Durch eine Vielzahl von Ereignissen in den vergangenen Jahren wurde deutlich, dass digitale Systeme einen starken Schutz brauchen. Cyberangriffe auf öffentliche und kritische Infrastrukturen bergen das Risiko, dass das alltägliche Leben aus den Fugen gerät oder sogar Menschenleben gefährdet werden. Die Landesregierung hat unter Federführung der Koordinierungsstelle Cybersicherheit die bundesweit erste Cybersicherheitsstrategie entwickelt. Insbesondere die Informationssicherheit der öffentlichen Verwaltung inklusive der Kommunen soll noch stärker in den Blick genommen werden. Denn das Risiko durch Ransomware-Angriffe steigt. Diese gefährden die Abläufe in Krankenhäusern, Unternehmen, öffentlichen Verwaltungen oder Hochschulen, indem Daten durch Verschlüsselung unzugänglich gemacht und ihre Freigabe erpresst werden.

Je größer der Anwendungsbereich digitaler Systeme in unserem Alltag wird und je weiter die Bedrohungslage steigt, desto höher ist die Notwendigkeit einer neuen Vorgehensweise. Es braucht hierfür eine Weiterentwicklung von IT-Sicherheitsstrategien, bei denen langfristige Entwicklungen vorausschauend einbezogen werden.

Durch die aktuelle Lage wird deutlich, dass Abhängigkeiten von nur einem Land oder einem Unternehmen ohne gute, kurzfristig einsetzbare Alternativen gefährlich sein können. Aus diesem Grund muss digitale Souveränität im Zentrum von Beschaffungsprozessen stehen. Dabei ist es auch wichtig, Informationen über die Software so vorliegen zu haben, dass eine politische Einflussnahme oder das absichtliche Platzieren von Sicherheitslücken ausgeschlossen werden kann. Bill of Materials oder Open Source sind Möglichkeiten, wie Software auf Einflussnahmen oder Sicherheitslücken hin überprüft werden kann.
Sicherheitsmaßnahmen müssen für Nutzerinnen und Nutzer einfach anwendbar sein, ansonsten werden unsichere Wege genutzt, um Maßnahmen zu umgehen. Nutzerinnen und Nutzer benötigen solide IT-Grundkenntnisse. Würden alle öffentlichen Angebote, vor allem jene zum Selbststudium, zentral gebündelt und den Kommunalverwaltungen zur Verfügung gestellt, würde das die Kommunen entlasten und die Aktualisierung des Schulungsmaterials erheblich erleichtern.
Daten der öffentlichen Verwaltungen haben allerdings einen sehr hohen Schutzbedarf. Deshalb ist es wichtig, frühzeitig mit Planungen zu beginnen, wie von klassischer auf Post-Quanten-Kryptographie umgestellt werden kann. Mit der Standardisierung von Post-Quanten-Kryptoalgorithmen durch das National Institute of Standards and Technology der USA im Juli 2022 ist es nun möglich, mit den Planungen zu beginnen, um Daten sicher vor der Entschlüsselung durch Quantencomputer zu machen.

Unser Antrag von CDU-Fraktion und Grünen für mehr IT-Sicherheit in NRW zusammengefasst:

- digitale Souveränität = Wahlmöglichkeiten zwischen verschiedenen Anbietern von Hard- und Software für die Verwaltung

- Maßnahmen zur IT-Sicherheit in Landes- und Kommunalverwaltungen fortlaufend überprüfen umsetzen und weiterentwickeln

- Prüfung eines Backupsystems für Land und Kommunen nach Vorbild der Hochschulen

- Pläne, Maßnahmen und regelmäßige Übungen zur Reaktion auf Schadenslagen für den Bereich der Landesverwaltung entwickeln

- Konzept erarbeiten lassen, wie sich neue technologische Entwicklungen besser im Voraus auf ihre Anwendbarkeit mitgedacht und bei Verfügbarkeit zügig in die bestehende digitale Infrastruktur eingearbeitet werden können (bspw. das Zero-Trust-Prinzip und Post-Quanten-Kryptographie)

- Konzept erarbeiten zu lassen, wie vorhandene Sicherheitsmaßnahmen so vereinfacht werden können, dass sie für Benutzerinnen und Benutzer einfach zu verwenden sind, und daraus regelmäßige Awareness-Maßnahmen für alle Mitarbeitenden der Landes- und Kommunalverwaltungen abzuleiten

- den BSI-Grundschutz in allen Teilen der Landes- und kommunalen Verwaltungen umzusetzen und Mitarbeiterinnen und Mitarbeiter entsprechend fortbilden

- eine Sicherheitskonferenz mit allen relevanten Akteurinnen und Akteuren abhalten, um einen Weg zu einem Kommunal-CERT 2.0 festzuschreiben

- Förderprogramm zur Stärkung der Informationssicherheit in den Kommunen prüfen