Teaser

Sicherheitsrisiko Smarte Stadt

Immer mehr Städte bieten ihre Dienste digital und online für ihre Bürger an. Seit diesem Jahr kann sich die Stadt Bonn "Smarteste Stadt NRWs" nennen, dank des Digital-Rankings des Branchenverbandes Bitkom. Doch mit den steigenden digitalen Angeboten steigen auch die Risiken bei der Datensicherheit.//Von Catharina Brade und Thomas Löhrer

Digitalisierung ist in jedem Bereich unseres Lebens Thema und schreitet stetig voran. Auch Städte werden immer digitaler und müssen mit den Anforderungen von Datenschutz und Datensicherheit nachziehen. Wie gut sie sich dabei anstellen und welche Städte schon jetzt besonders "smart" ausgestattet sind, hat der Branchenverband Bitkom mit seinem Digital-Ranking erstmals untersucht. Die einfachste Definition von Digitalisierung besagt, dass analoge Inhalte oder Prozesse in eine digitale Form oder Arbeitsweise umgewandelt werden. Wer beispielsweise seine Lieblingsbücher auf einen E-Reader wie Kindle lädt, um sie im Urlaub dabeihaben zu können, nimmt schon an der Digitalisierung teil. Doch nur bei dieser einfachsten Form der "digitalen Transformation" stehenzubleiben, ist längst nicht mehr zeitgemäß. Daher bemängeln auch Politiker, dass Deutschland den Anschluss an das digitale Zeitalter verpassen könnte, wenn die Vorteile der Digitalisierung nicht in voller Form genutzt werden. Das Stichwort heißt hier unter anderem "Vernetzung". Diese muss jedoch sicher geschehen. Beim Vernetzen von Daten ist die Einhaltung von Datenschutz und Datensicherheit daher ein besonders wichtiges Thema. Dies gilt vor allem für Stadtverwaltungen, die in jedem Bereich Personendaten verarbeiten.

Die smartesten Städte Deutschlands, laut dem Bitkom-Digital-Ranking

Datenschutz und Datensicherheit kurz erklärt

Schon mal vorweg: Datenschutz und Datensicherheit sind nicht das Gleiche. Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden. Die EU-Datenschutzgrundverordnung (DSGVO) soll den Datenschutz vereinheitlichen und regelt seit Mai 2018, wie Konzerne, Unternehmen, Behörden und Vereine mit personenbezogenen Daten umgehen müssen. Frederike Scholz, Rechtsanwältin für Datenschutz- und IT-Recht erklärt: "Grundsätzlich unterliegen alle Organisationen oder die öffentlichen Stellen den Regeln des Datenschutzes, die die DSGVO vorgibt." Für öffentliche Stellen, wie Stadtverwaltungen, gibt es aber noch ergänzend einzuhaltende Richtlinien: "Alle, die mit personenbezogenen Daten umgehen, sind verpflichtet, dem Risiko angemessene technische und organisatorische Maßnahmen zu ergreifen, um diese Daten ausreichend zu schützen." Zur Datensicherheit zählen also alle technischen Maßnahmen, die den Schutz der Daten gewährleisten sollen. Diese können unterschiedlich aussehen. Als Beispiel dienen den Unternehmen oder Behörden die technischen und organisatorischen Maßnahmen (TOM), die in §9 des Bundesdatenschutzgesetzes für datenverarbeitende Stellen vorgesehen sind.

Wie schützt eine Stadtverwaltung ihre Daten?

Prinzipiell sollte jeder Bürger davon ausgehen können, dass die eigenen Daten bei der Stadt sicher aufgehoben sind. Dafür sorgen neben der einzuhaltenden DSGVO auch die Schutzmaßnahmen für die Datensicherheit. Diese sind in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt. Das BSI gibt praxisorientierte Mindeststandards und Handlungsempfehlungen zur IT- und Internet-Sicherheit zum Schutz der Netze des Bundes vor. Auch die Erkennung und Abwehr von Angriffen auf Regierungsnetze sind Aufgaben des BSI. Zudem prüft, zertifiziert und akkreditiert es die IT-Produkte und Dienstleistungen, warnt vor Schadprogrammen oder Sicherheitslücken und entwickelt Kryptosysteme für die IT des Bundes. Für Dienststellen der öffentlichen Verwaltung gibt es außerdem eine Sicherheitsberatung durch das BSI.

