Öffentliche Verwaltung Ist Kritis

2022, Egovernment Podcast
EGovernment Podcast
https://egovernment-podcast.com

In den letzten Jahren wurde das Thema Kritische Infrastruktur (KRITIS) immer wichtiger, doch was ist mit der öffentlichen Verwaltung? Nicht erst seit dem Hochwasser im Ahrtal oder den immer wieder vorkommenden Cyberattacken auf deutsche Verwaltungseinheiten wird die Diskussion um Kritische Infrastruktur immer präsenter.  Ich habe mich mit Sabine Griebsch, Manuel Atug und Ralf Resch darüber unterhalten warum auch die öffentliche Verwaltung zur kritischen Infrastruktur in Deutschland zählt. Kommentare  unter: https://egovernment-podcast.com/egov122-oev-kritis/

Edit Transcript Remove Highlighting Add Audio File
Export... ?

Transcript

Einspieler

Torsten:
[0:36] Hallo und herzlich willkommen zur 120. Ausgabe des E-Government Podcasts
Ich bin Torsten Frenzel und ich habe heute wieder drei Experten und Expertinnen im Studio. Wir sprechen heute über das Thema Kritis und ich begrüße als allererstes Mal Ladies first
Sabine, hallo Sabine.
Dann haben wir den Ralf noch mit dabei. Hallo Ralf.

Ralf:
[1:00] Ja hallo Thorsten.

Torsten:
[1:01] Und hallo Manuel, ich grüße dich.

Manuel:
[1:04] Äh Manuel, wie ungewohnt. Ja, hallo.

Torsten:
[1:06] Ich kann auch Honkhase sagen. Wir können dich auch mit Hase ansprechen, das ist.

Manuel:
[1:09] Ja, Herr Hase bitte oder.

Torsten:
[1:11] Hase und Ordnung, alles gut. So, ihr wart alle drei schon mal bei mir im Podcast, trotzdem bitte ich euch, ganz, ganz kurz, also wirklich mini kurz äh euch nochmal ganz kurz vorzustellen und äh Sabine, du fängst an.

Sabine:
[1:24] Oh Gott, also Sabine Rebsch, ähm Landkreis Anhalt Bitterfeld aktuell externe CDO und ähm war damals und so äh kam ich, glaube ich, zu dem Thema kritische Infrastruktur und technische Einsatzleitung bei unserem Cut Fall.

Torsten:
[1:35] Ihr hattet da so was äh und dann äh Ralf.

Ralf:
[1:39] Ja, Ralf Resch, äh Geschäftsführer von Vitako, das sind die 54 kommunalen IT-Dienstleister, die den Kommunen gehören und deren IT-Infrastruktur betreiben.

Torsten:
[1:51] Und Manuel.

Manuel:
[1:52] Ja ich äh habe unter anderem die AG Krippes äh als unabhängiges äh Informationsaustauschsystem zum Schutzkritische Infrastrukturen ins Leben gerufen und äh wir versuchen als Sprachrohr der Gesellschaft kritische Infrastrukturen,
voranzutreiben in der Gesetzgebung, in der Politik und die Sicherheit äh dessen zu optimieren und nebenbei Berater und auch die Tiere so was beruflich auch.

Torsten:
[2:16] Sehr gut, ich freue mich, dass ihr alle da seid, dass das geklappt hat und jetzt fahren wir gleich mal an. Ich hatte ja schon mal gesagt, wir sprechen heute über Kritis, ähm wer mag mir denn mal erklären, was Kritis ist überhaupt.

Manuel:
[2:29] Ja also äh kritische Infrastrukturen sind sozusagen das, was im na ja, jetzt muss man eigentlich anfangen, auf welcher Ebene, ne? Die E.

Torsten:
[2:38] Also Kritis ist erstmal eine Abkürzung für kritische Infrastruktur.

Manuel:
[2:40] Infrastrukturen und die sind unter anderem definiert auf EU-Ebene, auf Bundesebene von dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
im BSI-Gesetz geregelt vom IT-Sicherheitsgesetz und auf Landesebene 16 Mal. Welche Variante hätte gern, so die allgemein gängige ist.
Der zehn kritischen Infrastrukturen sind im BSI-Gesetz durch die IT-Sicherheitsgesetzgebung geregelt. Die anderen zwei einfach nicht.

Torsten:
[3:07] Okay und was was sind da Beispiele für.

Manuel:
[3:09] Beispiele für kritische Infrastrukturen im BSI-Gesetz geregelt sind, eben Strom, Wasser, Transport und Verkehr, Ernährung und so weiter. Äh Finanz- und Versicherungswesen
nicht geregelt ist im BSI-Gesetz ist ähm Medien und Kultur, das Landeshoheit und Staat und Verwaltung, weil dem muss man ja keine Vorgaben geben.

Torsten:
[3:28] Okay, Staatenverwaltung ist äh kein Kritis äh und äh das ist.

Manuel:
[3:33] Dieses Grippes aus der Bundes äh Gedankengang. Wir haben zehn kritische Infrastruktursektoren, aber es ist nicht geregelt oder reguliert.
Es gibt nur die Definition, was sozusagen kritisch im Sektor Staat und Verwaltung ist, aber äh nicht welche Anforderungen die erfüllen müssen oder was sie tun müssen. Im Endeffekt hat man also nur gesagt,
im Sinne von Staat und Verwaltung für Deutschland ist Parlament als Legislative, Regierungenverwaltung als Exekutive und
Justizeinrichtungen und Notfall- und Rettungswesen, aber ob und welche Maßnahmen die umsetzen müssen und ob die prüft auch keiner und es gibt auch keine Mängellisten oder so
schalt alles undefiniert, weil gibt's halt nicht.

Torsten:
[4:15] Aber da haben wir ja einen eigentlichen schon hier ein gutes Beispiel, warum man das eigentlich regeln sollte, weil die Sabine hat das am eigenen Leibe erlebt. Was ist denn bei euch passiert.

Sabine:
[4:24] Ja genau, wir hatten im letzten Jahr Anfang Juli unseren äh unseren Sicherheitsvorfall, der dann letztendlich zum Katastrophenfall wurde und die
Gründe, warum wir das damals als Katastrophe angesehen haben oder definiert haben, war tatsächlich das soziale und Unterhaltszahlungen nicht mehr möglich waren
KFZ-Zulassung nicht mehr möglich waren, Bauanträge nicht mehr sachgerecht bearbeiten werden konnte bearbeitet werden konnten, was natürlich bedeutet, dass ähm,
schonen die Menschen sehr in ihrem.

[4:54] Nächsten äh Leistung und so weiter getroffen hat, also das heißt auch, die Dienste für die zentralen Geschäftsprozesse konnten einfach auf absehbare Zeit nicht mehr erbracht werden. Ähm die Beweggründe, warum wir das damals gemacht haben, war, dass der Schaden ob
deutlich über die Ausmaße von alltäglichen Schadensereignissen hinausgeht und ihn, man hört schon so ein bisschen, ne, ich zitiere jetzt aus diesen ganzen Vorgaben ähm äh
war auch ähm dann haben wir auch gesehen, dass erhebliche Sachwerte oder lebensnotwendige Versorgungsmaßnahmen für die Bevölkerung gefährdet oder eingeschränkt waren und äh tatsächlich war es
auch die Abwägung, dass die Erklärung oder Nichterklärung des Katastrophenfalls weitreichende juristische Konsequenzen haben konnte. Das sind so Schadensersatzforderungen, die sich aus dem Aufgabenportfolio der Landkreisverwaltung ergeben
und tatsächlich auch die Situation, dass die Presse immer wieder äh permanent wiederholte, die Landkreisverwaltung kann, äh ist aufgrund des Angriffs arbeitsunfähig. Es kann keine Aussage
treffen werden, wann dieser Zustand beendet ist. Der Angriff auf die ähm auf alle Bereiche des Leistungsspektrums des Landkreis hat unmittelbare
also das oh und die Anliegen der Bürgerinnen und Bürger können aktuell nicht bearbeitet werden und weitere Folgen seien unabsehbar und das führt natürlich dazu, dass man äh wenn man durchaus als Verwaltung mehrere Katastrophen gleich händeln muss wie.

[6:07] Äh Flüchtlingskrise oder ähm die die äh Impf äh also jetzt sozusagen hier unsere ganzen Corona ähm
Aufgaben, die wir dann hatten, also die auch unser Gesundheitsamt hatte, die einfach nicht erfüllt werden konnten, führte das tatsächlich dazu oder die
afrikanische Schweinepest. Die wollen wir mal auch nicht vergessen. Ähm die führt das eben dazu, dass die öffentliche Verwaltung dort ein Problem hat, wenn sie nicht ähm
direkt ähm und sehr schnell weiterarbeiten kann und eben für die Gesellschaft äh Aufgaben wahrnehmen kann und das ist tatsächlich nicht stressfrei für die Zivilgesellschaft.

Torsten:
[6:40] Okay, das heißt, äh durch euren IT-Vorfall, den ihr hattet, ist quasi die äh komplette Verwaltung handlungsunfähig gewesen. Äh quasi äquivalent so, wie wenn äh Hochwasser durch äh Anhalt Bitterfeld durchgerollt wäre.

