch in der Vergangenheit schon viel Erfahrung gesammelt. Da haben wir ja ne eigene Episode in der Vergangenheit zugemacht. Wer sich also zum Beispiel mal anhören möchte, wie eine Kreisverwaltung komplett offline genommen werden kann und dann Stück für Stück wieder auf aufgearbeitet ne aus den Auferstandenen aus Ruinen, weiß gar nicht, wie kann man das, wie kann man das am Besten nennen.
Sabine Griebsch Wiederaufbau auf der grünen Wiese? Das find ich ganz gut, ja.
Felix Schmitt Ach, der Wiederaufbau auf den genau. Also wer sich dafür interessiert, ich verlinke die Episode dazu in den Shownotes. Heute wollen wir ja aber über das Thema NIS 2 sprechen. Ist für viele Verwaltungen, glaube ich, ein bisschen weit weg das Thema. Ich glaube, manche haben es definitiv schon gehört, viele können auch gar nichts damit anfangen, auch wenn sie etwas damit gehört, auch wenn sie etwas davon gehört haben und wir müssen noch einen ein eine Sache, einen Disclaimer vorneweg auch geben. Formal. Es hat ja auch gar keine Auswirkungen auf die Kommunen. Trotzdem sprechen wir heute darüber, denn diese Aussage, es hat keine Auswirkung auf die Kommunen, ist richtig und falsch.
Sabine Griebsch Ja genau, das trifft es nicht so ganz.
Felix Schmitt Da kommen wir aber gleich noch genau zu. Aber. Vorher kannst du vielleicht mal ein bisschen für uns aufklären. Was ist eigentlich NIS 2 und wo kommt das eigentlich her?
Sabine Griebsch Ja, also NIS 2 haben wir der EU zu verdanken. Das heißt, es ist eine Richtlinie mit der wunderbaren Bezeichnung 2022 2555. Das ist jetzt so, ich werd jetzt immer mehr so n paar. Schöne, unhandliche Begriffe einflechten so, aber im Endeffekt ist es ne Richtlinie über Maßnahmen für ein hohes gemeinsames Sicherheitsniveau in der Europäischen Union und wird eben kurz NIS 2 Richtlinie genannt. Also es ist schon die zweite Version. So, das ist die zweite Richtlinie zur Netz und Informationssicherheit, das heißt, NIS heißt so viel wie Network and Information Security wurde im Dezember 22 veröffentlicht, also ist noch gar nicht so alt Richtlinie die trat am 16. Januar 23 auf EU Ebene in Kraft und muss bis zum 17 Oktober 24 in nationales Recht umgesetzt werden. So und wie alle EU Richtlinien. Ist es nicht unmittelbar geltendes Recht für Deutschland, für die Bundesrepublik und muss eben von den Mitgliedsländern in National in nationalen Gesetzen umgesetzt werden? So, das heißt, wir haben Zeit, also am 18. Oktober ab 18. Oktober muss sie angewendet werden, wir haben aktuell ein entsprechendes NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz, das ist im Stadium des Referentenentwurfs und ja, so wie es aussieht, werden wir den Termin am 17 Oktober aller Voraussicht nach nicht einhalten. Vorhin hatte ich auch gelesen, Österreich wird es aller Voraussicht nach auch nicht schaffen, also das heißt wir sollten wir es nicht schaffen, wir sind nicht allein, das ist kein guter ja, also nicht gut, aber ja. Immerhin.
Felix Schmitt Also in meinen Worten. NIS 2, ist sozusagen der Versuch der Europäischen Union oder der der. Mission das Thema IT Sicherheit zu standardisieren, also zu versuchen, bestimmte mindest Richtlinien festzulegen, die beim Thema IT Sicherheit gelten sollen, ist es ist es richtig oder zu verkürzt?
Sabine Griebsch Ja, nicht verkürzt würde ich gar nicht sagen. Also es soll die Cybersicherheit in der gesamten Europäischen Union in erster Linie verbessern. Ziel ist aber eben die Steigerung des allgemeinen Cybersicherheitsniveaus, also in sicher, also vielleicht magst du es als Standardisierung bezeichnen, das ist halt sozusagen ein einheitliches Sicherheitsniveau in der EU. Und zwar hin zu einem hohen Niveau also, und das bedeutet, die Mitgliedstaaten werden verpflichtet, sich angemessen auszurüsten. Also das heißt, Sicherheitsteams zu schaffen und eben eine nationale Behörde für Netzwerksicherheit einzurichten. Es gibt ne Kooperationsgruppe, also das die soll die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten gewährleisten und für kritische Infrastruktur wie Energie, Verkehr, Wasser, Banken, finanzmarktinfrastrukturen. You name it und eben digitale Infrastruktur soll eine Kultur der Sicherheit etabliert werden und ich glaube, diese Kultur der Sicherheit im Zusammenhang mit einheitlichen Sicherheitsniveau oder einem einheitlichen hohen Sicherheitsniveau, das trifft es ganz gut.
Felix Schmitt Ich kann mich gut erinnern, Anfang diesen Jahres, aber auch letztes Jahr wurde ja in den Kreisen, in denen über IT Sicherheit diskutiert wird, ja auch. Diskutiert ob die Kommunen, eigentlich kritische Infrastruktur sind oder sein sollen. Sind sie nicht geworden, am Ende aber einige Bereiche, in denen Kommunen aktiv sind, sind es ja doch. Wie unterscheidet sich das jetzt, also welche Bereiche und Branchen sind denn jetzt von NIS 2 jetzt mal aus einer kommunalen Brille heraus betrachtet, sind denn da jetzt betroffen, wie sollte man sich da als Kommunalverwaltung vielleicht auch verhalten?
