IT-Check für Kommunen: Millionen-Ausgabe mit fraglicher Wirkung

Stand: 02.01.2025, 06:13 Uhr

Das Land spendiert den Kommunen einen Test der IT-Sicherheit. Nach WDR-Rechercheren prüft der Test aber nur ein niedriges Level.

Von Philip Raillon

Im Oktober 2023 gingen in über 70 NRW-Kommunen die Computer aus. Ein kommunaler IT-Dienstleister, die Südwestfalen IT, war Opfer eines Hackerangriffs geworden. Die Systeme und damit viele Dienstleistungen fielen aus: Autoanmeldungen oder Anträge für Reisepässe waren eingeschränkt, teils für Wochen.

Gegen solche Angriffe braucht es eine gute IT-Sicherheit. Das Digitalministerium in Düsseldorf reagierte auf den Vorfall in Südwestfalen mit einem IT-Sicherheitscheck für die Kommunen. Die Kosten trägt das Land. Es schloss einen Rahmenvertrag mit dem IT-Dienstleister Bechtle.

Bechtle ist indirekt im Beratungsgremium der Ministerin vertreten

Bechtle ist ein Unternehmen aus Baden-Württemberg, das in der Branche als gut gilt. Über den Branchenverband Databund ist Bechtle indirekt im NRW-Digitalbeirat vertreten, einem Beratungsgremium von Ministerin Ina Scharrenbach.

Der Haken an dem Vertrag zwischen Land und Bechtle: Das Ministerium schrieb den IT-Sicherheitscheck nicht öffentlich aus. Eine Ausschreibung soll das beste Angebot hervorbringen und so Kosten sparen, sagt Olaf Otting, Rechtsanwalt und Vorsitzender des Fachausschusses für Vergaberecht beim Deutschen Anwaltverein.

Keine Ausschreibung wegen Dringlichkeit des IT-Sicherheitschecks?

Das Ministerium erklärt die unterlassene Ausschreibung mit einer großen „Dringlichkeit“ nach dem Hackerangriff. Behörden können in Ausnahmefällen auf eine Ausschreibung verzichten, wenn die Situation so eilig ist, dass selbst eine kurze Ausschreibung zu lange dauern würde. Und selbst dann muss die Behörde einzelne Vergleichsangebote einholen.

Beides tat das Land nicht. Das geht aus einer Bekanntmachung auf einer EU-Plattform hervor. Im Fall des IT-Sicherheitschecks sieht Otting aber auch keine Dringlichkeit gegeben. Dafür spreche schon, dass das Land den Vertrag erst Ende Januar abschloss, also drei Monate nach dem Angriff auf die Südwestfalen IT. Und, dass die Kommunen den Test freiwillig wahrnehmen können.

Land rechnete mit über fünf Millionen Euro Kosten

Rechtliche Auswirkungen hat der falsche Umgang laut Otting jetzt aber nicht mehr. Unklar ist aber noch, wie viel der Vertrag das Land am Ende kostet. Das Ministerium kalkulierte im Frühjahr auf besagter EU-Plattform mit über fünf Millionen Euro.

Den Kommunen sei im Rahmen einer Online-Konferenz das Angebot vorgestellt worden, heißt es in einem Bericht der Landesregierung. Zahlreiche der insgesamt über 400 Städte und Kreise im Land hätten daraufhin Interesse an dem Check bekundet – bis Mitte September waren es etwa 350.

Große Städte, darunter Köln und Aachen, hatten zwar Interesse und teils sogar schon einen Termin vereinbart. Ihnen wurde vom Land und dem IT-Dienstleister aber abgesagt. Man wolle sich auf kreisangehörige Städte fokussieren, habe es geheißen.

IT-Test prüft nicht das empfohlene Mindestniveau für Kommunen ab

Das lässt an der Sinnhaftigkeit des Tests zweifeln. Laut Bundesamt für Sicherheit in der Informationstechnik, dem BSI, fragt der Test des Unternehmens Bechtle nicht das BSI-Niveau „Weg in die Basisabsicherung“, kurz WiBa, ab. Dieses hat das BSI als Mindestsicherheitsniveau für Kommunen entwickelt.

„Aus Sicht des BSI sollten WiBa und letztlich der IT-Grundschutz aber das kurz- bis mittelfristige Ziel für das Schutzniveau der Kommunen sein“, so ein Sprecher. „Ich frage mich schon, warum der nicht angewandt wird. WiBa ist extra für kleine Kommunen entwickelt. Alles was nochmal unter dem WiBa bleibt, ist dann eigentlich nicht gut genug“, sagt Jens Langguth, IT-Sicherheits-Experte beim TÜV Rheinland.

Wenn der vom Land spendierte Test ein niedrigeres Niveau abfragt als die Kommune vorhält, könne der Test quasi umsonst sein. Das hieße dann aber noch nicht, dass das Niveau der BSI-Empfehlung entspreche.

Scheitert es am Ende am Geld?

Warum Bechtle und Land sich für diesen Test entschieden haben, wollten beide auf WDR-Anfrage nicht beantworten. „Der „IT-Check für Kommunen“ im Land Nordrhein-Westfalen unterstützt Kommunen bei der Identifikation von Schwachstellen“, so ein Ministeriumssprecher.

Für Norbert Pohlmann gibt es für den Test nur eine Erklärung: Zu wenig Geld. „Es ist besser den Bechtle-Test mit dem verfügbaren Geld zu machen, als nichts zu machen. Die Kritik daran ist aber gerechtfertigt. Trotzdem ist es ein guter erster Schritt“, so der Professor für IT-Sicherheit an der Westfälischen Hochschule Gelsenkirchen.

Fraglich bleibt, was mit gefundenen Schwachstellen geschieht. Das Schließen kann teuer sein. Das Ministerium verweist da auf die Verantwortung der Städte und Gemeinden, die daher auch die Kosten tragen müssten.

Städte und Opposition im Landtag fordern Finanzhilfen

„Eine Beteiligung an der Sicherung der digitalen Infrastruktur wäre sachlich gerechtfertigt“, sagt Wittens IT-Dezernent Matthias Kleinschmidt. Er musste seine Stadtverwaltung schon aus den Folgen eines Hackerangriffs führen. Andere Städte wie Leverkusen oder Warendorf gehen bei der Forderung nach Geld für die IT-Sicherheit mit.

Unterstützung bekommen sie von SPD- und FDP-Fraktion im Landtag. Die SPD fordert das Land auf, Finanzmittel freizumachen. Zum IT-Sicherheitscheck kündigt Sebastian Watermeier (SPD) weitere Fragen im nächsten Digitalausschuss an. Er habe den Eindruck, dass „hier etwas an den gesetzlich vorgeschriebenen Wegen vorbei schnell unter Dach und Fach gebracht werden sollte.“

Und FDP-Digitalpolitikerin, Angela Freimuth, fordert Nachbesserungen bei dem IT-Check. „Es wäre mehr als wünschenswert, dass IT-Checks stärker auf die spezifischen Bedürfnisse und Sicherheitsanforderungen aller Kommunen, unabhängig von ihrer Größe, abgestimmt sind“, so die Politikerin.

Quellen:

Über dieses Thema berichtet der WDR am 02.01.2025 auch im Hörfunk in der Sendung Westblick auf WDR 5.