Innenstaatssekretär Martin Rößler hat zusammen mit dem Gießener Regierungspräsidenten, Dr. Christoph Ullrich, den zweiten regionalen Cybersicherheitsgipfel unter dem Motto „Cybersicherheit erleben – praxisnah und vor Ort“ eröffnet. Vor Vertreterinnen und Vertretern der Kommunen aus Mittelhessen wies Martin Rößler im Alten Schloss Gießen auf die Gefahr von Cyberangriffen, die Notwendigkeit zu kommunaler Vorsorge, aber auch auf die umfangreichen Beratungs- und Unterstützungsangebote des Landes Hessen hin. Dabei hob er insbesondere das neue Aktionsprogramm Kommunale Cybersicherheit (AKC) hervor.
Bedrohungslage im Cyberraum steigt
Beim Cybersicherheitsgipfel in Gießen wies Innenstaatssekretär Martin Rößler auf die stetig steigende Notwendigkeit hin, IT-Systeme und Daten vor Cyberangriffen zu schützen: „Die Bedrohungslage im Cyberraum ist größer denn je. Die Zahl der Cyberangriffe steigt, die Attacken richten sich gleichermaßen gegen den Staat, seine Behörden, die Politik und Wirtschaftsunternehmen. Staatliche Akteure aus dem Ausland versuchen, durch die Verbreitung von Desinformation Einfluss auf den demokratischen Meinungsbildungsprozess zu nehmen oder durch Cyberspionage an sensible Informationen zu gelangen. Kriminelle Akteure zielen darauf ab, mit Ransomware-Angriffen Geld zu erpressen. All das stellt eine erhebliche Bedrohung für Staat und Wirtschaft dar.“
An die Kommunen appellierte der Innenstaatssekretär vor dem Hintergrund dieser aktuellen Herausforderungen, die Eigenvorsorge im Bereich der IT-Sicherheit nicht zu vernachlässigen: „Alle Stellen müssen ihre ‚Cyberhausaufgaben‘ machen und die Widerstandsfähigkeit ihrer IT-Systeme gegenüber Cyberangriffen erhöhen. Wir wissen, dass die Gewährleistung der Informationssicherheit Städte und Gemeinden finanziell und personell fordert. IT-Sicherheit ist aber unverzichtbar, weil Cyberangriffe weitreichende Folgen haben und die öffentliche Verwaltung über einen längeren Zeitraum lahmlegen können. Das Land Hessen lässt seine Kommunen in dieser herausfordernden Situation nicht allein: Das Hessen3C steht den Kommunen mit seinen vielfältigen Beratungs- und Unterstützungsangeboten schon seit fünf Jahren als Partner zur Seite.“
Neues Aktionsprogramm Kommunale Sicherheit
Auf dem Cybersicherheitsgipfel wurde das neue Aktionsprogramm Kommunale Cybersicherheit vorgestellt: „Mit dem Aktionsprogramm Kommunale Cybersicherheit heben wir unsere Unterstützung für Kommunen auf eine neue Ebene und helfen ihnen noch passgenauer, sich gegen Cyberangriffe zu wappnen. Die einzelnen Unterstützungsangebote sind exakt an den Bedarfen ausgerichtet, die uns Fachvertreter aus Landkreisen, Städten und Gemeinden genannt haben. Als Land Hessen leisten wir mit dem neuen Programm einen Beitrag zum Schutz kommunaler IT-Infrastrukturen. Letztlich dient das Unterstützungsangebot dem Ziel einer resilienteren hessischen Verwaltung. Mein besonderer Dank gilt den kommunalen Spitzenverbänden, die sich an der Entwicklung des neuen Aktionsprogramms intensiv beteiligt haben. Dass so viele Vertreterinnen und Vertreter aus den mittelhessischen Kommunen gekommen sind, um sich über das Thema Cybersicherheit zu informieren, zeigt den großen Bedarf an aktuellen Informationen, aber auch den Bedarf nach Austausch und Vernetzung. Als Land Hessen werden wir den Kurs der Unterstützung unserer Kommunen mit Beratungsangeboten und Veranstaltungsformaten konsequent fortsetzen. Der Schutz der IT-Systeme und Daten in der öffentlichen Verwaltung ist eine Aufgabe, die am besten durch Zusammenarbeit und Kommunikation zwischen den beteiligten Akteuren aller Ebenen bewältigt werden kann“, so Martin Rößler.