Hohe Anforderungen an die Datensicherheit

Die Stadt Bonn belegte im Rahmen des Digital-Rankings des Branchenverbandes Bitkom von insgesamt 81 deutschen Großstädten den siebten Platz. Besonders im Bereich Verwaltung schnitt die Stadt besonders gut ab. Das liegt vor allem an den zahlreichen digitalen Umstrukturierungen, die vor allem die Verwaltung und das Bürgerangebot betreffen. Mittlerweile können die Bürger so zahlreiche Anliegen digital und online erledigen. Dies bedarf natürlich auch einer hohe Datensicherheit. Bei der Stadt Bonn werden die Daten auf externen Rechenzentren gespeichert. Diese seien mit den nach BSI zertifizierten Schutzmaßnahmen sowie vom Land festgelegten Zugangskontrollen versehen, erklärt Wolfgang Schell, der Datenschutzbeauftragte der Stadt Bonn. Lokal wird von den Daten auf den Rechnern der Stadt Bonn nichts gespeichert. Zudem müssen alle Daten nach Verwendung direkt wieder gelöscht werden. Sicherheitslücken gilt es stets zu vermeiden. Daher nutzt die Bonner Stadtverwaltung außerdem eine verschlüsselte Datenübertragung mit SSL-Webverschlüsselung für Online-Formulare und -Dienste. SSL-Webverschlüsselung bedeutet, dass eine aufgerufene Domain über ein gültiges SSL-Zertifikat eindeutig mit dem Server identifiziert wird und somit als sicher eingestuft werden kann. Für den internen Austausch nutzt die Stadt Bonn ein verschlüsseltes Intranet, das als weitere Schutzmaßnahme keinen Zugang zum Internet besitzt.

Kelber: "Nur wenn die digitalen Angebote auch sicher sind, werden sie genutzt"

All diese Maßnahmen sind notwendig, um die Datensicherheit zu gewährleisten. Denn nur wenn die digitalen Angebote auch sicher sind, werden die Bürger diese nutzen - das findet auch Ulrich Kelber, der Bundesbeautragte für den Datenschutz und die Informationsfreiheit. Eine hundertprozentige Sicherheits-Gewährleistung könne man jedoch nie geben, meint einer der Abteilungsleiter der Stadt Bonn Harald Borchert. Er verweist auf die so genannte Schwachstelle Mensch: "Da muss nur mal ein Mitarbeiter eine Mail mit einem Trojaner öffnen oder sonstige kriminelle Energien fließen und schon ist eine Sicherheitslücke im System."

Das Stadthaus im Bonner Zentrum ist auch das Verwaltungszentrum der Stadt, Quelle: Privat

Datensicherheit bisher weniger gut umgesetzt als gedacht

Je schlechter die Schutzmaßnahmen, bezogen auf die Datensicherheit, umgesetzt sind, desto leichter haben es Hacker. Tatsächlich haben bisher längst nicht alle Städte und Kommunen in Deutschland den eigentlich geforderten Sicherheitsstandard umgesetzt. Dies wurde in einer Erhebung zur Umsetzung der DSGVO der Landesdatenschutzbehörde des Landes Baden-Württemberg deutlich. An der Erhebung nahmen 87 Prozent aller Gemeinden des Landes teil. 50 Prozent der befragten Gemeinden gaben an, dass stationäre sowie mobile Datenträger an nicht ausreichend gesicherten Orten gelagert würden. Sensible Daten zur Ausstellung von Personalausweisen oder Reisepässen, Meldebescheinigungen und Führerscheinen sind somit oft unzureichend geschützt. Auch die Verschlüsselung der Kommunikationswege seien bei über 50 Prozent der Kommunen mangelhaft. Der Grund für das schlechte Abschneiden in Baden-Württemberg sind vor allem fehlende End-to-End Verschlüsselungen und veraltete Verschlüsselungs-Softwares. Ulrich Kelber vermutet, dass Baden-Württemberg damit kein Einzelfall sei. Es hätten längst nicht alle Kommunen und Städte die geforderten Datensicherheitaspekte umgesetzt.