Sabine:
[6:54] Genau das. Also Sozialhilfe konnte nicht mehr ausgezahlt werden. Die Kassensysteme waren nicht mehr Alarm gesichert. Ähm
Der Schutzauftrag bei Kindswohlgefährdung, was jetzt Aufgabe des Jugendamts ist, Ordnungsamt, Fahrerlaubten
Recht. Also ich hatte's ja auch schon gesagt, KFZ-Zulassung, auf der einen Seite auch Gesundheitsamt, also Verhütung und Bekämpfung übertragbare Krankheiten, also Infektionsschutz und was tatsächlich noch ganz wichtig war, ist ähm grade
der Bereich ähm Veterinär und Lebensmittelüberwachung und ich glaube, da sieht man dann schon, dass auch wenn Staat und Verwaltung nicht unter die Krite, also doch schon unter Kritik fällt, aber ähm nicht unter die Vorgaben fällt ähm,
ist es einfach, wenn man das genauer betrachtet, sind wir Teil dieser anderen Sektoren und da, glaube ich, dass wir da viel mehr den Blick drauf richten müssen.

Torsten:
[7:40] Was sind denn die Vorgaben überhaupt? Äh die getroffen werden müssen.

Sabine:
[7:45] Na die Verpflichtung für Betreiber von Kritis, das sind so die angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme
Genau, also ich glaube, da sind ganz viele Einzelvorgaben, die Honker so viel besser überklären können.

Manuel:
[8:03] Ja, also im Endeffekt ist ist das für diese acht Sektoren, wo's reguliert ist im BSI-Gesetz, Paragraf acht A definiert und da sagt es eben, man braucht angemessene Branchen spezifische
ähm äh technische und organisatorische Maßnahmen nach Stand der Technik. So.
Ähm das alles so so wie äh Gouvernante schon sagte, zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität
und äh Vertraulichkeit und es geht immer um IT-Systeme, Komponenten,
Prozesse. Die sollen also funktionsfähig bleiben, das heißt eine Störung soll im Idealfall,
dazu führen, dass kein Ausfall oder keine Beeinträchtigung der betroffenen kritischen Infrastruktur Dienstleistung ist, also Sektor Wasser, Frischwassergewinnung,
wenn du den Hahn aufdrehst, kommt Wasser raus. Und wenn die einen Cyber-Vorfall haben, weil IT-Komponenten ähm Systeme oder IT-Systeme
Komponenten oder Prozesse beeinträchtigt sind, dann müssen die trotzdem noch durch Alternativmaßnahmen im Business Continuity Management, Notfallmanagement, whatever durch Maßnahmen nach Stand der Technik
äh Branchenspezifik und angemessen. Dafür sorgen, dass du immer noch aufdrehst und Wasser rauskommt.

Torsten:
[9:17] Aber bleiben wir noch mal grad dabei, ist hier nur das ganze Thema IT geregelt, weil Wasser und Strom kann ja auch aus anderen Fällen ausfallen.

Manuel:
[9:26] Ja gut, aber das äh also physische Sicherheit oder Sabotage zum Beispiel ist nicht adressiert. Deswegen hat ja Frau Felser jetzt äh kürzlich angekündigt, das Dachgesetz wird kommen
das Eckpunktepapier sechs Seiten ist ja am fünfundzwanzigsten.
Intern, wie auch immer, verfügbar geworden sein, eine dezentrale Sicherheitskopie hat sich bei mir aufm Schreibtisch manifestiert, die habe ich mal durchgelesen und seit heute ist die bei Netzpolitik org und vom
Professor Doktor Dennis Kipkar äh verfügbar, aber äh im Wesentlichen steht da drin, ja wir wollen physische Sicherheit machen und das BBK soll gestärkt werden, das zu tun.
Dass dasselbe BBK, was dieses Jahr für den Haushalt schon eh nur irgendwie 250 Millionen hatte und nächstes Jahr 170 nur noch, weil
denen kann man ja das Geld kürzen, aber mehr Aufgaben geben und ähm ja, dann steht da drin, wir wollen halt so physische Sicherheit machen und das klingt alles ganz toll.
So klang auch mal das IT-Sicherheitsgesetz und das, was da rausgekommen ist, war halt eher nicht so toll. Schauen wir mal, was draus wird.

Torsten:
[10:29] Das heißt, man trennt hier äh trotzdem immer noch zwischen äh Cybersicherheit und äh physische Sicherheit.

Manuel:
[10:34] Ja, was eigentlich,
keinen Sinn macht, weil der Bevölkerung ist eigentlich egal warum. Die stellt die Frage, kommt morgen noch Wasser und Strom aus der Leitung? Ja, nein. Da kannst du nicht sagen, wurde weggescalbert oder war leider andere Sabotage. Deswegen konnten wir nichts tun
aber das eine ist, dass man das unterscheidet, das andere ist, dass die Gesetzgebung nicht,
Genug ist und die Schwellenwerte beispielsweise, ich habe ja jetzt gesagt, wer ist überhaupt kritisch oder könnte sein, die Schwellenwerte sind ja so, dass
in der Regel 500.000 Menschen und mehr versorgt werden müssen, damit's Relevanz hat und da bleiben wir mal beim Sektor Wasser von fünftausendfünfhundert Stadtwerken sind's ja äh siebenundvierzig, die über 500.000 Menschen versorgen. Alle anderen müssen gar keine Cybersicherheit machen.
Halt auch auch keine Anforderungen. Ja, aber bei Strom, Ernährung, Transport und Verkehr und so ist das Selbe, ne? So grob ist die Grenze da.

Torsten:
[11:28] Wieder bei meinem so wieder bei meinem Lieblingsthema, also jetzt gehen wir ja noch ein Stück weiter, äh dass alles Infrastruktur und äh kritische Infrastruktur gehört in meinen Augen in staatliche Hände und äh muss auch.

Manuel:
[11:40] Bedingt, bedingt, bedingt. Also wir haben zwar 80 Prozent privater äh wirtschaftlicher kritische Infrastruktur, aber wir haben auch 20 Prozent staatliche, kritische Infrastruktur. Äh die haben jeder ihre eigene Herausforderung. Warum die äh,
ja da kommen wir schon zum ersten Mal zu, warum man die eigentlich äh disruptiv erneuern möchte, also Brandroden und neu machen, ähm weil
bei den privatwirtschaftlichen Unternehmen ist es natürlich immer eine Erlösmaximierung für die Stakeholder, ja. Da können die noch so viel sagen, ey, wir machen das alles für Bevölkerung,
geht in erster Linie für wirtschaftliche Interessen und in zweiter Linie Bevölkerung, weil,
Rechtsinteressen sagen, äh pass mal auf, du machst das gesetzlich folgendermaßen. Und ansonsten machen die nur so viel, wie ihr eigen.
Äh Erhaltungstrieb sozusagen hergibt. Bei den staatlich betriebenen ist es eben so,
wenn halt so eine Kommune weggesalbert wird, dann ist die halt kaputt, ein Landkreis auch und dann machen alle dicke Backen und sagen, ja ist schade, ne. Ich meine
hat ja reichlich erlebt, ne, äh dass alle dann irgendwie kommen und Kohle abzocken wollen, aber niemand wirklich helfen will oder alles schwierig ist
äh und gleichzeitig sind ja Kommunen und Landkreise noch nicht mal kritisch im Sinne dieses Gesetzes. Wenn du also so was nimmst wie ein.

[12:51] Ähm Krankenhaus, was öffentlich betrieben wird, also mit mit öffentlichen äh Geldern dann auch.
Dann ähm ist da in der Regel auch sehr wenig Investment und sehr wenig Ahnung und damit auch ein maroder Betrieb. Also die tun sich beide keinen Gefallen und wenn du im,
im staatlich betriebenen auch so Gesetzgebungen hast, ne.
Die halt irgendwie nicht greifen und keine Sanktionierung haben und keine Haftung und das linke eine rechte Tasche ist oder irgendwie vogelfrei oder so sinnfreie Gesetze wie das OZG wird irgendwie dekorativ viel Arbeit erzeugt, aber
faktisch irgendwie nichts an Mehrwert erzeugt, dann hast du da auch eine schlechte Kriterienfrastruktur, ne? Das ist auch nicht die Lösung. Wir brauchen eine gute Gesetzgebung, wir brauchen gute Rechtsdurchsetzung.
Gute Gesetzgebung, können wir nachher drüber reden, aber mit schlechter Digitalisierung und schlechten Gesetzgebung erreichen wir halt genau das Gegenteil.

Torsten:
[13:42] Jetzt äh geht mal eine Frage mal Richtung Ralf. Äh wir haben ja in der öffentlichen Verwaltung und äh du stehst dafür 54 Dienstleister aus der öffentlichen Verwaltung. Haben wir eigentlich nichts.
Da sind ja mit Sicherheit auch schon äh Themen angegangen worden. Weil das ist ja nicht neu. Wie sieht's denn da aus.

Ralf:
[14:02] Ja erstmal ähm vierundvierzig äh Mitglieder haben wir aber versorgen tun wir rund zehntausend von den 11.000 Kommunen in Deutschland. Also.
Überwiegende Mehrheit ähm hat sich einem unserer Mitglieder angeschlossen, um die IT organisieren zu lassen und daraus.
Gibt sich natürlich auch eine große Verantwortung und äh wir haben mal eine kleine Umfrage gemacht unter unseren Mitgliedern und äh von den siebenunddreißig, die ein Rechenzentrum selber betreiben.
Da ist natürlich die überwiegende Zahl schon zertifiziert. Na entweder nach einer nach der ISO 27 00eins oder.
Basis des IT-Grundschutzes auch dann in Kombination mit der null eins.

