Sicherheit im globalen Netz

Transkript

1 1 Februar Lecos Leipzig REGIONALAUSGABE Zeitschrift der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e.v. AUF KURS BLEIBEN Neujahrsinterview mit Lecos-Geschäftsführer Peter Kühne ZEITREISE DURCH DIE VERWALTUNG Lecos-Zukunftsforum Kommune 2040 Sicherheit im globalen Netz

2

3 \ EDITORIAL Wer bin ich und wenn ja wie viele? Wäre die Netzpolitik eine Person, könnte sie sich jetzt diese Frage stellen. Denn nun ist sie da: die Lösung für die Verankerung von Netzpolitik in der neuen Bundesregierung. Kein Internetministerium, sondern die Verteilung der Fragestellungen auf viele Ministerien. Dies, liebe Leserinnen und Leser, kann man begrüßen, weil endlich die Erkenntnis gereift ist, dass der Übergang in die digitale Gesellschaft so viele Facetten und Perspektiven hat, dass man die Verantwortung nicht einem Ressort übertragen kann. Dies kann man scharf kritisieren, weil die Gefahr besteht, dass viele Köche den Brei verderben. Zu konstatieren ist, dass es nie zuvor eine Bundesregierung gab, in der Netzpolitik, Fragen der Digitalisierung von Staat, Wirtschaft und Gesellschaft einen solchen Stellenwert hatten. Es scheint erkannt zu sein, dass die Entwicklung der digitalen Gesellschaft Leitplanken, Regeln und Gestaltungsräume braucht, die politisch ausgestaltet werden müssen. Dies unterstreicht auch der neue Ausschuss im Bundestag für Internet und digitale Gesellschaft. Die Verteilung der Themen auf verschiedene Ministerien birgt aber auch Gefahren: vor allem des Gerangels um Zuständigkeiten. E-Government, Sicher heit und Datenschutz bei Inneres, Smart Grids und IT bei Wirtschaft und Energie, Breitbandausbau und Telekommunikation im Ministerium für Verkehr und digitale Infrastruktur, Verbraucherschutz und Urheberrecht im Justizministerium, Jugendschutz im Web bei Familie um nur die wichtigsten Ministerien zu nennen. Da es zwischen den Themen Schnittmengen gibt, wird die Kunst darin bestehen, die Fäden zusammenzuhalten und klare Verantwortlichkeiten zuzuweisen. Hier kommt dem Bundestagsausschuss eine vornehme Aufgabe zu. Zudem wird die Qualität einer digitalen Agenda Einfluss auf die Qualität politischer Entscheidungen haben. Das wichtigste wird jedoch sein, dass sich die Verantwortlichen einer gemeinsamen Sache verpflichtet fühlen. Lähmung durch Kompetenzgerangel kann sich die Bundesregierung bei den rasanten Entwicklungen im IT-Umfeld nicht erlauben. Die nächsten Monate werden lehren, welche Energie die Akteure in die Inhalte der Netzpolitik stecken und welche in die Debatte um Zuständigkeiten. Die öffentlichen IT-Dienstleister und ihre Kunden, die Kommunen, werden die Entwicklung aufmerksam verfolgen. Der kommunale Raum braucht Entscheidungen des Bundes, zunächst als Rahmenbedingung. Für den kommunalen Entscheidungsraum wäre aber genauso wünschbar, wenn die digitale Agenda auf Bundesebene Strahlwirkung auf die anderen Ebenen entfalten könnte. An der Ausgestaltung wirken wir gern mit. In diesem Sinne wünschen eine gute Lektüre Peter Kühne, Vorstandsvorsitzender, Dr. Marianne Wulff, Geschäftsführerin, Vitako Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister. 3

4 \ IMPRESSUM \ INHALT Herausgeber: Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e. V. Markgrafenstr Berlin Tel. 030 / redaktion@vitako.de V.i.S.d.P.: Dr. Marianne Wulff Die Redaktion behält sich vor, eingesandte Berichte auch ohne vorherige Absprache zu kürzen. Der Inhalt der Beiträge gibt nicht in jedem Fall die Meinung des Herausgebers wieder. Alle Rechte vorbehalten. Nachdruck oder elektronische Verbreitung nur mit Zustimmung des Herausgebers. Realisation: Goergen Kommunikation GmbH Lungengasse Köln - Redaktion: Anne Goergen, Michael Wayand, Kai Ortmann - Grafik: Nicola Gabriel Erscheinungsweise: 4 Ausgaben im Jahr Auflage: Lektorat: Ursula Barthel Grafikdesign, Bremen ub-grafikdesign@t-online.de Regionalausgaben: Konzeption, Layout, Satz und Lektorat Ursula Barthel Grafikdesign, Bremen ub-grafikdesign@t-online.de Litho u. Druck: köhler + bracht GmbH & Co. KG, D Rastede/Wahnbek Bildnachweise: Bayerisches Staatsministerium der Finanzen (S. 13); Bergische Universität Wuppertal (S. 25); Bundesministerium des Innern (S.9, 17); Deutscher Städte- und Gemeindebund (S. 27); Donau-Universität Krems (S. 23); FH Aachen (S. 19); Fraunhofer FOKUS (S. 29); Gesellschaft für Informatik e.v. (S. 31); Götz Hamann (S. 7); Innenministerium Nordrhein-Westfalen (S. 32); Stadt Karlsruhe (S. 25); KDVZ citkomm (S. 11); Stadt Köln (S. 27); Kommunales Rechenzentrum Minden-Ravensberg/Lippe (S. 11); KRZN (S. 18); regio it (S. 15); Sächsisches Staatsministerium der Justiz (S. 21); Thinkstock/istockphoto: Greg Epperson (Titel), Themacx (S. 6), maxkabakov (S. 8), Studio-Annika (S. 10), Fesus Robert (S. 14), Merydolla (S. 16), vitanovski (S. 16), carloscastilla (S. 20), Bob Dorn (S. 24), Bordei Liana Monica (S. 31); Thinkstock/ moodboard: moodboard (S. 19), Mike Watson (S. 28); Thinkstock/Digital Vision (S. 12); Thinkstock/Fuse (S. 18); Thinkstock/ Hemera: Daniel Kaesler (S. 22) Autoren dieser Ausgabe: Dr. Wilfried Bernhardt, Sächsisches Staatsministerium der Justiz und für Europa Hartmut Beuß, Ministerium für Inneres und Kommunales Nordrhein-Westfalen Prof. Dr. Roland Goertz, Bergische Universität Wuppertal Arnd Gottschalk, FH Aachen Franz-Reinhard Habbel, Deutscher Städte- und Gemeindebund Götz Hamann, Die Zeit Reinhold Harnisch, Kommunales Rechenzentrum Minden-Ravensberg/Lippe Heiko Hartenstein, Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) Guido Kahlen, Stadt Köln Clara Landler, Donau-Universität Krems Dr. Andreas Mück, Bayerisches Staatsministerium der Finanzen Dr. Michael Neubauer, KDVZ citkomm Alexander Rabe, Gesellschaft für Informatik e.v. Dr. Peter Parycek, Donau-Universität Krems Dieter Rehfeld, regio IT Martin Schallbruch, Bundesministerium des Innern Rudi Schneider, Kommunales Rechenzentrum Niederrhein Dr. Joachim Sturm, Bundesministerium des Innern Dr. Björn Weiße, Stadt Karlsruhe Christian Wittig, Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) Hinweis: Vitako aktuell erscheint zusätzlich mit 3 Regionalausgaben: Ausgabe krz Lemgo Ausgabe Lecos Leipzig Ausgabe regio it Der Vertrieb erfolgt durch das jeweilige Vitako-Mitglied. ISSN SICHERHEIT IM GLOBALEN NETZ 6 Zeit des Aufbruchs Nach den Spähskandalen setzt die Politik auf neue Methoden, aber es gibt noch unklare Zuständigkeiten, wie Zeit-Autor Götz Hamann feststellt. 8 Der Bedrohung begegnen Die Bundesregierung sieht die IT-Sicherheit als prioritäres Handlungsfeld, schreibt Martin Schallbruch, IT-Direktor im Bundesinnenministerium. 10 Schein oder nicht Schein? Machen die BSI-Grundschutzkataloge für kommunale IT-Dienstleister sinn? Über diese Frage diskutieren Reinhold Harnisch, Geschäftsführer des krz Lemgo, und Dr. Michael Neubauer, Geschäftsführer KDVZ citkomm. 12 Vereint handeln! Über die Leitlinie für Informationssicherheit des IT-Planungsrates als Blaupause für die Verwaltung in Bund, Ländern und Kommunen schreibt Dr. Andreas Mück vom Bayerischen Staatsministerium der Finanzen. 14 Inseln des Vertrauens Dezentrale kommunale Strukturen und IT-Dienstleister können entscheidend zur IT-Sicherheit beitragen und Vertrauen erzeugen, meint Dieter Rehfeld, Vorsitzender der Geschäftsführung bei der regio it. 16 Treffsicheres Konzept Das nationale Waffenregister bietet Anknüpfungspunkte für föderale E-Government Strukturen. Dr. Joachim Sturm, Referatsleiter im Bundesinnenministerium, erläutert warum. 18 Volle Übersicht Rudi Schneider, verantwortlich für die Öffentlichkeitsarbeit im KRZN, erklärt den Zertifizierungsprozess in seinem Haus. INNOVATION UND KOMMUNALVERWALTUNG 19 Solide Grundlage Die Technik allein reicht nicht, die Energiewende braucht auch gut ausgebildete Fachleute. Arnd Gottschalk von der FH Aachen stellt den Studiengang Energiewirtschafts-Informatik vor. 20 Mit Weitblick geplant Sachsen gibt sich ein eigenes E-Government-Gesetz, das in Teilen noch weiter geht als die Vorgabe aus dem Bund. CIO Dr. Wilfried Bernhardt erklärt die Gemeinsamkeiten und Unterschiede. 22 Serie: Open Government in Europa Österreich Die offene Bereitstellung von Verwaltungsdaten ist in Europa unterschiedlich weitverbreitet. Dr. Peter Parycek und Clara Landler von der Donau- Universität Krems geben einen Überblick über den Stand in Österreich. 24 Auf alles vorbereitet Dr. Björn Weiße, Leiter des Ordnungsamtes Karlsruhe, und Prof. Dr. Roland Goertz von der Bergischen Universität Wuppertal schildern kommunale Vorbereitungsstrategien auf den Katastrophenfall. 4

