Ja, hallo und herzlich willkommen zur 208. Ausgabe des e-Government-Podcasts. Ich bin Thorsten Frenzel und heute habe ich zwei Gäste bei mir im virtuellen Studio. Es sind Cyber-Security-Experten und ich fange mal an mit Sabine. Hallo Sabine, ich grüße dich.
Hallöchen.
Magst du dich vielleicht ganz kurz vorstellen?
Ja, kann ich gerne machen. Also, Sabine Griebsch, ich bin derzeit freiberufliche IT-Krisenmanagerin, bin seit ungefähr 25 Jahren in der öffentlichen Verwaltung, Digitale Verwaltung, war CDO einer Landkreisverwaltung, war dann auch technische Einsatzleitung in einem Katastrophenfall und bin jetzt eher aktiv in Bereichen Krisenmanagement, Krisenkommunikation, Cyber Resilience, Government Resilience und vor allem jetzt auch kooperative Resilience.
Bin im Dialog für Cybersicherheit, dort im Dialogkomitee, Stakeholdergruppe Stadt und Verwaltung und genau, bin gespannt auf den Podcast.
Ja, und wer den IGAM im Podcast aufmerksam gehört hat in den letzten Jahren, hat dich wahrscheinlich schon das eine oder andere Mal hier hören dürfen. Und dann haben wir noch den Franz zu Gast. Hallo Franz, ich grüße dich.
Ja, hallo. Ich freue mich, dass ich jetzt hier im Podcast bei dir, Thorsten, sein darf. Ich bin Franz Landenhammer, seit etwa drei Jahren im aktiven Ruhestand, nach insgesamt 40 Jahren Dienstzeit bei der Bundeswehr, davon mehr als 20 Jahre im Bereich Cybersicherheit, im Bereich Incident Response, Cyber Defense, unter anderem beim ZERD Bundeswehr und beim NATO-ZERD.
Aber ich engagiere mich auch im, Und vor allen Dingen jetzt, seit ich im Ruhestand bin, unter anderem beim Forum of Incident Response and Security Teams, bei der FIRST, wo ich vor allen Dingen mich mit CSAT Services beschäftige und mit der Definition von Team Types im Bereich Security Incident Management. Daneben engagiere ich mich noch im Bereich Security Incident Management Maturity.
Da gibt es das Security Incident Management Maturity Model 7.3, wo ich ein bisschen mich engagiere oder eben auch bei der EU im Bereich EU Cybernet, wo ich das eine oder andere Training und die eine oder andere Aktivität dort unterstütze. Und seit letztem Jahr bin ich eben auch im Dialog für Cybersicherheit aktiv und habe mich eben auch in dieses Projekt mit eingebracht. Ja, und ansonsten eben auch viele, viele andere Dinge, die man eben so im Ruhestand macht.
Ja, schön, dass ihr beide da seid und ihr habt die Challenge gewonnen.
Wir haben nicht Projekt gesagt. Genau.
Und da kommen wir jetzt hin. Und zwar, ich habe ja zwei Cybersicherheitsexperten eingeladen, weil das Thema Cybersicherheit wird ja immer, immer virulenter, vor allen Dingen auch in der öffentlichen Verwaltung und vor allen Dingen auch in den Kommunen. Und deswegen habe ich euch hier eingeladen, weil ihr habt was auf die Beine gestellt. Und eigentlich wollte ich jetzt hier ein Lied einspielen und ich nenne es jetzt einfach mal Resi. Wer mag denn anfangen und mal erklären, was das überhaupt ist?
Ja, Resi war, Ich hatte es damals als Intermediär eingereicht, eben aus der Erfahrung heraus, in den Kommunen, dass die nämlich gar nicht so gut aufgestellt sind und einer Bedrohungslage sich gegenüber sehen, die tatsächlich nicht so irre gut aussieht. Also das heißt, das BSI hat in seinem Lagebericht geschrieben, der im Berichtszeitraum, wie gesagt, war die Lage wieder angespannt.
Opfer sind zwar überwiegend kleinere, mittlere Unternehmen, sind aber eben auch Kommunen, insbesondere eben auch IT-Dienstleister und Kommunen. Und wir haben das bei der SIT gesehen, wir haben das in Anhalt-Bitterfeld gesehen, wir haben das in verschiedenen anderen, man sieht immer diese wunderbare Übersicht, kommunaler IT-Notbetrieb, jeder kennt die Webseite.
