IT-Sicherheitsfragen gehen nicht nur die Privatwirtschaft etwas an. Was eigentlich selbstverständlich ist, haben einige aufsehenerregende Sicherheitsvorfälle in jüngerer und jüngster Vergangenheit verdeutlicht. Dabei sind schon Organe der rechtsprechenden^[1] oder gesetzgebenden^[2] Gewalt ins Fadenkreuz geraten. Vertreter der öffentlichen Verwaltung berichten mitunter von über 1.000 „virtuellen Angriffen“ pro Jahr.^[3] Unlängst erfuhr die Öffentlichkeit, dass Hacker Daten des Impfstoff-Zulassungsverfahrens der Firmen BioNTech und Pfizer bei der Europäischen Arzneimittelbehörde EMA (hoffentlich „nur“) abgegriffen (und hoffentlich nicht manipuliert) haben.^[4]

Die Bedrohungslage ist also real. Ist die öffentliche, insbesondere die kommunale Verwaltung hierfür gewappnet? Glaubt man Herausgebern und Autoren des vorliegenden^[5] Handbuchs, könnte sie es sein. Vorausgesetzt, Intention trifft auf Information, damit aus gut gemeintem Aktionismus kein untauglicher Versuch wird. Das Handbuch will informieren. Der Versuch ist gelungen.

1. Digital-Anamnese

Die ersten vier Kapitel des Handbuchs erläutern die Entwicklung und Systematik der sog. Cyberkriminalität von ihren Anfängen bis hin zu ihren heutigen Erscheinungsformen. Das erste Kapitel von Wollinger, Dreißigacker und von Skarczinski beleuchtet verschiedene Angriffsvarianten wie Phishing, den Einsatz von Botnetzen und Social Engineering sowie

deren verschiedene Mechanismen, Maßnahmen und Muster. Besonders interessant sind hier die unterschiedlichen Betrachtungsperspektiven (z.B. Technik/Forensik, Strafverfolgung, Betriebswirtschaft), die eine erste, für den Praktiker unabdingbare Erkenntnis vermitteln: Jede Perspektive hat ihre eigenen Begriffe.

Die Beiträge von Huber, Edelmann, Pospisil und Stumpen im zweiten Kapitel sowie von Dreißigacker und Wollinger im dritten Kapitel erlauben einen näheren Blick auf die Tätergruppen mit der Erkenntnis, dass IT-Spezialkenntnisse mitnichten Grundvoraussetzung sind. Hinsichtlich der Motivation stellen sie fest, dass es nicht nur wirtschaftlich motivierte externe, sondern auch brandgefährliche „Inhouse-Täter“ gibt, z.B. entlassene oder frustrierte Mitarbeiter, und die statistisch messbare Verbreitung des Phänomens in Deutschland. Bemerkenswert ist, dass alle Studien Betroffenheitsraten von weit über 50 Prozent der befragten Unternehmen ausweisen.

Eine von Dreißigacker und Wollinger vorgestellte Studie des Kriminologischen Forschungsinstituts Niedersachsen und der Leibnitz-Universität Hannover bestätigt die immens hohe Betroffenheitsrate, insbesondere bei kleinen bzw. mittelständischen Unternehmen. Dabei zeichnet sich diese konkrete, kurz vor Abschluss stehende Studie dadurch aus, dass sie durch ausführlichere und strukturiertere Abfragen derzeit bestehende Forschungslücken schließt. Dabei stellen die Autoren fest, dass nicht alle Erkenntnisse auf die – bisher unerforschte – öffentliche Verwaltung übertragbar sind.

Honekamp, Povalej, Rittelmeier und Labudde geben im vierten Kapitel einen Überblick zu den Maßnahmen der Bekämpfung von Cybercrime durch die Polizei. Sie verdeutlichen, dass klassische Ermittlungsmodelle und -methoden nicht völlig neu gedacht, sondern nur auf den digitalen Raum übertragen werden müssen. Grundlegende Erkenntnisse wie der Grundsatz, dass ein Tatverlauf stets Spuren generiert (Locard’sche Prinzip), behalten ihre Gültigkeit. Anders als im analogen Raum mögen diese Spuren jedoch zu einem größeren Teil anonym auftreten. Zudem ist ihre Aufbereitung und veränderungsbeständige Dokumentation von besonderer Bedeutung. Die Autoren schließen mit Beispielsfällen aus dem kommunalen Raum und instruktiv zusammengefassten „Lehren für die Notfallplanung“, die man unbedingt beherzigen sollte. Die teils repetitiven Elemente der Beiträge, insbesondere die Begriffserklärungen einzelner Cyberangriffe, sind dabei gut verschmerzbar.

