Andreas Meyer-Falcke: „Wir benötigen eine zentrale Koordinierung der Informationssicherheit im Land.”
Kalenderwoche 05 // Verwaltungsperspektive
Die Bundesrepublik tut sich schwer mit der Digitalisierung des Staates und der Verwaltung. Dabei ist der Krieg in der Ukraine ein zusätzlicher Risikofaktor, schließlich ist die Verwaltung ein attraktives Ziel für Cyberangriffe. Unvergessen ist beispielsweise der Angriff auf die Verwaltung des Landkreises Anhalt-Bitterfeld, deren Auswirkung Bürger noch 2022 spürten. Lagebild Sicherheit möchte wissen, wo es aus Sicht des CIOs der Landesregierung NRW wirklich hakt und welche Reformen nötig sind, um schneller, besser und sicher zu digitalisieren.
Sie sind zuständig für die Digitalisierung der Landesverwaltung in Nordrhein-Westfalen. Wo sehen Sie aktuell die größten Herausforderungen mit Bezug auf das Thema Sicherheit?
Im Kern bedeutet digitale Verwaltung immer auch Vernetzung. Und hier beginnt die Herausforderung. Ein Beispiel: Für einen digitalen Behördengang benötigen Sie als Bürger lediglich ein Smartphone und Ihren Personalausweis. Aufseiten der Behörden aber benötigen Sie ein zentrales digitales Identitätsmanagement, Zugriff auf diverse digitale Register und die vollständige Kompatibilität verschiedener heterogener IT-Strukturen, die mitunter seit Jahrzehnten zum Teil völlig unabhängig voneinander gewachsen sind. Über alle diese Ebenen müssen Sie in jedem Schritt sicherstellen, dass die Informationen zu jeder Zeit vollständig sicher verarbeitet werden.
Erklären Sie uns bitte genauer, wo es an dieser Stelle hakt.
Die Vision der digitalen Verwaltung ist klar: Unsere Kunden erhalten alle Verwaltungsdienstleistungen 24/7 an 365 Tagen im Jahr, medienbruchfrei und möglichst automatisiert. In der Realität des föderalen Systems ist eine mitunter komplexe Aufteilung von Zuständigkeiten gewachsen. Bund, Länder und Kommunen haben jeweils verschiedenartige Rechte und Pflichten. Innerhalb des Bundes und der Länder gilt zudem das Ressortprinzip und für die Kommunen das Recht auf Selbstverwaltung. Auf Basis meiner langjährigen Erfahrung in diversen Funktionen auf Kommunal- und Länderebene sage ich Ihnen deutlich: In diesen Kompetenz- und Zuständigkeitsfragen liegen unsere größten Herausforderungen.
Damit haben wir ein Problem erkannt, was aber gesetzlich auch veränderbar wäre. So ist z.B. der Föderalismus zwar im Grundgesetz verankert, er könnte aber anders ausgestaltet werden. Halten Sie dies für notwendig und möglich?
Auch jenseits von Eingriffen in das föderale System gibt es Möglichkeiten, um Abhilfe zu schaffen: In Informationssicherheitsfragen existiert beispielsweise in beratender Funktion das Bundesamt für Sicherheit in der Informationstechnik. Im IT-Planungsrat haben wir uns geeinigt, die BSI-Grundschutzkonzepte verbindlich in Bund und Ländern umzusetzen.
Unsere bestehenden föderalen Strukturen sind darüber hinaus gut und sinnvoll. Sie müssen jedoch eng miteinander vernetzt werden. Nehmen Sie Nordrhein-Westfalen: Weder das Land noch alle seine 427 Städte, Gemeinden und Kreise müssen jedes Problem für sich alleine lösen. Und auch im Zusammenspiel der verschiedenen Ressorts ist übergreifende Vernetzung der Schlüssel zum Erfolg: Die Zuständigkeit für die IT der Landesverwaltung Nordrhein-Westfalen liegt beim CIO im Digitalministerium, die Fragen zur Informationssicherheit von kleinen und mittleren Unternehmen behandelt das Wirtschaftsministerium, die Zuständigkeit für Cybersicherheit hingegen liegt im Innenministerium. Nur weil wir diese Stellen in engem Austausch halten – sie also vernetzen – sind wir zugleich agil und handlungsfähig.
Gibt es aus Ihrer Sicht dazu ein Best Practice?