Insbesondere Ransomware ist ein riesengroßes Problem und wir haben eben gesehen, dass die Kommunen darauf nicht wirklich gut vorbereitet sind. Insofern war die Idee, wie kommen Kommunen oder wie kommen wir dahin, dass Kommunen schneller und zielgerichteter handlungsfähig werden in der Krise und deswegen RESI. RESI steht für Resilienz-Framework und daher kommt der Name.
Genau. Also ihr habt euch das alles angeschaut mit den Kommunen. Du warst ja direkt bei einer mit dabei, alles was passiert ist. Und ihr habt festgestellt, dass die Kommunen hier noch Aufbaubedarf haben.
Ja, genau. Es ist ja eben kein alltägliches Vorkommnis. Das heißt, so ein Sicherheitsvorfall mag sein, dass das immer schon mal wieder bekannt ist und immer öfter mal vorkommt, aber dass es jetzt direkt zu einem Krisenfall wird oder zu einem Notfall wird, das ist tatsächlich nicht so oft der Fall. Und das heißt, die Maßnahmen für diese organisatorische oder überhaupt für die Bewältigung sind nicht wirklich eingespielt und auch selten eingeübt.
Und das heißt, im Notfall hat man dann eben Stress, man hat Zeitdruck, man weiß nicht so richtig, was die ersten Schritte sind. Es müssen zeitgleich schnell weitreichende Entscheidungen getroffen werden von dem Hauptverwaltungsbeamten, von auch, also neben der IT eben auch von der Personalabteilung, von der Organisation, die dann eben mitwirken muss. Man hat... In diesem Moment auch ein völlig unklares Lagebild, wenig Informationen.
Sicherlich, es gibt extrem viele Publikationen, aber tatsächlich, was sind die konkreten ersten Schritte, das fehlt hauptsächlich. Und das heißt also, dass die Kommunen auch noch bei einem Ransomware-Angriff oder bei einem Vorfall weitestgehend auf sich alleine gestellt sind, kommt noch dazu. Also man fragt so untereinander, man fragt mitunter auch andere Kommunen, wie habt ihr das jetzt gemacht?
Und dann sieht man eben auch, dass in der ebenenübergreifenden Zusammenarbeit, dass es da so ein bisschen knirscht, weil eben diese Zuständigkeit mal eben beim BSI anzurufen und zu sagen, könnt ihr uns mal eben helfen, das funktioniert nicht so. Das heißt also Kommunen müssen mit dem Problem selber umgehen und da haben wir gemerkt, da ist auf jeden Fall noch Nachholbedarf.
Genau, jetzt mal ganz konkret, was habt ihr festgestellt, was ist in den Kommunen vorhanden, was fehlt und wie könnt ihr mit RESI, was ja ein Framework ist, hier ganz konkret unterstützen? Das sind drei Fragen, macht man eigentlich nicht, aber ich glaube, das gehört ganz gut zusammen.
Ja, das passt wunderbar zusammen, weil was wir festgestellt haben ist, dass eben die Kommunen für den Fall eines IT-Sicherheitsvorfalles plötzlich ihre Dienstleistungen von 100 auf 0 reduzieren müssen, weil eben einfach die. Sämtliche Verfahren, sämtliche Fachverfahren eben IT-basiert sind und es ist einfach schwierig für die Kommunen, ohne IT-Unterstützung Ausweise auszustellen, Sozialabgaben bzw. Sozialhilfe oder sonstige Unterstützungsleistungen zu leisten.
Und vor allen Dingen, das geht von jetzt auf gleich und wenn die Kommune eben nicht vorbereitet ist darauf, dann steht sie erstmal da, weil ohne die Unterstützung der IT muss man wieder auf händische und manuelle Verfahren zurückgreifen, sodass die Kommune eben da völlig andere Verfahren und Abläufe umsetzen muss, Und es ist ja auch nicht mehr so einfach, ohne IT selbst auf Kontaktdaten oder Informationen zurückzugreifen,
die man sonst ständig aus dem Netz abrufen kann oder selbst aus dem internen Netzwerk abrufen kann. Und deswegen ist es für uns, haben wir eben festgestellt, dass diese Daten einfach auch irgendwo anders abgespeichert sein müssen als nur im zentralen Netz. Am besten irgendwo ausgedruckt. Aber da ist dann wieder die Schwierigkeit, sie müssen ständig aktualisiert werden.
Du kannst eben nicht dann die irgendwann mal vorbereiten und dann liegen lassen für einen möglichen Notfall und dann im Notfall rausholen und nichts mehr ist aktuell. Das ist eine der großen Herausforderungen. Also muss man einen gewissen Mittelweg gehen, um eben die Notfall- und Krisenpläne verfügbar zu haben, aber immer auch aktuell zu haben.