Sabine Griebsch Ja, also du hast in den Kommunen tatsächlich Leistungen. Also wenn du dir explizit die Leistungen und Teilbereiche anguckst, sind die durchaus auch den Teilsektoren zuzuordnen. Also wenn du jetzt in den Bereich Sektor Energie schaust, der tatsächlich genannt ist bei NIS 2 hast du ne Betroffenheit in den Kommunen durch die kommunalen Stadtwerke, durch Heizkraftwerke im Sektor Gesundheit, kommunale Krankenhäuser, im Sektor Entsorgung eben die kommunalen Entsorger, Siedlungsabfälle und so weiter Sektor Wasser, kommunale Wasser und Abwasserwerke und eben im Bereich It die Kommunalen It Dienstleister und Rechenzentren. Und was du tatsächlich nicht hast, was ich überhaupt nicht verständlich finde ist Kommunale Verwaltung, Ämter, Stadthäuser, Dienstleistungszentren, Feuerwehr, beispielsweise auch kommunale Polizei, Stadtpolizei. Was dann mitunter an manchen Orten ist. Schulen, Bildungseinrichtungen, was ich absolut fatal finde und natürlich auch Betreuung. So und unklar ist aktuell noch die Perspektive auf die kommunalen Zweckverbände. So, da schaut man eben drauf. In welcher Größe sind die so ne und welche Aufgaben nehmen die wahr. Ansonsten hast du natürlich diese diese ganzen Sektoren Bankwesen, wo ich auch glaube, dass wir im Bereich Stadtsparkassen oder Kreissparkassen ja durchaus auch in den Aufsichtsräten sitzen, als kommunale Mandatsträger, und das bedeutet, dass ich glaube, dass man da auch durchaus sich mit dem Thema beschäftigen muss und ansonsten geht es zumindest laut Versprechen, weil ich habe es, glaube ich irgendwo gelesen gestern. Vom BMI irgendwann mal jetzt so, demnächst so eine Art Betroffenheitscheck und da kann man dann durchklicken, ob man dann als Kommune in Teilbereichen sozusagen betroffen ist. Und natürlich ist es auch die Frage, dass man, dass man natürlich schaut oder bewertet, welche Auswirkungen es hätte, wenn man denn vom Netz geht. Also das heißt, wir haben auf der einen Seite eine Wirtschaft, die auf. Tatsächlich ne funktionierende öffentliche Verwaltung zurückgreifen muss, und zwar auf allen Ebenen der Verwaltung und die tatsächlich eben nicht über Sicherheitsvorfälle über Monate lahmgelegt sein sollte. Das heißt also, du brauchst in diesen ganzen Leistungen diesen ganzen Bereich, insbesondere eben in Genehmigungs- und Überwachungsbehörden, du hast da sensible Daten, du hast, es ist wichtig, dass diese Entscheidung getroffen werden kann. Hast du, was wir immer sagen, gerade wenn wir von Anhalt-Bitterfeld gesprochen haben, Menschen, die eben auf Sozialhilfe angewiesen sind, das ist ne existenzielle Leistung so, das sind Themen, die eben nah am Menschen sind und entsprechend auch Daten beherbergen, die wirklich essenziell wichtig oder halt sehr nah an den an den an Personen also sind, und das heißt die auch diese ganzen Informationen, die du brauchst, beispielsweise für den Bevölkerungsschutz. Geodaten, die meistens in den Umweltämtern liegt. Das ist, glaube ich, noch gar nicht so richtig betrachtet, aber ich denke, dass es wichtig ist, sich die Leistung zu betrachten und zu gucken, was brauche ich denn, um für kritische Infrastruktur zu funktionieren. Und ich glaube, da kommen wir dann nachher eben auch in die Diskussion. Sollten Kommunen sich nicht vielleicht in Teilen als kritische Infrastruktur betrachten, auch wenn sie jetzt aktuell nicht so behandelt werden?
Felix Schmitt Da gehen wir gleich auf jeden Fall auch noch mal in der Tiefe drauf ein, weil das ist ja glaube ich, auch für die meisten Kommunalverwaltungen so die ganz relevante Frage, so was, was heißt das jetzt eigentlich für mich? Ich würd aber gerne eine Frage noch mal vorneweg auch schieben. Ich glaub die meisten können sich es natürlich denken, aber lass uns vielleicht noch mal zusammenfassen, warum ist das Thema IT Sicherheit eigentlich so wichtig, so wichtig geworden? Ich glaub so ein paar Beispiele Thema Ransomware hat ja inzwischen jeder der in der Kommune auch auch tätig ist mal nicht nur indirekt mitbekommen. Aber insgesamt welch welche um welche Risiken geht es eigentlich also welche Risiken sollen aus Sicht der EU Bündnis 2 reduziert werden?
Sabine Griebsch Ja, also da reicht schon der Blick in entweder auf die Seite, auf die wir alle guckenkommunaler-notbetrieb.de oder eben in die Lageberichte in die gedruckten des BKA und des BSI. Das heißt also, warum ist es wichtig, also du siehst in diesen Lageberichten die Zunahme von den Cyber Bedrohungen. Das heißt also, die Zahl und die Komplexität der Cyberangriffe, die nehmen stetig zu. Die Angriffe können eben kritische Infrastruktur betreffen, die können unsere Kommunen immer wieder betreffen, wir sehen es, also, wir sind halt nicht wirklich gewappnet und die Angriffe eben auch durch KI, wir hören es immer wieder, ich glaube, Claudia Plattner hat es gestern auch gesagt, es wird mehr und es wird schwieriger und es wird ausgefeilter so, und es wird schwieriger, die Dinge zu entdecken, ansonsten hast du den Schutz kritischer Infrastrukturen, der ist wichtig, also viele kritische Dienste, Energieversorgung, wir haben es gerade gesagt, also eben der Ausfall der Dienste hat eben gravierende Auswirkungen. Auf die Wirtschaft und eben auch auf die Gesellschaft. Du hast auf der einen Seite auch noch was Wichtiges, eben die Harmonisierung der Cybersicherheitsstandards, das heißt also, diese unterschiedlichen Niveaus anzugleichen ist. Es zielt eben darauf ab, auch in der EU, deswegen ist es für die EU wichtig, ich glaube, darauf zielte deine Frage ab, den Binnenmarkt zu stärken, nämlich dass wir schauen können, dass wir uns tatsächlich auch innerhalb der EU aufeinander verlassen können. Und dann natürlich auch die Erhöhung der Reaktionsfähigkeit. Das ist eben durch die Verbesserung durch Kooperation, durch den Informationsaustausch zwischen den Mitgliedstaaten und zwischen den relevanten Akteuren können dann eben schneller und effektiver Maßnahmen gegen Cyber Bedrohungen ergriffen werden, das heißt, die Risiken, denen wir ins Auge schauen, das sind so Betriebsunterbrechungen, das heißt also, die Cyberangriffe, die eben zu den gerade genannten erheblichen Betriebsunterbrechungen führen können. Das heißt also, wir können unsere Dienstleistung, also die Aufgabe, die wir als Verwaltung haben, ich sag es immer nicht die Fancy App, den Bürgern zur Verfügung stellen, sondern tatsächlich die Bereitstellung unserer ureigensten Dienstleistungen, wenn wir die nicht zur Verfügung stellen können, unseren Bürgerinnen und Bürgern, dann führt das zu einem Vertrauensverlust. Dann führt es zur wirtschaftlichen Schäden, das heißt also, Cyberangriffe können dann eben auch erhebliche finanzielle Verluste verursachen, das heißt, Wir müssen uns den ganzen Fragen, Haftungsrisiken, Verlust von Geschäftsgeheimnissen und so weiter von geistigem Eigentum dann stellen, hab es gerade schon gesagt, Vertrauensverlust also wiederholt, führt es dann eben auch dazu, dass du dir, dass Du als Bürgerin, als Bürger der Politik halt auch nicht vertraust, sondern dieses, also du kannst nur als Bürgerin, als Bürger nicht aussuchen, wem du deine Daten gibst. Du hast eine örtliche Zuständigkeit, du hast eine sachliche Zuständigkeit und dann ist es nicht, dass du halb zur sicheren machbar. Gemeinde gehst so, dann hast du auf der anderen Seite auch die Gefährdung der nationalen Sicherheit, also das heißt kritische Infrastrukturen um jetzt, gerade wenn wir mit Blick auf Verwaltung so auf diese Verbindung da gucken, sind dann eben von strategischer Bedeutung so, das heißt, eine verbesserte Cybersicherheit heißt eben auch, dass wir uns sicherer fühlen können, so dass wir uns natürlich auch frei bewegen können und dann auf der anderen Seite auch noch die Datenschutzverletzung, das führt dazu, dass, wenn unsere Daten irgendwo in den Netzen landen. Dass das für den Moment richtig unbequem ist, aber auch auf lange Sicht, wenn diese Daten immer wieder in verschiedenen Kontexten entstehen und immer wieder weiter verwendet werden, ein riesiges Problem werden. So insofern, ja ist es wichtig und das Risiko. Muss definitiv minimiert werden.
