Digitalisierung

Verschläft NRW neue Vorgaben für die IT-Sicherheit?

Stand: 05.09.2024, 06:00 Uhr

NRW muss neue IT-Sicherheitsvorgaben machen. Das Digitalministerium sieht das anders. Darunter könnte die IT-Sicherheit leiden.

Von Philip Raillon

In NRW kommt es regelmäßig zu Cyberangriffen. In Südwestfalen wurden vergangenen Oktober mehrere Kommunen lahmgelegt, mit Auswirkungen bis heute. Auch die Landesregierung gerät oft ins Visier: rund 1,5 Millionen gefährliche E-Mails gingen beim Land NRW allein im vergangenen Dezember ein. Bislang ging das meist glimpflich aus.

Damit das so bleibt, ist ein hoher Sicherheitsstandard wichtig. Für diesen soll die sogenannten NIS2-Richtlinie sorgen. Die EU-Regel verpflichtet zur Einführung gewisser Mindeststandards an IT-Sicherheit. Bis Mitte Oktober sollen Regeln erlassen werden, die etwa zu Risikoanalysen und Schulungs- sowie Notfallmanagementkonzepten verpflichten. Die EU verlangt das nach Auffassung mehrerer Juristen, auch von den Landesregierungen für ihre Ministerien.

Sind NRW-Regeln für gute IT-Sicherheit ausreichend?

Das wäre nur entbehrlich, wenn ich heute sagen würde – mein Land ist schon so gut aufgestellt, dass ich alle Vorgaben erfülle. Und da habe ich ein Fragezeichen“, sagt Thorsten Behling, Anwalt und Professor an der Ruhr-Uni Bochum.

Doch das zuständige NRW-Digitalministerium sieht keinen akuten Handlungsbedarf. Für die Umsetzung sei allein die Bundesregierung zuständig. "Da sich das Bundesgesetzgebungsverfahren erheblich hinzieht, prüfen wir parallel, ob und wenn ja, wie das bestehende Regelungswerk zu ändern sein wird", erklärt ein Sprecher.

Ist Scharrenbach beratungsresistent?

Also: Prüfung ja, Ergebnis offen. Das sorgt nach WDR-Informationen selbst in anderen NRW-Ministerien für Verwunderung. NRW müsste zumindest einen entsprechenden Gesetzesentwurf längst auf den Weg gebracht haben, ist von zuständigen Beamten der Landesregierung zu hören. Offen will das keiner sagen.

Im Ministerium sei aber bekannt, dass das Land bis Mitte Oktober tätig werden müsse. Nur die zuständige Ministerin Ina Scharrenbach (CDU) höre - so heißt es - nicht auf die eigenen Beamten, sie sei an dieser Stelle beratungsresistent. Mit diesen Äußerungen aus Ministerien konfrontiert, antwortet ein Ministeriumssprecher von Scharrenbach, dass sich die "anonyme Quelle" irre.

Experte: Das NRW-Sicherheitsrecht gleicht einem Gemischtwarenladen

NRW-Bauministerin Ina Scharrenbach | Bildquelle: dpa/ Roland Weihrauch

Derzeit stützt das NRW-Digitalministerium seine IT-Sicherheitsmaßnahmen auf verschiedene Vorschriften. Dabei handelt es sich häufig um Leitlinien, die für die Ministerien nur eine Orientierung sind, nicht aber bindend. Die Regeln sind teils schon über 25 Jahre alt. "Das ist ein Gemischtwarenladen", kritisiert Dennis Kipker, Professor an der Universität Bremen. "Das führt dazu, dass das Risiko eines Cybersicherheitsvorfalls erheblich steigt", so der Experte für IT-Sicherheitsrecht.

Eine Lösung aus seiner Sicht: die Landesregierung müsste ihrer Umsetzungspflicht nachkommen. NRW könnte die EU-Vorgaben mit einer sogenannten Verwaltungsvorschrift oder mit einem richtigen Gesetz aufgreifen. Das NRW-Cybersicherheitsgesetz würde zum Beispiel für mehr Transparenz sorgen.

Der Gesetzesentwurf müsste im Landtag debattiert werden, Sachverständige würden öffentlich angehört. "Ein Gesetz hätte rechtsbindenden Charakter", sagt Rechtsanwalt Thorsten Behling. Geschieht das nicht, könnte es etwa bei der Risikoanalyse Schutzlücken geben, befürchtet Behling.

NRW-Gesetz hätte Bindungswirkung für die Ministerien

Letztlich entscheidend: Der Schutz vor Cyberangriffen würde mit einem NRW-Gesetz wohl deutlich verbessert. Die Vorgaben eines Gesetzes sind für die Ministerien verpflichtend. Das kann sich finanziell auswirken. Pflichtaufgaben werden nämlich bei Haushaltsverhandlungen in der Regel mehr berücksichtigt.

