Der IT-Beauftragte des Landes, Horst Baier, hat mehr Engagement von Landesbehörden und Kommunen für das Thema der Cybersicherheit gefordert. „Es reicht eben nicht, ein Antiviren-Programm auf irgendeinen Computer zu installieren und zu glauben, nun sei man sicher“, sagte Baier beim „Cybersicherheitstag“, zu dem das Innenministerium viele Praktiker aus Städten und Landesämtern eingeladen hatte. „Wir alle in unserer jeweiligen Rolle müssen zu einer neuen Selbstverständlichkeit kommen, in der wir sowohl im Regelbetrieb als auch in Ausnahmesituationen anforderungsgerecht handeln und unseren jeweiligen Beitrag zum Funktionieren des Ganzen leisten. Zu unserem eigenen Schutz und dem Schutz anderer“, betonte Baier. Er zog dabei eine Zwischenbilanz: „Bisher haben 156 Kommunen das Angebot des Landes genutzt, über das Cybersicherheitsteam N-Cert die Warn- und Informationsdienste zu empfangen.“ Bei insgesamt 440 Gemeinden, Samtgemeinden und Kreisen in Niedersachsen werde deutlich, dass man diesen Wert noch steigern könne.

Horst Baier, CIO von Niedersachsen | Foto: Landesbetrieb IT.Niedersachsen

Die Lage wird nach Darstellung des Innenministeriums immer dramatischer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe festgestellt, dass zwischen Mitte 2023 und Mitte 2024 täglich im Durchschnitt 309.000 neue Schadprogramm-Varianten erkannt wurden. Das sei gegenüber dem Vorjahr eine Steigerung um 26 Prozent. Das heißt, dass die kriminellen Kräfte, die über neue Methoden in die Computernetzwerke von Kommunen oder Unternehmen eindringen wollen, immer kreativer werden. Die niedersächsische Polizei habe für das Jahr 2023 insgesamt 13.218 Cybercrime-Fälle ermittelt – das sei in den vergangenen fünf Jahren ein Zuwachs um 40 Prozent. Die Bereitschaft der geschädigten Kommunen oder Firmen, nach einem Angriff die Polizei einzuschalten, wachse ebenfalls. Seit 2012 habe sich diese Zahl verdreifacht. Baier fügte dann hinzu: „Über Aufklärungsquoten will ich lieber nicht sprechen.“ Es sei sehr schwer, solche Delikte zur Strafverfolgung zu bringen – vor allem dann, wenn die Täter nicht von Deutschland aus, sondern aus dem Ausland agieren. Immerhin habe man vor, ein neues KI-gestütztes System zum Aufspüren der Schadsoftware über eine Cloud-Lösung zu schaffen.

Baier betonte auch, dass es Umstände gibt, die einen Cyberangriff erleichtern oder begünstigen. Das könne an technischen Defekten im eigenen Betrieb liegen, an negativen äußeren Umständen wie Hochwasser oder Stromausfällen – oder auch an „unklaren Zuständigkeiten“. Da es dann vor allem darum gehe, die kritischen, besonders schutzbedürftigen Geschäftsgeheimnisse zu schützen, dürfe die IT-Sicherheit nicht an eine Abteilung delegiert werden, etwa an die für IT zuständige Stelle. „Es ist brandgefährlich, Cybersicherheit allein als lästige Aufgabe der IT zu betrachten.“ Notwendig sei vielmehr eine „Chefsache“, in die die oberste Spitze eines Unternehmens oder einer Behörde eingebunden werden müsse, da es ja auch um den Umgang mit den sensibelsten Daten gehe.

Das Innenministerium verweist darauf, dass Niedersachsen schon als eines der ersten Bundesländer eine Kooperation mit dem BSI vereinbart habe. Baier sagt, er sehe die Weiterentwicklung des BSI zur „Zentralstelle für Informationssicherheit“ positiv. Die Alternative müsste der Aufbau paralleler Strukturen von Bundes- und Landesbehörden sein, das sei aber viel zu aufwendig und teuer. Eine Landes-Richtlinie zum Umgang mit Gefahren der Cybersicherheit sei bisher nicht auf die Kommunen ausgeweitet worden. Das sei auch richtig so, betonte Baier, weil ansonsten ein hoher bürokratischer Aufwand notwendig geworden wäre. Umso stärker müsse er an die Eigenverantwortung der Kommunen für diesen Bereich erinnern. Seit 2022 hätten schon 228 Gemeinden das Angebot des Landes genutzt, für ihre eigene Verwaltung eine Cybersicherheitsanalyse anzufertigen. Auch hier sei noch mehr möglich. „Wichtig ist, dass sich die Kommunen nicht entspannt zurücklehnen“, mahnte Baier.