Felix Schmitt Lass uns vielleicht, bevor wir jetzt mal so in in in Richtung Kommunen auch abbiegen, noch eine eine Frage kurz klären. Du hast ja vorhin auch die Lageberichte, die es ja inzwischen ja auch dazu gibt, sowohl vom BKA. Vom Bundesamt für Sicherheit und Information, vom BSI. Genannt kann man denn inzwischen auch sehr präzise sagen, wer ist denn verantwortlich für diese Risiken? Also sind es weiterhin, ich sag mal, diejenigen, für die IT Sicherheit ein Geschäftsmodell ist oder IT Unsicherheit ein Geschäftsmodell ist die also mehr oder weniger random irgendwas attackieren um über n entsprechende Software. Das muss man ja immer wieder mitbekommt. Einfach komplette IT Systeme zu verschlüsseln und nur gegen Lösegeld wieder freizugeben. Oder hat man da auch andere Gegner? Also für die ist jetzt nicht nur dadrum geht das eigene Bitcoin Wallet zu füllen.
Sabine Griebsch Ja ne, du hast auf jeden Fall auch die politischen Akteure, die tatsächlich einfach stören wollen, eben Staat und Verwaltung stören wollen, die eben tatsächlich ein Interesse daran haben, den Vertrauensverlust in die aktuellen Regierungen weiter zu untergraben und. Das ansonsten kann ich dir sagen, Hacker machen Hackerdinge so das ist die verantwortlich sind die Organisationen für ihre IT Infrastruktur das sind die Hauptverwaltungsbeamten und die sind verantwortlich so und das heißt. Die wir müssen uns auf unserer Seite entsprechend aufstellen.
Felix Schmitt Alles klar. Dann lass uns doch mal schauen, wie das so geht. Wir haben, du hattest vorhin auch schon so ein erläutert, in welchen Bereichen das Thema IT Sicherheit und damit auch das Thema NIS 2 für Kommunen relevant ist. Kommunen arbeiten in vielen Bereichen in oder mit kritischer Infrastruktur auch. Sie vielleicht komischerweise, aber es ist nun mal soeben keine kritische Infrastruktur selbst. Auch sind, das heißt, es ist relevant. Also ich glaube, das können wir jetzt erstmal auch festhalten, kannst du da vielleicht mal so n paar Beispiele geben? Wo so eine indirekte Auswirkung durch die Bereiche, in denen Kommunen aktiv sind oder wo sie auch eigene Ich sag mal auf Deutsch, wo sie eigene Aktien im Spiel haben. Wo solche Auswirkungen auch auf den Alltag, auch auf die eigene Kommunalverwaltung auch wirken.
Sabine Griebsch Ich glaub du kannst da auch selber ganz gut eine Antwort geben. Ne mit dem Bereich Smart City. Wenn so ein Ampelsystem vom Netz geht, ist das auch schwer für eine Kommune so. Das heißt aber blicken wir mal alle so auf öffentliche Versorgungsbetriebe. Ich hatte es vorhin schon als Beispiel genannt, ne, also die Kommunen arbeiten eben eng mit den Betreibern von Wasser, Energie und Gasversorgung zusammen. Also die Betreiber müssen tatsächlich den Sicherheitsanforderungen der NIS 2 Richtlinie nachkommen. So, das heißt also auch, was die Kommunen betrifft, sind die tatsächlich oft in der Mitverantwortung für die lokale Infrastruktur die gehören, also die gehören ja meistens zu uns, also wir haben jetzt tatsächlich geöffnet, Diskussionen zum Thema Rekommunalisierung, aber dann wird eben auch das Thema mit ins Haus genommen, so das nächste Transport und Verkehrssysteme, also Kommunen sind in die Planungen und in den Betrieb von öffentlichen Verkehrssystemen wie Bussen und Bahnen involviert, das heißt, du nimmst ganz profan Schüler. Das heißt also auch, dafür müssen wir funktionieren damit. Dieses, damit diese diese Elemente eben ineinandergreifen können, wenig irgendwie unabhängig voneinander so auf der einen Seite wird wird Schülerbeförderung und auf der anderen Seite keine Ahnung Planung für Bushaltestellen und so weiter so ne das ist halt alles irgendwie so ein Thema, aber Fakt ist, dass muss halt angefahren werden und Menschen müssen sich irgendwie mobil in der Stadt bewegen können. Gesundheitswesen, also viele Kommunen, Krankenhäuser, Gesundheitseinrichtungen, sind auf IT Systeme angewiesen. Manchmal hast du es in den Kommunen so, dass die sich, also dass die das Rechenzentrum dafür stellen, klar, das ist dann so extra gesichert für für gerade im Bereich Kliniken Gesundheitsbereich sind da noch mal extra Anforderungen sind die auch jetzt neben NIS 2 irgendwie funktionieren, aber auf der anderen Seite hast du natürlich auch ist die Kommune angegriffen und das ist oder das Rechenzentrum, dann hast du das Problem eben weit verteilt. Über große, eben über mehrere Sektoren. Das nächste Thema, Wir haben es in bei der Sit gesehen, aber du hast dann tatsächlich ein IT Dienstleister und ein Softwareanbieter den es da getroffen hat. Also Kommunen nutzen eben häufig externe Dienstleister oder eben Softwareanbieter und gerade wenn man sagt Nimm dieses Fachverfahren, das ist schon halbwegs irgendwie in der Cloud, also wir benutzen ja Fehler, also. Meistens die gleichen Fachverfahren, mitunter haben die auch Schwachstellen so, das heißt also, sollte es dort einen Anbieter treffen, dann trifft es halt eben auch großflächig die Kommunen also, das heißt also auch die Dienstleister, müssen den Anforderungen der NIS 2 Richtlinien genügen und das bedeutet eben, dass eben auch die Kommunen sicherstellen müssen, dass die Partner diesen Anforderungen genügen. So, und das nächste, Ich hab es vorhin schon kurz angedeutet, Notfall und Katastrophenschutz, also im Bereich des Notfall und Katastrophenschutzes arbeiten Kommunen mit. Bei vielen Akteuren zusammen also. Das heißt also auch hier, diese Verbindung zwischen diesen mitunter getrennten, isolierten Netzwerken muss eben auch funktionieren, aber dann muss ich eben auch n vertrauenswürdiger Partner in diesen Netzen sein, weil wenn ich. Die Dinge schleifen lasse und irgendwie sagst du, na ja, ich will das halt zwar mitbenutzen oder ich muss da halt in diesen Netzen eben mit den anderen kommunizieren, aber ich selber lege keinen Wert. Also das ist jetzt vielleicht ein bisschen böse ausgedrückt, aber es liegt schon jeder wert darauf, dass die eigene Infrastruktur sicher ist. Aber wenn ich nicht mitbekomme, dass ich hier gerade ein Problem für alle anderen Akteure darstelle, dann ist. Wieder die Frage nach den indirekten Auswirkungen. Ja, dann bin ich halt, dann bin ich halt eine Gefahr für die anderen.
Felix Schmitt Nur, damit ich es zwar richtig verstehe, diese Grenze, die jetzt hier gezogen wurde, von gilt für oder sozusagen die Anforderung aus NIS 2 gelten oder gelten nicht im kommunalen Umfeld. Also wenn eine Kommune ein eigenes Rechenzentrum betreibt als ausgeglichener GmbH wie auch immer. Da gilt es richtig. Und wenn sie aber zum Beispiel kein Rechenzentrum hat, sondern ich sag mal so, die relevante Infrastruktur in der IT Abteilung im Keller betreibt, dann nicht.
Sabine Griebsch Dann nicht würde ich auch nicht sagen, weil du guckst ja auf die, also du guckst auf die Leistung beziehungsweise du guckst auf die auf die Zusammenarbeit und auf die Kooperationen. So und dann bist du mitunter dann doch betroffen. Also es lohnt sich schon sich mit dem Thema zu beschäftigen.