"Ein Hackerangriff ist jederzeit denkbar – auch jetzt gerade"

Wie wichtig das Einhalten der Sicherheitsmaßnahmen ist, zeigt auch der aktuelle Lagebericht des BSI über die IT-Sicherheit in Deutschland. In diesem wird von einer aktuell "hochangespannten Gefährdungslage" gesprochen. Wer sich erinnert: Erst Anfang des vergangenen Jahres sind viele sensible Daten deutscher Politiker und in der Öffentlichkeit stehender Personen veröffentlicht worden. Die Bundesregierung sprach damals von einem Hackerangriff. Auch Städte sind davon betroffen: Erst letztes Jahr habe ein Verschlüsselungstrojaner eine Kommune in der Region für zwei Wochen vom Netz genommen, erörtert der Datenschutzbeauftragte der Stadt Bonn und fügt hinzu: "An für sich sind Hackerangriffe jederzeit denkbar – auch jetzt grade." Doch welche Konsequenzen hätte dieser Fall für die Verwaltung einer Stadt?

Die Zahl der Hackerangriffe in Deutschland nimmt stark zu

Im Jahr 2019 registrierte die deutsche Telekom bis zu 46 Millionen Cyber-Angriffe auf deutsche Firmen pro Tag. 2017 waren es im Schnitt vier Millionen Angriffe pro Tag. Somit steigt auch das Risiko für Städte und Verwaltungen, Opfer eines solchen Angriffs zu werden. Um dies zu vermeiden, sollten alle Städte und Kommunen unbedingt die DSGVO-Bestimmungen einhalten. Vor allem aber müssen sie die bestmögliche Datensicherheit für die Daten ihrer Bürger gewährleisten. Was geschieht, wenn dies nicht der Fall ist, erklärt Rechtsanwältin Frederike Scholz: "Sollten die Schutzmaßnahmen nicht ausreichend sein und sogar ein Schadensfall eintreten, würde ein Verstoß gegen die DSGVO vorliegen, der entsprechenden, in der DSGVO verankerten Sanktionen unterliegt." Diese Sanktionen äußerten sich in erster Linie in hohen Bußgeldern. Theoretisch können aber auch Schadensersatzansprüche von Betroffenen eines Datenlecks gegen die Organisation gestellt werden. Hier gibt es jedoch eine weitere Besonderheit: Gegen Organisationen des Staates werden keine Bußgelder erlassen, da es wenig Sinn ergibt, wenn der Staat sich selber bestrafen würde.

Hackerangriff - und dann?

Sehr wohl könnte die Stadt Bonn sich aber Schadensersatzansprüchen ausgesetzt sehen, wenn tatsächlich ein Schaden im Sinne des Datenverlustes eintritt. Damit müsse die Stadt Bonn aber vermutlich nicht rechnen: "Grundsätzlich scheinen mir die umgesetzten Maßnahmen bezüglich der Datenübertragung nach den Artikeln der DSGVO auf dem Stand der Technik zu sein", sagt Frederike Scholz. Logischerweise sollte die Datensicherheit sowie das Einhalten des Datenschutzes aber das allgemeine Interesse einer jeden Stadt sein. Das sieht auch der Datenschutzbeauftragte der Stadt Bonn so und fügt hinzu: "Letztendlich geht es darum, dass die Bürger uns bei dem Thema vertrauen können".

Digitalisierung bringt auch großen Aufwand mit sich

Meist bedeutet Digitalisierung für die Anwender vor allem eine Vereinfachung der Arbeitsprozesse. Ebenso bringt sie oft ein Plus an Servicedienstleistungen hervor, wie zum Beispiel die digitalen Angebote der Städte. Für IT-Experten bedeutet sie hauptsächlich die Implementierung und Wartung neuer Systeme. Und die Städte sind beschäftigt mit der Herstellung einer ausreichenden Datensicherheit, wie sie zum Beispiel durch Verschlüsselungen, externe Datenspeicherung und Zugangskontrollen erreicht werden kann. Da die Zahl der Hackerangriffe in den letzten Jahren enorm gestiegen ist, müssen auch die Städte bezüglich der Anforderungen der Datensicherheit stetig mitziehen.

Teaserbild: Das Zentrum der digitalen Angebote der Stadt Bonn, Quelle: Privat

Die Autoren

Thomas Löhrer

Catharina Brade

Kommentar hinterlassen

Mit Absenden des Formulars erkären Sie sich mit der Speicherung und Verarbeitung der darin eingegebenen personenbezogenen Daten einverstanden. Weitere Hinweise dazu finden Sie in unserer Datenschutzerklärung.