Wo wir uns eben auch entlang gehangelt haben ist letztlich der BSI-Standard 200-4 Business Continuing Management weil dort ist nämlich sehr schön beschrieben wie im Falle eines Krisenfalles oder eines IT-Krisenfalles letztlich welche Maßnahmen zu ergreifen sind um so schnell wie möglich wieder in den Notbetrieb zu kommen aber eben auch, am Ende wieder in den Regelbetrieb zu kommen. Gleichzeitig ist dort eben auch beschrieben, wie so eine besondere Aufbauorganisation funktioniert.
Und wenn man die Kommunen betrachtet, die ja auch in der Regel untere Katastrophenschutzbehörden sind, die sind für Krisen an sich ganz gut aufgestellt. Aber da geht es in erster Linie um Hochwasser, Sturmschäden, Pandemie jetzt. und inzwischen sind die Kommunen auch einigermaßen gut aufgestellt. Aber eben für IT-Krisen, muss man eben nochmal eine zusätzliche Hürde nehmen, weil eben in den anderen Katastrophenfällen ja die IT noch in der Regel funktioniert und damit nutzbar ist.
In einer IT-Krise fällt eben auch die IT aus, sodass dieses Modell des Business Continuity Management eben auch auf IT-Kreisen anwendbar sein muss und damit entsprechend angewendet werden soll.
Ich habe jetzt schon, glaube ich, ein paar Mal bei mir im Podcast erzählt, dass ich mal in so einer Krisenübung bei einem Landratsamt dabei war. Da haben sie eine Hochwasserkrise oder Katastrophe simuliert und dann quasi auch mit Lagezentrum und alles aufgebaut. Hilft euer Framework auch dazu, solche Übungen im IT-Bereich zu machen? Also so eine IT-Katastrophenübung quasi oder Katastrophenschutzübung?
Ja, grundsätzlich in jedem Fall, weil alle die Schritte, die wir beschrieben haben in dem Framework, sind natürlich auch Schritte, die man eben im Rahmen einer Tabletop-Übung, aber eben auch im Rahmen einer größeren Übungstätigkeit entsprechend nutzen kann, um genau diese einzelnen Prozesse unter der Maßgabe, jawohl, wir leben jetzt in der Krise, einfach durchzuspielen.
Während man eben im, im tatsächlichen Krisenfall diese Handreichung eben auch als Ablaufplan und als Hilfsmittel für die einzelnen Schritte nutzen kann. Aber Vorbereitung ist immer besser, als hinterher im Krisenfall dumm dazustehen.
Genau, gleich mal ein Aufruf an alle meine Hörerinnen und Hörer. Wenn irgendeiner von euch mal so eine IT-Katastrophenschutzübung macht, ladet mich gern ein. Würde mich sehr interessieren, wie das ausschaut und wie das funktioniert. Möchte ich mir gerne mal von Ihnen anschauen. Wie es für Hochwasser geht, weiß ich jetzt. Aber IT würde mich natürlich schon alleine aus meinem Hintergrund ganz extrem interessieren. Ich muss aber trotzdem noch einen ganz kurzen Exkurs machen.
Wir sprechen die ganze Zeit über IT-Sicherheitsvorfälle. Was kann ich mir denn unter einem IT-Sicherheitsvorfall vorstellen? Was kann denn das alles sein? Es wird ja wahrscheinlich nicht nur eine Ransomware sein, weil das wäre bloß eins, worauf ich mich vorbereiten muss.
Na gut, Ransomware ist natürlich das Szenario, das am weitreichendsten und am tiefgreifendsten ist. Wir haben natürlich auch andere Vorfälle wie Distributed Denial of Service oder wie eine Viren-Situation, Malware-Situation. Aber wenn man die Maßnahmen in einem entsprechenden Szenario betrachtet, findet man sämtliche Möglichkeiten auch in allen anderen Szenarien.
Welche Szenarien könnte es sein?
Ja, wie gesagt, Denial of Service ist ein sehr wahrscheinliches oder sehr häufiges Szenario. Schadsoftwarebefall ist ein häufiges Szenario. Aber natürlich auch Szenarien, die jetzt nichts mit Cybersicherheit zu tun haben, sondern die eben auch mit physischen Fehlfunktionen zu tun haben. Schau mal einfach nur, der Bagger vor dem Vorrathaus reißt das Kabel durch und schon ist die Gemeinde auch nicht mehr handlungsfähig.