5 \ INHALT VERWALTUNG DER ZUKUNFT 26 Internet für alle! Ungehinderter Zugang zum Internet ist durchaus ein Standortfaktor im Wettbewerb der Regionen, wie Kölns Stadtdirektor Guido Kahlen bei der Vorstellung der Pläne der Domstadt erläutert. Franz-Reinhard Habbel vom DSt- GB fordert auch bessere rechtliche Grundlagen. 28 Vernetzung neu denken Heiko Hartenstein vom Fraunhofer FOKUS berichtet über erste Ergebnisse einer Studie seines Instituts zu den Vorteilen der Nutzung sozialer Netze in der öffentlichen Verwaltung und den nötigen Voraussetzungen. RUBRIKEN 30 Web-Check: Digitale Debatte Vitako aktuell nimmt im Web 2.0 Check den Internetauftritt der Landeshauptstadt Dresden unter die Lupe. 31 Bitte mitreden! Das Wissenschaftsjahr 2014 steht unter dem Motto Die digitale Gesellschaft. Zu einem guten Gelingen gehört vor allem eine rege Beteiligung von Bürgern, Verwaltung und Forschung, findet Alexander Rabe von der Gesellschaft für Informatik e. V. (GI). 32 Vitako fragt... Hartmut Beuß, CIO des Landes Nordrhein-Westfalen 33 Vitako antwortet... Dr. Ulrich Maly 34 Vitako Panel 34 ProVitako 35 In eigener Sache 35 Termine 35 Vorschau auf die nächste Ausgabe Wer die besonderen Anforderungen öffentlicher Auftraggeber erfüllen will, muss sie verstehen. Dazu gehört die Fähigkeit, über den eigenen Horizont hinauszublicken. Bechtle handelt vernetzt, mit klarem Fokus auf die Zielgruppe und ist als anerkannter Partner öffentlicher Auftraggeber etabliert. Europaweit. Es geht immer ums Ganze. Die IT-Landschaft befindet sich im Wandel: Technologie verändert sich und mit ihr die Ansprüche der Kunden. Um hohe Ziele zu erreichen, brauchen öffentliche Auftraggeber einen starken IT-Partner, der herstellerunabhängig moderne, sichere und effiziente Lösungen anbietet. Und nie den Blick fürs Ganze verliert. Geschäftsbereich Öffentliche Auftraggeber Karl-Heinz Heithaus Branchenmanager Kommunen 5 SYHXXXX_ANZ_ÖA_Schwarm_180x122_01_2014.indd :47

6 \ SICHERHEIT IM GLOBALEN NETZ Zeit des Aufbruchs Hohe Internetkompetenz in der großen Koalition Die Politik reagiert auf die großen Spähskandale des Jahres 2013 und setzt auf mehr nationale Kom petenz und bessere Verschlüsselung allein die Zuständigkeiten sind noch unübersichtlich. Das mächtigste Land Europas steht wie ein digitaler Tölpel da. Die deutsche Industrie baut keine eigenen Handys und Computer mehr. Ausländische Geheimdienste belauschen die Kanzlerin und lesen s von ganz normalen Bürgern routinemäßig mit. Was tun? Wo anfangen? Öffentlich äußert sich die Bundeskanzlerin praktisch nicht zur Affäre um den US-Geheimdienst NSA. Aber wer sich die neue Regierung in Berlin anschaut, wird erkennen, dass Union und SPD auf die Ereignisse reagiert haben. Die größte Überraschung war sicherlich, dass es nun einen halben Internetminister gibt. Was Alexander Dobrindt wird leisten können, muss sich zeigen. Aber auch beim ersten Umweltminister, er hieß Walter Wallmann, war es wichtiger, dass es ihn gab, als das, was er vermochte. Zudem ist mit Thomas de Maizière ein Politiker ins Innenministerium zurückgekehrt, der digitalpolitische Expertise besitzt. Und, von vielen übersehen, kehrt Brigitte Zypries als Staatssekretärin fürs Digitale unter Wirtschafts- und Energieminister Sigmar Gabriel auf die große Berliner Bühne zurück. Zypries kennt die Fährnisse des Themas aus ihrer Zeit als Bundesjustizministerin gut. Sie hat das Urheberrecht ans Internetzeitalter angepasst. Kurz gesagt, die große Koalition vereint mehr Internetkompetenz als alle ihre Vorgänger. An dieser Stelle ist noch nicht einmal erwähnt, dass der neue Generalsekretär der CDU, Peter Tauber, in der Union vor einigen Jahren das cnetz mit gegründet hat, in dem er Digitalpolitiker aus der Union um sich versammelte. Die Union will die Netzpolitik in der Regierung sichtbar verankern, sagte Tauber während der Koalitionsgespräche, und was damals noch realitätsfern klang, ist nun Realität. Die Digitalpolitik ist eines der zentralen Themen in Berlin. Geschwindigkeit contra Sicherheit Die Regierung hat im Prinzip sinnvolle erste Schlüsse aus der Überwachungs-Affäre gezogen. Denn wer nicht die Verschlüsselung aller elektronischen Kommunikation vorantreibt, macht den gleichen Fehler, den Google über Jahre hinweg begangen hat. Im vergangenen Herbst wurde ja offenbar, dass die NSA jahrelang Googles größte Schwäche ausgenutzt hat: die Sucht nach Geschwindigkeit. Je schneller die Suchmaschine die Antwort auf egal welche Frage gibt, umso häufiger kommen die Menschen wieder. Der Chef über die Rechenzentren und Datenleitungen bei Google, Urs Hölzle, hat das in nicht weniger als ein Glaubensbekenntnis gefasst, das Evangelium der Geschwindigkeit (gospel of 6

