Nordrhein-Westfalen Landesregierung sieht ihre IT-Sicherheit eher gemütlich
Die Landesregierung muss EU-Vorgaben zur IT-Sicherheit umsetzen. Damit lässt sie sich viel Zeit. Wie gefährlich ist das?
Jedes Jahr gibt es unzählige IT-Angriffe auf die Landesregierung und die nachgeordneten Behörden. Laut Innenminister Herbert Reul landeten im vergangenen Dezember 10.000 gefährliche E-Mails in den Postfächern landeseigener Rechner.
Was alles bei einem erfolgreichen Cyber-Angriff passieren kann, zeigte sich vor gut einem Jahr bei der Südwestfalen-IT: Wochenlang legte der Angriff krimineller Hacker die Verwaltung mehrerer Städte lahm. 22.000 Rechner waren nutzlos, Telefon und E-Mail funktionierten nicht, Rathäuser blieben geschlossen. 1,6 Millionen Bürger waren betroffen.
Monatelang hatten die Städte und Gemeinden mit den Folgen mangelhafter IT-Sicherheit zu kämpfen. Zwar gehören Kommunen nicht zur Landesverwaltung, der Vorfall zeigt aber das große Interesse von Hackern an öffentlicher Infrastruktur. In der Vergangenheit waren auch der Landtag und Universitätskliniken Ziel solcher Attacken.
Die Beispiele zeigen, wie wichtig das Thema IT-Sicherheit inzwischen ist. Die Europäische Union (EU) macht mit einer Richtlinie konkrete Vorgaben dafür. Die gelten auch für die Landesverwaltung und nachgeordnete Behörden, etwa das Landesamt für Besoldung. Die EU-Vorgaben sehen zum Beispiel eine Multifaktor-Authentifizierung vor und einen Notfallplan für den Fall eines Cyberangriffs.
Kein Überblick, wie die IT-Sicherheit wirklich aufgestellt ist
Ein Großteil der EU-Vorgaben sei längst für die NRW-Ministerien verpflichtend, so das zuständige Ministerium von Ina Scharrenbach (CDU). Dafür sorgten schon lange verschiedene interne Regelungen. Soll heißen: Es bestehe kein akuter Handlungsdruck.
Seit 1998 richtet sich die Landesregierung unter anderem nach dem sogenannten BSI-Grundschutz. Dahinter steckt ein Sicherheitsstandard, das seitdem mehrfach angehoben wurde.
Experten bewerten ihn als gut. Doch es gibt einen Haken: Ob sich alle daran halten, erscheint völlig offen. „Die Ressorts sind in eigener Zuständigkeit für die Umsetzung verantwortlich“, so ein Sprecher des Ministeriums.
Nach EU-Richtlinie „NIS 2“ reicht das aber nicht. Sie fordert eine „Zentralstelle mit Aufsichts- und Durchgriffsrechten“, so das Ministerium. Doch eine solche Stelle gibt es in der Landesregierung bis heute nicht.
Experte: Fehlende Kontrolle ist riskant
Dabei wäre die systematische und unabhängige Überprüfung der IT-Sicherheit essenziell. Der TÜV Rheinland, der solche Tests anbietet, schreibt auf WDR-Anfrage: „Die eigene fortlaufende Überprüfung und Anpassung von IT-sicherheitstechnischen Maßnahmen ist maßgeblich dafür, dass diese Maßnahmen funktionieren und wirksam sind“, so Jens Langguth , IT-Sicherheits-Experte beim TÜV Rheinland. Mit anderen Worten: Jede Regel ist nur so gut wie deren Kontrolle.
Die rechtliche Grundlage für eine solche Zentralstelle in NRW müsste es längst geben. Dafür hatte das Land nach den EU-Regeln bis Mitte Oktober Zeit. Doch bislang ist keine entsprechende Regel in Kraft.
Nach WDR-Informationen war bei den Fachleuten der NRW-Ministerien länger bekannt, dass die Regierung aktiv werden müsste. Ministerin Ina Scharrenbach habe darauf nicht hören wollen, klagen beteiligte Fachleuten eines anderen Ministeriums. Der WDR hatte über das Thema bereits Anfang September berichtet.
