Schutz vor Hackerangriffen Sachsen-Anhalts Cyberkooperation mit dem BSI: Stabile Seitenlage

• Mit der Cyberkooperation wollen BSI und Land die IT-Sicherheit verbessern. Dazu soll es Informationsveranstaltungen geben und Hilfe im Fall eines Hackerangriffs.
• Ungelöst bleibt, ob das BSI grundsätzlich für die Bundesländer und Kommunen zuständig sein darf. Die Lage der IT-Sicherheit ist in Sachsen-Anhalt besorgniserregend.
• Experten finden die Vereinbarung grundsätzlich gut, sehen aber auch Verbesserungsmöglichkeiten. Denn: Cybersicherheit ist nur so gut wie das schwächste Glied der Kette.

Als fünftes Bundesland hat Sachsen-Anhalt eine "Kooperationsvereinbarung im Bereich Cyber- und Informationssicherheit" mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geschlossen. Sachsen-Anhalts Digitalministerin Lydia Hüskens (FDP) sieht das als großen Fortschritt: "Wir sorgen dafür, dass Verwaltung und Behörden und die Daten der Menschen in unserem Land sicher sind."

In neun Felder arbeiten Sachsen-Anhalt und das BSI zusammen. Unter anderem soll das BSI die Verwaltungen im Land über IT-Sicherheit informieren und bei Veranstaltungen und Workshops dabei sein.

Auch für Kommunen und Landkreise werden Hüskens zufolge mit Hilfe des BSI Workshops organisiert. "Ich glaube fest daran, dass es am wichtigsten ist, Menschen zu sensibilisieren. Wenn man einen entsprechenden Kompass hat, ist das meiste zu vermeiden." Außerdem könne das BSI Sachsen-Anhalts Behörden helfen, Informationssicherheit zu organisieren oder zu testen.

Im Audio können Sie hören, was sich BSI und Land von der Vereinbarung versprechen;

Das Herzstück der Vereinbarung: Nach einem Hackerangriff kann das Land das BSI um Hilfe bitten. Als 2021 die Landkreisverwaltung Anhalt-Bitterfeld Opfer von vermutlich russischsprachigen Hackern wurde, hatte der Landkreis den Katastrophenfall ausgerufen. Nur so konnte zum Beispiel die Bundeswehr helfen.

Das BSI ist offiziell nur für die Netze des Bundes zuständig. Nach Anhalt-Bitterfeld kam das BSI damals, weil der Landkreis um Amtshilfe gebeten hatte. Die Hilfe des BSI ist nach einem Hackerangriff begrenzt: "Es ist unsere Aufgabe, das Opfer in eine stabile Seitenlage zu bringen", erklärte BSI-Vizepräsident Gerhard Schabhüser.

Gehackten Verwaltungen wird also akut geholfen – den langfristigen Wiederaufbau müssen sie selbst erledigen. Die neue Vereinbarung ändert daran kaum etwas. Sie gilt zwischen dem BSI und der unmittelbaren Verwaltung, die der Landesregierung unterstellt ist. Aber bei Vorfällen in Kommunen und Landkreisen soll nun Hüskens Ministerium die Hilfe mit dem BSI koordinieren.

Vor allem das Land scheint von der Zusammenarbeit zu profitieren. Aber der BSI-Vize Gerhard Schabhüser sagt, es sei ein Nehmen und Geben: "Wir lernen bei gemeinsamen Veranstaltungen ganz viel über die Kommunen. So erfahren wir, was wir müssen tun müssen, um dort Cybersicherheit ans Fliegen zu bekommen."

Würden Hacker zeitgleich mehrere Behörden in verschiedenen Bundesländern angreifen, könne auch das BSI nicht unendlich viel Hilfe schicken. Wo geholfen wird, entscheide auch eine solche Kooperationsvereinbarung, sagt BSI-Vizepräsident Gerhard Schabhüser und vergleicht es mit einer Triage in der Notaufnahme: "Wenn wir drei ungefähr gleich komplexe und kritische Fällen haben und in zwei Fällen haben wir Kooperationsvereinbarungen, dann weiß ich, wie ich entscheide."

Das BSI hat solche Vereinbarungen auch mit dem Saarland, Niedersachsen, Hessen und Rheinland-Pfalz abgeschlossen. Weitere sind geplant. Außerdem wird diskutiert, ob das BSI eine Zentralstelle für Cybersicherheit wird – als Vergleich werden dabei die Kriminalämter und Verfassungsschutzbehörden von Bund und Ländern genannt.

