Gerade ist das Gesetz zur erhöhten IT-Sicherheit im Deutschen Bundestag beraten und verabschiedet worden. Es verpflichtet Betreiber „Kritischer Infrastrukturen“ wie Energieunternehmen, Krankenhäuser, IT-Versorger und auch Banken Cyberangriffe auf ihre Systeme umgehend dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieses Gesetz ist zeitgleich zur großen Hackerattacke auf die Rechner des Deutschen Bundestages verabschiedet worden.
Diese Neuerungen werfen auch Fragen in der Stadt Gütersloh auf. Wie sicher sind die Daten der Stadt, der Stadtwerke, des Krankenhauses und insbesondere des heimischen IT-Versorgers?
Im Bundesgesetz werden besonders Betreiber „Kritischer Infrastrukturen“ aus den Bereichen Energie, Informationstechnik und Telekommunikation, Wasser und Gesundheit, Banken aufgefordert, einen Mindeststandard an IT-Sicherheit einzuhalten.
Damit steht auch die Stadt Gütersloh vor der Frage der verbesserten IT-Sicherheit. Angesprochen sind insbesondere die Verwaltung als Sammlerin von Einwohnerdaten, der heimische Energieanbieter, der örtliche Telekommunikationsanbieter sowie der externe IT-Dienstleister.
Das neue Gesetz beinhaltet auch die Maßgabe, dass erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen. Die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Computerdelikte werden ausgebaut.
Vor diesem Hintergrund muss die Frage erörtert werden, welche Sicherheiten insbesondere der kommunale IT-Dienstleister als quasi Monopolist den Versorgten in der Stadt Gütersloh bieten kann. Hier wird ein Monopol womöglich zu einem Sicherheitsrisiko.
Wo und wie werden die Daten gespeichert und gesichert? Auch stellt sich die Frage, ob der Anbieter, die Stadt oder der Energieversorger bei einem Angriff auch die zuständigen Behörden vor Ort informieren muss und nicht nur das BSI. Welche Notfallpläne greifen dann auf kommunaler Ebene und wer kann die noch steuern? Gibt es einen dafür ausgebildeten Ansprechpartner im Rathaus? Gefordert ist daher ein kommunaler IT-Sicherheitsbeauftragter. Sind die Betreiber der Infrastrukturen auch zertifiziert? Vor dem Hintergrund der digitalen Erfassung und Steuerung vor allem der Daten zur Energieversorgung (smart metering und smart grids), die in diesem Jahr deutlich ausgeweitet werden sollen und damit sensible Daten der Bürger verarbeiten, ist das besonders relevant.
Wie könnten sich die Bürger selbst schützen und werden sie über solche möglichen Hackerangriffe überhaupt informiert? Besteht in solchen Fällen auch eine Transparenz- und Öffentlichkeitspflicht gegenüber den Bürgern? Oftmals werden derartige Attacken nicht kommuniziert, um die Menschen nicht zu beunruhigen, wobei sie dann doppelt schutzlos bleiben. Wir brauchen dazu eine Datenschutz- und Sicherheitsrichtlinie für die Stadt Gütersloh. Wir brauchen Informationen dazu, wie sich Bürger schützen können. Eine Form wäre die Verschlüsselung privater Kommunikation.
Es ist notwendig, sich in den politischen Gremien mit diesen Fragen zu befassen und auch die Bevölkerung in einem umfassenden Informationsprozess über Datensicherung aufzuklären. Mehr Sensibilität in der öffentlichen Debatte ist notwendig.
Ich kann mich noch Erinnern das bei Bertelsmann die PC wegen dem ILove You Virus herunter gefahren sind,,,,, Beim Kreis und in der Verwaltung gab es dieses Problem nicht 🙂