[14:42] Acht weitere haben äh entweder diesen Prozess begonnen oder sind ähm über andere Mechanismen zertifiziert.

[14:49] Sechs äh Mitglieder haben geantwortet, dass sie in diesem Bereich noch nicht so aktiv sind und wir hatten ja.
Auch auf unsere Mitgliederversammlung im äh November in Sulzbach bei Frankfurt.

[15:03] Ich hatte dann die Gelegenheit ähm dem dem Publikum sozusagen den Mitgliedern gegenüber zu sitzen und äh es war sicherlich nicht nur der.
Besonders interessante und spannende Vortragsstil von Manuel, dass äh die Aufmerksamkeit in hohem Maße auf dem lag, was er berichtet hat. Also ähm ich muss sagen, da ist glaube ich bei dem einen oder anderen noch mal.
Das Bewusstsein erweitert worden, dass es sich hier wirklich um ganz elementaren Bereich äh auch der Arbeit handelt. Jetzt will ich aber die Mitglieder auch ein bisschen in Schutz nehmen.
Äh denn Sie haben's ja nicht ganz so einfach. Sie produzieren die IT-Leistung für die Kommunen und.
Wir haben gerade ähm bei den Kommunen die Schwierigkeit, dass äh IT und auch IT-Sicherheit nicht immer an allererster Stelle der der Agenda äh stehen, weil tatsächlich.
Auch eine andere Umfrage, die wir gemacht haben, sagt äh dass ähm unsere Mitglieder von den Kommunen eben auch.
Hoffen, dass dort wesentlich mehr Personal sich mit dem Thema Cybersicherheit beschäftigt. Das äh das führt dann auch zu dem Gedanken, dass man die Kommunen eben als kritische Infrastruktur beziehungsweise auch ihre,
Verwaltung als kritische Infrastruktur äh und die kommunale IT als kritische Infrastruktur einstufen sollte. Da kann man sich dadrüber unterhalten, welche Ebene.

[16:21] Unterhalten, welche Teilsysteme, welche Systeme da.

[16:25] Dann tatsächlich kritisch sein sollten, sein können. Aber es ist schon äh schwierig ähm sage ich mal auf der Ebene der Stadtverordneten der Stadträtinnen.
Für die Aufmerksamkeit bei diesem Thema zu sorgen und auch für die Ressourcen bei diesem Thema zu sorgen. Also das heißt tatsächlich Sachmittel, aber auch Personalmittel.
Denn ähm häufig ist es so, dass in der Kommune eben entschieden wird.
Nach Abarbeitung der Pflichtaufgaben, was können wir mit dem Geld noch machen? Und wenn du jetzt keinen dramatischen Cybersicherheitsvorfall in der Nähe hast, äh wenn es keine dramatischen Auswirkungen gibt.

[17:05] Dann äh wird das glaube ich immer etwas äh etwas verdrängt, welche realen Gefahren aus dieser abstrakten Bedrohungslage entstehen können.
Und äh man kann's auch anders und drastischer formulieren, äh wenn's Kind im Brunnen ist, dann äh ist immer klar, wo das Problem lag, aber dann ist das Kind halt leider in den Brunnen gefallen.
Ähm da gibt es natürlich den Gedanken und wir vertreten als Vitaku diesen Gedanken auch, dass man sagt, dann lass es uns doch einfach zur Pflichtaufgabe machen,
in der Kommune wird immer das gemacht, was Pflicht ist und das was freiwillig noch übrig ist, das ist ja auch nicht viel, also an Ressourcen,
an freien Ressourcen, ist in einer Kommune nicht viel vorhanden.
Wenn es aber eine Pflichtaufgabe ist, dann kann man eben nicht mehr die Entscheidung zugunsten anderer Systeme, zugunsten anderer auch berechtigter Interessen treffen, sondern man ist dann verpflichtet, tatsächlich,
Cybersicherheit IT-Sicherheit voranzustellen und ähm,
tatsächlich äh dadurch geschehen, indem man die kommunale Verwaltungs-IT als Kides.
Wäre sicherlich ein Weg.

Torsten:
[18:07] Habt ihr da mal mit euren Mitgliedern gesprochen, was die dazu sagen? Weil ich habe die Erfahrung gemacht mit verschiedenen Kommunen, wenn ich drüber spreche. Die einen sagen, juhu, wir wollen als Kritik eingestuft werden
Die anderen sagen, ja um Gottes Willen, auf gar keinen Fall. Wir schaffen das nur jetzt schon nicht mal mit unseren Aufgaben.

Ralf:
[18:22] Das ist natürlich wie gesagt eine Ressourcenfrage und äh wenn du die Verpflichtung, die gesetzliche Verpflichtung hast, dann äh gibt es auch den Anspruch, dass darauf dann entsprechende Ressourcen gelenkt werden.
Ähm da da kann man natürlich sagen, das schaffen wir nicht äh oder man kann sagen, na ja prima, dann dann ist endlich mal ein Rechtsgrund da und dann muss es ja gemacht werden,
Ich weiß, dass die Diskussion zumindest bei den kommunalen Spitzenverbänden differenziert geführt wird, weil die schon ähm sage ich mal berechtigt.
Nachvollziehbar äh sagen, wir kriegen immer mehr Aufgaben,
aber nicht die Ressourcen dazu. Also der Bund gibt uns Aufgaben, wir müssen verwaltungs äh.
Die Verwaltung durchführen, wir müssen exekutieren, was auf Bundes- und Landesebene entschieden wird.
Aber wir kriegen dafür nicht die entsprechenden Mittel äh Konnexität äh wird immer abgewiesen. Das sind dann alles freiwillige.
Einer der Schlüsse für uns naheliegend ist dann zu sagen, na dann machen wir's halt von den Freiwilligen zur Pflichtaufgabe.

Torsten:
[19:17] Gibt's da äh schon so eine Art Netzwerk innerhalb der Vitaku zum Beispiel, dass sich die IT-Dienstleister da zusammenschließen und vielleicht Dinge auch gemeinsam regeln oder gemeinsam ähm Pools bilden oder Ähnliches gemeinsam die Aufgaben teilen vielleicht.

Ralf:
[19:32] Also wir haben äh eine sehr aktive Facharbeitsgruppe IT Sicherheit, die kümmert sich äh dann im vertraulichen Austausch um Sicherheitsvorfälle und natürlich auch da um den Stand der Technik.
Möglichst breit einzusetzen. Das ist aber tatsächlich dann ähm auch eine Maßnahme, die oder das sind Maßnahmen, die die im im Vorhinein greifen. Wir haben auch eine ein Konzert, ein kommunales äh Cyber-Emergency ähm äh Resultte.
Entschuldigung, Cyber-Emergency-Response-Team, äh dass dann, wenn äh es Probleme gibt, auch aktiv wird und dann entsprechend hilft. Das macht die Regio-IT in Nordrhein-Westfalen.
Das ist meines Wissens das einzige kommunale Set, das wir in Deutschland haben.
Darüber hinaus haben wir jetzt im Moment aktuell noch keine,
weil wir das im Rahmen der Möglichkeiten äh gerade leisten.
Aber wir wären natürlich froh, wenn wir daneben natürlich Austausch über Notfallmanagement und ähnliche Fragen, die sind ja eine Selbstverständlichkeit in unserem Bereich.
Da auch noch ähm weiter aktiv.

Torsten:
[20:35] Jetzt vielleicht nochmal Sabine, ich weiß, du hast es schon 180 Mal erzählt mindestens. Ähm.
Vielleicht nochmal äh ganz deutlich äh auf die Gefahren hinweisen, was passiert, wenn man es sich nicht so wirklich um Kritis in der öffentlichen Verwaltung kümmert.

Sabine:
[20:51] Also ich beginne mal vielleicht damit, dass mir in dieser ganzen Debatte immer auch so die Organisation fehlt. Weil ich wir haben die Erfahrung gemacht, dass wir.
Ähm das ist tatsächlich nicht nur ein IT-Problem, weil äh als wir diesen Vorfall hatten, äh wurde sehr schnell,
welche also auf der einen Seite welche Schwächen es in der Zusammenarbeit, auf der anderen Seite auch welche, welche ähm Potentiale in der Zusammenarbeit waren. Ähm die Frage ist nur, wenn wir uns aufstellen und wenn wir natürlich vor der vor dem Problem stehen.