Und da gibt es natürlich viele Dinge, aber im Rahmen des Ransomware-Szenarios haben wir festgestellt, es sind eben alle diese kleinen Maßnahmen, die in anderen Szenarien vorkommen, eben alle sehr konzentriert beisammen. Deswegen ist das Ransomware-Szenario natürlich möglicherweise nicht das häufigste, aber es ist das, was sämtliche Möglichkeiten in Betracht zieht.
Genau, du hast hier nämlich die Frage, du hast auf der einen Seite Organisationseinheiten wie die Rechtsabteilung, die sich vielleicht mit Haftungsfragen beschäftigt, mit den ganzen Fragen bei einem Data Breach, Datenschutz und so weiter. Du hast auf der anderen Seite eine Personalabteilung, die gegebenenfalls Entscheidungen treffen muss, ob Bereitschaftsregelungen in der Kommune umgesetzt werden müssen, damit das IT-Team sozusagen vor Ort ist und funktionieren kann.
Und auf der anderen Seite hast du die ganze Frage der Gremien, wenn du erstmal Berichte darüber erstattest und aber eben auch Personalbeiräte. Du spielst auf der ganzen Klaviatur deiner Organisation. Deswegen hat es sich angeboten, Ransomware als erstes zu nehmen. Wir kommen, glaube ich, nachher noch so, das ist jetzt ein kleiner Spoiler, das Projekt geht ja auch danach weiter. Und das heißt also, wir machen auch noch andere Szenarien.
Und die Frage, warum wir ein Framework gewählt haben, ist natürlich auch, dass du hier so in einem Baukastensystem weitestgehend offen deine Elemente hast, die du gegen dieses Szenario stellen kannst. Also das heißt, du hast auf der einen Seite diese ganzen Fragen, Entscheidungen und Maßnahmen, die du hast, also komplettes Instrumentenpaket, also deine Werkzeuge. Und auf der anderen Seite hast du natürlich auch Kontaktlisten und so weiter.
Und insofern ist das Framework, soll natürlich auch bedeuten, dass sich das immer weiterentwickelt, also in allen möglichen Hinsichten. Nicht nach hinten irgendwie, wir machen alles viel detaillierter, sondern es muss sich, also das muss leben. Und das muss natürlich auch, wenn wir das hingeben in eine Kommune oder eine Kommune sich das runterlädt und als Grundlage nutzen möchte, dann ersetzt das kein Notfallplan.
Also man muss das wirklich mit seinen eigenen Möglichkeiten und Mitteln und Ressourcen dort auch untersetzen. Aber ich will nichts vorwegnehmen. Das, glaube ich, aber beantwortet die Frage, warum wir Ransomware gewählt haben.
Aber das ist ein ganz guter Einstieg. Lass uns doch mal direkt in das Framework einsteigen. Was kann das Framework, was macht das Framework, wie ist es aufgebaut? Und vor allen Dingen, du hattest vorhin gesagt, man kann sich das runterladen. Was kostet es?
Gar nichts.
Das ist gut. Also ist vielleicht auch noch unter einer Creative Commons Lizenz verfügbar?
Richtig.
Genau das Richtige, auch hier für einen Podcast. Das kann ich natürlich nur begrüßen. Aber lass uns mal einsteigen.
Genau, das Framework, also wir hatten es als Framework aufgerufen, weil eben das sinnvoll war, das möglichst offen zu haben und dann eben auch verschiedene andere Elemente. Also es gab am Anfang eine ganze Reihe von Ideen, was wir noch hätten machen wollen, so von wegen Fachverfahren, uns angucken, Templates für Veramtshilfe ersuchen und so weiter und das war in dem Zeitraum gar nicht so richtig umsetzbar und teilweise ist das auch echt.
Also muss eine Kommune da wirklich individuell drauf gucken. Das heißt also, wir haben uns diese Elemente genommen, die wir umsetzen konnten, haben die in diesen Baukasten, also in dieses Framework gepackt und Ziel war natürlich, dass Kommunen schneller zielgerichtet handlungsfähig werden. Also das ist sozusagen der Ausgangspunkt gewesen.
Wir wollten, dass Schnittstellen identifiziert werden, also welche Kommunen oder welche, wo kann man gegebenenfalls gemeinsam ineinander arbeiten, wo sind so Kommunikationsmöglichkeiten zwischen Land und Kommune und Franz, du kannst mich auch jederzeit ergänzen, also genau in der Schnittstelle, bei den Schnittstellen war es auch in der Krise Köpfe kennen, jeder kennt den Satz, also das heißt, uns wäre wichtig, dass wir Kontaktlisten haben, dass wir Ansprechpartner haben.
