Innenminister Roman Poseck hat den ersten von drei regionalen Cybersicherheitsgipfeln unter dem Motto „Cybersicherheit erleben – praxisnah und vor Ort“ im Regierungspräsidium Darmstadt eröffnet. Vor Vertreterinnen und Vertretern von Kommunen aus Südhessen stellte Roman Poseck auf der Veranstaltung neue Beratungs- und Unterstützungsangebote des Aktionsprogramms Kommunale Cybersicherheit (AKC) vor. Diese Maßnahmen entwickelte das Hessen CyberCompetenceCenter (Hessen3C) im vergangenen Jahr in enger Abstimmung mit den Kommunalen Spitzenverbänden sowie mit Fachvertretern aus den Landkreisen, Städten und Gemeinden.
Zu den neuen Beratungs- und Unterstützungsleistungen des Hessen3C führte Innen- und Heimatschutzminister Roman Poseck aus: „Die zahlreichen Vorteile der Digitalisierung können auch in Verwaltungen nur vollumfänglich genutzt werden, wenn es uns weiterhin gelingt, IT-Systeme und Daten vor Cyberbedrohungen bestmöglich zu schützen. Dabei gilt im digitalen Raum wie in der analogen Welt, dass es absolute Sicherheit nicht geben kann. Deshalb muss gezielt die Widerstandsfähigkeit – die Resilienz – von IT-Systemen erhöht werden, um es Angreifern so schwer wie möglich zu machen und für den Schadensfall bestmöglich vorbereitet zu sein. Hierbei unterstützt das Land die Kommunen bereits seit Jahren mit verschiedenen Maßnahmen. Nun baut das Land diese Hilfe mit dem Aktionsprogramm Kommunale Cybersicherheit aus. In enger Zusammenarbeit mit den Kommunalen Spitzenverbände hat das Hessen3C passgenaue Unterstützungsangebote entwickelt, die von den Kommunen ab sofort genutzt werden können. Hierzu gehören unter anderem sichere Kommunalnetze. Wir werden zukünftig Pentests durchführen, also gezielte Angriffe, um Schwachstellen rechtzeitig zu identifizieren und zu beheben. Hinzu kommen umfassende Beratungs- und Unterstützungsangebote für ein kommunales Notfallmanagement, das die Folgen etwaiger Angriffe abmildert. Des Weiteren schaffen wir neue Schulungsprogramme, insbesondere auf E-Learning-Basis, um die kommunalen Bediensteten besonders zu sensibilisieren.
Cyber-Resilienz ist im kommunalen Bereich unverzichtbar
Dass zu unserem ersten von drei regionalen Cybersicherheitsgipfeln so viele Bürgermeister und für die Informationssicherheit Verantwortliche aus südhessischen Kommunen nach Darmstadt gekommen sind, um sich über Informationssicherheit aktuell zu informieren und voneinander zu lernen, zeigt mir, dass das Thema in den Kommunen bereits aktiv angegangen wird. Angesichts der sich wahrscheinlich weiter zuspitzenden Cyberbedrohungslage müssen Informationssicherheit und Cyber-Resilienz allerdings einen noch höheren Stellenwert einnehmen. Cyberangriffe sind allgegenwärtig. Sie gehen sowohl von der allgemeinen Kriminalität als auch von fremden Staaten aus.
Cyber-Resilienz ist im kommunalen Bereich unverzichtbar. Denn die Kommunen sind mit ihren Verwaltungen und Eigenbetrieben das Rückgrat unseres Gemeinwesens. Hier kann ein Cyberangriff weitrechende Folgen haben. Mit den neuen Angeboten des AKC unterstützen wir die Kommunen noch umfassender dabei, Informationssicherheit zu gewährleisten und die Widerstandsfähigkeit ihrer IT-Systeme gegenüber Cyberangriffen zu erhöhen. Hieran mit Unterstützung des Landes weiter zu arbeiten, dazu rufe ich alle hessischen Kommunen herzlich auf.“
Angebote für die Informationssicherheit
Dem Cybersicherheitsgipfel in Darmstadt folgen zwei weitere Veranstaltungen für Vertreterinnen und Vertreter mittelhessischer Kommunen im Regierungspräsidium Gießen am 27. November 2024 und am 29. November 2024 für die Region Nordhessen im Regierungspräsidium Kassel. Bereits in den vergangenen zwei Jahren lag der Schwerpunkt der dieses Jahr bereits zum siebten Mal stattfindenden Veranstaltung, mit der das Innenministerium ein Forum zur Information, zum Austausch und zur Vernetzung schaffen möchte, auf der Informationssicherheit im kommunalen Bereich.