Felix Schmitt Alles klar also bei dem einen auf jeden Fall, bei dem anderen vielleicht und in anderen Bereichen sind wir ja die-
Sabine Griebsch Die Lieblingsantwort jedes Beraters: es kommt drauf an.
Felix Schmitt Genau richtig. Genau. Alles andere wäre ja auch viel zu einfach. Dann lass uns doch mal so noch mal so n bisschen klären in anderen Bundes, in anderen Ländern der EU ist es ja so, die Kommunen oder die Kommune gilt als Betroffene oder als Adressat von NIS 2 in Deutschland nicht, warum eigentlich? Also, wie kam auch damals diese Entscheidung zustande, dass die Kommunen, obwohl das so, ich sag mal so in der allgemeinen Bubble, in der das diskutiert wurde, ja eigentlich abgemachte Sache war? So, ihr seid jetzt kritis. Und dann auf einmal, ach nee, seid ihr doch nicht. Also das die so so relevant seid ihr ja scheinbar gar nicht.
Sabine Griebsch Ja, du hörst mich lachen, aber das ist ein bitteres Lachen, ne. Also der Beschluss war relativ kontrovers, also der Beschluss des ET planungsrates. Das tatsächlich die lokalen Verwaltungen und Bildungseinrichtungen von der Anwendung eben der Richtlinie auszunehmen. So, wir hatten den Beschluss, also kann ja jeder nachlesen am 3.11. 23 und Zitat Halt bittet er die Länder und den Bund von der Option den Anwendungsbereich der NIS 2 Richtlinie auf Einrichtung der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen, das heißt der Beschluss meint also, dass er sich hier auf n. Sachstandsbericht der Arbeitsgruppe Informationssicherheit des IT PLANUNGSRATES vom September des Vorjahres dann eben beruft und in dem Bericht wird empfohlen, dass die NIS 2 Richtlinie eben nicht auf kommunale Verwaltung und Bildungseinrichtungen auszudehnen ist. So in dem sind sie gefolgt, ohne jetzt irgendwie mitzubekommen, dass er noch im zweiten Teil hat nämlich und ignoriert damit, dass die Empfehlung Halt weiter heißt, die Länder sollten sich drum kümmern, also die Länder sollen sich darum kümmern, dass die Kommunen dort mit reingeholt werden in dieses Schutzschild. Stellt, so kann man sich angucken, hier die Initiative fragt den Staat, hat sich tatsächlich dieser diese Empfehlung, dann kannst du ja irgendwie in die Show Notes packen, jedenfalls diese Veröffentlichung. Sagen, der steht dann drin im zweiten Teil. Die Länder sollten die Regelungen im jeweiligen Landesrecht schaffen, da eine Regulierung im Rahmen von NIS 2 keine wesentlichen Vorteile. Über einer auf die jeweilige Verwaltungsstruktur des Landes zugeschnittene Normierung bietet so jetzt noch mal Zitat, die Länder könnten in Anlehnung an das geplante NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundesanforderungen für die Informations- und Cybersicherheit, für kommunale Behörden und Bildungseinrichtungen eigenständig gesetzlich regeln. Jetzt haben wir aber die Situation, dass dass wir draufschauen und ob das jemals geschehen wird, ist unklar, wenn tatsächlich bezieht sich das Halt auch ein Wunsch der Länder, die. Gesagt haben, ja weiß ich nicht, ob das für unsere Kommunen so ganz sinnvoll ist, weil die Vermutungen gehen tatsächlich in die Richtung, dass der Planungsrat die Kommunen von den Sanktionszahlungen wegen nicht erfüllter Sicherheitsstandards bewahren wollte oder die Digitalisierung der öffentlichen Verwaltung, wenn man sie betrachtet, ne, nicht zuletzt den Kommunen doch relativ schleppend vorangeht und die Verpflichtung auf höhere Sicherheitsstandards, also als zusätzliche Erschwerung angesehen wird. Auf der anderen Seite kannst du damit auch argumentieren wir Digitalisieren. Wie so n Kartenhaus fällt es wieder zusammen, fällt das komplette Vertrauen zusammen. So ne also das heißt dieses Gerüst der der Digitalisierung sollten wir uns eben auch nicht wegnehmen lassen. So, aber was du halt wieder merkst, und das ist das was mich in dem in dem Kontext immer relativ anfasst. Ne ist das bei Bund und Ländern der Zweifel eben groß ist, dass Kommunen in der Lage sind, diese auch umzusetzen, also das heißt also diese diese Diskussion oder dieses Gespräch mit Kommunen, die etwas machen wollen, aber wenig Handhabe haben, mit dem Land etwas zu bewerkstelligen. Die haben jetzt tatsächlich keine Handhabe, so einfach zu sagen, wir möchten das machen, wir müssen das machen, wir möchten, also, wir können das alle für sich machen, aber so diese Unterstützung, die du dir vom Land wünschst, funktioniert gerade irgendwie über Kooperationsverträge und die tatsächlich für die Kommunen relativ substanz- nicht substanzlos, aber zumindest. Schwer zu greifen sind aber können wir auch noch mal besprechen.
Felix Schmitt Ja, aber vielleicht noch mal ganz kurz. So am Anfang. So ist es für mich so n bisschen unverständlich ja, warum man die Kommunen da rausgelassen hat, jetzt hast du ja eine Argumentation gerade auch genannt, die. Von den Ländern ja auch vorgetragen wurde, dass hinter der Umsetzung von NIS 2 ja auch erheblicher Aufwand steckt, nicht nur ein finanzieller Aufwand. Das ist die die eine Seite, sondern ja auch n personeller Aufwand n ein eine, teilweise auch logistischer Aufwand und wenn ich mir jetzt nur mal Kommunen auch in in da wo wo ich jetzt auch viele Kontakte auch hin habe, wenn ich mir die anschaue, habe ich auch sofort das Gefühl, die sind ja mit vielen Schritten heillos überfordert. Auch allein schon. Wir reden noch nicht über Geld, sondern aus aus dem Thema Personal. Es gibt zwar IT Sicherheitsbeauftragte, das heißt aber nicht, dass die alle wirklich sozusagen ihr Leben lang IT Sicherheit gelebt haben, sondern das sind jetzt halt die Beauftragten, so wie es die Datenschutzbeauftragten oft ja auch gibt. Die es manchmal eher zufällig geworden sind, weil sie zu zu langsam aus dem Stuhlkreis irgendwie rausgetreten sind. Das heißt, die die Überforderung an dieser Stelle solche Regelungen einzuführen ist ja auch durchaus gegeben, also ist da vielleicht auch was dran an der Argumentation.
Sabine Griebsch Die Überforderung wird nicht angegangen werden, wenn das Problem nicht vor den Kommunen steht. So, das heißt also, ich ich vielleicht mal ein gutes Beispiel aus Sachsen dort ist zum Beispiel ein Pool von IT Sicherheitsbeauftragten, die werden geschult, die stehen zur Verfügung und die Kommunen können sich mit Stunden einbuchen, das finde ich eine super Möglichkeit, eben tatsächlich zu einem Sicherheitsbeauftragten zu kommen, der nicht gleich, nicht gleichzeitig IT-Leiter ist das wäre notwendig, solche solche Dinge vielleicht mal zu denken oder eben aus einem aus einem Pool heraus oder vielleicht ein Pool zu schaffen, wo ich sag, so die einen haben die Kompetenzen gerne, haben die Kompetenzen und du suchst dir, deiner deine Kommune im Nachbarkreis also, wo man sich einfach zusammenschließt und sagt, der eine hat die Planungs- und Steuerungskompetenz, die anderen haben vielleicht die Vergabekompetenzen und dann kann ich hier in Kooperationen zusammenarbeiten. Auch das Thema Resilienz machen wir jetzt heute nicht so in der Tiefe so, aber das ist eben auch eine Möglichkeit, hier seine Probleme zu lösen.
