Einfach online einen neuen Personalausweis anfordern, den Wohnsitz ummelden oder Kindergeld beantragen: Das Onlinezugangsgesetz (OZG) von 2017 soll all das möglich machen – und zwar schon bis Ende 2022. Fast 600 Verwaltungsleistungen von Kommunen, Ländern und Bund sollen bis dahin digital zur Verfügung stehen, einfach zugänglich über einen Portalverbund. Das Ende von ausgebuchten Bürgerämtern und langen Schlangen.
IT-Sicherheit ist für die digitalisierten Verwaltungsleistungen wichtig, denn es werden jede Menge persönliche Daten verarbeitet. Doch mit der zugehörigen IT-Sicherheitsverordnung hat sich das zuständige Bundesinnenministerium Zeit gelassen. Sie definiert, welche Sicherheitsstandards bei der Umsetzung der Dienste zu erfüllen sind. Erst am 20. Januar trat sie in Kraft. Bis zur Umsetzungsfrist des OZG ist es also – in Verwaltungszeiträumen gesprochen – nicht mehr lange.
Angeflanschte Sicherheit
Einige der genannten Verwaltungsleistungen sind bereits digitalisiert, etwa die Arbeitslosmeldung. Bestimmte Grundregeln galten natürlich trotzdem, etwa die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz. Aber die Systeme wurden entwickelt, bevor die konkreteren Vorgaben aus der Verordnung bekannt waren. IT-Sicherheitsexpert:innen kritisieren diese Reihenfolge.
„IT-Sicherheit kann man nicht nachträglich an ein System anflanschen. Sie muss von Anfang an mitgedacht werden, sonst bleibt sie ein Furunkel“, sagt Manuel Atug von der AG KRITIS, einer unabhängige Arbeitsgruppe, die sich für die IT-Sicherheit von Kritischer Infrastruktur wie Verwaltung und Energieversorgung stark macht. Atug arbeitet selbst seit über 23 Jahren in dem Bereich, er berät Unternehmen und auditiert IT-Systeme.
Schon 2020 hatte die AG KRITIS beim BMI nachgefragt, wie der Stand der IT-Sicherheitsverordnung ist. Damals war etwa Halbzeit für die Umsetzung des Gesetzes, aber offenbar lag nicht mal ein Entwurf vor. Warum hat es so lange gedauert? Trotz mehrmaliger Nachfrage haben wir auf diese Frage vom Innenministerium leider keine Antwort erhalten.
Dass Sicherheitsvorgaben erst nachträglich festgelegt werden, widerspricht dem Prinzip „Security by Design“. Das bedeutet, dass IT-Sicherheit schon bei der Konzeptionierung und Entwicklung eines Produktes mitgedacht werden soll – und nicht erst hinterher. Das Innenministerium und das ihm unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) betonen das selbst. Im Lagebericht des BSI zur IT-Sicherheit 2018 heißt es etwa: „Dabei muss die Sicherheit der eingesetzten Systeme in der staatlichen Verwaltung, in der Wirtschaft und beim Endanwender durch ’security by design‘ und ’security by default‘ von vornherein gewährleistet sein.“ Außerdem: „Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen.“
Schneller Umbau?
Es stellt sich die Frage, ob die bereits vorhandenen digitalen Dienstleistungen nun schnell umgebaut werden müssen. Laut der Verordnung haben die Verantwortlichen dafür Zeit. Bereits aktive Systeme oder solche, die bis Mitte 2022 in Betrieb genommen werden, dürfen von den Vorgaben abweichen – bis Ende 2022 oder „in begründeten Fällen“ sogar bis Januar 2024. Also zwei Jahre lang. Was solche Gründe für die Verlängerung sein können? Auch darauf haben wir bisher keine Antwort erhalten.
„Selbst wenn man nur einen Zettel ausfüllt, hat man die Vorgaben bis 2024 eingehalten“, kritisiert Atug. Damit meint er die vorgegebenen Selbsterklärungen. Darin sollen die Verantwortlichen auf einer Art Checkliste ausfüllen, welche Vorgaben der Verordnung und der konkretisierenden Technischen Richtlinien sie bereits umgesetzt haben. „Es sollte mittlerweile allgemein bekannt sein, dass wenn Leute ihre eigene Leistung bewerten sollen, sie wohl kaum dokumentieren, dass diese nicht zu ausreichenden Ergebnissen geführt hat“, schätzt die AG KRITIS die Selbstauskunft ein.
Nicht nur am Prozess, auch an der Ausgestaltung der Sicherheitsverordnung haben die Experten einiges zu bemängeln. Die alle drei Jahre vorgeschriebenen Penetrationstest für Systeme, die Schnittstellen zum Internet haben, seien zu wenig. Die vier Technischen Richtlinien, auf die die Verordnung etwa in Zusammenhang mit Nutzerkonten verweist, würden nicht genug Fragen abdecken.
IT-Sicherheit „mit Augenmaß“
Dass es hier nicht um das größtmögliche Maß an Sicherheit geht, legt auch eine Pressemitteilung zur neuen IT-Sicherheitsverordnung nahe: „Ein einheitliches Sicherheitsniveau ist wichtig für das Vertrauen der Bürgerinnen und Bürger sowie Unternehmen in staatliche Dienstleistungen“, heißt es dort von Bundes-CIO Markus Richter. Die Umsetzung des OZG ist unter den „innovativen Vorhaben“ seines Ressorts aufgeführt. Er sagt aber auch: „Genauso wichtig ist, dabei Augenmaß zu wahren und die mit großen Schritten voranschreitende OZG-Umsetzung nicht ohne Grund zu belasten“.
Angesichts der immer wieder auftretenden IT-Sicherheitsvorfälle in deutschen Verwaltungen verwundert diese Prioritätensetzung. Nach einem Ransomware-Befall im Landkreis Anhalt-Bitterfeld im Juli ist die dortige Datenwiederherstellung immer noch nicht abgeschlossen. Die Verwaltung war wochenlang arbeitsunfähig. Einige Dateien werden wohl für immer verloren sein, bisher sind zwei Millionen Euro Schaden entstanden. Auch der Landkreis Ludwigslust-Parchim arbeitet bis heute an der Bewältigung eines Ransomware-Falls und konnte deswegen lange etwa keine Coronazahlen melden.
Gerade vor diesem Hintergrund kann Atug den aktuellen Kurs bei der IT-Sicherheit für die Verwaltungen nicht verstehen: „BMI liefert so den kritische Infrastrukturen Sektor Staat und Verwaltung – also alle Behörden, Kommunen und Landkreise – wie auf einem Silbertablett kriminellen Banden aus. Wenn dann die Ransomware-Gangs nicht zuschlagen, weiß ich auch nicht mehr weiter.“ Ob man die aktuelle Verordnung heilen kann? Atug ist skeptisch: „Das ist prozedural schiefgelaufen. Jetzt die IT-Sicherheit nennenswert zu stärken und trotzdem den Zeitplan für das OZG einhalten, wird kaum möglich sein.“ Für ihn wirkt die Verordnung, als sei man „im Rahmen der Möglichkeiten stets bemüht“ gewesen.
Ob das für eine sichere, digitale Verwaltung reicht? Das wird sich zeigen.
Kurze Anmerkung: Der Link zu den Schäden im LK Anhalt-Bitterfeld, der hinter „zwei Millionen Euro Schaden entstanden“ stehen sollte, scheint fehlerhaft – oder die Landkreis-IT ist so dermaßen zerschossen, dass selbst ein einfaches Verlinken unmöglich ist ;)
Danke für den Hinweis, ist gefixt!