7 \ SICHERHEIT IM GLOBALEN NETZ speed). Er rechnet dort vor: Verzögert sich eine Suchanfrage um 400 Millisekunden, sinkt die Zahl der Suchanfragen um ein halbes Prozent. Wird Google langsamer, wenden sich Nutzer ab, sinken Werbeeinnahmen und Gewinn, sinkt der Aktienkurs, werden die Konkurrenzunternehmen stärker. Deshalb ist Google auf Speed. Verschlüsselung stellt in dieser Hochgeschwindigkeitswelt ein Problem dar und damit auch für die Unternehmen traditioneller Branchen sowie für die Verwaltung: Denn Verschlüsselung bremst. Der weit verbreitete SSL-Standard wirkt auf die Leistung einer Internetseite, als würde man einen Motor von 200 auf 100 PS drosseln. Google wollte das nicht und hat seine enormen Datenströme lange nicht verschlüsselt, was wiederum die NSA offenbar ausgenutzt hat. Insofern legen die Ereignisse den Schluss nahe: Traue keinem Internetunternehmen, das von sich behauptet, seine Techniker hätten alles im Griff. Und: Wer nicht verschlüsselt, bekommt ein Problem. Darum ist Verschlüsselung die zentrale Technologie für eine sicherere IT-Infrastruktur, weil nur sie gewährleistet, dass Daten durch öffentliche Netze transportiert werden und doch nicht enthüllt werden. Verschlüsselung macht Daten für Angreifer bestenfalls nutzlos, in jedem Fall aber erhöht sie den Aufwand des Lauschers. Diese Schlüsseltechnologie ist aber keine, die man bedenkenlos in anderen Ländern kauft. Sichere, stärkere Verfahren made in Germany sind deshalb kein Arbeitsbeschaffungsprogramm für Mathematiker. Sie tragen vielmehr dazu bei, staatliche Souveränität im Digitalen wiederzugewinnen und zu verteidigen und in den Unternehmen die Quellen des Wohlstands zu schützen. Alles in allem entsteht also das Panorama einer Welt, in der verschiedene Schichten von IT-Sicherheit einander überlagern und manchmal miteinander konkurrieren werden. Niemand verspricht in dieser Welt einen hundertprozentigen Schutz. Aber sowohl im Koalitionsvertrag als auch in einer von einem großen Unternehmen der Branche in Bonn organisierten Sicherheitstagung im vergangenen Herbst war der Wille erkennbar, Spionen das Leben schwer zu machen und für mehr Sicherheit zu sorgen. Digitalpolitik zuständig und wird nicht aus einem massiven Interessenkonflikt erlöst. Zunächst ist er für die Innere Sicherheit zuständig, für Terrorabwehr und Verbrechensbekämpfung. Wie soll er da zugleich eine Verschlüsselung fördern, an der selbst Supercomputer scheitern oder unbefangen Datenschutz-Gesprächsrunden mit großen Internetkonzernen organisieren? Wenn sich der Innenminister in den vergangenen 15 Jahren entscheiden musste, ob er dem deutschen Geheimdienst und der Polizei mehr Zugriffsrechte gewährt oder ob er dafür sorgt, dass sich jedermann im Netz unsichtbar machen kann, hat er stets die Ermittler-Interessen bedient. Diese politische Linie zieht sich vom Großen Lauschangriff über die Vorratsdatenspeicherung bis hin zum Bundestrojaner. Vollkommen unerheblich war dabei, ob ein SPD-, CDU- oder CSU-Vertreter das Ministerium führte. Jeder Innenminister versteht sich zuallererst als Sicherheitsminister, und seine größte Sorge muss es sein, eines Tages vor einem Leichenberg zu stehen, weil er einen Terroranschlag nicht verhindern konnte. Mit dieser Sorge wird er abends einschlafen, und mit ihr wird er aufwachen. Für ein Internetministerium Deshalb wäre es nur logisch, wenn der Innenminister die Dienstaufsicht über den Bundesdatenschutzbeauftragten abgegeben hätte. Zugleich müsste er auf jene Abteilungen verzichten, die für IT zuständig sind, für Verwaltungsreformen und E-Government. Sie wären besser im Bundeswirtschaftsministerium in seinem aktuellen Zuschnitt aufgehoben oder beim Bundesjustizminister; und in der Zukunft könnten sie den Grundstock für ein eigenständiges Internetministerium bilden. Damit allein wäre ein eigenständiges Ministerium noch nicht einflussreich. Es bedürfte dann weiterer Abteilungen aus dem Wirtschaftsministerium, die sich mit Telekommunikation, E-Commerce und sicherer Datenverarbeitung befassen. Am Ende würde so ein Minister sein politisches Schicksal mit dem Aufbau einer sicheren Internet-Infrastruktur verbinden und mit dem Schutz jedes Bürgers im Digitalen. Wieso das bedeutsam ist, zeigt die Geschichte des Bundesumweltministeriums. Seit für dessen Politikfeld in den achtziger Jahren ein eigenständiges Ressort geschaffen wurde, hat die deutsche Umweltpolitik eine Struktur und politisches Gewicht. Auslöser war 1986 die Reaktorkatastrophe von Tschernobyl, ein Ereignis von historischem Rang, das auch den führenden bürgerlichen Politikern klarmachte: Umweltpolitik ist von nun an zu wichtig, um sie auf viele Häuser zu verteilen. Auch damals leistete das Bundesinnenministerium einen Beitrag fürs neue Ressort: Es gab die Aufsicht über die Reaktorsicherheit ab. Eine Frage der Zuständigkeit Einen zentralen Webfehler der bisherigen Netzpolitik hat die Kanzlerin allerdings nicht behoben: Der Innenminister ist weiterhin für weite Teile der Götz Hamann ist stellvertretender Leiter des Wirtschaftsressorts der Wochenzeitung Die Zeit. 7

