{"id":305187,"date":"2024-10-16T00:02:49","date_gmt":"2024-10-15T22:02:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305187"},"modified":"2024-10-16T10:33:26","modified_gmt":"2024-10-16T08:33:26","slug":"305187","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/16\/305187\/","title":{"rendered":"Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?"},"content":{"rendered":"

\"SicherheitHerrlich, aus Sicht eines externen Beobachters, bescheiden f\u00fcr die Informationssicherheitsbeauftragte (ISBs) der Kommunen. Kommunale IT soll ja weder NIS-2 umsetzen noch den KRITIS-Anforderungen unterliegen. Nun fordert die Anbindung der kommunalen Waffenbeh\u00f6rden an das nationale Schengener-Informationssystem (N.SIS) \u2013 einen Schutzbedarf der Kategorie \"sehr hoch\". Klassische Sandwich-Position, wo den ISBs Entscheidungen des IT-Planungsrats der L\u00e4nder auf die F\u00fc\u00dfe fallen. Ich versuche mal die Gemengelage zu sortieren.<\/p>\n

<\/p>\n

Die NIS-2-Richtlinie<\/h2>\n

\"\"Zur Erh\u00f6hung der Cybersicherheit hat die EU die sogenannte NIS-2-Richtlinie erlassen (NIS-2 steht f\u00fcr Network Information Security 2). Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enth\u00e4lt rechtliche Ma\u00dfnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.<\/p>\n

NIS-2 modernisiert den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft f\u00fcr Cybersicherheit Schritt zu halten. Durch die Ausweitung des Anwendungsbereichs der Cybersicherheitsvorschriften auf neue Sektoren und Einrichtungen soll sie die Resilienz- und Reaktionskapazit\u00e4ten \u00f6ffentlicher und privater Stellen, der zust\u00e4ndigen Beh\u00f6rden und der EU insgesamt weiter verbessern.<\/p>\n

Ich hatte hier im Blog ja einige Male auf NIS-2 hingewiesen (siehe Links am Artikelende).\u00a0Einige Hinweise sind im EU-Dokument\u00a0Richtlinie \u00fcber Ma\u00dfnahmen f\u00fcr ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)<\/a>\u00a0zu finden. Das Internet h\u00e4lt unter dem Stichwort NIS-2 zahlreiche Dokumente und White-Paper bereit.<\/p>\n

NIS-2-Richtlinie und kommunale IT<\/h2>\n

F\u00fcr die IT auf Bundes- und L\u00e4nderebene – also auch in Kommunen – gibt es den sogenannten IT-Planungsrat von Bund und L\u00e4ndern<\/a>. Das ist das politische Steuerungsgremium von Bund, L\u00e4ndern und Kommunen f\u00fcr Informationstechnik und E-Government. Der IT -Planungsrat soll nutzerorientierte elektronische Verwaltungsdienste f\u00f6rdern und einen wirtschaftlichen, effizienten und sicheren IT -Betrieb der Verwaltung gew\u00e4hrleisten. Steht so auf der oben verlinkten Webseite des BMI (Innenministerium).<\/p>\n

Im November 2023 sind mir die \"Empfehlungen des IT-Planungsrats\" untergekommen, die ich dann im Beitrag Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a> aufgegriffen hatte. In einer Sitzung fiel im IT-Planungsrat der Beschluss, die Bundesl\u00e4nder und den Bund zu bitten, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der \u00f6ffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen auszudehnen, keinen Gebrauch zu machen. Zudem sollte in den L\u00e4ndern ein \"einheitliches Vorgehen\" erfolgen – also alle oder keiner setzt NIS-2 um.<\/p>\n

Zum Beschluss 2023\/39 des IT-Planungsrates mit der Bitte an die L\u00e4nder, NIS-2 nicht auf die Kommunen zu erstrecken, gibt es noch ein pikantes Detail, auf das Jens Lange in einem Post<\/a> hinwies. Es sollen Regeln f\u00fcr die Einrichtungen der \u00f6ffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen (sofern gew\u00fcnscht) au\u00dferhalb der\u00a0NIS-2-Richtlinie auf Ebene des jeweiligen Landesrecht geschaffen werden. heise hatte diese Volte seinerzeit in diesem Artikel<\/a> aufgegriffen – ich bin im Blog nicht mehr darauf eingegangen.<\/p>\n

Eine Empfehlung der Art \"w\u00e4re sch\u00f6n, das zu haben, aber wir sind eigentlich zu klamm, um das umzusetzen\". Wer braucht schon so was \u00fcberfl\u00fcssiges wie NIS-2? Machen wir zur Not irgend etwas anderes? Einziger Hoffnungsschimmer ist nachfolgender Tweet<\/a>, der mir vor einigen Tagen untergekommen ist.<\/p>\n