Da ist natürlich die Frage, das muss auch gepflegt werden. Wer sind überhaupt die Ansprechpartner? Also das auch aus der Erfahrung zu betrachten, an wen muss ich Meldungen machen? Wen muss ich beispielsweise bei der Polizei kontaktieren? In welchem Zeitraum erreiche ich diejenigen in den verschiedenen Bundesländern? Auf der anderen Seite, ich muss einen ZERT kontaktieren. Was muss das überhaupt wissen? Und was müssen, also nochmal zurück zu den Datenschutzern, was müssen die überhaupt
wissen? Also zu was muss ich auskunftsfähig sein? Auf der anderen Seite heißt das aber auch, sich mal so in sich reinzuhören. wo ist es denn überhaupt mit meinem eigenen Personal, wo kann ich zu diesen eigenen Elementen, also wo habe ich dann vielleicht gar nicht die richtigen Ressourcen. Und wo kann ich vielleicht gar nicht richtig Auskunft geben und welche Dienstleister habe ich überhaupt und in welchem Zeitraum kann ich die überhaupt abrufen? Also welche Service-Level-Agreements?
Das sind so alles Fragen, die man sich dabei stellen kann, wenn man sich das Szenario anguckt. Wir reden immer vom Szenario. Wir stellen nachher gleich das Szenario Stück für Stück vor. Wer möchte, also wir werden das auch in den Shownotes, wird Thorsten das verlinken. Hoffe ich. Torsten sagt ja.
Definitiv. Ich sammle schon noch viel mehr Links, weil ihr so viele Fremdwörter hier sagt.
Ein Glossar.
Ich mache schon ein Glossar, schreibe ich schon nebenher mit.
Also Denial of Service ist übrigens DDoS, wie es kennt. Also ja und im Endeffekt war das Ziel Stärkung der Selbsthilfefähigkeit und eben auch die Korrektur dieser falschen Erwartungen. Also die Präsidentin des BSI sagte irgendwann mal oder es gibt dieses wunderbare Zitat, Wir springen nicht aus Helikoptern und patchen dieses Thema.
Also ich glaube, dass nichts in den Kommunen dieser Erwartungshaltung herrscht, aber unabhängig davon ist trotzdem immer der erste Impuls, na dann rufe ich mal beim BSI an. Wir haben vorhin schon, ich habe schon ein bisschen darauf hingewiesen, das funktioniert halt so nicht, aber das BSI gibt natürlich alle Instrumente an die Hand, dass man sich eben selber helfen kann.
Wir haben uns hier eben beim BSI, beim Dialog für Cybersicherheit dafür entschieden, das in diesem gemeinsamen Arbeiten zu tun, sehr nah an den Bedarfen der Kollegen und Kolleginnen in den Kommunen und genau, also insofern struktureller, konzeptioneller Rahmen und das war der Plan.
Da muss ich sagen, da haben wir es hier in Bayern ein bisschen besser. Wir haben ein LSI und das LSI ist natürlich auch zuständig für die Kommunen. Also die können da anrufen, ob die immer helfen, weiß ich noch nicht.
Aber kommen die mit dem Helikopter?
Brauchen die ja nicht, die können mit dem Fahrrad rüberfahren.
Ja, das ist aber genau der Punkt. Ich meine, klar, es gibt auch in anderen Bundesländern, Baden-Württemberg ist auch sehr gut aufgestellt in dem Bereich, Bayern mit dem LSI, aber auch andere Bundesländer, Nordwestfalen und so weiter, haben natürlich auch auf Landesebene entsprechende Strukturen, die auch den Kommunen zur Seite stehen.
Aber auf der anderen Seite, wenn man dann mal in die, und das haben wir eben auch im Rahmen des Workstreams recherchiert, wenn man mal schaut, was gibt es denn überhaupt, was ist vorhanden? Dann haben wir hunderte von seitenlangen Ratgebern und Anweisungen und so weiter. Und für eine kleine Kommune, die das Personal nicht hat, um eben aus diesem umfangreichen Material ein geeignetes Konzept oder einen geeigneten Plan für den Notfall zu machen.
Denen muss man eben etwas an die Hand geben, was kurz und bündig auf den Punkt gebracht wird. Hilft eben in so einer Krise, die wichtigsten Schritte zu gehen. Und wir sprechen ja dabei nicht nur von der IT. Die IT ist ja nur eine Schiene. Und in diesem Szenario, in diesem Framework haben wir das Ganze in drei sogenannte Swimlanes oder Handlungsfelder aufgeteilt.