NRW-Digitalministerin Ina Scharrenbach berät das Thema zwar nicht im Landtag, derweil aber mit ihrem sogenannten Digitalbeirat. Das ist ein Gremium, das die Ministerin selbst einberufen hat und in dem Wirtschafts- und Kommunalvertreter sitzen. "Frau Ministerin Scharrenbach hat das Thema der Informationssicherheit in dieser Legislaturperiode als Top-Thema benannt", schreibt ein Sprecher.

Digitalbeirat berät über Rolle von Landesbetrieb IT NRW

Im Digitalbeirat sei es zuletzt auch um den Landesbetrieb IT NRW gegangen. IT NRW ist eine Tochtergesellschaft des Landes, die für IT-Fragen zuständig ist. Für besagten Digitalbeirat wurden die Auswirkungen der neuen EU-Vorgaben auf IT NRW geprüft. Durchgeführt wurde die Prüfung von IT NRW selbst. Das Ergebnis: Wenn auf Bundesebene die EU-Regeln bald umgesetzt sind, falle auch der Landesbetrieb darunter. Ansonsten ändere sich aber nichts, schreibt das Ministerium.

Der IT-Rechtswissenschaftler Dennis-Kenji Kipker in einer Bibliothek | Bildquelle: Harald-Rehling-Universität Bremen

Das stimme so nicht, meint der Bremer Rechtswissenschaftler Dennis Kipker. Wenn das Land die EU-Regeln nicht umsetze, werde für den Landesdienstleister IT NRW künftig der Bund zuständig sein. Das Bundesamt für Sicherheit in der Informationstechnik, das BSI, dürfte und müsste dann überprüfen, ob IT NRW für ausreichend Cybersicherheit sorgt.

Bundesaufsicht über IT NRW könnte zu "Verwaltungschaos" führen

Das könnte laut Kipker zu einem "Verwaltungschaos" führen. Das BSI müsste die verwaltungsinternen Abläufe prüfen, könnte womöglich teils auch Landesdaten einsehen. Für diese Aufgabe sei das BSI gar nicht ausgerüstet. "Es ist bekannt, dass das BSI schon jetzt am Rande der personellen Kapazitäten arbeitet", so Dennis Kipker.

Außerdem wisse das Bundesamt wohl nicht viel von den NRW-spezifischen Verwaltungsabläufen. Das Ergebnis, so befürchtet Kipker, sei ein Abfall des Cybersicherheitsniveaus bei der Landesregierung. Andere IT-Rechtler sehen das weniger negativ. Zwar sei es ein Bruch mit den föderalen Hierachien, wenn das BSI die Cyberaufsicht über IT NRW bekäme. Das BSI habe aber deutschlandweit auch die größte Kompetenz, so der Fachanwalt für IT-Recht, Karsten Bartels.

FDP-Opposition fordert NRW-eigenes Gesetz für Cybersicherheit

In der Opposition sorgt das bisherige Vorgehen in der IT-Sicherheit für Kritik. "Die NIS2 sollte eigentlich ein Katalysator sein", sagt SPD-Digitalpolitiker Sebastian Watermeier. Nun stehe die Landesregierung unter zeitlichem Druck. Das sei fahrlässig, ebenso wie die Zuständigkeit auf den Bund zu schieben.

Die FDP-Fraktion fordert eine klare und transparente Strategie für die Umsetzung der EU-Vorgaben. Fachpolitikerin Angela Freimuth hofft auf ein NRW-Gesetz, das im Parlament beraten wird. "Das bietet die Chance, Zuständigkeiten und Verantwortlichkeiten klarer und verbindlicher zu regeln und mehr Öffentlichkeit herzustellen", so Freimuth. Die Umsetzung müsse außerdem schnell erfolgen, damit die Cyberaufsicht für IT NRW nicht auf den Bund übergehe. "Ich habe den Eindruck, dass die Landesregierung sich der Verantwortung entziehen will", sagt die FDP-Politikerin.

Beide Oppositionsparteien sind aber auch selbstkritisch. Das Thema IT-Sicherheit und Umsetzung der europäischen NIS2-Richtlinie habe man womöglich bislang nicht ausreichend begleitet. Das wolle man nun ändern. Dafür hoffe man auf mehr Informationen und Transparenz durch die Landesregierung.

Quellen:

  • WDR-Reporter
  • NIS2-Richtlinie
  • Gesetzesmaterialien NIS2UmsuCG
  • WDR-Anfragen NRW-Digitalministerium
  • WDR-Interviews mit IT-Rechtlern
  • WDR-Anfragen SPD- und FDP-Fraktion

Über dieses Thema berichtet der WDR am 05.09.2024 auch im Hörfunk in der Sendung Westblick auf WDR 5.