\"NIS-2-Umsetzung<\/a><\/p>\n

Der rheinland-pf\u00e4lzische Ministerrat hat in einer Sitzung am 8. Oktober 2024 eine Verwaltungsvorschrift zur Umsetzung der NIS-2-Richtlinie der Europ\u00e4ischen Union in der Landesverwaltung beschlossen<\/a>.<\/p>\n

Entscheidungen fallen Kommunen auf die F\u00fc\u00dfe<\/h2>\n

Der Verzicht auf die NIS-2-Umsetzung geht solange gut, bis es einen Cybervorfall gibt – der Vorfall beim kommunalen IT-Dienstleister S\u00fcdwestfalen IT ist da ein sch\u00f6nes Beispiel (Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT (SIT): Nachlese IT-Forensik-Bericht Teil 2<\/a>).<\/p>\n

Diese \"klugen Entscheidungen\" fallen der kommunalen IT aber unverhofft noch an ganz anderen Stellen auf die F\u00fc\u00dfe. Im Dezember 2023 hatte ich im Blog-Beitrag 70% der KFZ-Zulassungsstellen werden wegen Sicherheitsm\u00e4ngel f\u00fcr digitale KFZ-Zulassung (i-KFZ) gesperrt<\/a> von einem solchen Fall berichtet. Im September 2023 startete die digitale KFZ-Zulassung in Deutschland. Dann musste das Kraftfahrtbundesamt (KBA) gut Zweidrittel der KFZ-Zulassungsstellen in Deutschland den Zugang wegen gravierender Sicherheitsm\u00e4ngel sperren.<\/p>\n

N\u00e4chster Fall: Waffenbeh\u00f6rden der Kreise<\/h2>\n

F\u00fcr den legalen Erwerb, Besitz und das F\u00fchren einer Schusswaffe ist in Deutschland eine so genannte waffenrechtliche Erlaubnis n\u00f6tig \u2013 dies gilt f\u00fcr Sportsch\u00fctzen, ebenso wie f\u00fcr J\u00e4ger oder Waffensammler. Die \"Untere Waffenbeh\u00f6rde\" der Kommunen (in NRW liegt die Aufgabe allerdings bei den Polizeibeh\u00f6rden, wie Jens Lange mir erkl\u00e4rte) ist f\u00fcr die Erteilung dieser waffenrechtlichen Erlaubnis verantwortlich. Soweit so einfach – alles wunderbar geregelt.<\/p>\n

Kommen wir nun zum Punkt, wo die Empfehlung zur Nichtanwendung der Umsetzung der NIS-2-Richtlinie den Informationssicherheitsbeauftragten der Verwaltungen in Kreisen und ggf. Kommunen kr\u00e4ftig auf die F\u00fc\u00dfe f\u00e4llt. Jens Lange, von \"Kommunaler Notbetrieb<\/a>\", der wohl in diesem Bereich t\u00e4tig ist, hat es in nachfolgenden Tweets<\/a> aufgegriffen:<\/p>\n

\"Verwaltungen<\/a><\/p>\n

Hat mich nat\u00fcrlich sofort getriggert, denn die Botschaft in diesen Tweets lautet, dass die Informationssicherheitsbeauftragten (ISBs) der Verwaltungen aktuell zwischen die R\u00e4der kommen. Der IT-Planungsrat hat empfohlen, die NIS-2-Richtlinie in der Verwaltung der Kommunal-IT nicht umzusetzen. Verwaltungen z\u00e4hlen auch nicht zum KRITIS-Bereich, mit der IT-Sicherheit ist es also schwierig.<\/p>\n

Die Informationssicherheitsbeauftragten (ISBs) sind aber angehalten, die Sicherheitsvorgaben bestimmter Bereiche umsetzen zu lassen.\u00a0Und beim Thema Waffenbeh\u00f6rde schl\u00e4gt nun die Falle zu. Die betreffenden Beh\u00f6rden m\u00fcssen ihre Systeme an das nationale Schengener-Informationssystem (N.SIS) anbinden, damit Recherchen, welche Waffen wo genehmigt sind, m\u00f6glich werden.<\/p>\n

Das N steht in N.SIS f\u00fcr \"National\", w\u00e4hrend SIS das K\u00fcrzel f\u00fcr das\u00a0Schengener Informationssystem<\/a> ist. In Deutschland werden die Aufgaben der N.SIS-Stelle durch das Bundeskriminalamt (BKA) wahrgenommen.<\/p><\/blockquote>\n

Die Anbindung der IT-Systeme der Waffenbeh\u00f6rde an N.SIS erfordert aber einen IT-Schutzbedarf der als \"sehr hoch\" klassifiziert wird.\u00a0Zum Schutzbedarf \"sehr hoch\" an dieser Stelle noch eine Einordnung, die Jens Lange in einem Austausch mit mir vorgenommen hat: Der IT-Grundschutz des BSI (der Quasi-Standard der \u00f6ffentlichen Verwaltung) deckt mit seiner Standardabsicherung den Schutzbedarf \"normal\" ab, manchmal auch noch einen Schutzbedarf von \"hoch\". <\/span><\/p>\n

