Sicheres Bayern – Cybersecurity im Freistaat 23.02.202308.12.2022 Wer in den letzten Monaten die Nachrichten verfolgt hat konnte unter anderem Schlagzeilen lesen wie „Deutsche Presse-Agentur betroffen von Hackerangriff auf IT-Dienstleister”, „Cyberattacke im Rhein-Pfalz-Kreis: Hacker stellen Daten ins Internet“, „Die Schleidener Caritas wird mit Hackerangriff erpresst“ oder „Hackerangriff auf Hochschule Heilbronn“. Und das sind bloß einige der Meldungen der letzten drei Monate. Man sieht das Thema Hackerangriffe wird nicht nur durch den russischen Angriffskrieg in der Ukraine immer relevanter. In den letzten Jahren kam es immer wieder zu aufsehenerregenden Cyberattacken. Die bekanntesten waren vermutlich der Bundestagshack im Jahr 2015, oder der WannaCry Angriff 2017 von dem u.a. die Deutsche Bahn und das staatliche Gesundheitssystem in Großbritannien, NHS, betroffen waren. Erst letztes Jahr führte ein Cyberangriff auf die Verwaltung des Landkreises Anhalt-Bitterfeld zum Ausrufen des ersten Cyber-Katastrophenfalls in Deutschland. Aber auch bayerische Behörden und Firmen waren in den letzten Jahren immer öfter das Ziel von Hackingangriffen. Im Oktober diesen Jahres erst ist das Medienzentrum München-Land Opfer eines Angriffs geworden, wodurch über 70 Schulen Probleme hatten auf ihre Daten zuzugreifen. Auch die Hochschule Ansbach, sowie der Lebensmittelhersteller Hipp sind im Laufe des Jahres bereits Opfer von Cyberangriffen geworden. Mehr als eine Unbequemlichkeit Doch das es sich bei Cyberangriffen auch im wortwörtlichen Sinne um Ereignisse von Leben und Tod handeln kann zeigen u.a. die Angriffe auf Krankenhäuser wie auf das Klinikum Fürstenfeldbruck 2018, sowie ein verhinderter Angriff in diesem Jahr auf das Klinikum St. Elisabeth in Neuburg. Corona hat die Lage nochmal verschlimmert und auch wenn zwar keine Todesfälle durch Cyberangriffe in Bayern bekannt sind, muss das nichts heißen, da die Staatsregierung keine Informationen über Personenschäden durch Cyberangriffe auf Krankenhäuser besitzt bzw. von den Kliniken einholt. Generell kann man auch beim Thema Cybersecurity beobachten, wie sich die Söder-Regierung, ähnlich wie beim Thema E-Government, versucht aus der Affäre zu ziehen und die Verantwortung auf die Kommunen abzuwälzen. Unsicheres Bayern Dabei liegen die Probleme genau dort, in der Bayerischen Landesregierung. Diese beginnen bereits bei der Zuständigkeit des Themas. Denn während das Staatsministerium des Innern für das Thema Cybersicherheit zuständig ist, liegt das Landesamt für Sicherheit in der Informationstechnik (kurz LSI) im Zuständigkeitsbereich des Staatsministeriums für Finanzen (spannender Sidefact, dass das Digitalministerium hier wieder einmal wenig zu melden hat). Jedoch erklärt diese Aufteilung der Zuständigkeit auch nicht den Unwillen der schwarz-orangenen Regierung sich im angemessenen Maße mit dem Thema auseinander zu setzen. Bezeichnend dafür sind zwei Aussagen der Staatsregierung auf zwei meiner Anfragen. Zum einen sahen sie zu Beginn der Corona-Pandemie nicht die Notwendigkeit dem Thema eine größere Bedeutung zukommen zu lassen, denn die Pandemie „hat die Gefahren für die Informationssicherheit als solche [.] nicht verändert. Zusätzliche Unterstützungsangebote oder Richtlinien seitens der Staatsregierung waren insofern nicht erforderlich.“ Zum anderen sieht sich die Söder-Regierung für das Thema auch gar nicht erst zuständig, denn „im Rahmen der kommunalen Selbstverwaltung entscheiden die Kommunen selbstständig über die Ausgestaltung ihrer IT-Sicherheitskonzepte.“ Gerade der letzte Punkt und die Folgen zeigen sich bei genauerer Betrachtung deutlich. So verpflichtet die Söder-Regierung die Kommunen zwar „die Sicherheit der informationstechnischen Systeme der Behörden [.] im Rahmen der Verhältnismäßigkeit sicherzustellen“ (Art. 43 Abs. 1, Bayerisches Digitalgesetz – BayDiG) und versteht dies auch als ausreichend. Dennoch haben von den 2600 Kommunen in Bayern bis 2021 lediglich 191 das Siegel „Kommunale IT-Sicherheit“ erhalten (welches auch lediglich bedeutet, dass das Minimum an Cybersicherheit gewährleistet ist) und 335 Kommunen zumindest die Einführung eines Informationssicherheits-Managementsystem (ISMS) nachgewiesen. Beides Zahlen, die der Staatsregierung nicht nur nicht zu denken geben, sondern auf welche sie sogar stolz sind. Wenn man zusätzlich noch die Krankenhäuser und staatlichen Hochschulen in die Betrachtung mit einbezieht ergibt sich kein besseres Bild. Denn während es für Krankenhäuser, welche zur kritischen Infrastruktur (KRITIS) gehören noch bundesweite Vorschriften zur IT-Sicherheit vorliegen, gibt es für alle anderen Krankenhäuser in Bayern keinerlei Vorgaben und Regelungen und das gleiche gilt auch für die Hochschulen. Was tun? Ein zentrales Element, um Cyber-Angriffen vorzubeugen und im Falle eines erfolgreichen Angriffs den entstandenen Schaden möglichst gering zu halten, sind klare und strikte Regeln und Sicherheitsmaßnahmen sowohl aufseiten der Nutzer*innen eines Systems als auch aufseiten der Administration. Genau solche Regeln braucht es, um die Sicherheit der IT-Systeme in Bayern sicher zu stellen. Darüber hinaus habe ich dieses Jahr erst gefordert die Kommunen bei der Stärkung ihrer IT-Sicherheit besser unterstützen. Ein wichtiger Baustein dabei ist, dass an alle kleinen und mittleren Städte, Märkte und Gemeinden das Ziel ausgegeben wird, dass sie bis zum Ende des Jahres 2024 das Bayerische Siegel „Kommunale IT-Sicherheit“ erhalten haben. Darüber hinaus brauchen nicht nur Kommunen, sondern gerade auch kleinere Krankenhäuser mehr Unterstützung damit sie ihre IT-Systeme sichern können, um zum einen im Alltagsbetrieb aber vor allem in gesundheitlichen Notlagen nicht durch Cyberangriffe verwundbar zu sein.