Das ist einmal natürlich IT, IT-Sicherheit, die ganze technische Komponente, aber eben, und das ist eben übergeordnet oder als Hauptdrang, Haupthandlungsstrang, ist die Behördeninterne Organisation. Ein weiterer Handlungsstrang, den wir identifiziert haben, der für die Kommunen unheimlich wichtig ist, ist die Kommunikation, vor allen Dingen die Krisenkommunikation. Was sage ich wann wem? Wer muss informiert werden? Angefangen von den eigenen Mitarbeitern, über die Bürger, durch die Medien.
Es gibt nichts Schlimmeres für eine Kommune im Krisenfall, wenn die Krise beginnt und keiner nach außen kommunizieren kann. Weil die Presse steht als erstes vor der Tür, wenn der erste Bürger sagt, ich kriege meinen Ausweis nicht. Und dann muss man der Presse auch sagen. Was Sachlage ist, trotz unsicherem Lagebild, trotz unklarem Lagebild, muss man entsprechend aussagefähig sein, weil die Presse schreibt so und so.
Und je weniger man der Presse an gezielter Information gibt, umso fehlerhafter ist dann auch, sind die Aussagen in den Medien.
Ja, die Medien machen dann in so einem Fall, wenn mit fehlenden Informationen auch gern mal die Bevölkerung verrückt.
Ja, eben.
Genau. Also wenn ich es richtig verstehe, ist, wenn ich jetzt als Kommune mich mit diesem Framework beschäftige, dann habe ich nicht nur letztendlich ein fertiges Papier, was mir hilft in der Krise, was ich dann quasi aus der Schublade rausziehe und sage, ah, jetzt weiß ich Schritt 1, Schritt 2, Schritt 3, was zu tun ist, sondern auf dem Weg dorthin beschäftige ich mich auch mit meiner ganzen Organisationsstruktur und bereite quasi die Organisation so vor,
dass ich solche Krisen besser bewältigen kann.
Genau, du kannst vielleicht, das klingt immer so wahnsinnig groß, Framework, und ich beschäftige mich erstmal mit der gesamten Organisation. Wir haben das auf der A4-Seite untergebracht. Also das sind, wie gesagt, diese drei Swimlanes, in denen sich dieser Prozess abspielt. Also du hast dort deinen Prozess, du siehst dann, was ist jetzt Kommunikation, was muss in der IT entschieden werden, was muss die Organisation dazu beitragen.
Das heißt also, es passt auf eine A4-Seite, du kannst ja gucken, wie auf einer Landkarte, du bist hier und das steht dir noch bevor. Das heißt, du hast so eine relativ gute Handlungssicherheit und so eine Klarheit dieses Prozesses, du weißt, was halt noch kommen wird und was halt irgendwie noch beantwortet werden muss in der Zeit.
Es ist natürlich immer gut, sich das vorher mal durchgelesen zu haben bis zum Ende und nicht erst in der Krise dieses Papier vorzunehmen und bei Start zu beginnen und irgendwann am Ende sozusagen das eine so Woche für Woche durchzuackern. Also das heißt, wenn wir von einem Framework sprechen, dann ist das sozusagen jetzt, wir betrachten so ein bisschen die Meta-Ebene.
Also im Endeffekt sind das ganz klare Elemente, die man direkt nehmen kann oder sich auf einer A3-Seite ausdrucken kann, sich in den Serverraum hängen kann und dann direkt loslegen kann, wenn es dann der Fall ist. Wie gesagt, auch wenn ich jetzt mal so tue, als hätte ich jetzt gerade eine Krise, dann kann ich das auch schon mal durchspielen.
Also das ist der Hinweis, wo meine Cyber-Sandsäcke, mein Cyber-Feuerwehrhauptmann und meine Cyber-Pressestelle zu finden sind.
Genau.
Und deswegen sage ich, es ist eben in regulären Krisen oder in physischen Krisen sind die Kommunen ja auch recht gut aufgestellt eigentlich, aber man kann eben auch dieses Modell oder diese Grundlagen durchaus auch nutzen, um eben auch eine IT-Krise vorzubereiten oder sich auf eine IT-Krise vorzubereiten, sodass man eben dann mit den vorhandenen Unterlagen, mit den vorhandenen Dokumenten letztlich eben schneller wieder in den, ja zumindest in den Notbetrieb kommt,
um eben seine Dienstleistungen für den Bürger und die Bürgerin einfach, wieder leisten zu können.