Felix Schmitt Du hast vorhin schon angesprochen, es soll ja jetzt nicht sozusagen einfach nur ersatzlos einfach nichts gemacht werden, sondern die Länder sind rufen sich selber auf dazu, dass sie im Prinzip Ersatzregelungen für die kommunale Ebene schaffen. Offiziell ist da ja glaube ich noch nicht wirklich was. Was hast du denn gehört, was wird denn dort von den Ländern beschlossen werden, an was sich die Kommunen dann zukünftig auch halten sollen?
Sabine Griebsch Das ist super witzig. Das ist also, die ist so, wie wir immer von den Kommunen sprechen, die total heterogen sind, ist es auch mit den Ländern so, dass hier total unterschiedliche Stände sind. Also du hast. Manche Länder haben eben tatsächlich bereits IT Sicherheitsgesetze das ist Baden-Württemberg, das ist Hessen. Dann hast du andere Länder, Bremen, Sachsen-Anhalt und Thüringen. Die verfügen noch über kein Landeseigenes IT Sicherheitsgesetzt, dann hast du. Welche also Länder, die einfach auch keinen IT Sicherheitsgesetz besteht und eben auch irgendwie keins in Planung ist? Ich glaube meine ich habe das in Thüringen gesehen, auf jeden Fall hinsichtlich der Kommunalverwaltung hast du, hast du es so, dass manche Länder eben bereits jetzt Verpflichtungen für Einrichtungen von kommunalen Verwaltungen vorsehen. Das ist aber wie gesagt, es ist von Land zu Land unterschiedlich, aber eben auch die also so zusammenfassend ne, hast du gerade die Einbeziehung in den Anwendungsbereich der NIS 2 Richtlinien hast du der Kommunen hast du explizit in keinem einzigen Bundesland geplant. Also du kannst. Genau und als Erklärung ne. Der Großteil der Länder beruft sich auf den Beschluss des IT PLANUNGSRATES also ich glaube um hier ne wirkliche Übersicht, weil wenn ich das jetzt lang erzähle um hier ne wirkliche Übersicht, da gibt es von HK 2 Rechtsanwälte Pack den Link mal in die Shownotes. Jeden Fall die Webseite IT. Sicherheit und Recht kümmert sich da irgendwo um die haben so eine Übersicht. Wo stehen die Länder hinsichtlich der Umsetzung der NIS 2 Richtlinie muss auch gucken, also die halten es relativ aktuell, insofern ist das Glaube ich ein guter Überblick dann für für die viel Zuhörer die du hast den 16 Bundesländern auch ihr eigenes Bundesland zu erwischen ohne 20 Minuten vorspulen zu müssen.
Felix Schmitt Du hast, du hast ja gerade schon geschildert, es ist extrem heterogen, wie glaube ich, im Föderalismus aus das, das weiß man ja inzwischen im Bereich Digitalisierung nicht anders zu erwarten, aber kann man so n bisschen rausarbeiten? Hast du so einzelne den die es immer so einzelne Aspekte gefunden, wo man zumindest mal sagen kann, da sind die das eine oder andere Land auf dem Weg oder hat sich auf den Weg gemacht, wo man dann so bisschen sehen kann. OK, das werden die Unterschiede sein zu der klassischen NIS 2 Richtlinie, wo man sagen kann, sie orientieren sich dran oder sie gehen ganz andere Wege oder man wünscht den Kommunen einfach nur Glück.
Sabine Griebsch Das ist eine gute Ausd- das ist ein guter Ausdruck. Nein, du hast tatsächlich. Also jetzt schon vereinzelt und ich glaube, das ist jetzt schon, das sind jetzt schon einige, dass die Kooperationsvereinbarungen geschlossen wurden, wo du zwischen Land und BSI beispielsweise einen regelmäßigen Austausch auf Leitungsebene hast, hast, wo ich noch nicht ganz so sicher bin, was für die Kommunen das für die Kommunen dabei so abfällt, wenn sich die Leitungsebene austauscht. Ich bin eigentlich immer ein großer Fan, wenn die Arbeitsebene sich trifft. Dann hast du so Sensibilisierungsvorträge und IT Grundschutztage eben auch durchs BSI. Das ist aber das, was ich vorhin meinte, dass das wenig greifbar ist. Du hörst diesen Vortrag und denkst dir so, ja, müsste ich machen, so ne, das ist halt nicht wirklich, also wirklich verbindlich so, ich glaube es gibt so Instrumente wo du wo du einfach die Möglichkeit hast, dass wenn du beispielsweise Fördermittel für ein ISMS beantragst, dass du Dinge eben nachweisen musst, was? Echt eine Maßnahme wäre, um um Kommunen dann eben dahin zu bringen, diese Dinge umzusetzen und zu machen. So auf der anderen Seite hast du Beratung und Unterstützung nach Vorfallsmeldungen, das wird beispielsweise in Sachsen-Anhalt jetzt über das CERT Nord abgebildet, heißt aber eben auch, dass du im Rahmen der Reaktion zwar auf Leute zugreifen kannst, aber auch die müssen den den Bedarf decken können. Ne also weil ich glaube bei jedem Notfall dieses wenn eine Kommune nicht mehr in der Lage ist auf einen Notfall zu reagieren, das muss nach gar keinem Krisenfall sein und du dann mit dem mit dem CERT Nord in der permanenten Interaktion das dann in sind deren Ressourcen eben auch gebunden so, und das heißt wenn du jetzt auf der Pits warst, ich weiß nicht ob du wer auf der Piz war, aber wenn ich mir dann den Kollegen dann vom BSI anhöre, der sagt also wir haben 2 also 2 mobile Incident Response Teams von BSI für alle Kommunen in Deutschland. Land, dann ist es echt ambitioniert. Also dann sollte wirklich in keinem 2 Kommunen gleichzeitig ein Vorfall sein. Ansonsten ist natürlich so Sachen wie wie ein Pen Test sowas eben auch schon in einigen Ländern angeboten wird total sinnvoll, aber ich muss eben auch immer wieder dafür sorgen, dass daraus Handlungen abgeleitet werden, also nämlich, dass ich tatsächlich dann Schwachstellen, also dass ich dann eben auch in der Lage bin, auf diese Schwachstellen zu reagieren und die dann ja wegzubekommen.
Felix Schmitt Klingt für mich als wäre es sinnvoll, dass wir vielleicht mit den Angreifern in Verhandlungen treten. Das wird zumindest mal klären, bitte immer nur 2 gleichzeitig und wenn nicht, dann bitte der Rest irgendwie Niederlande oder sowas.
Sabine Griebsch Nein, bloß nicht umleiten. Genaue Web Weiterleitung.
Felix Schmitt Ja genau, aber das also klingt jetzt ja eher noch nicht so so richtig überzeugend.
