Wie schützen Kommunen ihre digitale Infrastruktur? © Lars Kienle/ Unsplash
Herr Professor Detken, von Ihnen und Ihrem Kollegen Prof. Dr. Eren stammt das 2020 veröffentlichte „Handbuch Datensicherheit“. Zur Begriffsklärung: Was unterscheidet Datensicherheit und Datenschutz?
Beide Begriffe werden gemeinhin oft gleich verwendet. Richtigerweise ist Datenschutz jedoch der rechtliche Teilaspekt von Datensicherheit, während IT-Sicherheit den technischen Aspekt darstellt. Datensicherheit ist sozusagen das große Ganze, das übergeordnete Ziel. Es wird erreicht, wenn mit Daten sorgfältig umgegangen wird und die technischen Voraussetzungen stimmen.
Bei ersterem ist Deutschland vorbildlich, teils überkorrekt, bei letzterem gibt es noch Nachholbedarf – besonders in ländlichen Kommunen.
An die sich Ihr Buch im Speziellen richtet?
Kommunen sind in der Tat eine wesentliche Zielgruppe. In gleichem Maße ist es aber auch für Unternehmen geeignet. Da gibt es eine interessante Analogie: Eine Stadt- oder Dorfgemeinschaft ist, rein technisch betrachtet, ganz ähnlich organisiert wie ein Unternehmen. Bei beiden besteht ein innerer Kreis des Wissens und Vertrauens. Und beide müssen ihre Mitglieder und Geheimnisse vor Angriffen von außen schützen – eben auch digitaler Art.
Ist das in Dörfern denn ein größeres Problem als in Städten?
Es mag zwar hier und da Ausnahmen geben, aber im Großen und Ganzen schon.
Woran liegt das?
Das ist zunächst einmal eine Budgetfrage. Datensicherheit ist nicht gratis zu bekommen, denn es müssen IT-Berater bezahlt werden, Softwarelizenzen gekauft werden und so weiter. Da haben größere Städte einfach mehr finanzielle Möglichkeiten. Wenn da Ressourcen geschaffen werden, dann lieber für etwas Sichtbares wie eine neue Straßenbeleuchtung und nicht unbedingt einen unsichtbaren Verteidigungswall gegen mögliche digitale Attacken. Generell kommt die Digitalisierung, mit der ja auch bessere Schutzmaßnahmen verbunden sind, in Kommunen langsamer voran als in den Städten. Daher sind sie oft für Hacker die leichteren Opfer.
Wie steht es um das Problembewusstsein?
Man geht ja irgendwie davon aus, ob bewusst oder unbewusst, dass sich Cyberangriffe eher gegen Großstadtnetzwerke richten, weil da mehr zu holen ist, und dass so ein beschauliches Dorf gar nicht im Visier der Täter ist. Dem ist aber nicht so, weil die Angriffe nicht mehr zielgerichtet, sondern automatisiert durchgeführt werden. Hinzu kommt die besagte mangelnde PR-Wirksamkeit von Vorsichtsmaßnahmen: Mit einer neuen digitalen Dorf-Plattform beispielsweise können Bürgermeister natürlich viel besser bei ihren Einwohnern punkten als mit verbesserter Datensicherheit, weil der praktische Nutzen sofort jedem klar wird. Bei der Datensicherheit erst, wenn es schon zu spät ist.
„Die Gefahr durch Cyberangriffe ist realer denn je – auch in ländlichen Kommunen.“
Prof. Dr.-Ing. Kai-Oliver Detken
Was kann denn schlimmstenfalls passieren?
Genau dasselbe, was auch in großen Unternehmen, Organisationen und Städten immer häufiger passiert. Sensible Daten gelangen in die Hände von Kriminellen. Menschen können ausspioniert, bestohlen oder erpresst werden, Netzwerke können sabotiert und lahmgelegt werden, bis zum völligen Zusammenbruch der digitalen Infrastruktur. Mit immensen Folgekosten, die man nicht hätte, wenn man rechtzeitig solchen Angriffen vorgebeugt hätte.
Angenommen, ich bin Bürgermeisterin oder Bürgermeister und will die Datensicherheit in meiner Kommune verbessern. Wie sollte ich dabei vorgehen?
Nach Plan und in der richtigen Reihenfolge. Zuerst müssen Sie ein Budget freimachen, ohne das geht es nicht. Anhand der tatsächlich möglichen Höhe kann man dann ableiten, was sich damit erreichen lässt und was nicht, wo man also Prioritäten setzen muss. Daraufhin sollten Sie ein Konzept erstellen bzw. erstellen lassen: Es sollte den Ist-Zustand analysieren und den Soll-Zustand formulieren. Es orientiert sich am „Stand der Technik“, dessen Sicherstellung und regelmäßige Aktualisierung jede Kommune beachten sollte. Darunter fallen folgende Bereiche: Anti-Viren/Anti-Spam-Lösungen, Firewall-Systeme, VPN-Einwahl und VPN-Direktverbindungen zu anderen Außenstellen sowie Proxy-Systeme. Zusätzlich sollten ein Zugangskontrollsystem (Network Access Control) und Endpoint Protection heute eigentlich dazugehören. Auf Basis dieses Konzepts erfolgt dann die Umsetzung, Schritt für Schritt und in einem festgelegten Zeitrahmen. Im Anschluss wird im Rahmen einer Evaluierung der Erfolg der ergriffenen Maßnahmen beurteilt.
Wie ist die aktuelle Bedrohungslage und was hat sich in den letzten Jahren geändert?
Wir haben das Handbuch Datensicherheit Ende 2020 veröffentlicht. In den Jahren davor konnten wir weltweit einen starken Anstieg in der Cyberkriminalität beobachten, der sich bis heute fortsetzt. Während es früher, dem Klischee entsprechend, oftmals Einzeltäter auf fernen karibischen Inseln oder Osteuropa waren, ist seitdem eine große organisatorische Ausweitung und Professionalisierung erfolgt. Zunächst vor allem in bestimmten Staaten wie etwa China oder Russland, dann aber auch zunehmend vor unserer Haustür – und auch in Deutschland selbst. Es kann also gut sein, dass die nächste Hackergruppe im Nachbardorf sitzt und genau weiß, was sie von Ihnen will und wie sie es bekommen kann. Mit anderen Worten: Die Gefahr ist realer denn je – auch in ländlichen Kommunen. Darauf muss man vorbereitet sein.
Kai-Oliver Detken (*21. Februar 1968 in Hamburg) ist ein deutscher Fachbuchautor, IT-Unternehmensberater, Hochschuldozent und Unternehmer. Bei seiner Lehrtätigkeit konzentriert er sich seit 2017 auf den Internationalen Studiengang Medieninformatik (ISM) an der Hochschule Bremen. Darüber hinaus ist er begeisterter Hobby-Astronom.
Weitere Infos über sein „Handbuch Datensicherheit“