Und vor allem kannst du dir diese Elemente nehmen und kannst dir dann diese Fragen stellen, was ist zu tun, wer kann etwas tun, also wen setze ich dafür ein, wie sind die Maßnahmen umzusetzen, also welche verbliebenen Möglichkeiten habe ich noch, beispielsweise ich habe einen Stromausfall und ich habe dann kein Kassensystem mehr oder ich habe nur noch verschiedene einzelne Segmente oder sowas, das ist ja mitunter nicht immer nur die ganz große Krise, dass gar nichts mehr geht,
manchmal funktionieren ja nur Teile nicht, also das kann ich durchdenken, Dann kann ich mir die Dauer angucken, also, ich hatte schon gesagt, die Service Level Agreements zu den Dienstleistern. Und dann kann ich mir die Frage stellen, was hätte das denn jetzt gekostet? Also gerade so in Richtung Kreistag statt Gemeinderäte und so weiter, statt Verordnetenversammlungen und so weiter, kann ich dazu auch einfach mal so ein bisschen so dieses, was wäre, wenn es mich unvorbereitet erwischt?
Und was ist, wenn ich schon entsprechende Verträge und so weiter mit Dienstleistern geschlossen habe? Dann geht halt mitunter alles schneller. Wie gesagt, unser Gedanke war, in der Krise schneller werden, also schnell handlungsfähig werden. Nach außen natürlich zu zeigen, dass ich die Situation im Griff habe und nicht in diesen Opferstatus zu kommen, sondern halt wirklich Handlungsfähigkeit, Souveränität und natürlich eben das Vertrauen in Staat und Verwaltung dadurch zu erhalten.
Was mache ich jetzt als Kommune, wenn ich sage, wow, das klingt ganz gut? Das würde ich gerne verwenden. Wie komme ich daran? Wie gehe ich am besten vor, wenn ich mich damit resilienter machen will?
Ganz einfach. Es gibt eben diesen Dialog für Cybersicherheit, unter dem wir das Ganze gemacht haben. Und dort gibt es eben unter dem entsprechenden Link dialog-cybersicherheit.de-media gibt es eben dann diesen Bericht, den man sich dann dort entsprechend runterladen kann, inklusive einer JPEG-Datei oder einer PDF-Datei mit diesem Diagramm. Dass man sich dann entsprechend groß, so groß wie man es haben will, ausdrucken kann auf einer Seite und dann mit diesem Dokument kann man dann arbeiten.
Wir haben dann eben auch in der Handreichung für Krisenkommunikation Textvorschläge, Text-Templates erarbeitet, die eben dann auf die Kommune natürlich angepasst werden müssen oder auf die entsprechende Situation, aber wo man zumindest schon mal eine Art Brechzettel, eine Art Textvorlage hat, mit der man sehr schnell dann auch auf seine eigene Situation geht. Das man auf seine eigene Situation anwenden kann und eben schnell reagieren kann damit.
Ihr hattet vorhin gesagt, ganz zum Einstieg, dass das komplette Dokument auch unter Creative Commons Lizenz zur Verfügung steht. Das heißt ja, das ist auch sehr offen. Kann ich als Kommune oder als Experte, der vielleicht diesen Podcast anhört, der sich mit Cybersicherheit auskennt, kann ich an diesem Dokument mitarbeiten und das mit weiterentwickeln? Und wenn ja, wie?
Ja, auf jeden Fall. Also der Aufruf besteht ganz klar. Also das gibt in der Weiterführung, in der Verstetigung so Aufgaben wie, wir müssen die Handreichung aktuell halten. Das ist die etwas langweilige Aufgabe, die gehört aber irgendwo dazu. Diese ganzen Fragen, Kontaktlisten, ist das alles noch aktuell? Datenschutz, Polizei und so weiter und so fort. Beim IT-Sicherheitsvorfall, bei der Meldung wird sich nicht so viel ändern, beim BSI.
So, aber auf der anderen Seite eben auch die Modellierung. Wir haben das jetzt als JPEG, wir haben das auch noch als Prozessdatei. Wir wurden aber, als wir es vorgestellt haben, immer wieder gefragt, könnt ihr uns das als Datei zur Verfügung stellen, damit wir das auf unsere Organisation anpassen können. Und das ist jetzt noch in der Pipeline als Aufgabe. Das wird noch online gestellt, wird auch gerade umgesetzt und wir werden weitere Szenarien modellieren.
Also als nächstes kommt, aller Voraussicht nach, Spoiler schon mal, der DDoS-Angriff. Also das ist das, was wir jetzt tatsächlich echt oft gesehen haben, also gerade auch auf Landesebene und eben auch im kommunalen Bereich, dass diese Angriffe auf diese Kommunen oder auf diese Behörden dann immer wieder erscheinen und insofern werden, es ist ein bisschen anders, Abläufe, deswegen ist es sinnvoll, da ein Szenario dazu zu schreiben. Ansonsten die weitere Präsentation und so weiter.