Sabine Griebsch Nee, ansonsten kann ich nur sagen, die Differenz ist halt unterschiedlich. Ne, das ist halt also das, was die Länder eben anbieten, wenn ich da auf Bayern gucke, wenn ich da auf Sachsen gucke, wenn ich da auf Hessen gucke, das kann man auch ganz gut nachschauen bei Cyber, also auf der Seite cybersicherheitskompass, das ist, die ist total nützlich, weil ich dann die Angebote der Länder, wie sie jetzt schon sind, weiß nicht ob das so sinnvol ist zu vergleichen und zu sagen, aber ich kann auch in manche Bundesländer gucken und sagen, das bietet Bayern für mich an, oder das bietet Baden-Württemberg für mich in Sachsen-Anhalt an, da kann ich auch mal eine, also jetzt vielleicht keine Übung, aber so so kleine Gaming Geschichten. So wo ich mich dann durchklicken kann, das ist für manche schon auch ein wirklich ein guter Einstieg.
Felix Schmitt Insgesamt hab ich manchmal so den Eindruck, wenn wir über über IT Sicherheit reden. Das ist so wie OZG vor 5 Jahren. Bund und Länder planen da so ein bisschen vor sich hin.
Sabine Griebsch Ja, da denkt man, dass bei OZG IT Sicherheit auch erst mal sehr viel später noch ins Gesetz reingeschrieben wurde, ja genau.
Felix Schmitt Bund und Länder planen so ein bisschen vor sich hin, obwohl sie wissen, dass ganz viel von dem, was sie besprechen, eigentlich die Kommunen betrifft. Und die sind nicht wirklich einbezogen, so mein Eindruck an dieser Stelle. Also korrigieren, wenn der Eindruck falsch ist. Von daher geht es jetzt ja
Sabine Griebsch Du hörst mich schweigen.
Felix Schmitt Ich habe den Widerspruch laut laut vernommen. Das heißt, die Kommunen sind jetzt wieder so n bisschen in der Lage, sie müssen sich auf etwas vorbereiten, ohne wirklich klar zu wissen, worauf sollen wir uns eigentlich vorbereiten, was steht uns zur Verfügung? Gibt es denn Tipps oder aus aus deiner Sicht irgendwie einen Weg oder einzelne Schritte wo du sagst das ist etwas, da sollten Kommunen jetzt auf jeden Fall mal aktiv werden, weil das erstens es zahlt ein auf das Thema IT Sicherheit und zweitens das ist etwas, was später wahrscheinlich so oder so auf die Verwaltung zukommen wird. Also was können denn Verwaltungen, ob groß ob klein. Denn heute schon tun, damit sie prinzipiell erstmal besser aufgestellt sind.
Sabine Griebsch Ich glaube, Kommunen sollten sich erst mal darüber im Klaren sein. Und ich glaube, das sind Sie auch. Aber wie sie da stehen wollen, wenn der Krisenfall eintritt, also wenn der Notfall eintritt, mag das eine sein, aber wenn ein Krisenfall eintritt, und das heißt welche Aufgaben also ich Ich komme teilweise in Behörden und es liegt keine Prioritätenliste vor, so das heißt, dass er sich hier schon mal Gedanken zu machen, welche Leistungen sind kritisch. Ansonsten sind so Grundsätze, ach so, nee, ja, also ich glaube auch die die Frage nach so einer ad hoc Bewertung für eine für eine Wiederherstellung von Systemen, da hast du auf der einen Seite die Prioritäten, aber auf der anderen Seite liegt da eine Prüfung dahinter wo du sagst was ist existentiell notwendig, wo sind die Haftungsschäden am größten, was ist halt einfach, wo ist Leib und Leben bedroht. Das sind einfach solche solche Kategorisierungen wo ich sage, das wäre notwendig sich diese Frage zu stellen und dann eben zu gucken, welche welche Ämter und welche Fachbereiche und welche Leistungen und welche Fachverfahren müssen dann eben funktionieren im Bedarfsfall. Sondern das heißt natürlich, dass das Auswirkungen hat auf meine Infrastruktur und wie ich die also und wie ich die Schütze so und auf der anderen Seite. Ist eben auch diese. Diese, diese Überlegung will ich jetzt nur diesen einen Teilbereich meines meiner Verwaltung besonders schützen, welche Auswirkungen hat das auf die Organisation als Ganzes, also eine Organisation entwickle ich als Ganzes so, wir haben die Erfahrung gemacht, beispielsweise aus Anhalt-Bitterfeld, wenn du diese Freiwilligenaufgaben siehst. Kulturbereich und so weiter war Superweit hinten priorisiert, was aber dazu führt, dass die Mitarbeiter da echt, also unentspannt sind. Wenn die über so viele Monate nicht mit ihrer Technik arbeiten und dann anfangen mit ihrer privaten Technik zu arbeiten und gar nicht wieder ins eigene System finden. Und das sind natürlich Dinge, die es sind Folgen, die möchte ich dann einfach nicht haben, das heißt, grundsätzlich ist es wichtig, sich eine Wissensgrundlage zu schaffen, also fit machen für NIS 2 was bedeutet das NIS 2 und was bedeutet das eben für meine Kommune ist und das heißt aber auch das. Ich perspektivisch mal über für mich perspektivisch eigentlich schon im nächsten Jahr über veränderte Beschaffungsanforderungen nachdenke. Das heißt also, Kommunen müssen allein schon bei der Beschaffung von IT Dienstleistungen Produkten sicherstellen, dass diese den Anforderungen, den es 2 Richtlinien entsprechen, und das heißt eben auch, dass ich teilweise bestehende Verträge, Servicelevel Agreements neu bewerten muss und eben andere Partnerschaften oder schneller funktionierende Partnerschaften eben dann schließen muss. Also das heißt vielleicht innerhalb von 24 Stunden und so weiter oder innerhalb von wenigen Stunden einfach ein Incident Response Dienstleister habe und nicht erst im Krisen- oder, Katastrophenfall sage ich nicht, aber im Krisenfall. So erhöhte Kosten, das heißt jetzt schon drüber nachdenken, dass sich die Mittel im Haushalt hab die mir ne erhöhte Sicherheit gewährleisten, so, das heißt also diese. Umsetzung den NIS 2 Anforderungen wenn ich auf die schaue für die nächsten Jahre, dann wäre es absolut sinnvoll hier schon mal für Verständnis zu sorgen, dass sich diese Mittel auch tatsächlich in den Räten hab, also auch eben den mit, also dafür sensibilisieren wie wie die aktuelle Lage ist und auch auf der anderen Seite verstärkte Meldepflichten. Es kommt auch immer wieder vor. Kommunen oder dass Menschen gar nicht wissen, an wen die sich wenden, wenn, wenn der Vorfall dann eintritt, also hier auch tatsächlich zu gucken, kommuniziere ich mit der Polizei, wie ist da die, also nicht wie, sondern auch nee und nicht ob, sondern sorry, wie weil tatsächlich diese Telefonnummern, zentrale Ansprechstelle Cybercrime und so weiter das ist wichtig, dass das schon mal auf dem Schreibtisch liegt, also wenn ich mit den Leuten kommuniziere, das gleiche, ich habe eine Meldefrist für Datenschutzmeldungen, also für Vorfälle beim Datenschutz, das heißt also, auch hier muss ich mal die Nummer des Landesdatenschutzbeauftragten einfach schon parat haben, ansonsten diese Schritte, die du hast, also eben die Prüfung der Betroffenheit. So dass du eben hab schon gesagt, ne, diese relevanten Dienste identifizierst. Also einfach bestimmen, welche Verwaltungsdienste zu Kritis gehören. Dann Überprüfungen von spezifischen Ausnahmen und so weiter also wo muss es vielleicht dann doch nicht so ganz und eben aber auch Registrierungsanforderungen und wenn du hast, dass innerhalb von 3 Monaten nach Inkrafttreten des Gesetzes betroffene Einrichtungen registriert werden, dann würde ich das doch einfach machen. Das BSI schaut eh noch mal, ob man überhaupt, ob es überhaupt notwendig ist, dass man sich eben registriert. Frustriert hat Schaden kann es nicht. Abgesehen davon ist das glaube ich schon mal ein gutes Zeichen, um darüber zu um. Eben das Zeichen zu setzen, dass man sich dafür ja stark macht. Für mehr Sicherheit, so ansonsten regelmäßig Risikobewertung, die durchzuführen, das heißt also, die ist definitiv zentral in NIS 2, also die Ermöglichung der kontinuierlichen Bewachung über und eben auch proaktive Maßnahmen zur Schwachstellenbehebung. Ziel dessen ist halt so ne dynamische Stärkung der Cybersicherheit und ne Anpassung an neue Bedrohungen. Das heißt also du brauchst n Risikobewertungsprozess den du etablieren musst. Ne Integration eben in die jetzt hast gesagt Sicherheitspolitik, aber im Regelfall, also eigentlich im Grunde in der Organisation, dass diese Risiken permanent bewertet werden und in der Organisation verankert werden. Ich hab’s mal irgendwo beschrieben mit Operational Level Agreements, die eben auch von der Führungsebene unterstützt werden, und das betrifft auf der einen Seite die Zeit vor der Krise, das betrifft aber eben auch die Zeit in der Krise, wo ich Leute mit Funktionen und mit Rollen und mit Verantwortlichkeiten und vor allem auch mit der mit der Möglichkeit, Entscheidungen zu treffen und die durchzusetzen ausstatten muss. Und auf der anderen Seite immer Feedback und Anpassung und eben auch so, dass dieser gründliche Risikobewertung. Potentielle Bedrohung frühzeitig erkennt also das ist dann wieder so eine. Frage, Das wird noch ein bisschen mehr. Also du hast einfach auch das Thema BCM als Riesenthema. Ne, das ist essentiell um die Auswirkungen.
