Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist.

Landesregierung sieht ihre IT-Sicherheit eher gemütlich

Stand: 04.12.2024, 11:57 Uhr

Die Landesregierung muss EU-Vorgaben zur IT-Sicherheit umsetzen. Damit lässt sie sich viel Zeit. Wie gefährlich ist das?

Von Portrait von Philip Raillon vor grauem HintergrundPhilip Raillon

Jedes Jahr gibt es unzählige IT-Angriffe auf die Landesregierung und die nachgeordneten Behörden. Laut Innenminister Herbert Reul landeten im vergangenen Dezember 10.000 gefährliche E-Mails in den Postfächern landeseigener Rechner.

Was alles bei einem erfolgreichen Cyber-Angriff passieren kann, zeigte sich vor gut einem Jahr bei der Südwestfalen-IT: Wochenlang legte der Angriff krimineller Hacker die Verwaltung mehrerer Städte lahm. 22.000 Rechner waren nutzlos, Telefon und E-Mail funktionierten nicht, Rathäuser blieben geschlossen. 1,6 Millionen Bürger waren betroffen.

Monatelang hatten die Städte und Gemeinden mit den Folgen mangelhafter IT-Sicherheit zu kämpfen. Zwar gehören Kommunen nicht zur Landesverwaltung, der Vorfall zeigt aber das große Interesse von Hackern an öffentlicher Infrastruktur. In der Vergangenheit waren auch der Landtag und Universitätskliniken Ziel solcher Attacken.

Die Beispiele zeigen, wie wichtig das Thema IT-Sicherheit inzwischen ist. Die Europäische Union (EU) macht mit einer Richtlinie konkrete Vorgaben dafür. Die gelten auch für die Landesverwaltung und nachgeordnete Behörden, etwa das Landesamt für Besoldung. Die EU-Vorgaben sehen zum Beispiel eine Multifaktor-Authentifizierung vor und einen Notfallplan für den Fall eines Cyberangriffs.

Kein Überblick, wie die IT-Sicherheit wirklich aufgestellt ist

Ein Großteil der EU-Vorgaben sei längst für die NRW-Ministerien verpflichtend, so das zuständige Ministerium von Ina Scharrenbach (CDU). Dafür sorgten schon lange verschiedene interne Regelungen. Soll heißen: Es bestehe kein akuter Handlungsdruck.

Seit 1998 richtet sich die Landesregierung unter anderem nach dem sogenannten BSI-Grundschutz. Dahinter steckt ein Sicherheitsstandard, das seitdem mehrfach angehoben wurde.

Experten bewerten ihn als gut. Doch es gibt einen Haken: Ob sich alle daran halten, erscheint völlig offen. „Die Ressorts sind in eigener Zuständigkeit für die Umsetzung verantwortlich“, so ein Sprecher des Ministeriums.

Nach EU-Richtlinie „NIS 2“ reicht das aber nicht. Sie fordert eine „Zentralstelle mit Aufsichts- und Durchgriffsrechten“, so das Ministerium. Doch eine solche Stelle gibt es in der Landesregierung bis heute nicht.

Experte: Fehlende Kontrolle ist riskant

Dabei wäre die systematische und unabhängige Überprüfung der IT-Sicherheit essenziell. Der TÜV Rheinland, der solche Tests anbietet, schreibt auf WDR-Anfrage: „Die eigene fortlaufende Überprüfung und Anpassung von IT-sicherheitstechnischen Maßnahmen ist maßgeblich dafür, dass diese Maßnahmen funktionieren und wirksam sind“, so Jens Langguth , IT-Sicherheits-Experte beim TÜV Rheinland. Mit anderen Worten: Jede Regel ist nur so gut wie deren Kontrolle.

Die rechtliche Grundlage für eine solche Zentralstelle in NRW müsste es längst geben. Dafür hatte das Land nach den EU-Regeln bis Mitte Oktober Zeit. Doch bislang ist keine entsprechende Regel in Kraft.

Nach WDR-Informationen war bei den Fachleuten der NRW-Ministerien länger bekannt, dass die Regierung aktiv werden müsste. Ministerin Ina Scharrenbach habe darauf nicht hören wollen, klagen beteiligte Fachleuten eines anderen Ministeriums. Der WDR hatte über das Thema bereits Anfang September berichtet.

Zuständiges Ministerium war frühzeitig gewarnt

Nach WDR-Informationen hat Ministerin Scharrenbach mittlerweile einen Vorschlag unterbreitet. Dabei handelt es sich um eine Verwaltungsvorschrift, also eine rein interne Reglung - und nicht um ein formelles Gesetz. Diese Verwaltungsvorschrift hätte schon durch das Landeskabinett gehen sollen, wurde aber nach WDR-Informationen zurückgezogen. Es gab wohl noch Beratungsbedarf.

NRW-Bauministerin Ina Scharrenbach

Ina Scharrenbach, NRW-Ministerin für Digitales

Ein Streitpunkt scheint demnach zu sein, ob man die Regeln doch besser per Gesetz umsetzen sollte. Das kann nur der Landtag. „Verwaltungsvorschriften können genauso leicht kassiert werden, wie sie geschaffen werden“, sagt Karsten Bartels, Rechtsanwalt und Vize-Vorsitzender des Bundesverbandes für IT-Sicherheit TeleTrusT. Wegen des hohen Stellenwertes gehöre das Thema ins Parlament.

Datenschutzbeauftragte fordert Gesetz

Ein weiterer Vorteil eines Gesetzes: Würden darin die Mindeststandards festgeschrieben, müssten dafür auch Haushaltsmittel zur Verfügung gestellt werden. Der Landtag könnte außerdem Fachleute angehören. All dies würde bei einer Verwaltungsvorschrift wegfallen.