Zuständiges Ministerium war frühzeitig gewarnt
Nach WDR-Informationen hat Ministerin Scharrenbach mittlerweile einen Vorschlag unterbreitet. Dabei handelt es sich um eine Verwaltungsvorschrift, also eine rein interne Reglung - und nicht um ein formelles Gesetz. Diese Verwaltungsvorschrift hätte schon durch das Landeskabinett gehen sollen, wurde aber nach WDR-Informationen zurückgezogen. Es gab wohl noch Beratungsbedarf.
Ina Scharrenbach, NRW-Ministerin für Digitales
Ein Streitpunkt scheint demnach zu sein, ob man die Regeln doch besser per Gesetz umsetzen sollte. Das kann nur der Landtag. „Verwaltungsvorschriften können genauso leicht kassiert werden, wie sie geschaffen werden“, sagt Karsten Bartels, Rechtsanwalt und Vize-Vorsitzender des Bundesverbandes für IT-Sicherheit TeleTrusT. Wegen des hohen Stellenwertes gehöre das Thema ins Parlament.
Datenschutzbeauftragte fordert Gesetz
Ein weiterer Vorteil eines Gesetzes: Würden darin die Mindeststandards festgeschrieben, müssten dafür auch Haushaltsmittel zur Verfügung gestellt werden. Der Landtag könnte außerdem Fachleute angehören. All dies würde bei einer Verwaltungsvorschrift wegfallen.
Auch die Landesdatenschutzbeauftragte Bettina Gayk spricht sich für ein Gesetz statt einer internen Regelung aus. Sie wurde in dem Verfahren um Einschätzung gebeten, da auch der Datenschutz betroffen ist.
Landesdatenschutzbeauftragte Bettina Gayk
Gayk geht es aber nicht einfach nur um die Frage Verwaltungsvorschrift oder Gesetz. Sie hat weitere Kritikpunkte. Die EU-Regel verpflichte etwa, Computer-Notfall-Teams einzurichten. Das fehle bislang im Scharrenbach-Vorschlag.
Opposition drängt auf EU-Vorgaben
Für die Opposition ist das Ganze nicht nachvollziehbar. FDP und SPD im Landtag hatten das Thema zuletzt mit mehreren Kleinen Anfragen angepackt. Die FDP spricht nun von einer „vertanen Chance“, wenn es nur per interner Verwaltungsvorschrift geregelt wird. „Das Land sollte Vorbild geben. Cybersicherheit ist kein Nischenthema“, sagt Angela Freimuth (FDP).
Thema Europa und Digitalisierung
Dabei denke sie auch an die etwa 30.000 Unternehmen, die bundesweit von den neuen EU-Vorgaben betroffen sind und oftmals zehntausende Euro investieren müssen. Die SPD-Fraktion sieht die Verantwortung bei der zuständigen Ministerin Scharrenbach. Dort sei viel Zeit vertan worden, die für eine rechtzeitige Umsetzung der EU-Vorgaben nötig gewesen wäre.
„Es gibt keine abgestimmte Digitalisierungsstrategie und die Zuständigkeiten innerhalb der Regierung sind nicht geklärt“, sagt Sebastian Watermeier, digitalpolitischer Sprecher der SPD. Dabei habe seine Fraktion diese mehrfach eingefordert. „Digitalisierung ist für Schwarz-Grün nicht mehr als ein Thema für Sonntagsreden“, so das Fazit des Oppositions-Politikers.
Ministerium: "laufender Willensbildungsprozess"
Das Ministerium reagiert auf WDR-Anfrage zur Stellungnahme der Datenschutzbeauftragten und dem weiteren Vorgehen schmallippig. Man befinde sich derzeit in einem Willensbildungsprozess und bitte daher um Verständnis für ausbleibende Antworten, so ein Ministeriumssprecher.
Quellen:
- eigene Recherchen des Autors
- Interview TÜV Rheinland
- Stellungnahme der Datenschutzbeauftragten
- Stellungnahmen von Digital-Ministerium, SPD-Fraktion, FDP-Fraktion nach WDR-Anfrage
Über dieses Thema berichtet der WDR am 3.12.2024 auch im Hörfunk in der Sendung Westblick auf WDR 5.