Gerade ist das Gesetz zur erhöhten IT-Sicherheit im Deutschen Bundestag beraten und verabschiedet worden. Es verpflichtet Betreiber "Kritischer Infrastrukturen" wie Energieunternehmen, Krankenhäuser, IT-Versorger und auch Banken Cyberangriffe auf ihre Systeme umgehend dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieses Gesetz ist zeitgleich zur großen Hackerattacke auf die Rechner des Deutschen Bundestages selbst verabschiedet worden. Diese Neuerungen werfen auch Fragen in der Stadt Gütersloh auf. Wie sicher sind die Daten der Stadt, der Stadtwerke, des Krankenhauses und insbesondere des heimischen IT-Dienstleister?
Im Bundesgesetz werden besonders Betreiber „Kritischer Infrastrukturen“ aus den Bereichen Energie, Informationstechnik und Telekommunikation, Wasser und Gesundheit, Banken aufgefordert, einen Mindeststandard an IT-Sicherheit einzuhalten.
Damit steht auch die Stadt Gütersloh vor der Frage der verbesserten IT-Sicherheit. Angesprochen sind insbesondere die Verwaltung als Sammlerin von Einwohnerdaten, der heimische Energieanbieter, der örtliche Telekommunikationsanbieter sowie der externe IT-Dienstleister.
Das neue Gesetz beinhaltet auch die Maßgabe, dass erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen. Die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Computerdelikte werden ausgebaut.
Vor diesem Hintergrund muss die Frage erörtert werden, welche Sicherheiten insbesondere der kommunale IT- Anbieter als quasi Monopolist den Versorgten in der Stadt Gütersloh bieten kann. Hier wird ein Monopol womöglich zu einem Sicherheitsrisiko.
Wo und wie werden die Daten gespeichert und gesichert? Auch stellt sich die Frage, ob dieser Anbieter, die Stadt oder der Energieversorger bei einem Angriff auch die zuständigen Behörden vor Ort informieren muss und nicht nur das BSI. Welche Notfallpläne greifen dann auf kommunaler Ebene und wer kann die noch steuern? Gibt es einen dafür ausgebildeten Ansprechpartner im Rathaus oder beim heimischen Energieversorger oder auch im Krankenhaus? Gefordert ist daher ein kommunaler IT-Sicherheitsbeauftragter. Sind die Betreiber auch zertifiziert? Vor dem Hintergrund der digitalen Erfassung und Steuerung vor allem der Daten zur Energieversorgung (smart metering und smart grids), die in diesem Jahr deutlich ausgeweitet werden sollen, ist das besonders relevant.
Ferner stellt sich auch die Frage, wie sich die Bürger selbst schützen können und ob sie über solche möglichen Hackerangriffe überhaupt informiert werden. Besteht in solchen Fällen auch eine Transparenz- und Öffentlichkeitspflicht gegenüber den Bürgern? Oftmals werden derartige Attacken nicht kommuniziert, um die Menschen nicht zu beunruhigen, wobei sie dann doppelt schutzlos bleiben. Wir brauchen dazu eine Datenschutz- und Sicherheitsrichtlinie. Wir brauchen Informationen dazu, wie sich Bürger schützen können, eine Form wäre die Verschlüsselung privater Kommunikation.