8 \ SICHERHEIT IM GLOBALEN NETZ Der Bedrohung begegnen Die Bundesregierung stellt sich der Herausforderung Cyber-Sicherheit Die Bewältigung der Vertrauenskrise in die IT-Systeme ist für das Bundesministerium des Innern zugleich eine technische und psychologische Aufgabe. Deutschland steht am Beginn einer neuen Stufe der Digitalisierung und zwar mit gesamtgesellschaftlicher Bedeutung: der Digitalisierung der Infrastrukturen. Für unsere zukünftige Energieversorgung brauchen wir beispielsweise ein digitalisiertes Elektrizitätsversorgungsnetz einschließlich elektronischer Stromzähler. Für eine intelligente und ressourcensparende Mobilität und die Erhöhung der Sicherheit im Straßenverkehr ist Verkehrstelematik von größter Bedeutung. Im Gesundheitswesen sind durch verstärkten IT-Einsatz sowohl Qualitätssteigerungen als auch eine erhöhte Wirtschaftlichkeit erreichbar. Die konsequente Digitalisierung von Infrastrukturen und Komponenten eröffnet einerseits erhebliche Innovationschancen und Potenziale, erfordert aber andererseits auch höchste Aufmerksamkeit hinsichtlich der Sicherheit der digitalen Netze. Dafür braucht es neue ganzheitliche und übergreifende Konzepte. Dabei greifen technische Sicherheit und das Vertrauen der Menschen ineinander. Die Diskussionen rund um PRISM, Tempora und andere Kürzel zeigen, welche Möglichkeiten der Kompromittierung von digitalen Systemen bestehen. Angreifer aller Art suchen gezielt nach Methoden, um in die jeweilige Steuerung eingreifen zu können und Systeme per Mausklick zu infiltrieren oder zu beschädigen. Dies hat in allen Umfragen erkennbar das Vertrauen in die IT und das Internet beeinträchtigt und gleichsam zu einer Bewusstseinsschärfung rund um das Thema Datenschutz und Datensicherheit geführt. Schutz der Bürger Der Koalitionsvertrag von CDU/CSU und SPD als politische Grundlage der Arbeit der neuen Bundesregierung adressiert diese Vertrauenskrise direkt. Die Koalition will Cybersicherheit und Datenschutz mit Nachdruck angehen und legt den Schwerpunkt vor allem auf den Schutz der Bürgerinnen und Bürger sowie der Unternehmen in Deutschland. Sicheres Verhalten im Netz, der Einsatz von Sicherheitstechnik wie D , neuer Personalausweis oder Ende-zu-Ende-Verschlüsselung werden gefördert. Ein Ausbau der Hilfestellungen für Bürger und Wirtschaft durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch den Verein Deutschland sicher im Netz e.v. ist geplant. Das Ziel muss sein, dass sich die Menschen und Unternehmen in Deutschland im Cyberraum frei und sicher bewegen können und auf die bestmöglichen Sicherheitsmaßnahmen Zugriff haben. Eine besondere Verantwortung liegt bei den Providern, die teilweise bereits intensive Maßnahmen zum Schutz ihrer Kunden ergreifen, teilweise aber noch weit hinter ihren Möglichkeiten zurückbleiben. Diejenigen, die für die Kerninfrastruktur Internet naturgemäß eine besondere Verantwortung haben, müssen dieser auch gerecht werden und dazu beitragen, das Internet sicher und verfügbar zu halten. Insbesondere ist es erforderlich, dass die Provider ihre Nutzer in die Lage versetzen, von den Nutzersystemen ausgehende Gefährdungen zu erkennen und soweit möglich auch zu beseitigen. Wegen der zunehmenden Verbreitung von Schadsoftware über das bloße Ansurfen von Webseiten sogenannter drive-by exploit müssen im Übrigen auch die professionellen Webseitenanbieter mehr für die Sicherheit des Gesamtsystems tun als bisher. Insbesondere ist es erforderlich, dass sie angemessene Maßnahmen zum Schutz gegen unerlaubte Zugriffe treffen. Schutz der Infrastrukturen Ein zweiter großer Schwerpunkt des Koalitionsvertrages im Punkt Cybersicherheit ist der Schutz der kritischen Infrastrukturen. Aus Gesprächen mit Vertretern der relevanten Sektoren ist bekannt, dass das Schutzniveau dort sehr unterschiedlich ist und große Lücken insbesondere in bisher nicht regulierten Branchen bestehen. Aufgrund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung müssen Schwachstellen aber verschwinden. Beinahe täglich erreichen das Bundesinnenministerium Nachrichten über Cyber-Angriffe auch 8

9 \ SICHERHEIT IM GLOBALEN NETZ Abgeschirmt: Der Schutz der IT-Systeme muss vor allem technisch erfolgen, setzt aber auch eine sensibilisierte Denkweise voraus auf kritische Infrastrukturen. Exemplarisch hierfür steht der Fall des weltweit größten Öl-Produzenten Saudi Aramco aus dem letzten Jahr, bei dem Rechner des Unternehmens mit einem Virus infiziert wurden und ausgetauscht werden mussten. Angesichts der Bedrohungslage und aufgrund der ständig wachsenden Abhängigkeit von der IT, sind widerstandsfähige IT-Systeme und Netze flächendeckend für alle wichtigen Infrastrukturbereiche zwingend erforderlich. Daher ist es nötig, die Betreiber kritischer Infrastrukturen, die auf Grund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung naturgemäß eine besondere gesamtgesellschaftliche Verantwortung haben, zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat anzuhalten, die Telekommunikations- und Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des Cyberraums haben, stärker als bisher hierfür in die Verantwortung zu nehmen und das BSI als nationale IT-Sicherheits-Behörde in seinen Aufgaben und Kompetenzen zu stärken. Dabei muss das Maß der Selbstregulierung so hoch wie möglich sein. Die geforderten Mindeststandards hinsichtlich der IT-Sicherheit kritischer Infrastrukturen sollten die betroffenen Verbände und Betreiber als branchenspezifische Standards maßgeblich selbst entwickeln und anschließend staatlich anerkennen lassen. Verbesserter Informationsfluss Insgesamt soll für alle Beteiligten ein Mehrwert entstehen. Eine Meldepflicht bei erheblichen IT-Sicherheitsvorfällen dient daher insbesondere dazu, ein valides Lagebild zu erstellen. Damit kann das BMI die Betreiber kritischer Infrastrukturen ihrerseits mit den maßgeblichen aus den Meldungen generierten Informationen versorgen und somit besser aufstellen. Es geht um eine gegenseitige Information auf der Basis beiderseitigen Vertrauens. Dazu soll auch dienen, dass das Bundesamt für Sicherheit in der Informationstechnik zukünftig die Aufgabe erhält, die KRITIS-Betreiber auf deren Ersuchen hin bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Die Synergieeffekte, die durch eine solche Zusammenarbeit entstehen können, sind für beide Seiten von großem Nutzen. Der aktuelle Koalitionsvertrag sieht das Wiederaufgreifen der Initiative für ein IT-Sicherheitsgesetz ausdrücklich vor. Das BMI wird daher rasch in die Erörterung dieses Gesetzesvorschlages eintreten. Gesetzliche Regulierung ist selbstverständlich nur ein Baustein bei der Bewältigung der Herausforderung Cyber-Sicherheit. Es geht insgesamt darum, Deutschland auf dem Weg der Digitalisierung gut und zukunftsfest aufzustellen und die Beherrschbarkeit der Digitalisierung zu sichern. Das kann nur gemeinsam gelingen. Staat, Wirtschaft und Gesellschaft müssen das Ihrige tun. Das Bundesministerium des Innern wird hierzu seinen Beitrag leisten. Martin Schallbruch ist IT-Direktor im Bundesministerium des Innern. 9

