Vom ISMS zur resilienten Verwaltung Warum Informationssicherheit mehr als Zertifikate braucht

Anbieter zum Thema

Opexa Advisory GmbH

GISA GmbH

Mein Videotermin Suite | Voigtmann GmbH

xSuite Group GmbH

Informationssicherheit ist kein Audit-Projekt: Gastautor Klaus Kilvinger beschreibt Resilienz als „proaktive Haltung: Risiken antizipieren, Störungen abfedern, aus Vorfällen lernen und gestärkt daraus hervorgehen“ – und zeigt Wege auf zu einer resilienten Verwaltung.

Cyberangriffe auf Kommunen sind längst kein Ausnahmefall mehr, sondern bittere Realität. Die jüngsten Ausfälle in Trier, Untereisesheim oder im Verbund Südwestfalen – ebenso wie die DDoS-Angriffe auf Garching, Unterschleißheim und den Landkreis München – zeigen eindrücklich, wie verwundbar kommunale Infrastrukturen sind. Einen genaueren Überblick dazu können sich Interessierte auf der Webseite „Kommunaler Notbetrieb“ verschaffen, wo Ausfälle gelistet sind, die aus technischen Gründen Ausfälle hatten oder wegen Cyberattacken (DDoS etc.) vom Netz gehen mussten.

Während Fachverfahren, Bürgerservices oder ganze Infrastrukturen tagelang stillstehen, zeigt sich: Informationssicherheit ist keine technische Disziplin allein, sondern eine Frage der Führungsverantwortung, Kultur und Resilienz – denn die Gefährdung der Grundfunktionen einer kommunalen Verwaltung kann weite Kreise ziehen. Und je mehr Fachverfahren digitalisiert sind, desto mehr sind von Cyber-Vorfällen betroffen. Das Rad zurückzudrehen, kann jedoch nicht die Lösung sein. Was ist also zu tun?

Informationssicherheit ist kein Audit-Projekt

Viele Organisationen (auch Behörden) haben in den letzten Jahren ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut – oft auf Basis der ISO 27001-Zertifizierung oder des BSI-IT-Grundschutzes. Damit sind sie formell gut aufgestellt: Prozesse sind dokumentiert, Zuständigkeiten geregelt, Risiken bewertet.

Doch nicht alle Behörden oder Kommunen sind gut geschützt, im Ernstfall zeigt sich häufig eine andere Realität:

• Meldeketten funktionieren nicht,

• Notfallpläne sind veraltet,

• Verantwortlichkeiten verschwimmen,

• oder Mitarbeitende wissen schlicht nicht, wie sie reagieren sollen.

Hier ein Beispiel: Der Bundesrechnungshof hat vor wenigen Wochen erhebliche Mängel im IT-Betrieb der Bundesverwaltung kritisiert, insbesondere in der Cybersicherheit. Auf dem „Papier“ ist die Organisation oft gegeben oder gar zertifiziert, aber die operative Widerstandsfähigkeit bricht zusammen. Hier liegt der Kern des Problems: Sicherheit darf nicht an der Audit-Grenze enden.

BSI-IT-Grundschutz als Ziel, aber selten Realität

Viele Verwaltungen streben den BSI-IT-Grundschutz als Zielstandard an, insbesondere weil er als Referenzrahmen für staatliche Organisationen gilt. Doch in der Praxis wird seine Einführung häufig durch begrenzte personelle und finanzielle Ressourcen gebremst. Gerade kleinere Kommunen stehen vor der Herausforderung, dass IT-Abteilungen überlastet sind, Sicherheitsbeauftragte ihre Aufgaben „nebenher“ erfüllen und externe Unterstützung nur projektweise finanziert werden kann. Das Ergebnis: Teilimplementierungen, unvollständige Risikoanalysen oder dokumentierte, aber nicht gelebte Prozesse. Ergo: Ein ISMS ohne konsequente Anwendung schafft ein gewisses Maß an Compliance, aber keine Resilienz.

Informationssicherheit als Führungsaufgabe

Ein widerstandsfähiges Sicherheitsmanagement entsteht nicht durch mehr Richtlinien, sondern durch gelebte Verantwortung. Resilienz beginnt dort, wo Führungskräfte Informationssicherheit als integralen Bestandteil der Steuerung verstehen, nicht als IT-Thema, sondern als Teil der Verwaltungssicherheit. Das bedeutet:

• Sicherheitsziele müssen Teil der Organisationsstrategie sein,

• Führungskräfte müssen regelmäßig über Risiken, Vorfälle und Lessons Learned informiert werden,

• und Entscheidungen über Budgets und Personalressourcen müssen auf Risiko- und Schutzbedarf basieren – nicht auf formaler Pflichterfüllung.

So wird das ISMS vom formalen Regelwerk zum echten Führungsinstrument.

Kommunale Sicherheit – ja bitte, aber nicht nach NIS2?

Die EU-Richtlinie NIS2 verlangt den Aufbau eines Risikomanagements und Umsetzung von Maßnahmen. Dies kann auch bei Kommunen auf Basis eines ISMS gemäß BSI IT Grundschutz oder ISO 27001 erfolgen. Die NIS2 referenziert im EU-Regelwerk ausdrücklich auf internationale Standards wie die ISO 27000-Reihe.

Doch wie man es dreht, das aktuelle Vorgehen der Kommunen zur NIS2 erschließt sich einem nicht. Denn der IT-Planungsrat beschloss schon 2023, kommunale Verwaltungen nicht in die neue EU-Richtlinie NIS-2 zur Cybersicherheit einzubinden und hat das auch der Bundesregierung vermittelt. In der NIS2 ist daher (Stand heute) nur die Verpflichtung der Bundesbehörden auf NIS2 enthalten. Kommunen sind nicht verpflichtet. Die neue NIS2-Gesetzgebung ist daher von vorneherein lückenhaft. Vor dem Hintergrund dieses – aus der Bedrohung heraus völlig unverständlichen – Beschlusses stellt sich die Frage, wie das Problem adressiert werden soll.

(ID:50636524)