[21:21] Was wir an Aufgaben und Anforderungen durch ähm
durch eine Definition von Kitas hinzugekommen als Behörden, dann stellt sich immer auch die Frage, mit welchem Personal sollen wir das machen? Also auf der einen Seite
sind jetzt schon die ersten
Gedanken, glaube ich, auch jetzt in anderen Arbeitsgruppen so in Richtung Pooling, also Mitarbeiterpooling gegangen, was durchaus was sich durchaus für das für die ganze Thematik als sinnvoll erachte. Auf der anderen Seite haben wir die Erfahrung tatsächlich gemacht, dass,
als alle,
Technik aus war, wir in der Organisation uns erst wieder zusammengefunden haben, wobei ich dazu sagen muss, dass öffentliche Verwaltung ein absolutes Händchen dafür hat, sich ähm sehr resilient, sage ich mal, äh in den Krisen,
aufzustellen, so zu finden und eben eine Lösung für die Probleme sehr schnell zu finden und wenn ich sehe, dass wir über Amtshilfe suchen mit unseren
also oder Partner oder Nachbarlandkreisen eben sehr schnell Aufgaben auslagern konnten, dann sehe ich, dass hier Potential ist, wenn wir uns im Vorfeld.

[22:22] Die Aufgabe kritisch muss jetzt nicht jeder Landkreis alleine oder nicht jede Kommune alleine führen aber,
Die Art und Weise, wie man zusammenarbeitet und diese Aufgabe und dieser Bedrohung Herr zu werden, sehe ich tatsächlich schon als ähm als Aufgabe, der wir uns jetzt im Vorfeld ähm widmen müssen. So, das heißt also, als wir den Vorfall hatten,
war die Technik
komplett weg. Da werden die Kommunikationsstrukturen weg, das heißt niemand von den Mitarbeitern konnte irgendwie informiert werden oder gemeldet werden, dass die Rechner nicht noch mal hochzufahren sind. Da sind wir im ganzen Bereich Awareness, nämlich äh die ersten Mitarbeiter haben dann gesagt, so wir müssen weiter funktionieren für unsere Leute da draußen. Das heißt, wir fahren den Rechner doch noch mal hoch und nehmen die Daten auf den USB-Stick
das sind alles Dinge äh von denen ich denke, dass man im Vorfeld sehr viel mit den eigenen Leuten kommunizieren muss
sich auch als Staat und Verwaltung schon als kritisch äh als kritisch, ja als kritische Infrastruktur versteht ähm und auf der anderen Seite aber wirklich raussucht, welche meiner Leistungen sind.

[23:22] Ähm das heißt also diese diese ganze Aufgabenstrang, den wir hatten, also technische Einsatzleitung zwei mit der Technik, technische Einsatzleitung zwei mit der Priorisierung von Fachverfahren. Das ist unfassbar wichtig, dass im Vorfeld zu bedenken
und ähm
vor dem Hintergrund, glaube ich, dass wir dieses ganze Thema viel weiter fassen müssen, also Prävention, Resilienz, wer hilft,
wann wer kann mir überhaupt helfen und wo sind überhaupt meine Daten, also mit wem tausche ich überhaupt
aus. Das heißt, Landesverwaltungsämter und so weiter, das muss alles irgendwie mit ähm,
erstmal strukturiert werden und ich weiß, in den ersten Bundesländern, also Niedersachsen gibt es schon Abfragen, welche Prozesse
wir als Kritisch betrachten und auf der anderen Seite muss ich ganz ehrlich sagen, ja OZG ist eine unfassbare Herausforderung, aber zumindest sorgt das erstmal dafür, dass wir unsere Prozesse anschauen für Leistung.

Torsten:
[24:14] Danke äh Ralf hat sich gerade gemeldet.

Ralf:
[24:17] Ja, danke. Ich wollte das auch noch mal ergänzen. Also ähm es ist äh wie gesagt ein ein informeller Austausch zwischen den ähm Vitaku-Mitgliedern, den gibt es schon länger.
Wir sind aber auch äh in der Diskussion um Leistung, wie wir das nennen, vor die Klammer zu ziehen. Und eine der Leistungen, die wir.
Auch ganz klar identifiziert haben ist natürlich die Produktion von IT-Sicherheit ja da haben wir eine entsprechende Umfrage auch gemacht das ist auch auf dem Schirm.
Die Mitglieder sind da sehr gerne bereit, wir haben ja auch die Genossenschaft GaF Digital, die dann stärker ins operative dann einsteigen,
als dass ein Verein kann, das ist.
Geschichte, was kann ein Verein an operativen Tätigkeiten.
Da kommt's natürlich drauf an aus dieser Vereinzelung von einzelnen Akteuren, die ja alle.
Sabine hat's eben gerade gesagt mit Ressourcenproblemen, mit Personalproblemen kämpfen, dass man einfach sagt ähm ja die die Themen liegen ähnlich und dann lass uns doch einfach mal schauen, was wir zuerst gemeinsam regeln können ohne hohen Aufwand zu.
Sozusagen die Low Hanging Foods dann zu ernten und äh das ist ein äh Diskussionsprozess, wo wir hm ich sage mal im ersten Halbjahr nächsten Jahres sicherlich mal auch an die Öffen.

Torsten:
[25:27] Also ich war selbst schon mal bei so einer Katastrophenschutzübung in einem Landkreis dabei, ähm wo tatsächlich ein Hochwasser simuliert wurde.
Ähm natürlich auch alles IT gestützt. Ähm
Ist das vielleicht eine sinnvolle Maßnahme, dass äh auch IT-Vorfälle in genau so eine Awareness bekommen und regelmäßig ähm äh solche Katastrophen Übungen gemacht werden? Manuel du nix ganz heft.

Manuel:
[25:51] Ja, weil äh man man sagt im Krisenmanagement immer,
kennen in der Krise und das funktioniert nur, wenn ich die halt
Übel, Übel, über als eine von vielen Maßnahmen, nicht die eine Maßnahme, aber ähm wenn ich halt
so eine Katastrophe habe, ne und dann noch überlege, hm, wo haben wir denn die Notfallrufnummern? Wen muss ich jetzt eigentlich anrufen? Er ist das Land für mich zuständig,
beim BSI anfragen, muss ich eine Anzeige beim BKA stellen, muss ein Staatsanwalt, ist es vielleicht der Verfassungsschutz und bevor du zu Ende gedacht hast, äh äh vielleicht zu sagen, wen muss ich jetzt eigentlich bei meinem IT-Dienstleister anrufen.

[26:30] Oder hat der noch einen Sub-Dienstleister und kriege ich den eigentlich Freitagabend 18 Uhr noch am Apparat, weil wir zufällig gesehen haben, dass jetzt alles verschlüsselt wird, live und direkt und wir können's noch,
in Teilen unterbinden, wenn wir wüssten, wer Zugriff auf die Systeme hat. Ne, das ist der Moment, äh wo du
Kennen in der Krise äh einfach lohnt und du sagst, okay, hier ist die Rufnummer, da rufe ich an, der guckt sofort rein und versucht, den Vorfall direkt zu adressieren,
Vielleicht kriegen wir auch sogar noch
Schadensausmaß runterreduziert, was der Idealfall ist, ne. Sowas wie,
Management, Krisenmanagement und diese Übung macht man eigentlich nur
damit man möglichst schnell aus der Lage vor die Lage kommt und nicht durch die Lage getrieben wird, sondern die Lage vor sich treibt
so. Aber das funktioniert nur, wenn ich weiß, was ich tun muss und wenn die Handgriffe stimmen und wenn ich weiß, ich rufe jetzt XY an und XY weiß genau, wenn ich anrufe, dann
Und dann müssen wir auch agieren und dann legen wir los und wir wissen auch genau, was wir tun. Und das kannst du nur durch Übungen machen und das funktioniert's nicht.

Torsten:
[27:36] Aber vielleicht mal um so ein bisschen in die philosophische Richtung zu gehen. Warum ist das Thema Hochwasser, Sturm, flächendeckender Stromausfall? Ähm.
Presenter in den äh ganz speziellen Landratsämtern. Ähm als ähm das Thema meiner IT ist plötzlich kaputt oder weg.

Sabine:
[27:56] Ja, ich glaube IT haben wir noch nicht so lange, ne, wenn ich grad denke, also ja Dig.

Manuel:
[28:01] Also wenn du dir mancher archäologisch wertvollen Betriebssysteme anguckst, die da installiert sind, die aber verdammt lange im Mehreinsatz. Hallo, hallo.

Sabine:
[28:07] Ja, aber ich sage digitale Verwaltung, ähm wir haben, wir wir sprechen schon seit vielen, vielen Jahren über das
Thema, aber grade wenn ich dran denke an die E-Akte oder ähm Dinge, die ich halt jeden Tag benutze, meine E-Mails weg sind, dann äh ist das relativ neu, auch diese ganze Abhängigkeit von von Kalendern, von Terminen.
Ich sehe reif äh schaukelt hin und her, aber ja, es ist ähm tatsächlich ähm ich glaube, es ist sehr unterschiedlich.

Ralf:
[28:35] Na ja, wir haben äh wir haben jetzt äh Jubiläen von von Kreisgebietsrechenzentren 50 Jahre. Ähm also das ist jetzt.
Ehrlich gesagt keine neue Technologie und ähm auch in anderen Landesteilen haben wir seit über 30 Jahren eine intensive äh.
Elektronifizierung und Digitalisierung. Ich glaub's äh es liegt ein bisschen stärker daran, dass äh wir zu sehr oder immer noch sehr stark an analogen Prozessen haben und äh uns die analogen Prozesse halt äh elektronisch dargeboten werden.
Manuel, du hast ja vorhin das OZG mal angesprochen und äh da haben wir uns, glaube ich, ähm können wir uns gerne alle an die eigene Nase fassen, aber wir kennen genug Beispiele.
Ähm da haben wir uns einfach äh noch nicht mit.