10 \ SICHERHEIT IM GLOBALEN NETZ Schein oder nicht Schein? Ist der Einsatz der BSI-Grundschutzkataloge für kommunale IT-Dienstleister sinnvoll Pro und Contra Die Zertifizierung durch das BSI ist für einen öffentlichen IT-Dienstleister aufwendig aber zur Notwendigkeit gibt es durchaus kontroverse Meinungen. In der öffentlichen Verwaltung werden zahlreiche personenbezogene Daten verarbeitet. Diese stellen erhöhte Anforderungen an Vertraulichkeit, Verfügbarkeit, Authentizität, Integrität und Zurechenbarkeit. Daher hat das krz Lemgo die BSI-Zertifizierung nach Grundschutz erstmals 2007 durchgeführt und seitdem kontinuierlich erneuert. Diese Prüfungen sind keine isolierten Aktionen, die in großen Abständen stattfinden, sondern setzen einen permanenten Prozess voraus, der von externer Seite regelmäßig begleitet wird. Diese BSI-Zertifizierung durchleuchtet das ganze Haus und analysiert keineswegs nur die IT in Bezug auf Sicherheitsfragen. Die ständige Verbesserung der Prozesse und der eingesetzten Technik für alle Leistungs- und Verwaltungsbereiche gewährleistet der Einsatz von geschulten IT-Sicherheitsbeauftragten. Starke Außenwirkung Die Vorteile liegen jedoch nicht nur in der zertifizierten Sicherheit, zumal diese ja für den gesamten Verbund des Zweckverbandes gilt. Anwender wie Geschäftspartner sind nun quasi amtlich darüber informiert, welchen Grad von IT- beziehungsweise Informationssicherheit die Einrichtung garantieren kann. Für den Einsatz einiger Anwendungen ist das Zertifikat sogar Voraussetzung, beispielsweise epr-server oder npa. Die Außenwirkung stärkt die Verwaltungen natürlich besonders gegenüber den Bürgern, indem sie diesen die Bemühungen um eine ausreichende Sicherheit deutlich macht. Aber auch die internen Vorteile sind hoch einzuschätzen. Denn die Zertifizierung hilft bei einem kritischen Blick auf sämtliche Veränderungen. Die für die Sicherheitsüberprüfung unerlässliche Strukturanalyse macht die Arbeit im eigenen Unternehmen transparenter und führt unter anderem zu interner Rechtssicherheit, klaren Vertretungsregelungen und definierten Eskalationswegen. Durch die lückenlose Dokumentation kann im Konfliktfall schnell reagiert werden. Ebenso können bei Umstrukturierungen oder neuen Rahmenbedingungen durch die Risikobehandlungspläne schnellstmöglich Anpassungen vorgenommen werden. Daraus resultiert ein ganz entscheidender Vorteil: Zeitersparnis sowohl in Bezug auf Anpassungen im Sicherheits bereich als auch auf die Reaktionszeit im Notfall. Risikobewußtsein stärken Zusätzlich fördern die intensiven Schulungen ein erhöhtes internes Sicherheitsbewusstsein. Nicht zuletzt trägt die ständige Befassung mit allen Facetten der IT-Sicherheit und den Prozessen dazu bei, die Ressourcen effektiv einzusetzen. Wer vorher gründlich überlegt, macht später keine teuren Fehler und deshalb wirkt das durch Zertifizierung bedingte systematische Vorgehen eben auch kostensenkend. Ein weiteres ganz wichtiges Argument: Sicherheit kann nicht von oben nach unten, vom Allgemeinen ins Detail entwickelt werden. Eine Kette ist immer nur so stark wie ihr schwächstes Glied, und daher muss Sicherheit immer auf der untersten Ebene etabliert werden. Insgesamt muss das Sicherheitsniveau in der gesamten öffentlichen Verwaltung erhöht werden. Die öffentlichen IT-Dienstleister und ihre Mitgliedskommunen, die direkt mit den Bürgern kommunizieren und ihre Daten verwalten, müssen mit gutem Beispiel voran gehen. Reinhold Harnisch ist Geschäftsführer des krz Lemgo. 10

11 \ SICHERHEIT IM GLOBALEN NETZ Gegen den breiten Einsatz der BSI-Grundschutzkataloge IT-Grundschutz gibt es grundsätzliche Bedenken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging 1991 aus einem Nachrichtendienst nämlich dem zentralen IT-Dienstleister des Bundesnachrichtendienstes hervor. Die primäre Aufgabe der Behörde liegt in der Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes. Zweifellos sind die Bedrohungen der Bundesrepublik vielfältig und anspruchsvoll. Es erscheint nachvollziehbar, dass die Anforderungen für den Bund diesen Risiken Rechnung tragen müssen. Gespräche mit dem BSI oder dem Staatsschutz zeigen aber genauso deutlich, dass die Bedrohung für die kommunale IT wesentlich geringer ist. Das liegt auch daran, dass sie heterogen und verteilt aufgestellt ist. Eine unkritische Anwendung von BSI-Konzepten im kommunalen Bereich erweist sich daher als nicht sinnvoll. Überhöhtes Schutzinteresse Der IT-Grundschutz sieht nur in Einzelfällen eine Betrachtung der Risiken vor. Grundsätzlich wird nicht nach den Gefahren für die IT gefragt, sondern geprüft, wie wertvoll die verarbeiteten Daten sind. Da die Daten in der öffentlichen Verwaltung nur schwer zu bewerten sind in vielen Fällen ist zu bezweifeln, ob überhaupt jemand dafür etwas zahlen würde wird regelmäßig auf ein sogenanntes Schutzbedürfnis abgestellt. Dieses Schutzbedürfnis wurde für den Bund ermittelt. Ob es auch für Kommunen zutrifft und finanzierbar ist, ist zu bezweifeln. Die starke Fokussierung auf das Schutzinteresse führt bei der Einbeziehung von Risikoaspekten zu teilweise widersprüchlichen Ergebnissen: Das Schutzinteresse ist hoch, weil es einen gesetzlichen Auftrag gibt, die Daten zu schützen. Das Risiko ist niedrig, weil die Daten in vielen Fällen uninteressant sind. Gütesiegel: Zertifikate machen sich gut, aber über die Notwendigkeit lässt sich streiten sein Schutzinteresse zu formulieren als die potenziellen Gefahren für seine IT zu bewerten. In der Konsequenz steigt der finanzielle Aufwand, ohne dass die Sicherheit für die Abwehr realer Bedrohungen steigt. Der Nutzen des IT-Grundschutzes ist daher für die kommunale IT gering und unnötig teuer. Vorteil Heterogenität Der Einsatz des IT-Grundschutzes ist nur sinnvoll, wenn die tatsächlichen Risiken mit ihren Eintrittswahrscheinlichkeiten ermittelt und in einem breiten Konsens in die Maßnahmen des Katalogs eingearbeitet werden. Dabei muss die dezentrale und heterogene Struktur kommunaler IT mit berücksichtigt werden. Sie ist ein Garant dafür, dass ein breitflächiger Angriff darauf schwieriger und teurer wäre, als auf manche IT-Monokulturen in Bund und Land. Die Fokussierung auf das Schutzinteresse im IT-Grundschutz verstellt den Blick auf die tatsächlichen Risiken, die beim Bund ohnehin völlig anders sind als bei den Kommunen. Dieses Konzept ist nur scheinbar pragmatisch, weil es für den Praktiker in einer Verwaltung leichter ist, Dr. Michael Neubauer ist Geschäftsführer des KDVZ citkomm. 11