Felix Schmitt Business Continuing Management. Ich sag es immer falsch, gell?
Sabine Griebsch Cyber. Business Continuity Management.
Felix Schmitt Ja, fast genau ja. Also wenn genau. Ich bin kein Experte und ich glaube, es gibt einige, die brauchen da auch noch mal die die Langfassung.
Sabine Griebsch Ja, das ist gut. Also Geschäftsfortführung, darum geht es also fast tatsächlich. Die Maßnahmen zur Aufrechterhaltung kritischer Funktionen und eben zu schnellen Wiederherstellung, das ist schon, was ich schon eingangs sagte, Na die die Fragestellung, was muss funktionieren, damit du vielleicht auch in dem Notbetrieb erst mal weitermachen kannst oder nicht nur im Notbetrieb, sondern eben auch deine kritischen Leistungen dann weiter. Vornehmen kannst so, das heißt also, du brauchst dafür aber ein umfassendes Strategie, die entwickelt werden muss. Und es klingt jetzt alles so hochtrabend, aber BCM, also man wird ja schon sehr gut durchgeführt, ne, das ist jetzt auch kein Hexenwerk, es ist viel und es ist aufwendig, aber unabhängig davon garantiert es einem zu funktionieren. Relativ schnell wieder zu. Auch wenn die Hütte gerade brennt. So, das heißt also, all diese organisatorischen Aspekte deckt das auf der einen Seite ab, dann hast du klare Handlungsanweisungen für Notfallszenarien, das ist, was ich jetzt halt verstärkt mache mit Krisenplänen. Und du brauchst halt eine Strategie, eben die das regelmäßig überprüft und an diese neuen Risiken, die ja auch entstehen, angepasst also dass das angepasst wird. So das nächste Thema Disaster Recovery Lösung so, das heißt die Wiederherstellung von Systemen und Daten auf der anderen Seite auch so wo du überlegst Data Treasure Tour, was sind deine wichtigsten Daten, wie müssen die abgesichert sein und wie krieg ich die wieder also aus einem Backup heraus einfach auch mal testen, sich so ja die Daten zurückzuspielen und in welcher Geschwindigkeit kriegt man das Halt hin? So ne dann auf der anderen Seite regelmäßige Tests und Übungen, super essentiell eben auch wenn du dir die Frage stellst. Dann müsste ich vielleicht in einem Krisenfall über Bypass Lösungen temporär Leistungen vielleicht auslagern an andere Gemeinden, weil die das jetzt gerade übernehmen können oder weil ich Mitarbeiter dort jetzt abstellen kann und da geht es einfach darum realistische Szenarien zu simulieren bestenfalls, also, das ist mein Favorit tatsächlich auch mit anderen Kommunen und mit den eigenen Dienstleistern, um zu wissen, wie schnell funktionieren die und wie schnell funktioniert deine Organisation und was sagt Deine Pressestelle nach außen, wenn gerade nichts mehr funktioniert, weil das ist wichtig, eben auch nicht nur ebenenübergreifend, sondern auch Abteilungsübergreifend zu schauen. Wie funktioniert meine Organisation in der Krise? Sonst ist das ganze Thema Lieferkettenmanagement, also die Sicherheit in der Lieferkette hast du total. Es ist wichtig, halt in der Verwaltung, du weißt genau, diese Kommune arbeitet jetzt nicht für sich in ihrer kleinen Bubble, sondern wir haben mit unseren Landesbehörden zu tun, so dieses teilweise, wenn dort ein Genehmigungsverfahren eine Instanz ausfällt, dann geht es halt nicht weiter, dann geht es für alle nicht weiter so und das führt eben dazu, dass dass wir auch hier notwendige Sicherheitsstandards einhalten und dass wir eben auch bei unseren Zulieferern überprüfen und zertifizieren, was kriegen wir für Daten in welchen Rechennetzen sind die? Wie kriegen wir, also, wie geht es weiter? So ne, das muss ich eben, wenn das ein kritischer Prozess ist, sicherstellen, und zwar dann tatsächlich Ebenen und behördenübergreifend, dann hast du hier dann in dem Moment halt auch diese risikobasierte Bewertung der Lieferkette. Wichtig Transparenz und Zusammenarbeit also, das heißt Offenlegung on Sicherheitsvorfällen, damit du eben auch den ganzen Perlen sozusagen in deiner Kette auch Vertrauen kannst und dass du eben dir auch dazu Ermutigst, offen zusammenzuarbeiten. Wir brauchen jetzt gar nicht anfangen zum Thema Fehlerkultur, aber wichtig ist, dass hier nicht irgendwo so ein Break entsteht, weil jemand etwas verheimlicht und du damit einmal irgendwelche Findings bei dir im Netz hast. Das ist extrem kontraproduktiv und ein Thema, das ist glaube ich, ich weiß gar nicht, das ist nicht so leicht umzusetzen, also ich versuche zumindest seit Monaten darüber zu darüber zu reden, dass doch ein Sock auf Landesebene absolut sinnvoll wäre, weil wir es hängen an den Landesverwaltungsnetzen. Es wäre sinnvoll, tatsächlich hier zu gucken, ob eine Kommune ein Problem darstellt und ich die vielleicht einfach auch so aus dem Netz kicken kann, wenn die nachts um 3 irgendwie sich in unregelmäßigen Abständen versucht, mit irgendwelchen. Bekannten Angreifer Infrastrukturen miteinander zu verbinden.
