Presse-Archiv 2023
Interkommunale Zusammenarbeit
Sieben Landkreise kooperieren bei der IT-Sicherheit
10.10.2024
Darmstadt-Dieburg. Seit 1. Juli ist der Landkreis Darmstadt-Dieburg offiziell Mitglied eines Projekts der Interkommunalen Zusammenarbeit mit sechs anderen Landkreisen. „Einrichtung einer Informationssicherheitsstelle“ lautet die Überschrift. Fixiert wurde das Ganze nun in einer öffentlich-rechtlichen Vereinbarung. Somit kooperieren ein Drittel der 21 hessischen Landkreise nun in Sachen IT-Sicherheit miteinander – und dies über einen Zeitraum von fünf Jahren. So lange läuft das Pilotprojekt. „Wir haben uns ja zum Ziel gemacht, eine digitale Kreisverwaltung zu werden“, sagt Landrat Klaus Peter Schellhaas, „nur mit der fortschreitenden Digitalisierung wird die IT-Technik, die dafür benötigt wird, komplexer und bietet auch mehr Möglichkeiten, sie zu missbrauchen.“ Gegen diese Sicherheitsrisiken wollen sich die Landkreise nun gemeinsam wappnen. „Dafür benötigen wir einen gemeinsamen Standard, den wir über einen externen IT-Sicherheitsbeauftragten sicherstellen wollen“, sagt Schellhaas.
Das bedeutet, dass ein Unternehmen aus Berlin die Landkreise mit ihrer gemeinsamen Fachstelle nun fünf Jahre lang begleiten wird – eben als externer Informationssicherheitsbeauftragter. Ansprechpartner für die externe Beraterfirma in der Kreisverwaltung Darmstadt-Dieburg wird ein Informationssicherheitskoordinator sein, der aber derzeit noch gesucht wird. Während des Pilotzeitraums, so hofft James Bennett als Chief Information Officer und Co-Fachbereichsleitung IT und Digitales beim Landkreis, baut die Kreisverwaltung genügend eigene Expertise auf, um die externe Informationssicherheitsstelle nicht mehr zu benötigen. „40 Dienstleistungstage pro Jahr pro Landkreis sind vereinbart“, erklärt Bennett. Die Auftragssumme beträgt für alle sieben Landkreise 1,2 Millionen Euro, 200.000 Euro gibt das Land Hessen dazu.
Das Feld dessen, was nun alles auf Herz und Nieren geprüft wird, ist groß. Es reicht von Notfallplänen bis hin zum Schutz von kritischen Prozessen, etwa wenn es um Zahlungsverkehr geht. „Aber auch Penetrationstests“, erklärt James Bennett: „Was tun wir, wenn wir gehackt werden, oder: gelingt dies überhaupt erst.“ Eine einfache Variante, IT-Sicherheitsbemühungen zu umgehen, sind nach wie vor Phishing-Mails. „Der Mensch ist dabei oft ein beliebter Angriffsvektor“, erklärt Julius Wörner, Chief Digital Officer und Co-Fachbereichsleiter IT und Digitales beim Landkreis: „Wenn man sich mal anschaut, welche betrügerische Bank-Seiten heute mit Künstlicher Intelligenz generiert werden, dann weiß man, dass Phishing-Versuche ohne Sensibilisierung für den Einzelnen nur noch schwer zu durchschauen sind.“ Die Strukturen der digitalen Verwaltung müssten widerstandsfähig sein, sagt er. James Bennett ergänzt: „Die Abhängigkeit der Geschäftsprozesse von der IT liegt bei 94 bis 95 Prozent. Eine entsprechende Gewährleistung der Arbeitsfähigkeit ist also essenziell für den Betrieb der Kreisverwaltung. Man stelle sich vor, wir können über einen längeren Zeitraum nicht arbeiten, weil unsere IT lahmgelegt wurde“, sagt Bennett. „Wir sind im Bereich der Daseinsvorsorge Teil eines Ökosystems, was bei Stillstand schnell gravierende Folgen nach sich zieht“, sagt Wörner.
Und die sechs anderen Kreise auch. Natürlich tauschen sie sich auch untereinander aus. „Es gibt kein Kirchturmdenken“, sagt Bennett. So gibt es Arbeitsrunden mit dem Berliner Dienstleister und den anderen Kreisen. „Gelernt werden kann von Erfahrungen und Blaupausen“, erklärt Wörner, „aber umsetzen muss jeder Kreis die Standards auf seine eigene IT-Infrastruktur.“ Die IT-Sicherheit ist dabei eine Daueraufgabe. „Die meisten Landkreise haben eine dreistellige Zahl von Fachanwendungen“, erklärt Bennett. Orientiert wird sich bei der Sicherheit an internationalen Standards. Und das nicht nur in der Theorie. „Man erarbeitet sich eine Praxis“, erläutert Wörner, „Standards nur niederzuschreiben, ist nie genug. Diese müssen auch umgesetzt und gelebt werden. Dazu gehört zum Beispiel auch die Sensibilisierung der Belegschaft. Damit etwa niemand mehr einen unbekannten USB-Stick in den Rechner steckt.“
Die gemeinsame Informationssicherheitsstelle kontrolliert den Fortschritt der IT-Sicherheitsmaßnahmen und koordiniert die Effektivität der Maßnahmen im laufenden Betrieb. „Insgesamt stehen alle Landkreise vor demselben Problem“, sagt Landrat Schellhaas. „Wir müssen unsere Verwaltungen sichern und schützen. Die gemeinsame Fachstelle wird nun möglich machen, dass wir dabei möglichst nichts übersehen.“