12 \ SICHERHEIT IM GLOBALEN NETZ Vereint handeln! Die Leitlinie für Informations sicherheit des IT-Planungsrates als Blaupause für Bund, Länder und Kommunen IT-Sicherheit geht alle an, ob Gemeindeverwaltung oder Bundesministerium. Einheitliche Vorgaben erleichtern die Absicherung gegen Angriffe auf die Infrastrukturen und gegen Datenklau. Mit dem Angebot elektronischer Dienstleistungen und als Übertragungsmedium neuer Kommunikationsprozesse bergen die Netze unserer Informationsgesellschaft Daten von unschätzbarem Wert. Es ist daher nicht verwunderlich, dass die organisierte Kriminalität diesen Werten auflauert. IT-Systeme sind vielfältigen Bedrohungen ausgesetzt und Cyber-Angriffe ein ernst zu nehmendes Problem. So geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon aus, dass weltweit jede Sekunde zwei Virenprogramme ins Netz eingeschleust und pro Minute in Deutschland die Identitäten von zwei Internetnutzern gestohlen werden. Für die öffentliche Verwaltung ist eine sichere Informationstechnik von höchster Bedeutung, denn sie resultiert aus der Verpflichtung der Behörden gegenüber den Bürgern und der Wirtschaft, verantwortungsvoll bei der Erhebung, Speicherung, Übermittlung und Nutzung von Daten vorzugehen. Keiner wird diesen immensen Herausforderungen alleine gerecht werden können. Die Sicherheit der Verwaltungsnetze und -systeme erfordert ein gemeinsames und konsequentes Handeln in Bund, Ländern und Kommunen. Leitlinie Der IT-Planungsrat hat im März 2013 eine Leitlinie für Informationssicherheit mit verbindlicher Wirkung für Bund und Länder erlassen. In Bezug auf ebenenübergreifende IT-Verfahren erstreckt sich ihr Geltungsbereich auch auf die Kom munen. Diese Leitlinie sieht als gemeinsame Strategie die Etablierung eines einvernehmlichen Mindestsicherheitsniveaus und einheitlicher Sicherheitsprozesse unter Berücksichtigung des Grundsatzes der Wirtschaftlichkeit vor. Dadurch können übergreifende IT-Verfahren und die elektronische Kommu nikation der Verwaltung in Bund, Ländern und Kommunen auf einheitlichen Sicherheitsstrukturen aufbauen und vorhandene Sicherheitsmaßnahmen gemeinsam nutzen. So sollen auch kostenintensive Insellösungen vermieden werden können. Mit den Festlegungen zu den Mindestanforderungen und zum gemeinsamen Vorgehen in der Informationssicherheit werden insbesondere folgende Ziele für Bund, Länder und Kommunen verfolgt: Unterstützung bei der Erfüllung der aus rechtlichen Vorgaben resultierenden Anforderungen an die Sicherheit der Informationsverarbeitung; effiziente IT-Unterstützung der Geschäftsprozesse; nachhaltige Verfügbarkeit der IT-Systeme zur Gewährleistung der Kontinuität der Geschäftsprozesse; Sicherung der in IT-Systemen getätigten Investitionen; Absicherung der IT-Systeme gegen Manipulation, unberechtigten Zugriff und Verlust; Reduzierung der im Fall eines IT-Sicherheitsvorfalls entstehenden Kosten und Aufwände zur Schadensbehebung; Wahrung besonderer Dienst- oder Amtsgeheimnisse. 12

13 \ SICHERHEIT IM GLOBALEN NETZ Zusammenspiel: Wenn in einem IT-System ein Anwender aus der Reihe tanzt, steigt die Verwundbarkeit Zur Erreichung dieser Ziele sieht die Leitlinie Maßnahmenpakete insbesondere in den nachstehenden Bereichen vor, deren Umsetzung im Rahmen eines Fünfjahresplanes erfolgen soll: Informationssicherheitsmanagement IT-Sicherheit ist kein statischer Zustand, der einmal erreicht und ohne weiteres Zutun gehalten werden kann. Sie ist vielmehr als ständiger Prozess eine Daueraufgabe, die dazu dient, ein bestimmtes Sicherheitsniveau permanent aufrecht zu erhalten. Die Festlegung und Steuerung dieses Prozesses wird als Informationssicherheitsmanagementsystem kurz: ISMS bezeichnet. Die Leitlinie des IT-Planungsrats sieht im Bund und in den Ländern die Etablierung entsprechender Prozesse nach einheitlichen Mindestanforderungen vor, zu denen insbesondere die Festlegung der notwendigen Aufgaben und Verantwortlichen und eine Sensibilisierung aller Beschäftigten gehören. Absicherung der Netze Das IT-Netzgesetz sieht vor, dass der Datenaustausch zwischen dem Bund und den Ländern ab dem Jahr 2015 über das sogenannte Verbindungsnetz, vormals DOI-Netz, erfolgt. Da die gesamte Kette eines ebenenübergreifenden Geschäftsprozesses nur so stark sein kann wie ihr schwächstes Glied, sollen alle Verwaltungsnetze einem Mindestsicherheitsniveau genügen, das in Anschlussbedingungen festzulegen ist. Diese Anschlussbedingungen werden aktuell durch eine Bund/Länder- Arbeitsgruppe zusammen mit dem BSI erarbeitet. Sichere Verfahren Analog zu Netzinfrastrukturen besteht auch bei ebenenübergreifenden IT-Verfahren das Risiko, dass sich Angriffe sowie Bedrohungen im Zuständigkeitsbereich einer Behörde darüber auf die Zuständigkeitsbereiche anderer Behörden ausbreiten können. Um dem vorzubeugen, soll für neue entsprechende Verfahren der IT-Grundschutz des BSI Anwendung finden. Gemeinsame Abwehr Die frühzeitige Erkennung und Abwehr von IT-Angriffen erfordert eine enge Zusammenarbeit und einen effizienten Informationsaustausch zwischen Bund, Ländern und Kommunen. Die Leitlinie für Informationssicherheit sieht deshalb einen Aufbau von IT-Sicherheitsteams englisch: Computer Emergency Response Team, kurz: CERT in Bund und Ländern vor. Die Sicherheitsteams des Bundes und der Länder sollen künftig in einem Verwaltungs-CERT-Verbund eng zusammenarbeiten. Arbeitsgruppen Zur Koordinierung und Steuerung der Umsetzung der Leitlinie hat der IT-Planungsrat eine ständige Arbeitsgruppe Informationssicherheit eingerichtet. Die Arbeitsgruppe setzt sich aus Vertretern des Bundes, der Länder, der kommunalen Spitzenverbände, der Datenschutzbeauftragten sowie der Koordinierungsstelle für IT-Standards KoSIT zusammen. Sie erarbeitet gemeinsam Vorschläge zur Weiterentwicklung und Umsetzung der Leitlinie sowie einen jährlichen Bericht zur Erfolgskontrolle für den IT-Planungsrat. Aktuell sind eine Blaupause zur Einführung eines Standards Managementsysteme für Informationssicherheit (ISMS) in den Ländern sowie Handreichungen für Kommunen zur Umsetzung der Leitlinie in Arbeit. Flankiert werden die Maßnahmen des IT-Planungsrates durch die Arbeitsgruppe Cybersicherheit der Innenministerkonferenz. In dieser Arbeitsgruppe wurden bislang insbesondere ein IT-Leitfaden für Betreiber kritischer Infrastrukturen, Empfehlungen für den Aufbau von Sicherheitsstrukturen in Kommunen und eine Richtlinie für den Einsatz von mobilen Endgeräten in Kommunen erarbeitet. Zur Vermeidung von Doppelarbeiten und zur optimalen inhaltlichen Abstimmung haben sich die Arbeitsgruppen Cybersicherheit der Innenministerkonferenz und Informationssicherheit des IT-Planungsrats für das Jahr 2014 auf ein gemeinsames Arbeitsprogramm verständigt, das sich insbesondere auch auf die Unterstützung der Kommunen in IT-Sicherheitsangelegenheiten konzentriert. Priorität Datenschutz Für die öffentliche Verwaltung ist nicht erst seit den Enthüllungen von Edward Snowden der Schutz der ihr anvertrauten Daten eine Aufgabe höchster Priorität. Bund, Länder und Kommunen kennen ihre Abhängigkeiten von der Informations- und Kommunikationstechnik und wissen seit langem, ihre eigenen Netze und Systeme geeignet zu schützen. Ständig steigende Bedrohungen und weiter zunehmende Abhängigkeiten erfordern nun ein gemeinsames und koordiniertes Vorgehen mit dem Ziel einer bestmöglichen Gesamteffizienz zum Schutz der IT-Infrastrukturen der öffentlichen Verwaltung. Die Leitlinie für Informationssicherheit des IT-Planungsrats zeigt mit ihrem Umsetzungsplan einen gemeinsamen Weg für Bund, Länder und Kommunen auf. Dr. Andreas Mück ist im Bayerischen Staatsministerium der Finanzen, für Landesentwicklung und Heimat zuständig für die Sicherheit im Bayerischen Behördennetz. 1 1 Dieser Beitrag wurde nicht in dienstlicher Eigenschaft geschrieben. Er gibt die persönliche Auffassung des Autors wieder. 13