Bei einem Schutzbedarf von \"hoch\" oder \"sehr hoch\", muss \u00fcber eine erg\u00e4nzende Risikoanalyse festgestellt werden, welche weiteren Sicherheitsma\u00dfnahmen notwendig sind. <\/span><\/p>\n

Es gibt keinen wirklichen \u00dcberblick, wo die Kommunen in Deutschland bei der Informationssicherheit stehen. Sind aber Anhaltspunkte, wie die Anzahl der IT-Sicherheitsvorf\u00e4lle (f\u00fcr die es auch kein offizielles Lagebild gibt) vorhanden. Und es gibt z. B. Berichte von Landesrechnungsh\u00f6fen (siehe diesen BlueSky-Post<\/a>). <\/span>Erschreckendes Ergebnis: 71 % der gepr\u00fcften Kommunen haben keine Leitlinie, 61 % keinen ISB und 93 % kein IT-Sicherheitskonzept. <\/span>Jens Lange hat die obige Gemengelage bez\u00fcglich N.SIS-Einbindung in folgendem Satz zusammen gefasst:<\/p>\n

Kommunen sollen nicht zu den [Bereichen mit Umsetzung von NIS-2] geh\u00f6ren, m\u00fcssen jetzt aber mit dem Schutzbedarf \"sehr hoch\" eine Anbindung der Waffenbeh\u00f6rden an das nationale Schengener-Informationssystem (N.SIS) gew\u00e4hrleisten.<\/p><\/blockquote>\n

Das BKA, was die nationale N.SIS-Stelle betreibt, fordert von den betreffenden Stellen wohl eine \"Zusammenarbeitsvereinbarung\" (von Jens Lange als zweifelhaft eingestuft).\u00a0 In dieser Vereinbarung wird ein entsprechendes IT-Sicherheitskonzept oder eine \"alles wird gut\"-Eigenerkl\u00e4rung vom Verantwortlichen der Waffenbeh\u00f6rde gefordert.<\/p>\n

Die Informationssicherheitsbeauftragten sollen nun gegen\u00fcber den f\u00fcr die Umsetzung Verantwortlichen\u00a0Ma\u00dfnahmen zur Informationssicherheit empfehlen (die ISBs sind\u00a0 aber nicht f\u00fcr deren Umsetzung verantwortlich).\u00a0Laut Jens Lange\u00a0mangelt es jedoch an klaren Vorgaben, praxisnahen Anleitungen und den notwendigen Ressourcen, um die Anforderungen umzusetzen.<\/p>\n

Immer wieder herrlich zu sehen, wie \"die schlauen Entscheidungen\" diverser Kommissionen den Verantwortlichen dann kr\u00e4ftig auf die F\u00fc\u00dfe fallen. Zum meinem, weiter oben angesprochenen Sachverhalt rund um i-KFZ wies Jens Lange noch auf ein anderes Problem hin.\u00a0Bei den sogenannten Ebenen \u00fcbergreifenden Verfahren kommen Bundesbeh\u00f6rden immer wieder mit jeweils eigenen Anforderungen auf die Kommunen zu. Es gibt keine \u00fcbergreifende Abstimmung zwischen den Bundesbeh\u00f6rden, und es fehlt eben ein definierter Mindeststandard f\u00fcr die Kommunen.<\/p>\n

Bei Vorhaben wie N.SIS, i-Kfz, Zensus, Wahlen, etc. kocht jede Bundesbeh\u00f6rde, laut Lange, ihr eigenes S\u00fcppchen, und alles landet bei den Kommunen. Er bef\u00fcrchtet, dass als N\u00e4chstes wahrscheinlich wieder eigene Anforderungen aus dem Register-Modernisierungs-Gesetz kommen. Es bedarf einer ganzheitlichen Strategie zur Informationssicherheit von Kommunen. F\u00fcr die Informationssicherheitsbeauftragten ist das nat\u00fcrlich eine \u00e4u\u00dferst unsch\u00f6ne Situation.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU ver\u00f6ffentlicht<\/a>
\nBSI will Unternehmen bei NIS-2 unterst\u00fctzen<\/a>
\nPraxisleitfaden zur NIS-2-Umsetzung<\/a>
\nCyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a>
\nNIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a>
\nGelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT (SIT): Nachlese IT-Forensik-Bericht Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Herrlich, aus Sicht eines externen Beobachters, bescheiden f\u00fcr die Informationssicherheitsbeauftragte (ISBs) der Kommunen. Kommunale IT soll ja weder NIS-2 umsetzen noch den KRITIS-Anforderungen unterliegen. Nun fordert die Anbindung der kommunalen Waffenbeh\u00f6rden an das nationale Schengener-Informationssystem (N.SIS) \u2013 einen Schutzbedarf der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-305187","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305187","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305187"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305187\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}