Vor dem Hintergrund der Cyberangriffe in den letzten Tagen auf den IT-Dienstleister Count + Care äußerte sich der digitalpolitische Sprecher der SPD-Landtagsfraktion Bijan Kaffenberger wie folgt:
„Die IT-Angriffe auf den Darmstädter Energieversorger Entega, die Stadtwerke Mainz, den Frankfurter Entsorger FES sowie Stadt- und Gemeindeverwaltungen im Odenwaldkreis zeigen auf, es ist wichtiger denn je, dass wir uns in Deutschland verstärkt auf Angriffe auf kritische Infrastrukturen und die Verwaltung vorbereiten müssen.
Obwohl alle Kommunen den BSI-Sicherheitsstandard erfüllen sollen besteht leider vielerorts noch Nachholbedarf und teils existieren auch Sicherheitslücken. Dass es weiterer Impulse bedarf, zeigt auch eine Auswertung unserer Berichtsanträge zur IT-Sicherheit der hessischen Kommunen. Die Kommunen können Beratung bzgl. IT-Sicherheitsmaßnahmen über das das Kommunales Dienstleistungszentrum Cybersicherheit (KDLZ-CS) in Anspruch nehmen. Der sogenannte Reifegrad (0-7) stellt dabei das Level der Umsetzung der IT-Sicherheitsmaßnahmen in Zusammenarbeit mit der (KDLZ-CS) dar, wobei der maximal zu erreichende Reifegrad bei 10 liegt. Die Auswertung zeigt: Besonders bedroht sind die kleinsten Gemeinden. Bei Mittelstädten und Großstädten gibt es zumindest einen Reifegrad von 3 oder mehr, bei Kleinstädten oder Gemeinden liegt der Durchschnitt nur bei 2,5.
Das liegt daran, dass sie keine eigenständigen IT-Sicherheitskräfte haben, weil sie zu klein seien. Dieses Problem lässt sich nur von der übergeordneten staatlichen Ebene regeln – über Finanzierung oder Regelungskompetenz. Es brauche dringend Weiterbildungsangebote in der Fläche. Das Thema IT-Sicherheit gehört ganz oben auf der Agenda im hessischen Innen- und Digitalministerium. Denn es darf nicht allein die Aufgabe der Kommunen sein, als freiwillige Leistung Geld in IT-Sicherheit zu investieren. Die bisherigen Maßnahmen des Landes zur Digitalisierung der Kommunen wurden leider aus der „Heimatumlage“ finanziert. Diese Gewerbesteuerumlage, mit der die Kommunen ihren Anteil am Aufbau Ost geleistet hatten, war Anfang 2020 bundesweit weggefallen. Nur in Hessen nimmt das Land dieses Geld der Kommunen für eigene Vorhaben dabei wäre es gerade hier mit originären Landesmitteln in der Pflicht. Digitalisierung und IT-Sicherheit müssen ein fester Teil der Kommunalfinanzierung sein.
Die Einrichtung des Hessischen Cyberkompetenz-Centers (Hessen3C) stellt einen Schritt des Landes in die richtige Richtung dar. Dort wurden zwar erste Angebote geschaffen, die die Kommunen nutzen können und sollten. Dies darf aber keinesfalls die einzige Maßnahme bleiben. Denn die Existenz einer solchen beratenden Einrichtung schafft noch keine umfassende IT-Sicherheit. Um dieses Ziel zu erreichen, müsste das Hessen3C stärker proaktiv auf die kommunale Familie zugehen und mit den Verwaltungsspitzen persönlich in Kontakt treten. Oder sollte das Land gleich weitere Maßnahmen für die IT-Sicherheit in den Kommunen als Pflichtaufgabe definieren und klare kommunalrechtliche Regelungen schaffen? Dies hätte wenigstens aus Konnexitätsgründen zur Folge, dass auch die entsprechend notwendigen finanziellen Mittel bereitgestellt würden und gewährleistet wäre, dass die Digitalisierung im Gleichschritt mit der IT-Sicherheit in einem verbindlichen Rahmen erfolgt.
Zudem muss die Finanzierung von kommunaler IT-Sicherheit sichergestellt und klare Regeln geschaffen werden. Es ist nicht akzeptabel, dass die Resilienz unserer IT-Infrastruktur auf dem Zufallsprinzip oder dem Prinzip Hoffnung beruht.“