[29:20] Tief auf die Veränderung äh unserer.
Unsere Welt kann man sagen durch Digitalisierung, damit haben wir uns,
nicht hinreichend beschäftigt. Das ist, glaube ich, ein wesentliches Problem.
Und wenn man halt dann die Akten elektronisch kriegt, äh dann sehen die immer noch so aus äh in Teilen jedenfalls in der Ratssitzung sehen die immer noch so aus äh als.
PDFs oder sonst wie als hätte ich eine ganz normale Vorlage bekommen und äh dann ist es halt einfach nur äh ein Blatt Papier, das gescannt ist für mich.
Das Ganze in einem komplexen Systemzusammenhang steht, das ist nicht allen Menschen präsent. Ich glaube, das ändert sich.
Erstmal mit Krisen, weil dann ist tatsächlich äh alles am Dampfen und äh.

[30:02] Herr Hit Fan, dann dann ist es halt wirklich auch greifbar.
Und ansonsten glaube ich ist es auch einfach eine Frage der Generationen die da sich mit beschäftigen und ich zähle dann auch zu den alten weißen Männern so langsam oder bin's schon, keine Ahnung, da die sieht halt jetzt in vielen Bereichen.
Als Boomer diskriminiert und ähm auch.
Äh sage ich mal, nicht so digital fortschrittlich. Das wird sich in den nächsten,
Jahren auch radikal ändern, wenn eine junge Generation viel mehr Frauen, viel mehr junge Leute.
In die entscheidende Position in den Kommunen kommen, aber die Frage ist, ob man das abwarten kann. Ich bin der Meinung nein, das können wir nicht abwarten. Die Problem des Problembewusstsein, äh das halte ich für eine ganz wichtige Aufgabe, muss muss ganz deutlich geschärft werden.
Weil wir nicht auf die nächsten Krisen warten können, ja? Und ich muss auch ganz ehrlich sagen, das geht auch an unsere demokratische Substanz, ja? Das äh das ist.

[30:59] Schwierig äh Menschen zu vermitteln, dass es sich hier um ein tolles Leben, einen tollen Staat handelt, wenn bestimmte basale Funktionen, sprich die Verwaltung, nicht mehr ordentlich funktionieren.

Sabine:
[31:10] Dass es richtig. Daran wollte ich anknüpfen, ähm dass Verwaltung dauerhaft funktioniert. Also wir haben die Erfahrung gemacht, dass dieses Vertrauen in
Die Technik, dass sie morgen noch funktioniert, nachhaltig gestört ist. Die erste Reaktion war, darin kann ich mich sehr gut erinnern. Ach,
wir doch noch die Papierakte, dann hätten wir jetzt weiterarbeiten können,
anderen halt äh auf der anderen Seite haben wir gesehen Weiterarbeit war möglich, dadurch dass die E-Akte
in anderen Behörden wieder aufgerufen werden konnte. Dennoch äh
Ist es so, dass in manchen Abteilungen jetzt zusätzlich zur äh zur digitalen Akte wieder die Papierakte geführt wird,
Das kann's nicht sein. Also das heißt also dieses sehr schnelle Weiterarbeiten, das müssen wir auf jeden Fall hinkriegen und wir haben tatsächlich gemerkt, wie durch Drohnungen von Digitalisierung wir sind.

Torsten:
[32:02] Das heißt tatsächlich hat äh der Vorfall bei euch dazu geführt, dass äh die Leute wieder einen Schritt zurück machen und jetzt wieder ihre Ordner unterm Schreibtisch haben, als Backup, vom Backup.

Sabine:
[32:13] Als Backup, genau.

Torsten:
[32:14] Oh Gott, ich glaube da ähm da muss man wieder ran.
Wie kommen wir zu was umgehen? Wie wie kriegt man das äh das Vertrauen äh in die IT hin und wir schützen die auch so, dass das Vertrauen auch äh zurecht äh vorhanden ist.

Ralf:
[32:32] Schulen, Schulen, Schulen, das ist ein ganz wichtiger Punkt,
Organisation muss fit sein, äh die Technologie leistet das.
Ähm ich muss dann natürlich meine entsprechende Backup-Lösung haben und die kann ich.
Nicht in einer Cloud zum Beispiel finden. Das ist eben auch so ein.
Ähm dann viele sagen, oh da müssen wir alles in die Cloud legen. Ähm das wird eventuell keine Lösung sein. Der Manuel Atoc hatte dazu auch äh glaube ich äh bei uns auch ein paar Mitgliederversammlung einige sehr äh schöne äh Dinge uns ins Gebet Buch geschrieben.

Manuel:
[33:05] Ja definitiv, also ähm ich meine, Vertrauen kriegst du in einem System nur hin, wenn
man allen Akteuren im System vertraut, ne und äh das ist ja dasselbe wie wenn man das jetzt so ein bisschen vergleicht, Kreditkartensysteme
ne? Wir hatten lange Zeit Kreditkarten im Einsatz, da hieß es äh und wenn Missbrauch stattfindet, kriegst du das Geld von der Bank zurück,
Und dann haben wir gesagt, ja ist eh ein sicheres System, aber ich kriege ja auch das Geld zurück. Aber mit immer mehr Kompromittierungen
Obwohl die Leute das Geld zurückbekommen haben, haben die gesagt, ich kriege schon wieder eine neue Karte. Schon wieder wurde meine Karte gesperrt, schon wieder sind meine Daten. Irgendwo im Darknet gelandet,
schon wieder ist irgendwie Missbrauch passiert und ich die Bank ruft mich proaktiv an und sagt äh ihre Karte wurde gesperrt, weil die sind
Süd Jemen irgendwie eingesetzt worden und wir haben das erkannt, dass hier eine Schutzmechanismus aber trotzdem haben die Leute das Vertrauen ins System verloren.
Irgendeinem Schmerzpunkt, haben eben die Zahlungssysteme gemerkt, nur die Kohle zurückwerfen reicht nicht.
Obwohl die doch eigentlich Profit gesteuert gedacht haben und haben gesagt, verdammt, wir müssen das Vertrauen ins System wieder hochbauen, weil sonst setzen die Leute die Kreditkarte nicht mehr ein, egal ob die das Geld zurückkriegen,
wollen sich nicht mit diesem Mist befassen, hat ihre Daten abgegriffen wurden, dat die selber anrufen müssen oder einen Anruf bekommen und und wir hätten gern ein sicheres System,
was man also braucht ist.

[34:26] Aus politischer Ebene, auf gesetzgeberischer Ebene, auf Verbandsebene und auch auf Kritikbetreiberebene müssen wir,
Inklusive der Zivilgesellschaft selber,
abholen, dass alle in der Lage sind zu verstehen, ist das ein sicheres System und kriegen wir das gemeinsam hin. Und da fängt auf politischer Ebenes an mit so Maßnahmen wie, machen wir uns mal bei kritischen Infrastrukturen nicht abhängig von einem.
Klammer auf, Putin, Klammer zu und wenn dann die Pipeline sabotiert werden, machen wir alle dicke Backen und sagen, Gasmangellage, wir kommen nicht über den Winter.
Abhängigkeit war noch nie ein Erfolgsmodell für kritische Infrastrukturen und für Vertrauen und Sicherheit in einen Staat, in die Souveränität des Staats. Auf gesetzgeberischer Ebene.
Habe gerade das Beispiel angeführt, ne? 47 von 5.500 Wasserwerken sind kritisch. Alle Kommunen und Landkreise sind's nicht. Wat.
Also wat es da kaputt, ne, da brauchen wir ja gar nicht drüber diskutieren. Wer soll denn da Vertrauen drin haben, geschweige denn von, wer kriegt überhaupt mit, dass es so ist? Wir haben ja noch mehr so Klöpper. Wir haben ja manchmal den Krittessektor Chemie
Weil ihr irgendwie geschafft haben sich rauszureden,
Großforschungseinrichtungen auch. Das BBK sagt ganz klar, Großforschungseinrichtungen sind für die Infrastruktur, weil das die Bevölkerung gefährden kann.
Was sagt der Staat? Ja, nee, äh gucken wir uns nicht an. So, das muss also auf gesetzgeberischer Ebene sinnvoll gestaltet werden. Wir müssen,
Auf der Sicherheitsbehördenebene agieren wir haben 300.000 Polizistinnen Deutschland.

[35:55] Jede dieser 300.000 Polizistinnen kann dir ein Knöllchen ausschreiben. Dort haben die alle gelernt oder können die auch richtig radikal durchführen und schön ordentlich.
Aber versucht doch mal bei nur einem Prozent von denen eine online Strafanzeige zu erstatten, weil du eine Vergewaltigungsandrohung bekommst als Frau und sogar deine Adresse noch drunter gepostet wird mit jemandem, der wo der Klarname entweder drinsteht.
Oder sogar sehr einfach ermittelbar ist.
Du wirst gar nicht glauben, wie oft das nicht gelingt. Es ist nämlich echt oft so. Das heißt, selbst die Sicherheitsbehörden sind nicht in der Lage.
Sicherheit im digitalen Raum zu fabrizieren, wenn dann heißt also für für die Bürgerinnen, ne, ist das ja immer dasselbe. Die Polizei ist der Staat.
Die Verwaltung ist auch der Staat. Ob die jetzt meine Daten verlieren oder ob ich nicht in der Lage bin, meine Strafanzeige zu erstatten, der Staat versagt.
Uns die DSGVO an. Die DSGSGVO ist eigentlich ein geiles Gesetz und sagt, wir machen Menschenschutz durch den Schutz von Daten. Kümmert euch bitte drum.
Machen die Leute? Na ja, Russisch Roulette passt schon. Irgendwie so ein bisschen, aber nicht so richtig. Warum? Weil der Staat keine Rechtsdurchsetzung macht.