2. Kommunal digital

In den Kapiteln 5 bis 8 zeichnet das Handbuch das – auch in der Kommunalverwaltung eingeläutete – Digitalzeitalter nach. Fischer und Möltgen-Sicking zeigen in Kapitel 5.3 auf, welche kommunale Bereiche digitaler sein müssten, als landläufig zu erwarten wäre. Zwingend muss dabei das Thema Cybersecurity zur Digitalisierungsstrategie gehören.

Dies gilt sowohl für die dem Bürger zugewandten Bereiche (z.B.: E-Government) als auch für die Digitalisierung der internen Prozesse. Die Autoren prognostizieren einen Wandel im Kompetenzprofil des Verwaltungsmitarbeiters hin zur umfassend technisch ausgebildeten Verwaltungskraft als Teil einer IT-Governance-Organisationskultur. Aufschlussreich wären in diesem Beitrag noch statistische Auswertungen oder Ausführungen zum Ist-Zustand der Verwaltung 2020 gewesen, denn viele der angesprochenen Digitalisierungseffekte – von der flächendeckenden E-Akte bis zum Bürger-Chatbot und der Personalauswahl (!) per sog. KI – scheinen (jenseits von Pilotierungen) noch eher fernliegend. Bis dato fehlt es auch an einem koordinierten, gemeinsamen Vorgehen.

Fellrath zeigt im sechsten Kapitel auf, welche IT-Organisationsstrukturen die Digitalisierung auf kommunaler Ebene bislang hervorgebracht hat und welche Entwicklungen zu erwarten sind. Er stellt u.a. die Eigenerledigung in Kernverwaltung, kommunale Verwaltungsbetriebe und die Auslagerung an überörtliche Dienstleister der öffentlichen Hand vor. Fellrath konstatiert, dass sich die Trends zu Kooperation und Konsolidierung v.a. unter den kommunalen Dienstleistern fortsetzen werden. Die personelle wie technische Überforderung in der kommunalen Verwaltung dürfte jedoch unverändert bestehen bleiben.

Daran anschließend beleuchtet Schulte im siebten Kapitel Wege zu einer breiter ausgeformten IT-Kompetenz in den Kommunen. Sie identifiziert zunächst Kompetenzlücken im Bereich der IT-Sicherheit und gibt anschließend instruktive Hinweise, wie diese gefüllt werden können. Der Ausblick ihres besonders lesenswerten Beitrags nimmt projektbasiertes, agiles Arbeiten in den Blick. Schulte legt hier en passant frei, dass Themen, die aus der agilen Software- und Businesswelt bekannt sind, künftig auch die Kommunen beschäftigen werden.

Deelmann formuliert im achten Kapitel eine kommunale Funktionalstrategie für (mehr) Cybersicherheit unter Beibehaltung der kommunalen Eigenständigkeit. Er stellt die Grundlagen des strategischen Managements und der Strategieentwicklung am Beispiel eines allgemeinen Vorgehensmodells zur Strategieentwicklung vor.

3. Digital rechts- und zukunftssicher

Die Kapitel 9 bis 13 zeigen die normativen Vorgaben und deren Umsetzung v.a. durch technische Maßnahmen auf. Franck führt im neunten Kapitel in die Grundzüge des Informationssicherheits- und Datenschutzrechts ein. Dabei fokussiert er sich auf die besondere Situation der Kommunen und bedient sich nützlicher Übersichten. Durch die Hervorhebung der Schutzzwecke der einzelnen Regelungsbereiche gibt er einen dadurch einen systematischen Überblick.

Anknüpfend hieran stellen Bergmann und Schulze im zehnten Kapitel den BSI-Grundschutz, v.a. die „Basis-Absicherung für die Kommunalverwaltung“ der Arbeitsgruppe zur Modernisierung des IT-Grundschutzes sowie die Norm ISO 27001 vor. Besondere Aufmerksamkeit widmen sie den – für Kommunen nicht unmittelbar anwendbaren aber empfehlenswerten – „Mindeststandards für die Bundesverwaltung“.

Das elfte Kapitel von Schulze und Weber erörtert v.a. Verschlüsselungsverfahren. Die Einführung in die Grundlagen der Kryptografie erfolgt dabei mit zwei alten Bekannten: Alice und Bob. Die Grundlagen digitaler Signaturen und der E-Mail-Verschlüsselung werden anschaulich erklärt.

Weil die beste technische Absicherung den „Faktor Mensch“ stets unbetrachtet lässt, widmet sich das zwölfte Kapitel von Matas einer Handreichung zu Mitarbeitersensibilisierung in der öffentlichen Kommunalverwaltung. Dazu beleuchtet die Autorin die der menschlichen Psychologie eigenen Lern- und kognitiven Prozesse. Zaudig zeigt im 13. Kapitel geeignete Maßnahmen zur Einführung eines Informationssicherheitsmanagements-Systems auf.

