Die Sensibilität für IT-Sicherheit muss in allen Bereichen noch viel höher werden. Denn die Bedrohungslage aus dem Cyber-Raum wächst ständig und die Cyber-Kriminellen werden immer raffinierter. Das wurde auch beim Festakt zum fünfjährigen Bestehen des Landesamts für Sicherheit in der Informationstechnik (LSI) im bayerischen Heimatministerium in Nürnberg deutlich. Bayerns Finanz- und Heimatminister Albert Füracker (CSU), in dessen Ressort die gesamte IT-Infrastruktur des Freistaats angesiedelt ist, betonte: „Wir machen das Menschenmögliche, aber wir sind oft zu leichtsinnig.“ Mit dem ersten Satzteil meinte er seine 120 Sicherheitsfachleute an den drei LSI-Standorten Nürnberg, Würzburg sowie Bad Neustadt an der Saale und mit dem zweiten Satzteil die IT-Anwendenden.

Täglich werden rund 5500 E-Mails mit Schadcode geblockt

Zum 1. Dezember 2017 hat Bayern als Vorreiter und erstes Bundesland eine eigenständige IT-Sicherheitsbehörde als Pendant zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gegründet. Es schützt Bayerns staatliche IT-Systeme sowie das Bayerische Behördennetz und den Bayernserver. Damit wird IT-Sicherheit als Grundlage aller Digitalisierungsprojekte des Freistaats gewährleistet. Daneben steht das LSI Kommunen und öffentlichen Unternehmen als Betreiber kritischer Infrastrukturen wie Krankenhäusern und Wasserversorgern als spezialisierter und individueller Berater bei allen Themen in Fragen der IT-Sicherheit zur Seite.

Im Fokus steht ein hohes fachliches Niveau in allen Fragen der IT-Sicherheit, sei es zu Netzwerken, Prävention, Cloudumgebungen oder Sicherheitsmanagement. Dieses fundierte Fachwissen kommt wiederum den vom LSI betreuten Staatsbehörden, Kommunen und Betreibern kritischer Infrastrukturen zugute. Die Beratungsangebote des LSI finden, auch außerhalb Bayerns, positive Resonanz.

Seit seiner Gründung hat das LSI viele wichtige Meilensteine gesetzt: Über 300 Mal wurde das Siegel „Kommunale IT-Sicherheit“ an bayerische Kommunen vergeben. 4000 Einzelberatungen zur IT-Sicherheit für Kommunen wurden angefragt. Über 100 Kliniken wurden über Infoveranstaltungen für Krankenhäuser erreicht. Über 1100 Kommunen sind an das neue tagesaktuelle, kostenlose Portal des Warn- und Informationsdiensts angebunden. Täglich werden laut Füracker rund 5500 E-Mails mit Schadcode geblockt, bevor sie die Behörden-IT direkt erreichen. „Und jeden Tag analysiert das LSI circa zwei Milliarden Datensätze auf Indizien für mögliche Angriffe. Diese beeindruckenden Zahlen zeigen, was das LSI in den letzten fünf Jahren erreicht hat“, so Füracker.

Beim LSI-Festakt stellte Georg Sigl die Zero Trust Architektur vor, die künftig immer mehr zum Tragen kommen muss, um IT-Sicherheit zu gewährleisten. Der Institutsleiter des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in Garching und Professor der Technischen Universität München betonte, dass digitale Identitäten verifizierbar, IT-Geräte validierbar und der Zugang sowie die Rechte stets angepasst werden müssen. Ganz wichtig sei in diesen Zusammenhang die Zwei-Faktor-Authentifizierung. Schon jetzt müsse man sich mit der Sicherheitsarchitektur für Quantencomputer beschäftigen, denn das dauere erfahrungsgemäß 20 Jahre. Für die Implementierung von Zero-Trust-Architekturen zum Schutz der IT-Systeme bekam Sigl die volle Unterstützung von LSI-Präsident Daniel Kleffel.

Der Cyber-Raum ist die kritische Infrastruktur schlechthin

Dazu passte auch die Warnung vom Beauftragten der Bundesregierung für Informationstechnik (kurz CIO), Staatssekretär Markus Richter: „Die Bedrohungslage ist extrem hoch.“ Auch wenn bisher keine konzertierte Angriffsaktion auf deutsche IT stattfand, sei diese Gefahr nicht gebannt. Er unterstrich, dass das LSI eine Blaupause für alle Bundesländer ist. Denn für ihn ist klar: „Der Cyber-Raum ist die kritische Infrastruktur schlechthin.“ Deshalb sei die Zusammenarbeit mit agilen Start-ups zu forcieren, um stets beste IT-Sicherheit gewährleisten zu können. Die klassischen Beschaffungswege seien viel zu langsam.

Bayerns Gemeindetagspräsident Uwe Brandl (CSU) betonte angesichts des 207 Tage dauernden IT-Katastrophenfalls bei einem Landratsamt in Sachsen-Anhalt, dass die „awareness“, also das Bewusstsein für IT-Sicherheit bei den kommunalen Mitarbeitenden noch viel höher werden muss. Aber sie müssen auch Schritt halten können und die eigene Sprache, die rund um die IT entstanden ist, auch verstehen können. Brandl sieht die Diversität der IT-Sicherheitsanbieter als problematisch an. Denn das biete Angreifern Möglichkeiten, die diese nicht haben müssten. Darum setzt Brandl in Sachen IT-Sicherheit auf interkommunale Zusammenarbeit. „Da kann man Synergien heben. Bei uns macht das der Landkreis Kelheim und wir zahlen das über die Kreisumlage“, sagte Brandl, der auch Bürgermeister von Abensberg im Landkreis Kelheim ist.

Christina Leinhos, stellvertretende Geschäftsführerin und Leiterin des Geschäftsbereichs Digitalisierung und Politik bei der Bayerischen Krankenhausgesellschaft, trug abschließend noch den Wunsch an Finanzminister Füracker, die Finanzierung von IT-Sicherheit in den Kliniken besser aufzustellen. Bisher gebe es keinen eigenen Topf für derartige Projekte. Die Krankenhäuser müssten das alles aus den allgemeinen Zuweisungen stemmen.
(Ralph Schweinfurth)