[37:06] Wenn du aber vergleichst und sagst, ey liebe Leute, ihr macht Datenschutz nicht so richtig 49 von 50 schlingeln sich durch und der Fuffzig wird ermahnt oder zahlt irgendwie ein Budget
Sagt, ich habe das Vielfache an Gewinn eingesahnt, ja, da zahle ich gerne aus der Portokasse.
Nur dieselben Leute fragst, warum macht ihr keine Kinderarbeit? Sagen Kinderarbeit ist total, also man kann ja Kinder arbeiten lassen und äh wenn man das machen würde, würde sofort die Zollfahndung kommen und der Geschäftsführer wird in Knast gehen.
Rechtsdurchsetzung funktioniert, ja, im Vergleich zur DSGVO. Also zumindest in Deutschland, weil ihr lasst dat dann in Indien und Pakistan weiterführen, ne, aber.
Also da siehst du auch die Rechtsdurchsetzung ist relevant und dann gehst du alle Etagen einmal durch und guckst dir all das an, dann bleibst du am Ende stehen bei der Bildungspolitik, wo wir komplett kollektiv versagen. Ne? Wir haben als Industrienation Deutschland.
Fabrikarbeiterinnen ausgebildet. Wir haben jetzt trotz Anti-Digitalisierungsversuchen der GroKo
über Jahrzehnte geschafft, irgendwie doch eine Informationsgesellschaft zu werden. In den Schulen hat sich nichts geändert. Wir bilden immer noch Fabrikarbeiterinnen aus und so kriegst du keine digitale Souveränität in die Breite,
damit keine Kompetenz überall rein.
Im Vergleich zu Dänemark, Estland oder so ein super geiles Modell ist, aber wir gucken immer dahin und sagen, ja, die haben ja richtig gemacht, ne? Wir machen hier nochmal einen Stuhlkreis oder einen Lagebericht.
So, das war nur ein Auszug, Entschuldigung.

Torsten:
[38:33] Ralf, du wolltest.

Ralf:
[38:35] Ja also ich ich glaube sind einfach äh sind einfach ein paar Elemente, die wir die wir da lernen müssen und das führt uns, glaube ich, auch wieder zur zum Kritischsthema äh zurück äh. Das eine ist, das haben wir eben auch schon diskutiert, dass eben die Schulung.
Persönliche Kompetenz mit mit Bedrohung umzugehen, gerade ausm Cyber-Raum in Anführungszeichen.
Ich krieg auch gerne mal 'ne Mail von von irgendwelchen Leuten mit Schreibfehlern oder sonstwie, aber ich muss ganz ehrlich sagen, die Phishing-Mails werden immer besser.
Und ähm das muss man eben erkennen können. Das ist aufwändig, das kostet Zeit, Energie und es muss gemacht werden und da muss man halt auch wirklich äh ganz hart ansetzen, weil die Folgen eines Fehlhandels äh dann schon dramatisch sind.
Der zweite Punkt ist natürlich hat Manuel auch schon ausführlich da gesagt da geschildert ist die Frage der Organisation also.

[39:25] Notfälle muss man eben üben. Wir haben jahrzehntelang äh haben wir keine Notfälle geübt, weil wir dachten, jetzt ist alles schick so ab den neunziger Jahren. War ja Friede in der Welt und dann hat man das ein bisschen verlernt.
Die Friedensdividende irgendwie verteilt. So das ist zwar äh einerseits äh nett gewesen vielleicht äh auf der anderen Seite sieht man, dass es halt in der Welt auch mal wieder anders werden kann und da sind wir gerade dabei, das live zu beobachten.
Muss klar sein, was im im Fall der der Krise und im Vorfeld der Krise ähm ähm muss es geübt werden, es muss klar sein, was im Fall der Krise zu geschehen hat und.
Dritte Punkt ist natürlich der Stand der Technik. Also ich kann jetzt nicht mehr mit Windows 95 um die Ecke kommen. Da muss ich halt mal Winfried ersetzen oder andere äh nette Programme, die halt mal handgeschnitzt worden sind.
Und die nicht mehr upgedatet werden und wir haben das ja auch schon erlebt, dass auch große renommierte Unternehmen, die dem Bund gehören und viele andere.
In Probleme kommen, wenn halt äh bestimmte Schadvorfälle dann übers Netz äh transportiert werden, wenn böse Absicht ist und die Software nicht aufm aktuellen Stand ist und.
Natürlich äh haben wir haben wir dann äh das äh das ganze Präventions äh Paradoxon noch vor uns liegen. Das heißt also, der Mensch reagiert erst, wenn's zu spät ist. Ich kann ja lange erzählen, was man alles machen müsste und wenn's dann nicht getan wird.
Zu spät ist, dann sagt hinterher jeder, na ja, das hätte man natürlich machen müssen, ne, aber tut uns leid, da gibt's auch eine Entschuldigung, aber der Schaden ist entstanden.

[40:53] Frage ist dann, äh wie kann ich äh im Bereich der IT-Sicherheit der dann auch die öffentliche Verwaltung betrifft, weil die ohne Strom und ohne IT halt nix mehr machen kann.
Nur aus den Vorfällen. Ähm wie komme ich dann dahin, dass das Präventionsparadoxhorn ausgehebelt wird und das.
Ist nur dann möglich, wenn man tatsächlich sagt, kommunale IT ist oder die kommunalen IT-Dienstleistung, das muss man dann mal differenziert betrachten.
Das ist als Kritisch einzustufen, damit die Aufmerksamkeit dadrauf gesteigert wird, damit aber auch die entsprechenden Ressourcen aduziert.

Torsten:
[41:24] Ja, gesetzt den Fall, wir kriegen jetzt das ganze Thema kritisch äh sauber gelöst als Gesetzesvorgabe, dass die öffentliche Verwaltung auch äh zu einer kritischen Infrastruktur dazugehört
Ist nicht inzwischen das Thema IT so komplex und so vernetzt und so ähm,
umfangreich, dass es gar keiner mehr durchsteigt. Also wir können da nicht äh Manuel nimmt immer gerne den Flammenwerfer. Wir können ja nicht von Null anfangen.

Manuel:
[41:50] Nö, das lasse ich nicht gelten. Natürlich ist IT-Komplex, aber ein kritischer Infrastrukturbetrieb ist auch ohne Komplex
und analog ist auch komplex und ganz ehrlich, es gibt inzwischen kritische Infrastrukturen und zwar sehr viele, die ohne Digitalisierung oder ohne Online
äh Funktionalität überhaupt gar nicht mehr funktionieren. Ja, man ich höre ja öfter mal, ja dann betreiben wir die jetzt nur noch offline und dann äh ist das sicher.

[42:15] Hast du schon mal offline versucht, ein Telekommunikationsnetz zu betreiben? Äh weiß nicht, also geht so. Hast du mal offline versucht, Online-Banking zu betreiben? Äh ist irgendwie auch hm, geht so. Also
große, also beispielsweise bleiben wir beim Sektor Wasser. Ich mag diesen Sektor irgendwie. Ähm
weil ich auch morgen noch kraftvoll in ein Glas Wasser schlürfen möchte. Ähm Wasser, die die äh Wasserwerke in in Berlin haben ganz klar gesagt, ohne Digitalisierung, also
sind wir nicht mehr in der Lage genug Frischwasser zu gewinnen, um die Bevölkerung zu versorgen, weil wir so viele Menschen inzwischen versorgen,
wir das nur noch durch Prozessautomatisierung in der Menge hinbekommen. Wir können das auch analog und und mechanisch machen. Wir schaffen aber nicht mehr die kritische Menge
So und dann musst du digitalisieren, um entsprechend viel zu fördern und zu produzieren und dann ist das sogar eine sinnvolle Art,
Als Grund für die Digitalisierung gibt genug schwachsinnige Gründe dafür, aber,
Insofern äh ja, es gehört dazu und ja, es ist schwierig, aber man kann's machen. Und glaub mir, ein Airbag zu bauen, der immer dann auslöst, wenn er auslösen soll, ohne zu viel produzieren ist echt,
Schwierig, aber die haben's geschafft und warum und da ist sogar Firmenware drin, Software, die funktionieren muss. Die haben's geschafft, weil die eine Haftung dafür haben.

[43:39] Weil die bei einer bei einem Rückruf
echt viel zahlen und dann sagen die, bevor wir den Schmach und die Schande und diese vielen Kosten auf uns nehmen wegen der Haftung, sorgen wir dafür, dass diese Systeme sicher funktionieren und zwar erwartbar funktionieren.
Das haben wir auch hinbekommen durch entsprechende Gesetzgebung und Rechtsdurchsetzung.
Und wenn wir das nicht machen, dann kann man auch sagen, mi, mi, mies, alles ansprengen, kompliziert teuer und doof,
Aber die Welt ist halt kompliziert teuer und doof und der Cyberraum ist nur einer weltweit. Und dann müssen wir auch dafür sorgen, dass das in diesem einen weltweit funktioniert.
Ende der Durchsage.