Den Abschluss des Bandes bilden – nach Auskunft der Herausgeber – zwei Beiträge, die auf „Zukunftsthemen“ gerichtet sind. Beide Themen existieren freilich schon länger: Keppeler gibt einen Überblick über sog. „Cyber-Versicherungen“, die Teile von Cybercrime-Risiken abdecken und deren Attraktivität für Kommunen er bejaht. Aufgrund der noch nicht stark vorangetriebenen Vereinheitlichung der Policen (trotz Bestehens einheitlicher Grundbedingungen über den GDV) ist nach seiner Ansicht ein besonders kritischer Blick angezeigt. Soll der Versicherungsschutz greifen bzw. ein Vertrag zustande kommen, hat die Kommune sich auf Prüfungen hinsichtlich geeigneter technischer und organisatorischer Maßnahmen (TOMs) im Rahmen der Risikobewertung einzustellen. Keppler gibt im 14. Kapitel wertvolle Hinweise wie diese Audits vorbereitet werden können. Schulz und Weber führen abschließend im 15. Kapitel in die Blockchain-Technologie ein und weisen auf mögliche Einsatzszenarien in der öffentlichen Verwaltung – nach Ansicht der Autoren am ehesten Echtheitsnachweise von Urkunden – hin.

4. Cyber-Fazit

Die Herausgeber haben eine beachtliche Schnittstellen- und Koordinationsarbeit geleistet. Das Werk zeigt, wie Cybersicherheit vielschichtig betrachtet werden kann und muss. Das beachtliche Anforderungsprofil an Entscheider und Verantwortliche lässt sich in der breit gefächerten inhaltlichen Zusammenstellung gut ablesen. Es ist für Juristen bereichernd, weil es die sonst oft aus dem Zusammenhang gehobenen Regelungskomplexe Datenschutz, IT-Sicherheit und Cyberkriminalität in sozialwissenschaftliche und technisch-forensische Kontexte einbettet. Auch Verwaltungspraktiker werden von der vielschichtigen Darstellung profitieren.

Im rechtlichen Teil hätte das Werk noch durch Ausführungen zu rechtlichen Gestaltungsmöglichkeiten des IT-Outsourcings, der IT-Vergabe und der öffentlich-rechtlichen Kooperationsformen bereichert werden können. Auch die rechtlichen Anforderungen an das E-Government und die E-Akte hätten noch konkretisiert werden können, da gerade – wie Fellrath in einem kurzen Exkurs im sechsten Kapitel zutreffend feststellt – erheblicher Umsetzungsdruck besteht. Die Kapitel über die Verwaltungsorganisation und bereits erfolgte Digitalisierung könnten noch stärker (Weiter-)Entwicklungsmöglichkeiten aufzeigen.

Wer durch eine Grundlagenlektüre in die Lage versetzt sein möchte, die vielschichtige Thematik aus unterschiedlichsten Annäherungswinkeln zu studieren und existierende Implementierungsmöglichkeiten zu prüfen, für den bildet das Handbuch eine interdisziplinäre Quelle. Hervorzuheben ist die Leistung der Autoren, die ihnen eigene und jeweils komplexe Materie in gut lesbaren Beiträgen darzustellen und so einen leichten Zugang zu ermöglichen. Angesichts der Leistung der Autoren und Herausgeber bleibt zu wünschen, dass das Handbuch in der (kommunalen) Verwaltung auf interessierte Leser und beherzte Umsetzer trifft. An dem auch für die öffentliche Hand attraktiv gesetzten Verkaufspreis wird dies im Übrigen nicht scheitern.

V

V

^[1]  Vgl. Deutschlandfunk, Cyberangriff auf das Berliner Kammergericht, https://www.deutschlandfunk.de/datenschutz-cyberangriff-auf-das-berliner-kammergericht.862.de.html?dram:article_id=469716 (zuletzt abgerufen am 15.12.2020).

^[2]  Vgl. Heise Online, Angriff auf Datennetz des Bundestags, https://www.heise.de/newsticker/meldung/Angriff-auf-Datennetz-des-Bundestags-2651339.html (zuletzt abgerufen am 15.12.2020).

^[3]  S. nur Westfälische Nachrichten, Tägliche Cyber-Attacken auf das Rathaus, https://www.wn.de/Muenster/2015/06/2014835-Hacker-Angriffe-bisher-meist-abgewehrt-Taegliche-Cyber-Attacken-auf-das-Rathaus (zuletzt abgerufen am 15.12.2020).

^[4]  Vgl. ZEIT Online, Hacker greifen Daten über Pfizer-BioNTech-Impfstoff ab, https://www.zeit.de/wissen/gesundheit/2020-12/europaeische-arzneimittelbehoerde-hackerangriff-impfstoff-daten-biontech (zuletzt abgerufen am 15.12.2020).

^[5]  Dem Verfasser lag eine elektronische Druckfahne des Werks vor. Mit Blick auf etwaige Satzänderungen wird auf Seitenzitate verzichtet.