Felix Schmitt Du wolltest Länder nennen.
Sabine Griebsch Besser nicht. Genau. Und das ist unterschiedlich, mitunter und ja, auch länderübergreifend. Also da arbeiten jetzt viele zusammen. Russland. Nein, ansonsten, du hast halt so, da ist es halt wichtig, technische Spezifikationen zu haben. Also du brauchst deine ganzen. Was sind denn so untypische Dinge beispielsweise für Kommunen, auch da kann eine Kommune wirklich zuarbeiten und sagen, nachts um 3 ist nicht so üblich, außer bei der Feuerwehr, da ist OK so und bei der Leitstelle die ist nachts um 3 noch aktiv, aber im sozialen wahrscheinlich eher weniger, also da ist selbst Homeoffice. Nachts um 3 muss nicht unbedingt mehr sein, sondern das heißt also da wenn Anomalien festgestellt werden, wenn Unverhalten festgestellt wird, was nicht typisch ist, dann wird einfach mal das der Rechner, also der Endpunkt vom Netz genommen, so und isoliert. Und wenn eine ganze Instanz sozusagen, also eine ganze Organisation ein Problem darstellt, dann wird man halt aus den Landesverwaltungsnetzen getrennt, bis das Problem geklärt ist, so dass es, ich würde das nicht immer unbedingt in die in die Verantwortung der Verwaltung legen, so nach dem Motto, Ja ja, ist ja nicht so schlimm, sondern dieses ist es, ich glaube, es ist dann immer besser das Problem technisch zu klären, so das ganze Thema Fachpersonal rekrutieren ich, ich kenn es von einer Kommune, wo man gesagt hat wir machen n zock und dann hat man gerechnet OK also wir brauchen jemanden für die Frühschicht, wir brauchen jemanden für Mittag, wir brauchen niemals für n Abend also 3 irgendwie und dann jeder und dann aber auch irgendwie nach Ersatz also wir brauchen über 20 Leute so morgen oder was so wenn das Problem da ist und du wieder ans Landesverwaltungsnetz möchtest, dann hast du das besser du hast einen besseren Dienstleister dafür, der dich in dem Moment durch 7 überwacht und dir dann ermöglicht schnell wieder mit einer Echtzeitüberwachung. Zu schauen bist du gerade ein Problem für andere so, und das ist jetzt auch was das Thema Datenschutz betrifft, ist es natürlich noch viel zu diskutieren, wo liegen die Daten und so weiter aber auch hier ist es sinnvoll sich mal der Frage. Wirklich zu stellen so und ansonsten Reaktionsprotokolle die Jungs und Mädels in einem soc können sicher routinierter auf dem Angriff reagieren als jemand in der Kommune, der das alle 3 Wochen oder alle 3 Monate oder jedes Jahr mal erlebt so, das heißt also, die Jungs und Mädels in die Cyber Range zu schicken, ist durchaus ist nicht falsch, um zu gucken, wo stehe ich und wie würde meine Abteilung reagieren, aber das machen die nicht jeden Tag so ne das heißt aber die Angreifer die machen es jeden Tag so und glaube ich, dass die Chancen für die Angreifer dann doch relativ hoch sind, so genau und ansonsten kontinuierliche Schulungen, Sensibilisierung, ich glaube immer, dass eine Organisation als Ganzes für die IT Sicherheit zuständig ist, also das heißt, wir können das Problem Technik nicht losgelöst von der Organisation begreifen und insofern ist es wichtig, nicht nur, also klar begleiten durch Awareness Trainings, aber eben auch mit so Konzepten, wie Zero Trust und eben auch mit Aufmerksamkeit usw, wirklich? Für mehr Sicherheit zu sorgen, was ja auch nicht unbedingt nur ein dienstliches Thema ist, sondern auch zuhause weiterhilft.
Felix Schmitt Genau, ja, schönes Schlusswort sozusagen an der Stelle, ich vermute mal, alle haben jetzt fleißig mitgeschrieben, das waren ja jetzt bestimmt 20 Spiegelstriche mit vielen einzelnen Schritten. Wer sich das noch mal angucken will, was Sabine auch gerade vorgetragen hat, findet-
Sabine Griebsch Langsam abspielen.
Felix Schmitt Genau, langsamer abspielen oder ins Transkript reinschauen, da kann man die Punkte sich auch noch mal anschauen, aber das will ich auch dazusagen. So ein Ritt durch die IT. Sicherheit, der braucht glaube ich noch mal besondere Aufmerksamkeit. Heute haben wir uns vor allem mal schwerpunktmäßig angeguckt. So wie sieht es eigentlich mit der Regulation aus, mit den Regeln rund um IT, Sicherheit, mit einer mit dem mit, wo die Kommunen auch betroffen sein werden. Das ist NIS 2 beziehungsweise eben nicht NIS 2, sondern die Regelungen, die dann von den Ländern kommen werden und. Wir wollen uns aber auch noch mal ganz präzise und auch mit mehr Zeit anschauen, was können eigentlich Kommunen, kleine wie große Kommunen machen, um die IT Sicherheit auch mit eigenen Mitteln zu verstärken und das wollen wir in Episode 53 machen, nicht nur wir 2, sondern. Da holen wir uns noch einen Gast mit ins Haus, nämlich Dirk Kunze aus dem Cyber Crime Kompetenzzentrum der Polizei Nordrhein-Westfalen. Also jemandem, wie sagt man das dann von der n von der Straße ist man dann ja nicht, wenn man im Cybercrime Kompetenzzentrum, das sind dann die, die im Internet auf Streife sind, richtig. So, es muss sie ja geben, die Innenminister sprechen immer davon, im Internet auf Streife zu gehen. Wenn das irgendjemand macht, dann. Dirk, mit ihm werden wir uns dann in Folge 53 in kleiner Runde mit Sabine, mit Dirk und mit mir darüber austauschen, wie Verwaltung im Bereich IT, Sicherheit auch selbst Fortschritte machen können.
Sabine Griebsch Mit Blick auf Prävention und auf Organisation. Und auf Technik.
Felix Schmitt Genau, und das wird mit Sicherheit auch noch mal ne spannende Episode, die ein paar Tage nach dieser Episode dann auch erscheinen wird und ich bin schon sehr gespannt, was wir da dann auch hören werden, was wir dort auch besprechen können. Bis dahin. Sabine wünsch ich- erstmal vielen dank, du hast heute hoffentlich auch für die Hörerinnen und Hörer einiges an Licht in einen schattigen Bereich des der IT geworfen, in denen manche, habe ich manchmal so den Eindruck, bewusst gar nicht gerne hingucken, weil sie schon so das Gefühl haben, na. Ja, es ist, wenn ich da hingucke dann liegt da Arbeit, die vielleicht sogar wirklich dringend ist, die anspruchsvoll ist, die teuer sein kann. Und da will die Europäische Union mit NIS 2 ja auch das Sicherheitsniveau auch deswegen ja teilweise auch deutlich verstärken. Das wird auf Kommunen Auswirkungen haben, aber ich glaube, da hast du heute mal so ein bisschen Aufklärung auch bringen können, wo wird das Kommunen wie auch betreffen, direkt wie indirekt und beim nächsten Mal, da freue ich mich schon drauf, reden wir dann über die IT Praxis.
Sabine Griebsch Genau. Was können wir konkret machen. Ich freu mich drauf.
Felix Schmitt Danke Sabine. So, das war’s für heute. Vielen Dank, dass du dabei warst und bis zum nächsten Mal.