Auch die Landesdatenschutzbeauftragte Bettina Gayk spricht sich für ein Gesetz statt einer internen Regelung aus. Sie wurde in dem Verfahren um Einschätzung gebeten, da auch der Datenschutz betroffen ist.

Bettina Gayk, Landesdatenschutzbeauftragte

Landesdatenschutzbeauftragte Bettina Gayk

Gayk geht es aber nicht einfach nur um die Frage Verwaltungsvorschrift oder Gesetz. Sie hat weitere Kritikpunkte. Die EU-Regel verpflichte etwa, Computer-Notfall-Teams einzurichten. Das fehle bislang im Scharrenbach-Vorschlag.

Opposition drängt auf EU-Vorgaben

Für die Opposition ist das Ganze nicht nachvollziehbar. FDP und SPD im Landtag hatten das Thema zuletzt mit mehreren Kleinen Anfragen angepackt. Die FDP spricht nun von einer „vertanen Chance“, wenn es nur per interner Verwaltungsvorschrift geregelt wird. „Das Land sollte Vorbild geben. Cybersicherheit ist kein Nischenthema“, sagt Angela Freimuth (FDP).

EU Symbolbild zum Thema Europa und Digitalisierung.

Thema Europa und Digitalisierung

Dabei denke sie auch an die etwa 30.000 Unternehmen, die bundesweit von den neuen EU-Vorgaben betroffen sind und oftmals zehntausende Euro investieren müssen. Die SPD-Fraktion sieht die Verantwortung bei der zuständigen Ministerin Scharrenbach. Dort sei viel Zeit vertan worden, die für eine rechtzeitige Umsetzung der EU-Vorgaben nötig gewesen wäre.

Es gibt keine abgestimmte Digitalisierungsstrategie und die Zuständigkeiten innerhalb der Regierung sind nicht geklärt“, sagt Sebastian Watermeier, digitalpolitischer Sprecher der SPD. Dabei habe seine Fraktion diese mehrfach eingefordert. „Digitalisierung ist für Schwarz-Grün nicht mehr als ein Thema für Sonntagsreden“, so das Fazit des Oppositions-Politikers.

Ministerium: "laufender Willensbildungsprozess"

Das Ministerium reagiert auf WDR-Anfrage zur Stellungnahme der Datenschutzbeauftragten und dem weiteren Vorgehen schmallippig. Man befinde sich derzeit in einem Willensbildungsprozess und bitte daher um Verständnis für ausbleibende Antworten, so ein Ministeriumssprecher.

Quellen:

  • eigene Recherchen des Autors
  • Interview TÜV Rheinland
  • Stellungnahme der Datenschutzbeauftragten
  • Stellungnahmen von Digital-Ministerium, SPD-Fraktion, FDP-Fraktion nach WDR-Anfrage

Über dieses Thema berichtet der WDR am 3.12.2024 auch im Hörfunk in der Sendung Westblick auf WDR 5.

Weitere Themen

Politik für 18 Millionen - Der Newsletter für Politik in NRW

18 Millionen. Der WDR-Newsletter für Politik in NRW

Einmal die Woche kommt jetzt aktuelle Politik direkt in Ihr Postfach: für alle, die wissen wollen, welche Themen NRW bewegen, für politisch Interessierte, Aktive, Gewählte, für Politik-Nerds. Hier gehts zur Anmeldung.  |  mehr

Weitere Beiträge

Die vier Hosts von klima.neutral

@klima.neutral - Der Instagramkanal zur Klimapolitik

Was hat die Klimakrise mit mir zu tun? Welche Maßnahmen der Politik helfen wirklich? Und welchen Akteuren sollten wir jetzt zuhören?  |  mehr

18 Millionen steht vor der Fläche des Landes NRW

18 Millionen. Der Politik-Podcast für NRW

In Sichtweite des Landtag präsentiert die am besten informierte Politik-Redaktion des Landes das Thema der Woche.  |  mehr

Blick Plenarsaal im Landtag NRW

Das Landtagsblog

Lustiges, Anekdotisches, Hintergründiges - es ist nicht immer hohe Politik, die sich im Düsseldorfer Landtag abspielt.  |  mehr

Plenarsaal des Landtags NRW

Landtagswahl NRW 2022

Hier gibt es Zahlen, Analysen und Hintergründe zur Landtagswahl in NRW.  |  mehr

Mitglieder der landespolitischen Redaktion des WDR

Wir über uns: Die landespolitische Redaktion des WDR

Wir stellen Ihnen die Menschen vor, die für die Landespolitik und die verschiedenen Sendungen arbeiten.  |  mehr

Logo WESTPOL

Westpol

Westpol ist das politische Fernsehmagazin für Nordrhein-Westfalen, aktuell und kritisch, investigativ und hintergründig. Neues zur Politik im Westen gibt es sonntags um 19:30 Uhr.  |  mehr

Symbolbild Westblick: Kompass zeigt nach Westen

WDR 5 Westblick

In aktuellen Reportagen, Beiträgen und Kommentaren berichtet Westblick über Gesellschaft, Politik, Wirtschaft, Kultur und Sport in Nordrhein-Westfalen. Westblick liefert Fakten und Hintergründe.  |  mehr

App-Symbol: WDR aktuell

Die App WDR aktuell begleitet euch durch den Tag

Du suchst eine App, die dich so durch den Tag in NRW begleitet, um jederzeit mitzureden? Die WDR aktuell App bietet genau das.  |  mehr

Darstellung: zum Seitenanfang