Prof. Dr. Jan Hilligardt, Regierungspräsident von Südhessen, ergänzte: „Wir freuen uns, Gastgeber dieses Cybersicherheitsgipfels zu sein. Niemand ist gefeit vor Cyber-Angriffen, umso wichtiger ist es, dass das Land Hessen seine Angebote für die Informationssicherheit und Widerstandsfähigkeit kommunaler IT-Systeme weiter ausbaut. Der heutige Austausch im Regierungspräsidium in Darmstadt schafft zusätzlich einen Rahmen, sich untereinander zu vernetzen und von gegenseitigen Erfahrungen zu profitieren.“
Praktische neue Unterstützungsangebote für Kommunen
Das Aktionsprogramm Kommunale Cybersicherheit, für das dieses und kommendes Jahr mehr als 1,5 Millionen Euro zur Verfügung stehen, deckt vier Handlungsfelder ab, die zuvor gemeinsam mit den Kommunalen Spitzenverbänden identifiziert wurden:
- Sichere Kommunalnetze Hessen (Technische Informationssicherheit / KDLZ-CS)
- Kommunales Notfallmanagement (Organisation / HECAAZ L/K)
- Praktische Notfallhilfe (CERT Hessen3C)
- Awareness für kommunale Bedienstete
Maßnahmen für Kommunen
Neben den bestehenden Maßnahmen des Hessen3C im Bereich der Beratung und Information, den Angeboten des Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZ-CS), dem Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K), der Notfallhilfe bei einem IT-Vorfall mit der rund um die Uhr erreichbaren Notfall-Hotline (Computer Emergency Response Team) und dem Mobilen Soforthilfe-Paket-Kommunikation (25 Laptops mitsamt autarker Kommunikationstechnik) sowie der Förderung der interkommunalen Zusammenarbeit von Kommunen im Bereich Cybersicherheit stehen folgende Maßnahmen für die Kommunen in Zusammenarbeit mit der ekom21 neu zur Verfügung:
- Sichere Kommunalnetze: Das bestehende Angebot des Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZ-CS) einer fachlichen Prüfung der IT-Infrastruktur auf ihre technische Resilienz und Verbesserungspotentiale (bereits genutzt von 325 von 442 hessische Kommunen) wird ergänzt durch die Möglichkeit der Durchführung eines Pentests. Hierbei wird ein gezielter Cyberangriff gegen das IT-System der jeweiligen Kommune simuliert. Somit werden Defizite und Schwachstellen in der jeweiligen IT-Infrastruktur zur aktiven Härtung der Systeme identifiziert.
- Praktische Notfallhilfe: Kommunen, die Opfer eines Hackerangriffs geworden sind, können für die ersten fünf Einsatztage kostenlos die Dienste eines Incident Response Service (ISR) in Anspruch nehmen. Dabei analysieren Expertinnen und Experten Datenträger und Netze, um einen Sicherheitsvorfall für die Einleitung weiterer Maßnahmen (Wiederherstellung der IT-Systeme) aufzuklären. Dieser Dienst steht zeitnah zur Verfügung (Voraussetzung: Teilnahme der Kommune an einem professionellen Check der IT-Infrastruktur im Rahmen des KDLZ-CS mit Umsetzung der empfohlenen fortgeschrittenen Maßnahmen; zur Aufnahme in die Nutzerliste IRS ist die vorherige Teilnahme an einem kostenpflichtigen Workshop des externen Dienstleisters notwendig).
- Notfallmanagement: Mit dem Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K) bietet das Land bereits seit Mai 2022 ein niederschwelliges Schulungs- und Weiterbildungsangebot im Bereich betriebliches Kontinuitätsmanagement bzw. Business Continuity Management (BCM) für die Mitarbeiterinnen und Mitarbeiter hessischer Kommunen an. 255 Kommunen haben das Angebot zur Erstellung eines BCM bereits wahrgenommen und damit die Grundlage für eine umfassende Notfallplanung erhalten. Kommunen, die an dieser Schulung bereits teilgenommen haben, bekommen nun individuelle Unterstützung bei der Erstellung ihres Business Continuity Managements durch Expertinnen und Experten vor Ort (Beraterstunden gestaffelt nach Größe der Gemeinde).
- Awareness: Kommunen stehen fortan eLearning-Angebote zur Verfügung, um ihre Mitarbeiterinnen und Mitarbeiter mit Blick auf Cyberrisiken im täglichen Dienstbetrieb zu sensibilisieren und im richtigen Umgang mit diesen zu schulen.
