Keywords
IT-Sicherheitsgesetz, IT-Sicherheitsrecht, Resilienz, hybride Bedrohungen, kommunale Verwaltung, NIS2
Zusammenfassung
Prof. Dr. Dennis-Kenji Kipker, Mitgründer des Cyber Intelligence Institute und Berater an allen Fronten, analysiert, warum Cybersicherheit auch mit NIS2 in Deutschland so kompliziert ist, und gibt Einblicke in die Cybersicherheitsrealität in kommunalen Verwaltungen. Der Podcast entstand kurz vor Verabschiedung des NIS2UmsuCG.
Kernargumente
Kommunale Anlagen, insbesondere Rechenzentren, sind nicht ausreichend geschützt.
Die Bundesregierung formuliert in der IT-Sicherheits-Gesetzgebung zu viele Ausnahme- und Sonderregelungen.
Manche (eigentlich kritische) Entitäten müssen dadurch nicht mal die Mindeststandards einhalten.
Bei kommunaler Cybersicherheit geht es um die Gewährleistung von Grundrechten der Bevölkerung und um die staatliche Daseinsvorsorge.
Eine Strategie ist nichts wert, wenn sie nicht umsetzbar ist.
Deutschland leidet unter Verantwortungsdiffusion mit über 77 Akteuren. Diese Komplexität der Bundesbehörden muss verringert werden.
Die Position “CISO Bund” braucht eine klare Definition der Aufgaben, Rechte und Pflichten.
Genau wie in Unternehmen müssen Verantwortlichkeiten auch auf kommunaler Ebene klar zugewiesen und mit entsprechendem Budget und Personal gedeckt werden.
In den Kommunen müssen überhaupt erst einmal die Grundlagen der und ein Verständnis für Cybersicherheit erlernt werden.
Die Angst vor vermeintlicher Komplexität kann durch schrittweise Priorisierung der Aufgaben genommen werden.
In der Verwaltung sollten die Möglichkeiten der Fort- und Weiterbildung gezielt für Cybersicherheit genutzt werden.
Gut gesagt
Der Bund tut sich schwer damit, wirklich in Cybersicherheit zu investieren.
Die deutsche Cybersicherheitsarchitektur ist ein Wimmelbild der Verantwortungsdiffusion.
Die Hauptprobleme sind fehlende klare Führung, unzureichende Koordination, eine mangelnde zentrale Strategie und Durchsetzung.
Die Leute in den Verwaltungen müssen verstehen, dass es bei Multi-Faktor-Authentifizierung nicht darum geht, dass sie 30 Sekunden länger brauchen, um sich bei einem System anzumelden, sondern dass sie eine kritische Versorgungsfunktion, eine Dienstleistungsfunktion für die Öffentlichkeit einnehmen.
Ein Gremium allein bringt keine Cybersicherheit.
Kapitel
00:00 Vorstellung
01:30 Bericht des Bundesrechnungshofes zur Sicherheit kommunaler Einrichtungen
05:19 Das Problem der deutschen Verantwortungsdiffusion
06:31 Zu den Ausnahme- und Sonderregelungen für Bundeseinrichtungen im NIS2-Umsetzungsgesetz
09:22 Konsens finden innerhalb der förderalen Struktur
13:28 Von der wirtschaftlichen Cybersicherheit zur kommunalen Cybersicherheit
18:00 Cybersicherheit in kommunalen Verwaltungen aufbauen
22:37 Rolle von Akteuren wie dem Cyber Intelligence Institute
23:55 Verabschiedung
.webp)