Düsseldorf. Cyber-Kriminelle bedrohen die Rechenzentren vieler Städte in NRW. Mit diesem Plan sollen die Sicherheitslücken gestopft werden.

Dass NRW-Städte Probleme damit haben, ihre Computer gegen Hacker-Attacken zu schützen, ist nicht erst seit dem folgenschweren Cyber-Angriff auf die Verwaltungen in Südwestfalen bekannt. Unter dem Eindruck der jüngsten Angriffswellen auf Ämter, Kliniken und Universitäten will die Landesregierung die offenbar reichlich vorhandenen Sicherheitslücken schließen. Höflich, aber mit Nachdruck bietet sie jetzt allen Städten und Kreisen in NRW einen kostenlosen „IT-Sicherheitscheck“ an.

IT-Sicherheitslücken: Ämter, Krankenhäuser und Universitäten sind angreifbar

Die Lage ist ernst. Zum Beispiel litt die Stadt Witten 2021 monatelang unter einem massiven Hackerangriff. Im vergangenen Jahr gelang es Hackern, 72 Städte in Südwestfalen digital regelrecht lahmzulegen. Kfz-Anmeldungen, das Beantragen von Reisedokumenten und viele andere Dienste waren beeinträchtigt, zum Teil leidet die Region noch immer unter den Folgen. Vor wenigen Tagen erst „knackten“ Kriminelle die IT-Sicherheit eines Klinikverbundes im Kreis Soest. Operationen wurden verschoben, Patienten abgewiesen, und Krankenwagen mussten andere Häuser anfahren.

Ina Scharrenbach (CDU), NRW-Ministerin für Digitalisierung, ist alarmiert. In einem Brief an sämtliche Rat- und Kreishausspitzen rät sie den Städten dringend dazu, an ihrer IT-Sicherheit zu feilen. „Wir haben ein gesteigertes Interesse an der Härtung der IT-Infrastrukturen“, steht in dem Schreiben, das dieser Redaktion vorliegt.

„Abhärtung“ gegen die Angriffe von Cyber-Kriminellen

NRW hat sich beim Hochfahren der IT-Sicherheit von einem vergleichbaren Projekt in Niedersachsen inspirieren lassen. Es hat einen Vertrag mit dem IT-Systemhaus Bechtle aus Baden-Württemberg geschlossen, das über die nötige Expertise verfügen soll, um Sicherheitslücken aufzudecken. NRW übernimmt die Kosten für diese „B-Hard“ genannte Cyber-Sicherheitsanalyse. Frei übersetzt bedeutet das „Abhärtung“ gegen Gegner, die darin geübt sind, in Computer und in ganze Rechenzentren einzudringen, Systeme zum Absturz zu bringen und Geld zu erpressen.

Die Teilnahme an dieser Sicherheitsüberprüfung, intern „TÜV für Informationssicherheit“ genannt, ist für die Städte zwar freiwillig, aber das Angebot ist so formuliert, dass es schwerlich abzulehnen ist. Kommunen stünden vor der Herausforderung, „ihre wichtigen und sensiblen Daten sowie Systeme zu schützen“, steht warnend in einem Begleitschreiben. Am Mittwoch lädt die Landesregierung alle Bürgermeisterinnen und Bürgermeister sowie Landräte zu einer Videokonferenz ein, um für die „Abhärtung“ zu werben.

„Wenn Sie im Internet unterwegs sind, ist eines klar: Es ist sicher, dass alles unsicher ist“, sagt NRW-Digitalisierungsministerin Ina Scharrenbach (CDU).
„Wenn Sie im Internet unterwegs sind, ist eines klar: Es ist sicher, dass alles unsicher ist“, sagt NRW-Digitalisierungsministerin Ina Scharrenbach (CDU). © dpa | Dieter Menne

IT-Sicherheit: Große Städte top, kleine Städte flop?

„Wenn Sie im Internet unterwegs sind, ist eines klar: Es ist sicher, dass alles unsicher ist. Behörden und Unternehmen sind aufgefordert, sich bestmöglich zu schützen“, sagte Ministerin Scharrenbach dieser Redaktion. Die IT-Sicherheit müsse daher dringend weiter hochgefahren werden.

Nicht alle NRW-Städte sind leichte Opfer für kriminelle Hacker. Kleinere Städte und ihre Landkreise haben eine „Abhärtung“ wohl nötiger als Großstädte, heißt es. Die „Kreisfreien“ verfügten zum Teil über Systemhäuser mit einem „ausgeprägten“ IT-Sicherheitslevel, steht in dem Brief an die Rathäuser. Köln, die größte Stadt des Landes, sei sogar „BSI-zertifiziert“, lobt Ministerin Scharrenbach im Gespräch mit dieser Redaktion. Ein solches Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik ist eine Art Gütesiegel für IT-Sicherheit. Bis 2027 sollen möglichst alle Verwaltungen in NRW so ausgezeichnet sein.

Das ist ein ambitioniertes Ziel, denn viele Städte und Gemeinden haben Mühe, freie IT-Stellen mit geeignetem Personal zu besetzen. Die Vielfalt von 52 kommunalen Rechenzentren mit zum Teil sehr unterschiedlicher technischer Ausstattung erschwert die „Abhärtung“ gegen Angriffe zusätzlich.

IT-Sicherheit: Es geht auch um die Glaubwürdigkeit der Politik

Am Ende geht es nicht nur um Widerstandsfähigkeit gegen Angreifer, sondern auch um Glaubwürdigkeit. Denn seit der Attacke gegen die Ämter in Iserlohn, Lüdenscheid, Soest und vielen anderen westfälischen Städten wird diese Frage immer lauter: Wie will ein Staat von Bürgerinnen, Bürgern und Unternehmen verlangen, sich bestmöglich gegen Hacker-Angriffe zu rüsten, wenn er nicht einmal in der Lage ist, sich selbst zu schützen?

Zuletzt musste sich auch die Landesverwaltung selbst Fragen zur IT-Sicherheit gefallen lassen. Auf die „Download-Panne“ beim Abitur im Frühjahr 2023 folgten aufgedeckte Sicherheitslücken im Landes-Schulinstitut „Qualis“.

Der Digitalbeirat NRW

Die Idee, den Städten kostenlose „IT-Sicherheitschecks“ anzubieten, entstand Mitte Januar bei der ersten Sitzung des neuen Digitalbeirates NRW. Diese Runde besteht aus erfahrenen IT-Experten. Ihr Auftrag: Die Digitalisierung von Land und Kommunen „auf neue Beine zu stellen“.
„Mit dem neuen Angebot Sicherheitscheck verlassen wir ausgetretene Pfade und beschreiten neue Wege bei der Informationssicherheit. Damit wollen wir zuvorderst die Kreise und kreisangehörigen Gemeinden ansprechen“, so Ina Scharrenbach

.

Mehr zum Thema