14 \ SICHERHEIT IM GLOBALEN NETZ Inseln des Vertrauens IT-Sicherheit als Erfolgsfaktor Kommunale dezentrale Strukturen und kommunale Rechenzentren können entscheidend zur IT-Sicherheit beitragen und so eine Online-Vertrauenskultur schaffen. Die NSA-Affäre hat die öffentliche Wahrnehmung auf die Themen Integrität, Privatheit und Sicherheit der persönlichen Daten im Netz gelenkt. Bei vielen Menschen wachsen Verunsicherung und Misstrauen gegenüber dem Internet, der Cloud und der Nutzung von Onlinediensten. Es droht eine Misstrauenskultur gegenüber dem globalen Netz. Die Informationstechnik, das Internet, die virtuelle Welt durchdringen fast alle realen Prozesse, ein tägliches Handeln ohne Informationstechnik ist nicht mehr denkbar. So kann die Energiewende ohne Informationstechnik nicht stattfinden. Die Mobilität der Menschen wird zur vernetzten E-Mobility. E-Commerce ist selbstverständlich und lebenslanges Lernen ohne Lernplattform und E-Learning nicht mehr möglich. Der nächste Sprung, von der industriellen Fertigung mit durchgängig IT-gestützten Prozessen und umfassender Vernetzung zu einer Industrie 4.0, ist eine große Chance ganz besonders für die deutsche Industrie. Und nach wie vor gilt: Elektronische Verwaltung, E-Government und IT-unterstützte Verwaltungsprozesse verbessern den Service und reduzieren die Kosten. Vertrauen schafft Fortschritt Wenn aber das Misstrauen der Menschen wächst, kann sich dies als Hemmnis und Wachstumsbremse für die weitere wirtschaftliche Entwicklung erweisen mit negativen Folgen für alle sozialen Sicherungssysteme. Mithin ist es eine Herausforderung für alle staatlichen Ebenen (Kommunen, Land, Bund), das verlorene Vertrauen zurückzugewinnen: durch einen breiten gesellschaftlichen Dialog und die Schaffung entsprechender Rahmenbedingungen. Dabei ist die Bundesrepublik Deutschland mit ihrem Post- und Fernmeldegeheimnis als Grundrecht und einem umfassenden Datenschutz grundsätzlich gut aufgestellt. Das neue digitale Zeitalter erfordert darüber hinaus eine Weiterentwicklung bestehender IT-Sicherheits- und Schutzmechanismen, um dem Sicherheitsbedürfnis der Nutzer in einer dynamisch wachsenden Netzgesellschaft Rechnung zu tragen. Der Nutzer muss in der virtuellen Welt vertrauenswürdige Organisationen finden, von denen aus er seine private wie kommerzielle Kommunikation im Netz sicher zu führen vermag. Dabei können kommunale IT-Dienstleister, die sich letztlich in Bürgerhand befinden, eine wichtige Rolle einnehmen und zu Inseln des Vertrauens werden. Zumal die Skepsis gegenüber den globalen Internetkonzernen, deren Integrität und Vertrauenswürdigkeit, weiter wächst vor allem angesichts der zunehmenden Zentralisierung. Kommunale Vorzeichen Die kommunalen IT-Dienstleister bieten hingegen bereits heute umfassenden Schutz für die Bürgerdaten, die sie verarbeiten. Aber auch für sie ist es unverzichtbar, die eigene IT-Sicherheit kontinuierlich zu verbessern und die Informations- und Datensicherheit als integralen Bestandteil der Betriebsprozesse zu behandeln. Einige kommunale Rechenzentren haben sich in den letzten Jahren organisatorisch so aufgestellt, dass sie europäische Zertifizierungsnormen wie ISO für die Informationssicherheit oder ISO für ein gutes Servicemanagement erfüllen. Darüber hinaus könnten sie Bestandteil einer nationalen und europäischen Strategie sein, den Bürgern diese Inseln des Vertrauens im Netz bereitzustellen. In der Netzgesellschaft sollten sich die Kommunen zudem in der Verantwortung sehen, neben der realen kommunalen Infrastruktur Straßen, Verkehrssysteme, Ver- und Entsorgung, Schulen und anderes mehr auch eine sichere, virtuelle Infrastruktur zur Verfügung zu stellen. So könnte eine Bürger-Cloud mit sicherem Speicherplatz ein Element einer solchen Infrastruktur sein. Oder die Weiterentwicklung des elektronischen 14

