Die Expertenanhörung gestern im Innenausschuss des Landtags war eine Offenbarung: Mehrere Experten für Sicherheit im Netz äußerten Zweifel, ob die Pläne der Landesregierung zum Schutz des Netzes von Land und Kommunen ausreichend seien. Es geht um ein Regelwerk, wie intelligente Angriffe auf die technische Infrastruktur rasch entdeckt und erfolgreich bekämpft werden können. „Ich wundere mich, dass viele Bundesländer dazu erst jetzt Gesetze vorlegen“, erklärte Steve Ritter, Referatsleiter beim Bundesamt für Sicherheit in der Informationstechnik (BSI). An den Vorschlägen der Landesregierung im Entwurf des „Niedersächsischen Gesetzes zum Schutz der digitalen Verwaltung (NDIG)“ lässt er auch kein gutes Haar, denn vieles darin sei zu umständlich beschrieben: „Wollen Sie jedes Mal, wenn Viren im Computersystem vermutet werden, eine Genehmigung des zuständigen Behördenleiters einholen? Dann hätten Sie ein Problem.“

Lesen Sie auch:

Lechner: Cyber-Sicherheit neu organisieren

Wie geht es weiter mit der „Niedersachsen-Cloud“?

Das NDIG behandelt zwei Themenbereiche, zum einen die weiteren Schritte zum Aufbau der elektronischen Aktenführung in den Behörden, wobei die Kommunen unzufrieden sind, weil für sie dabei keine Kostenerstattung vorgesehen ist. Der andere Teil berührt die Sicherungen, die eingebaut werden sollen, sobald ein Hackerangriff auf das Netz des Landes oder der Kommunen verübt wird – womöglich in sicherheitsrelevanten Bereichen. So etwas ist in jüngsten Zeit wohl schon ab und an vorgekommen. Bisher agiert der Landesbetrieb „IT Niedersachsen“, der dem Innenministerium nachgeordnet ist, das Landesnetz im Auftrag des Innenministeriums betreibt und nach Auskunft von Geschäftsführer Axel Beims auf Anfrage auch beratend für die Behörden aktiv ist. Im NDIG-Entwurf ist nun vorgesehen, dass IT Niedersachsen zwar die Analyse übernehmen soll, sobald ihm ein Hackerangriff von einer Dienststelle des Landes gemeldet wird. Doch die Entscheidung, wann nach diesem Angriff Alarm ausgelöst wird und Spezialisten aktiv werden, um Sicherheitslücken aufzuspüren, soll nach dem Entwurf jeder einzelnen Behörde überlassen bleiben. Die Dezentralität wird als tragende Säule des Konzeptes angesehen – auch mit Blick auf die Kommunen. Aus Sicht des BSI-Fachmanns kann das riskant sein.

Eine Sicherheitskette kann nur gut sein, wenn auch das schwächste Glied hält.

Hinzu kommen weitere Hürden: Die Daten im System sollen laut Entwurf sieben Tage lang aufbewahrt und danach gelöscht werden. Wenn ein Hacker-Angriff analysiert werden soll, soll der Behördenleiter zudem einen Mitarbeiter zu Rate ziehen müssen, der die Befähigung zum Richteramt hat. Denn in diesem Fall müssten alle E-Mails und aufgezeichneten Telefonate eingesehen werden, und das wäre ein Eingriff in den Datenschutz – da ja Behördenmitarbeiter auch von ihren Diensttelefonen aus privat telefonieren dürfen. Christoph Lahmann von der Landesbeauftragten für Datenschutz spricht mit Bezug auf diese Situationen von so schwerwiegenden Eingriffen in das Fernsprechgeheimnis, dass er sogar die Anordnung eines Richters für erforderlich hält. Aber ist das überhaupt praktikabel? Große Zweifel hegt Sebastian Horzela von der Ciphron-GmbH, einem Spezialunternehmen für IT-Sicherheit. Es komme im Fall eines Hackerangriffs darauf an, sagt er, so früh wie möglich so viele Daten wie möglich zu sichern und einzusehen. Weil sich Hacker „einnisten“, also nach ihrem erfolgreichen Angriff manchmal über Wochen unerkannt im Netz lauern und dann neu zuschlagen, müssten alle Daten so lange wie möglich für die Analytiker verfügbar sein. Das BSI kennt Fristen von teilweise drei Monaten, sieben Tage seien auf jeden Fall zu wenig. Man müsse sich mit anderen Betroffenen austauschen und Profis an die Aufklärung setzen. Die Sicherheitsbeauftragen in einem Landesamt oder einer Gemeindeverwaltung könnten rasch damit überfordert sein. Sie hätten laut Horzela vermutlich schon Mühe, überhaupt einen Hackerangriff richtig identifizieren zu können – geschweige denn, die Lücken rasch wieder zu schließen.

Übergänge ins Landesnetz sind durch Firewalls geschützt

Im Innenausschuss ist es vor allem der CDU-Abgeordnete Sebastian Lechner, der für drastische Änderungen am Entwurf des NDIG wirbt: Er befürwortet eine zentrale Stelle, die für Land und Kommunen die Sicherheitsfragen betreut und auch die Autorität hat, einer womöglich widerborstigen oder langsamen Gemeindeverwaltung bestimmte Schutzvorkehrungen vorzuschreiben. Weitgehende Zugriffs- und Eingriffsrechte brauche eine solche Einrichtung. Die Stabilität des Systems dürfe nicht vom Selbständigkeitsstreben der Kommunen gefährdet werden: „Eine Sicherheitskette kann nur gut sein, wenn auch das schwächste Glied hält.“ Doch Lechners Haltung ist nicht unumstritten. Manfred Mahlzahn vom Landkreistag sagt, die Übergänge vom Landes- ins kommunale Netz und umgekehrt seien jetzt schon durch Firewalls geschützt, viele Kommunen hätten in den vergangenen Jahren ihr Sicherheitsniveau enorm angehoben. „Aber es muss darum gehen, ein noch viel besseres Schutzsystem zu erreichen“, entgegnet Lechner. Der gute Status quo sei keine Garantie angesichts der „künstlichen Intelligenz“, die sich auch mit krimineller Energie mischen könne.

Kosten für elektronische Rechnungsführung soll Land ersetzen

Wie sehr bei diesem Thema aber auch auf Zuständigkeiten gepocht wird, zeigt der Streit um den anderen Teil des NDIG-Entwurfs, mit dem vor allem die Kommunalverbände hadern. Es geht um die elektronische Rechnungsführung und um 575 Behördendienstleistungen, die von den Kommunen bis zum Jahr 2022 online angeboten werden müssen – also das, was ihnen bereits im gültigen „Online-Zugangsgesetz“ des Bundes vorgegeben ist. Hubert Meyer vom Landkreistag erklärt, das verursache erhebliche Kosten, die das Land erstatten müsse. Rolf Beyer von der Kommunalen Datenverarbeitung Oldenburg sagt: „Bei 450 Kommunalverwaltungen kommt man rasch auf 60 Millionen Euro“, Thorsten Bullerdiek vom Städte- und Gemeindebund nennt gar die Zahl 180 Millionen Euro. Und er beklagt, dass bereits überlegt werde, die Online-Dienstleistungen der Mitgliedsgemeinden von Samtgemeinden der jeweiligen Samtgemeindeverwaltung zu übertragen. Das wäre „eine versteckte Gebietsreform“, meint Bullerdiek in seiner zugespitzten Art. Die Hoheit über ihr Datennetz wolle schon jede kleine Gemeinde behalten. (kw)