Dass IT-Sicherheit in Kommunen und Landkreisen nicht genügend organisiert ist, zeigt gerade erst wieder ein Bericht von Sachsen-Anhalts Landesrechnungshof. Er hat geprüft, wie Sachsen-Anhalts Landkreise und die 16 größten Städte in Sachen Cybersicherheit aufgestellt sind.

Das Fazit im Bericht des Landesrechnungshofes: "besorgniserregend" und "ein Spiel mit dem Feuer". 93 Prozent der Kommunen haben demnach kein IT-Sicherheitskonzept, 67 Prozent kein Notfallhandbuch und 54 Prozent kein Konzept für eine minimale Datensicherung. Der Landesrechnungshof fordert deshalb: Landkreise und Kommunen sollen die Mängel umgehend beseitigen. Und er empfiehlt, dass Kommunen und Landkreise bei der IT-Sicherheit zusammenarbeiten und die Landesverwaltung dabei unterstützt.

Dass der Landesrechnungshof sich damit beschäftigt, liegt an den Kosten für den Steuerzahler, die durch Hackerangriffe oder einem IT-Ausfall entstehen. Hier finden Sie Auszüge aus dem Bericht:

Sachsen-Anhalts Landesverwaltung kann mit der BSI-Vereinbarung nun leichter Bundeskompetenz anzapfen. Grundsätzlich begrüßen Expertinnen und Experten diese Zusammenarbeit.

Sabine Griebsch, die 2021 im Landkreis Anhalt-Bitterfeld als Chief Digital Officer beim Wiederaufbau der IT-Infrastruktur im Einsatz war, hält die Zusammenarbeit für umfassend. Schade sei allerdings, dass Vorträge und Informationsveranstaltungen naturgemäß nicht über das Reden hinausgehen.

"Substanzielle Unterstützung sehe ich hier noch nicht," sagt Griebsch und wirft zudem die Frage auf, ob das BSI den hohen Beratungsbedarf decken kann. Ob die Zusammenarbeit nach einem Hackerangriff klappt, würde davon abhängen, wie genau zusammengearbeitet werden würde. "Solche Prozesse müssen einmal definiert und sinnvollerweise einmal eingeübt werden", so Griebsch.

Der IT-Sicherheitsexperte Marian Kogler aus Halle, der mit seiner Firma "syret" auch die IT-Sicherheit von Firmen und Verwaltungen testet, hält die Vereinbarung für einen ersten richtigen Schritt. "Allerdings ist das BSI schon aus Kapazitätsgründen nicht in der Lage, einen Rundum-Sorglos-Dienst für die Länder anzubieten", so Kogler. Für die meisten Bürgerinnen und Bürger seien die Kommunen die wichtigsten Stellen; bei ihnen – und nicht bei der Landesverwaltung – würden ihre Daten liegen und bei ihnen würden sie die meisten Anträge stellen.

Kommunen sind allerdings in der Vereinbarung nicht explizit beteiligt. "Das Land muss also selbst aktiv werden und den umfassenden Schutz der IT-Infrastruktur und der Daten der Bürger gegenüber Cyberangriffen gewährleisten", sagt Kogler.

Julia Schuetze ist Expertin für Cybersicherheitspolitik und hat zuletzt für die "Stiftung Neue Verantwortung" untersucht, wie der Bund und die Länder die Kommunen bei der Informationssicherheit unterstützen. Schuetze zufolge kann die Sicherheit von Bürgerdaten auch davon abhängen, in welchem Bundesland jemand lebt.

Die BSI-Kooperationsvereinbarung sei ein Baustein, um vertrauensvoll miteinander zu arbeiten. "Aber leider zeigen solche Verträge auch, dass Bund und Länder sich noch nicht darauf einigen konnten, welche Rolle das BSI längerfristig übernehmen sollte", so Schuetze.

Schuetze befürchtet, dass der Flickenteppich bei der Cybersicherheit noch eine Weile besteht. "Länder, die selbst Kompetenzen ausbauen, unterstützen die Kommunen auch mehr." Die BSI-Kooperationsvereinbarungen würden deshalb eine einheitliche Lösung hinauszögern. "Die eigentlich wichtige Frage ist ja, wer soll welche Leistungen bereitstellen", meint Schuetze. Bundesländer ohne Vereinbarungen mit dem BSI und ohne eigene Kompetenzen seien am schlechtesten dran. In einer vernetzten Welt stelle das aber ein Risiko für alle dar.

Die neue Vereinbarung scheint also der erster Schritt zu sein. Was sie konkret bringt, bleibt abzuwarten. Auf dem Papier ist die IT-Sicherheit in Sachsen-Anhalts Behörden nun in der stabilen Seitenlage.