Torsten:
[44:19] Ende der Durchsage. Okay. Ähm dann dann kommen wir doch jetzt mal äh langsam in Richtung äh äh Lösungsfindung. Ähm Lösung,
Wenn ich das so richtig raushöre, was ihr alle so gesagt habt, ist, wir müssen das Ganze gesetzlich verankern und entsprechend ähm die Betreiber von kritische Infrastruktur verpflichten.
Ja genau und dann, wie machen wir weiter.

Manuel:
[44:42] Also was wir bräuchten ist, wir wir brauchen, wie gesagt, gute Gesetzgebung, hatte ich ja vorhin gesagt und Gute heißt ja eine eine Gesetzgebung, die.
Die Betreiber kritische Infrastruktur dazu bringt, dass sie ein Eigeninteresse haben, eine sichere Infrastruktur zu bauen. Das heißt, sie müssen
verstehen, dass sie beide wollen, weil das am Ende Menschenschutz darstellt
und sie müssen von sich aus motiviert werden, sozusagen in einer intrinzigsten Motivation diesen Menschenschutz abzubilden durch solche
Vorgehensweisen wie diese zwei Designprinzipien. Alles andere ist Geklüngel, Gemauschel, Gefuchtel oder Gefrickel.

[45:24] Aber auf jeden Fall nicht ein sicherer Betrieb. Und das bekommst du nur durch eine gute Gesetzgebung hin, die eben dafür sorgt, dass äh diese Kritisbetreiberin in diese Richtung,
gehen. Wenn du das hast,
dass du erstmal definierst, was ist kritische Infrastruktur, dann musst du ja definieren, was sind die Anforderungen und Schutzziele, die sie erfüllen sollen und was sind Bedrohungen und Gefährdungen, die sie adressieren sollen.
Und was soll sozusagen der Outcome sein? Und da soll der Outcome nicht sein, hundertprozentige Sicherheit, sondern outcome sollte eigentlich sein,
Ein Ereignis, was eintritt.
Wird im Rahmen der Maßnahmen, die du für die äh für die äh Bedrohung und Gefährdung umgesetzt hast oder deinen Maßnahmenmix besser gesagt, weil's keine Silver Bullet gibt. Maximal zu einer Störung und nicht zu einer Krise oder Katastrophe.
Das ist Äquivalent zu sehen mit dem Klimawandel und den Klimaereignissen. Die meisten reden von den Klimakatastrophen. Die Klimaexperten reden von Klimaereignissen und wir suchen uns aus, wird es eine Katastrophe, weil wir nicht angemessen auf das Klima reagieren.
Oder haben wir das Ereignis unter Kontrolle und es bleibt einfach nur,
Starkregen oder so. Das heißt auch im Cyberraum haben wir die Entscheidung das bewusst in die Hand zu nehmen, zu sagen, wird es nur eine Störung.

[46:43] Oder wird es eine Katastrophe der Krise und wir müssen durch diese, ne, gute Gesetzgebung hinkommen,
Infrastrukturen erstmal richtig einsortiert werden, dass sie überhaupt kritisch sind, dass die Maßnahmen umsetzen müssen,
dass es die richtigen Maßnahmen mit den Schutzzielen sind, dass auch morgen noch Strom und Wasser aus der Leitung kommt und nicht, dass eine Bundesinnenministerin hingeht und sagt, ey, wir brauchen 1000 neue Bundespolizeibeamte, die bewachen dann die Kabel von der von der Bahn.
Dann denkst du, tausend Bundespolizeibeamte bei mehreren tausend Kilometer Trasse wat? Sollen die sich jetzt alle paar hundert Kilometer da hinstellen und.

[47:17] Was mit mit einer Pistole die Kabel bewachen und jeden erschießen, der die anfasst und ich gehe einfach in den zig Kilometern dazwischen hin und schneide's kaputt
also L, das ist kein Schutzkritischer Infrastruktur, das ist auch keine Vermeidung einer Sabotage und es ist auch nicht eine Reduktion einer Störung zu einer Störung, sondern einfach populistisches.
Weiß ich nicht, irgendwie Sicherheitssimulationsdenken, um die Leute irgendwie im im Warmen zu halten. Das ist nicht zielführend so was.
Die zweite Maßnahme war ja, ey, wir machen da eine Überwachung und äh äh machen Kameraaufnahmen und filmen das alles und dann verhindern wir Sabotage.
Ich kenne keine Sabotage, die jemals durch Kameraüberwachung verhindert wurde, dann stellt man nämlich fest, halb Deutschland kann nicht mehr fahren und alles ist
kaputt, dann stellt man fest, ja die zwei Trassen sind durchtrennt und danach guckt man in die Aufzeichnung und sagt, guck mal da, in dem Zeitpunkt, an der Stelle und dann sieht man
ein bis drei maskierte Täter sind tatsächlich dahin und haben die Trassen durchgeschnitten. An der Stelle, wo's kaputt ist, bahnbrechende Erkenntnis.
Aber wir haben massenhaft Videoüberwachung eingeführt,
Compliance-Maßnahmen in Anführungsstrichen, die überhaupt keinen Schutz und Mehrwert bieten, weil's einfach sinnlos ist, dass,
Ist nicht für Bedrohung und Gefährdung angemessen. So so macht man nicht diese diese Motivation.

Ralf:
[48:38] Ja, also ich denke, ähm dass wir äh auch mal über sage ich mal angemessene Maßnahmen dann auch noch nachdenken müssen, gerade bei den Kommunen ist es ja so, wir haben teilweise sehr kleine Kommunen,
und sagt eure IT muss jetzt hier ganz anders strukturiert werden, ihr müsst das alles mal grundlegend erheben und so weiter dann werden die natürlich.
Die Hände überm Kopf zusammenschlagen, weil sie niemanden haben, der es machen kann, weil sie keine Ressourcen dafür bereitstellen können und weil sie auch nicht sehen, wann das kommt.
Da sollte man natürlich schon äh überlegen, ob man beispielsweise bei kleineren Verwaltungen.
Sage ich mal eine andere Art der Absicherung, eine Basisschutz oder wie immer man das dann nennen mag, eine Startabsicherung, dass man das.
Bewerkstelligt, dass man vielleicht bei mittelgroßen Verwaltungen bis 15 Mitarbeitern das äh nochmal als Basis natürlich nimmt, die Startabsicherung und.
Aber auch einen hauptamtlichen Informationssicherheitsbeauftragten installiert und.
Dann ähm äh bei den großen Verwaltungen über 250 Mitarbeitern einfach auch eine eine Verpflichtung für die Zertifizierung nach BSI-Grundschutz durchsetzt und eben auch hauptamtlich.

[49:39] Informationssicherheitsbeauftragten installiert. Also solche, solche Dinge müssen wir mal tatsächlich in der Praxis dann auch diskutieren.
Ähm wir müssen auch darüber diskutieren, wie dann Mittel in die Kommunen kommen, die für diese Zwecke eingesetzt werden. Ja, es gibt ja ähm aus dem OCB-Zusammenhang,
die die Aussage, dass die Länder da klebrige Finger hätten bei den bei der Durchleitung der Mittel ähm aus äh dem Bundeshaushalt in die,
Kommunen hinein. Das mag passieren. Ähm das kommt sicherlich in verschiedenen Bereichen immer mal wieder vor. Ähm
Das hilft aber nicht immer, ähm also wenn jetzt ein Land dann für die IT-Sicherheit sorgen würde bei den Kommunen, dann werden dafür auch Ressourcen auf Landesebene gebraucht. Das ist ja auch logisch, aber ähm,
Letztendlich wird Sicherheit vor Ort produziert.
Deswegen äh müssen da auch die Ressourcen äh vor Ort in den Kommunen landen, damit diese Aufgaben, die wir da sehen in der Zukunft.
Jetzt schon, damit die da auch äh äh ankommen und entsprechend finanziert werden.

Torsten:
[50:41] Okay, Sabine, bevor ich noch eine Frage an dich habe, äh du wolltest noch was sagen.

Sabine:
[50:44] Oh Gott, dann warte ich die vielleicht ab. Nein, also ich ähm denke, dass wir Aufgaben entzerren müssen
Es ist nicht nur der ET7 zuständig. Es ist nicht nur die IT-Abteilung zuständig. Ich hatte auf dem
Dialog für Cybersicherheit äh war letztens der der Begriff des ähm kommunalen Resilienzmanagers genannt. Was ich tatsächlich ganz spannend finde neben dem Klima-Manager und dem Energiemanager äh jemanden zu haben, der tatsächlich die Verwaltung mal,
zusammenbringt an den relevanten Schnittstellen zwischen Organisation und Technik und Personal
was ich auf jeden Fall auch sehe ist, dass neben der der Befähigung der der IT Mitarbeiter auch insbesondere mit
wenn wir in die Cloud gehen oder wir zum Beispiel 159 Fachverfahren sicherlich nicht alle, aber nach und nach äh stückweise.
Äh in eine Cloud gehen, dann natürlich eben auch befähigt werden müssen und insbesondere auch in Richtung Projektmanagement IT-Steuerung, nämlich dann.
Also Wirtschaft als Partner wahrzunehmen und dann auf Augenhöhe miteinander zu arbeiten, weil es ist tatsächlich.
Also so meines Erachtens, die sind etliche Kommunen, die eben nicht in Rechenzentren sind und ihre und im Vorfeld wissen, wen die anrufen, sondern die schauen in dem Moment erst mal, wer wer anspricht,
sein, könnte eben auch in der Wirtschaft und dann wird's auch schon wieder ziemlich tricky bei der Angelegenheit.