Auch Gießens Regierungspräsident Dr. Christoph Ullrich hob die Bedeutung des Schutzes von IT-Infrastrukturen und Daten hervor: „Cybersicherheit ist keine Option, sondern eine Notwendigkeit. Sie bildet das Fundament für die Funktionsfähigkeit unserer Verwaltungen und damit für das Vertrauen der Bürgerinnen und Bürger in den Staat. In einer zunehmend digitalisierten Welt ist sie nicht weniger als die Voraussetzung dafür, dass unsere Demokratie auch im digitalen Raum Bestand hat.“
Passgenaue Unterstützungsangebote für Kommunen
Das neue Aktionsprogramm Kommunale Cybersicherheit, für das dieses und kommendes Jahr mehr als 1,5 Millionen Euro zur Verfügung stehen, deckt folgende vier Handlungsfelder ab, die zuvor gemeinsam mit den Kommunalen Spitzenverbänden identifiziert wurden:
- Sichere Kommunalnetze: Das bestehende Angebot des Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZ-CS) einer fachlichen Prüfung der IT-Infrastruktur auf ihre technische Resilienz und Verbesserungspotentiale (bereits genutzt von 325 von 442 hessische Kommunen) wird ergänzt durch die Möglichkeit der Durchführung eines Pentests. Hierbei wird ein gezielter Cyberangriff gegen das IT-System der jeweiligen Kommune simuliert. Somit werden Defizite und Schwachstellen in der jeweiligen IT-Infrastruktur zur aktiven Härtung der Systeme identifiziert.
- Praktische Notfallhilfe: Kommunen, die Opfer eines Hackerangriffs geworden sind, können für die ersten fünf Einsatztage kostenlos die Dienste eines Incident Response Service (ISR) in Anspruch nehmen. Dabei analysieren Expertinnen und Experten Datenträger und Netze, um den Sicherheitsvorfall für die Einleitung weiterer Maßnahmen (Wiederherstellung der IT-Systeme) aufzuklären. Dieser Dienst steht zeitnah zur Verfügung (Voraussetzung: Teilnahme der Kommune an einem professionellen Check der IT-Infrastruktur im Rahmen des KDLZ-CS mit Umsetzung der empfohlenen fortgeschrittenen Maßnahmen; zur Aufnahme in die Nutzerliste IRS ist die vorherige Teilnahme an einem kostenpflichtigen Workshop des externen Dienstleisters notwendig).
- Notfallmanagement: Mit dem Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K) bietet das Land bereits seit Mai 2022 ein niederschwelliges Schulungs- und Weiterbildungsangebot im Bereich betriebliches Kontinuitätsmanagement bzw. Business Continuity Management (BCM) für die Mitarbeiterinnen und Mitarbeiter hessischer Kommunen an. 255 Kommunen haben das Angebot zur Erstellung eines BCM bereits wahrgenommen und damit die Grundlage für eine umfassende Notfallplanung erhalten. Kommunen, die an dieser Schulung bereits teilgenommen haben, erhalten nun individuelle Unterstützung bei der Erstellung ihres Business Continuity Managements durch Expertinnen und Experten vor Ort.
- Awareness: Kommunen stehen fortan eLearning-Angebote zur Verfügung, um ihre Mitarbeiterinnen und Mitarbeiter mit Blick auf Cyberrisiken im täglichen Dienstbetrieb zu sensibilisieren und im richtigen Umgang mit diesen zu schulen.
Das Aktionsprogramm Kommunale Cybersicherheit ergänzt die bestehenden Maßnahmen des Hessen3C im Bereich der Beratung und Information. Dazu gehören die Angebote des Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZ-CS), des Hessischen Cyberabwehrausbildungszentrums Land/Kommunen (HECAAZ L/K) und der Notfallhilfe bei einem IT-Vorfall mit der rund um die Uhr erreichbaren Notfall-Hotline (Computer Emergency Response Team). Zu den Maßnahmen des Hessen 3C gehören außerdem das Mobile Soforthilfe-Paket-Kommunikation (25 Laptops mit autarker Kommunikationstechnik) und die Förderung der interkommunalen Zusammenarbeit von Kommunen im Bereich Cybersicherheit.
Hintergrund:
Das Hessen CyberCompetenceCenter (Hessen3C) hat das neue Aktionsprogramm Kommunale Cybersicherheit im vergangenen Jahr in enger Abstimmung mit den kommunalen Spitzenverbänden und mit Fachvertretern aus den Landkreisen, Städten und Gemeinden entwickelt. Den ersten regionalen Cybersicherheitsgipfel dieses Jahres – für die Region Südhessen – hatte Innenminister Roman Poseck am 30. Oktober in Darmstadt eröffnet, der dritte Gipfel für die Region Nordhessen wird am 29. November in Kassel stattfinden. Die Veranstaltungsreihe soll Vertreterinnen und Vertretern von Kommunen ein Forum für Informationen zum Thema IT-Sicherheit, für gegenseitige Vernetzung und den Austausch von Erfahrungen bieten.