15 \ SICHERHEIT IM GLOBALEN NETZ Abgeschieden: Die Insellage sorgt für Sicherheit dass gilt auch in der IT Personalausweises zu einem Instrument, das eine sichere und vertrauenswürdige Kommunikation im E-Commerce ermöglicht. Das Beklagen der Facebook-Nutzung in Schulen reicht jedenfalls nicht aus. Vielmehr sind die Länder und Kommunen hier gefordert, den Schulen adäquate, sichere Alternativen zur Verfügung zu stellen. Netzwerken bringt Nutzen Die Skepsis auch von Verwaltungen gegenüber zentralen Strukturen führt dazu, dass sich zunehmend dezentrale kommunale IT-Dienstleister in Netzwerken zusammenschließen, um auf diesem Wege Größen- und Verbundvorteile zu erreichen. Die intelligente Vernetzung kommunaler IT-Dienstleister zeigt hier den richtigen Weg auf: Leistungen werden untereinander ausgetauscht, die wiederum den Kunden-Kommunen angeboten werden können. So hat zum Beispiel die Genossenschaft ProVitako der öffentlichen IT-Dienstleister, die bei Vitako zusammenarbeiten, durch den Schritt in die Government-Cloud eine organisatorische Basis geschaffen, um künftig in einem sicheren Netzwerk Dienstleistungen für die Kommunen zu erbringen. Gerade bei Themen wie Cloud-Computing müssen die Partner und Anbieter absolut verlässlich sein. Hier nimmt ProVitako eine wichtige Stellung als Vermittler zwischen Anbietern und Nutzern von Cloud-Diensten ein. Eine wichtige Aufgabe des Intermediär ProVitako ist es hierbei, IT-Sicherheitsstrukturen für das Cloud-Computing zu initiieren. In diesem Zusammenhang kann die regio it ihre Erfahrungen aus den von der Bundesregierung geförderten Innovations- und Forschungsprojekten einbringen, zum Beispiel Cloudcycle. Hier wird das Ziel verfolgt, für Cloud-Dienste durch den Kunden überprüfbare Testate zu generieren, damit Cloud-Computing die versprochenen wirtschaftlichen Effekte auch erbringt. Ziel all dieser Maßnahmen ist es, ein weiteres Anwachsen der Misstrauenskultur im Netz zu verhindern und durch kommunale dezentrale Strukturen eine Vertrauenskultur zu schaffen. IT-Sicherheit ist nicht umsonst Selbstverständlich kann die Schaffung dieser Vertrauenskultur nicht alleinige Aufgabe der Kommunen und ihrer IT-Dienstleister sein. Hier sind zudem nationale und europäische Strukturen nötig. Vor allem auf der europäischen Ebene ist es angezeigt, dem Thema IT-Sicherheit einen besonderen Stellenwert zuzuweisen. Das neue Rahmenprogramm Horizont 2020 nennt schon entsprechende Schwerpunkte. Gleichwohl weisen die aktuellen Diskussionen um NSA und die globale Macht der amerikanischen Internetkonzerne darauf hin, dass sich die europäische ITK-Wirtschaft eindeutiger positionieren muss. Und dazu braucht es Rahmenbedingungen der Europäischen Union. Es führt kein Weg daran vorbei, in europäische Sicherheitsinfrastrukturen zu investieren. Genauso, wie die Sicherung der europäischen Grenzen in der realen Welt zunehmend eine Herausforderung darstellt, gilt dies auch für Grenzen in der digitalen Welt. Und letztlich können diese Grenzen nur offen sein, wenn Integrität und Vertraulichkeit der Daten gewährleistet sind. Was ebenso in die anstehende Debatte über Sicherheit und Vertraulichkeit gehört, ist die ehrliche Diskussion über die Kosten dieser Sicherung der Bürgerrechte im Netz. Wer als Konsument erwartet, dass ihm hochwertige, sichere Leitungen in der digitalen Welt kostenlos angeboten werden, der muss sich darüber im Klaren sein, dass die Währung, mit der er bezahlt, seine persönlichen Daten sind. Es wird also auch darum gehen müssen, wie eine sichere Infrastruktur finanziert werden soll. Und dies wird nicht ohne Beitrag der Nutzer und Bürger gehen, sei es über Entgelte oder Steuern. Dieter Rehfeld ist Vorsitzender der Geschäftsführung der regio it. 15

16 \ SICHERHEIT IM GLOBALEN NETZ Gezielt: Die Registrierung aller legalen Waffen in einer Datenbank ist ein Großprojekt mit ebenso hohen Sicherheitsanforderungen wie der Schießsport selbst zu. Dies hat ganz wesentlich zur Erhöhung der Transparenz über den legalen privaten Waffenbesitz in Deutschland beigetragen. Der Nutzen des NWR liegt darüber hinaus in der erstmaligen verbindlichen Einführung einheitlicher Standards in der Waffenverwaltung und in der erleichterten behördenübergreifenden Zusammenarbeit. Schließlich bearbeiten rund Mitarbeiterinnen und Mitarbeiter jährlich rund Vorgänge. Dabei spielen die kommunalen IT-Dienstleister eine wichtige Rolle: bei der Entwicklung und Bereitstellung von Software für die ört lichen Systeme (ÖWS), bei der Kommunikation und der Gewährleistung der IT-Sicherheit. Die Einführung des NWR leitet eine Modernisierung der Waffenverwaltung ein, die auch Möglichkeiten für E-Government- Lösungen bietet. Eine perspektivisch vorgesehene Einbeziehung der Waffenhersteller, -händler und -importeure wird eine höhere Transparenz über den Verbleib einer Waffe im Bereich der gewerblichen Herstellung und des gewerblichen Handels schaffen. Treffsicheres Konzept Das Nationale Waffenregister (NWR) ebnet der modernen Waffenverwaltung den Weg Die im Januar 2013 gestartete zentrale Auskunftsdatenbank NWR zeichnet sich durch eine föderale Struktur und Anknüpfungspunkte für E-Government-Lösungen aus. Das Nationale Waffenregister (NWR) ist seit über einem Jahr in seiner ersten Ausbaustufe in Betrieb. Es bildet die Synchronisationsdrehscheibe für rund 550 örtliche Waffenbehörden. Über das NWR greifen die deutschen Sicherheits- und Waffenbehörden erstmalig auf einen gemeinsamen und stets aktuell gehaltenen Datenpool Weg zum Erfolg Ein föderaler und vor allem kooperativer Ansatz ist für Lösungen im E-Government zeitgemäß. Beim Aufbau des NWR haben sich vier Prinzipien als tragend und erfolgreich erwiesen: ein föderales Projekt braucht systematische Beteiligungsstrukturen und eine Kooperation auf Augenhöhe. Von Beginn an band das NRW die Innenministerien der Länder, Waffen- und Sicherheitsbehörden sowie Beschussämter ein; die vielfältigen Beteiligten müssen mit ihren Interessenlagen und als Experten in ihren Bereichen ernstgenommen werden; Prozessgestaltung und IT-Sicherheit gehören konsequent mitgedacht; das Zusammenwirken der Leiter der Waffenbehörden, der IT-Leiter der Ämter und der kommunaien IT-Dienstleister hat sich gerade bei der IT-Sicherheit bewährt. Hohe IT-Sicherheitsstandards in den Waffenbehörden Der Aufbau des komplexen Gesamtsystems des NWR bestehend aus den örtlichen Waffenverwaltungssystemen (ÖWS) und der Zentralen Komponente (ZK) des Nationalen Waffenregisters im Bundesverwaltungsamt stellte eine besondere Herausforderung für alle Beteiligten dar. Denn für den Betrieb ist ein IT-Sicherheitskonzept basierend auf dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) notwendig. Dies sehen das Gesetz zur Errichtung eines Nationalen Waffenregisters (NWRG) und die zugehörige Durchführungsverordnung (NWRG-DV) vor. Diese Anforderung löste einen umfangreichen 16