Torsten:
[52:09] Sabine, ihr hattet bei dem großen Pech, weil ihr hattet natürlich auch das große Glück, jetzt alles nochmal neu machen zu können. Ähm wie macht ihr's denn ähm um gleich von vornherein viele Sachen auszuschließen? Oder zu minimieren zumindest.

Sabine:
[52:22] Ach herrje, okay. Äh Netzwerksegmentierung, Multifaktor Authentifizierung, das sind so, glaube ich, die wichtigsten Dinge erstmal. Äh auf der anderen Seite, ja, wir hatten den, glaube ich, den besten Awareness ähm
die beste Awallness-Schulung für alle Mitarbeiterinnen und Mitarbeiter auf der anderen Seite ist es immer noch so
dass wir im ganzen letzten Jahr gesagt haben, was ihr von uns bekommt, ist nicht sicher. Das heißt also, diese sträuben sich aktuell den Authenticator zu benutzen,
Weil der von der IT kommt in Anführungsstrichen, was nicht der Fall ist. Ähm so ansonsten rechte Rollen äh offboarding Prozesse
gerade auch mit Blick, dass man viel mehr Mitarbeiter im Active Directory gesehen hat, als man äh auf der hat. Ähm wir haben ein erneutes Backup-Konzept äh ja
BSI Grundschutz wird umgesetzt, das heißt also, wir sind jetzt Modellkommune für äh für das BSI, für das Basisprofil, ich glaube Basisprofil heißt es
Grund, genau. Also bloß da ist eben auch der Blick darauf, dass man die Mindestanforderungen einem Jahr also,
so das Häkchen dranbekommt. Die nächste Stufe, dafür braucht's dann zwei Jahre und um überhaupt Zertifizierung also Zertifizier zu sein, äh
das wird da werden wohl 5 Jahre ins Land gehen. Das heißt, das geht nicht von jetzt auf gleich dieser.

[53:36] Dieses Fingerschnipsen und wir sind sicher und mit Blick auf die Schadenssumme oder Schadenssumme, die wir hatten, aber zumindest die Summe für den Wiederaufbau, der liegt bei zwei Millionen. Ähm dann ist auch die Diskussion, dass ich jetzt grade ganz spannend finde,
Dass das BSI empfiehlt, 20 Prozent des IT-Budgets für Sicherheit einzusetzen. Die meisten haben sehr, sehr, sehr viel weniger.

Torsten:
[53:55] Okay ähm Manu ist ein gefragter Mann
Der muss sich demnächst wieder weiter gleich zur nächsten Party. Deswegen würde ich so langsam mal äh in die Abschlussrunde gehen und jeden nochmal das das Wort geben, aber Mangel löst nicht als erster dran, sondern Ralf ist erster dran.

Ralf:
[54:12] Ja äh vielen Dank. Äh ja wir haben äh glaube ich hier eine eine sehr gute Runde zusammen und äh die ist nicht nur kritisch, sondern die ist auch konstruktiv und.
Deswegen auch ähm mein Gedanke, meinen meinen Appell auch, dass wir äh die Verwaltung und insbesondere deren IT viel stärker in den Blick nehmen müssen, wenn es drum geht.
Äh Anforderungen, die auch auf der europäischen Ebene auf uns zukommen, dann umzusetzen. Ähm wir sind jetzt äh gerade das Thema, weil's nur.
Haben wir noch nicht gestreift. Ähm wir sind ja gerade dabei äh die Mist zwei Richtlinie umzusetzen beziehungsweise die wird dann umgesetzt und im Rahmen dieser Umsetzung. Da müssen wir dann auch im Gesetzgebungsprozess ganz scharf drauf achten und da hoffe ich, dass wir da alle an einem Strang ziehen.
Die kommunale IT wesentlich stärker in den Blick nehmen und die entsprechenden Ressourcen,
im Auge haben, sonst wird das nix mit der IT-Sicherheit und ähm dann wird halt wieder nur mit Schmerzen gelernt und dann ist es wieder zu spät. Wir haben gerade von Sabine gehört wie lange,
solche Prozesse eben in Anspruch nehmen. Wir müssen schneller sein, wir müssen vor die Lage kommen und deswegen sollten äh die kommunalen IT-Dienstleister.
IT als äh kritisch auch tatsächlich eingestuft werden, um die entsprechenden Sicherheitsmechanismen dann einzuführen.

Torsten:
[55:26] Ja, vielen Dank Ralf Sabine.

Sabine:
[55:27] Okay, ähm ich glaube, wir,
haben unseren Beitrag einfach dadurch, dass wir sehr viel in den Wissenstransfer geben, also das ist beispielsweise bei der Stiftung neue Verantwortung, dass wir schauen, die systematische Identifizierung von good,
ist der Cyber-Sicherheitsvorfallsbearbeitungszusammenarbeit zwischen Bundesländern und Kommunen, dass wir einen Experten
Gremium gegründet haben, das immer mal so tagen sollte, dass aber tatsächlich viel zu selten tut, was sehr schade ist. Wir haben den Informationsaustausch mit dem Landkreistag ähm über Vorträge
ähm ja wie gesagt, ich glaube, dass wir auf der einen Seite sehr viel für Verständnis sorgen äh müssen oder für für diese.
Ähm ja auf der einen Seite bei den Mitarbeitern, auf der anderen Seite eben auch bei der Politik, weil grade die für uns war immer die Hoffnung oder ist es tatsächlich die Hoffnung, dass uns dieses Einstufen als Kritisch,
mit den entsprechenden Anforderungen tatsächlich in den Debatten, in den Haushaltsdebatten hilft, weil es ist halt viel zu einfach, weil IT-Sicherheit dieses, dass man es tatsächlich nicht sieht, führt dazu, dass es halt relativ unsexy ist in der Politik
da Geld zu investieren. Auf der anderen Seite haben wir natürlich die Haftbarkeit der Hauptverwaltungsbeamten, die jetzt auch nicht von der Hand zu weisen ist.

Torsten:
[56:40] Das stimmt. Ja, IT-Sicherheit, das glitzert nicht und äh man kann keine keine Bänder durchschneiden. So, Manuel, bevor du wie bei zum Flieger musst, äh deine letzten Gedanken.

Manuel:
[56:53] Meine letzten Gedanken, ja, ich würde mir wünschen, dass die äh die Regierung und auch die
Politikerinnen und die Entscheiderinnen äh deutlich mehr auf die Expertinnen hören, sei es äh im Klimawandel, sei es in der äh Digitalisierung, sei es in der Cybersicherheit, sei es beim Schutzkriterienfrastrukturen und da beziehe ich explizit die physische Sicherheit
mit ein. Man muss nicht und es ist auch wichtig, das umsetzen, was die technisch versierten oder Experten genau sagen. Aber man muss zumindest
Aller anhören,
insbesondere auch die die Wissenschaft, die Forschung und auch die Zivilgesellschaft, vor allem die, die mit Fachkenntnissen versehen sind, involvieren, weil sie eben wirklich tagtäglich in diesen Infrastrukturen arbeiten und es kennen
und das Ganze dann politisch zu einem Setup schnüren, was einfach auch äh nicht immer nur Wirtschaftsinteressen oder
Du hast selber schon gesagt, mit Glitzer und Magie versehen ist, sondern KI und Blockchain und dann kaufe ich das als Digitalisierungsprodukt und dann sind wir digital und alles ist cool
äh fünf Minuten später geht's in Flammen auf, ohne dass man den
Flammwerfer draufgehalten hat, weil's sich von selbst zerstört. Ähm das wäre tatsächlich schön, wenn man da deutlich mehr ähm.

[58:05] Diese diese wissenden einbezieht und auf die Expertise auch tatsächlich mal hört und die mit einflechtet in eine gute Gesetzgebung, in eine gute Rechtsdurchsetzung
und wenn das BMI endlich mal von diesem offensiven Schwachsinn der Befugniserweiterung wegkommt Richtung defensive Cybersicherheitsstrategie für Deutschland,
um echte Sicherheit umzusetzen. Und ich sehe gerade im Chat von in diesem Sinne Amen.

Torsten:
[58:31] Ja ganz, ganz herzlichen Dank an euch drei,
Das hat mir wie immer mit euch Spaß gemacht und Armen ist auch das, was ich hier drunter setzen möchte. Äh euch, liebe Hörerinnen, liebe Hörer, danke, dass ihr wieder zugehört habt. Wenn ihr Fragen habt
Schreibt's einfach in die Kommentare äh ich versuche äh die drei auch dazu wegen die Kommentare zu beantworten
und ansonsten wünsche ich euch allen einen schönen Abend, schönen Tag, gute Nacht, je nachdem wann ihr uns hört, bis bald.

Einspieler