Das gibt es in der Tat. Wie beim Onlinezugangsgesetz, dem OZG, gilt das „Einer für Alle“-Prinzip auch bei der Informationssicherheit. Wir benötigen hierzu Standards und ein ganzheitliches Konzept. Wir als Land haben deshalb schon früh damit begonnen, die Expertise unseres renommierten Computer Emergency Response Teams, des CERT NRW, allen Kommunen in den für Sie relevanten Aspekten vollständig kostenfrei anzubieten.
Wir benötigen eine einzige zentrale Koordinierung der Informationstechnik und damit auch der Informationssicherheit im Land. Eine dezidierte Stabsstelle, die das bisherige Paradigma ablöst, dass jeder alles selbst aufbauen und betreiben muss. Daher haben wir als Land zusammen mit den Kommunalen Spitzenverbänden und dem Dachverband Kommunaler IT-Dienstleister vor etwa einem Jahr den Kommunalen Warn- und Informationsdienst (KWID) für Kommunen eingeführt. Dieser Dienst bedeutet eine signifikante Verbesserung der Cyber-Resilienz der Kommunen und schützt damit uns alle. Ungefähr die Hälfte der Kommunen in NRW nutzt mittlerweile unser Angebot. Wir arbeiten daran, alle Kommunen als Partner zu gewinnen.
2022 war das Jahr der Cyberangriffe auf die öffentliche Infrastruktur: Deutsche Bahn, Deutscher Bundestag, aber auch die Universitäten Düsseldorf und Duisburg-Essen waren betroffen. Wie kann man dem künftig effektiver entgegentreten?
Eine zunehmende Digitalisierung aller Bereiche der Gesellschaft bedeutet immer auch eine zunehmende Angriffsfläche. Eingesetzte IT-Systeme müssen daher resilient sein und so gehärtet werden, dass eine Vielzahl von Angriffsvektoren blockiert wird - von nervendem Spam bis hin zum aus unterschiedlichsten Gründen motivierten Hacker. Ein Beispiel für erfolgreiche technische Intervention: Allein in Nordrhein-Westfalen werden pro Monat weit über 1,5 Mio. E-Mails im zentralen Mailsystem herausgefiltert. Diese E-Mails können keinen Schaden mehr anrichten und entlasten unsere Beschäftigten. Denn neben den rein technischen Maßnahmen müssen wir immer auch den Menschen als einen wesentlichen Faktor im Blick behalten: Die meisten Beschäftigten sind eben keine Experten für Informationssicherheit. Hier helfen nur verbessertes Onboarding sowie gezielte Kampagnen oder Trainings zur Verbesserung der Awareness. Wir legen besonderen Wert darauf, Kompetenzen durch didaktisch ausgefeilte Angebote zu fördern und dadurch die Berührungsängste zu verringern.
Cybersicherheit ist auch auf Landesebene kein Landesthema, sondern kann auch Gegenstand internationaler Konflikte werden. Was sind die ersten Lehren, welche Sie als CIO aus dem Ukrainekrieg ziehen?
Landesverteidigung ist eine Aufgabe des Bundes im Schulterschluss mit den übrigen NATO-Staaten. Die jüngsten internationalen Konflikte haben uns gelehrt, dass neben der konventionell-ballistischen Kriegsführung, die für sich betrachtet schon schrecklich genug ist, nun auch der digitale Weg als Angriffskanal aktiv genutzt wird. Deshalb ist unsere gesamte Gesellschaft potentielles Ziel von Cyberangriffen. Das gilt für jeden Einzelnen, unsere Unternehmen und Organisationen, alle Ebenen der Verwaltung und für die kritische Infrastruktur gleichermaßen.
Wie wollen Sie als CIO darauf antworten?
Wir bleiben weiter wachsam: Wir unterstützen dadurch, dass wir unsere Strukturen sicher halten, unsere Vernetzung in der Community gewinnbringend für andere einsetzen und über alle Ressortgrenzen hinweg schnell und einheitlich handeln.
Sehr geehrter Herr Meyer-Falcke, wir danken Ihnen für das Interview und Ihre Einschätzung der Lage.
Das Interview führte für Lagebild Sicherheit Dr. Christian Hübenthal
In der wöchentlichen Ausgabe erhalten Sie kostenlos das vollständige Lagebild der Sicherheit.