Also eigentlich brauchen wir ständig Unterstützung. Das ist schon schön. Die Gruppe darf auch wachsen. Und wir sind ja raus aus diesem Workstream. Also ich weiß nicht, ob wir dann nochmal über die Workstream sprechen wollen, wie das jetzt generell mit dem Dialog für Cybersicherheit läuft. Also der Dialog für Cybersicherheit ist ein Dialog mit der Zivilgesellschaft, BSI und Zivilgesellschaft.
Das heißt, wir haben die Stakeholdergruppen, zwar auch noch die anderen, Wirtschaft, Wissenschaft, Kultur und Medien, Zivilgesellschaft und Staat. Und die arbeiten zusammen. Das heißt aber, was daraus entsteht und wir unterschreiben alle ein Formular, dass diese Arbeitsergebnisse komplett alle öffentlich sind. Das heißt also, natürlich kommt es daher, dass wir dafür, dass es absolut nicht kommerziell ist und dass es immer kostenlos bleiben wird und immer abrufbar
sein wird. Aber wenn wir aus diesen Workstreams raus sind, dann ist das nicht mehr finanziert. Das heißt, wir müssen uns dann ab und zu Fragen stellen, wenn wir immer wieder gefragt werden, wollten wir einen Vortrag halten, dass dann irgendwie Reisekosten oder sowas mal sinnvollerweise bezahlt werden, damit sowas halt möglich ist oder... Und Unterstützung sind halt definitiv irgendwie immer gerne gesehen. Aber eben auf der Seite BSI unterstützt es weiterhin.
Wir haben eine technische Plattform, wir haben die Kommunikationsplattform, wir haben weiter Zugriff auf die Geschäftsstelle im geringen Maße.
Das heißt, wir haben jemanden, der unsere Termine macht, der unsere Dokumentation dafür schreibt und auf der anderen Seite haben wir natürlich auch eine Nextcloud, auf der wir arbeiten, auf der wir kollaborativ arbeiten können und auf der wir jetzt eben auch andere Leute onboarden können, auf der wir das Material haben, was wir auch recherchiert haben im Vorfeld und das kann natürlich weiter wachsen.
Und wenn ich vorhin gesagt habe, so ein Thema Fachverfahren oder Priorisierung, dann sind das alles Punkte, die sich daraus entwickeln können. Also wer Ideen hat, aber eben auch auf Dateien zugreifen möchte, die er für sich, also vielleicht im Picture oder keine Ahnung, umsetzen möchte, dann herzlich gerne.
Vielleicht noch ergänzend. Wir sind ja alles Leute, die das ehrenamtlich, freiwillig machen, die jetzt nicht irgendwie das beruflich aktiv machen. Und es liegt uns eben einfach daran, dass wir das Thema weiter betreiben, gerade jetzt auch nach dem Abschluss des offiziellen Workstreams beim Dialog für Cybersicherheit. Wir kommen eigentlich alle aus den unterschiedlichsten Bereichen und eigentlich der Bezug zur kommunalen Verwaltungsorganisation ist nicht bei allen da.
Und deswegen ist es auch für uns immer wichtig, aus den kommunalen Verwaltungen, auch von den Leuten, die wirklich mit dem Framework dann arbeiten wollen, dass wir von denen Feedback bekommen. Und es ist jeder herzlich eingeladen, sich bei uns zu melden. Es gibt auf der Dialog-Webseite eben auch einen E-Mail-Link, über den wir erreichbar sind.
Diese E-Mail kommt dann bei allen Teilnehmern an dieser Arbeitsgruppe an, sodass wir da auch immer jemand haben, der dann schnell reagieren kann, der dann entsprechend auch eine Antwort schreibt oder Hinweise gibt. Und das ist für uns eben auch wichtig. Wenn Leute Interesse haben, das Ganze zu unterstützen, dann sind die herzlich eingeladen, sich einfach bei uns zu melden. Wir können jederzeit neue Mitarbeiter und neue Teilnehmende an der Arbeitsgruppe gebrauchen.
Besonders welche, die eben auch fachlich in dem Bereich tätig sind.
Er plant ja auch den Aufbau von so einer virtuellen Community. Also es ist ja gerade für den dauerhaften Austausch ist ja E-Mail jetzt nicht das beste Medium. Sabine kennt das vielleicht aus unseren Matrix-Gruppen, in denen wir vertreten sind. Aber plant ihr sowas auch?
Also wir haben auch eine Single-Gruppe, so sagen wir es so. Und ja, Community-Building ist halt richtig Arbeit. Also das heißt, wir haben uns jetzt erstmal auf die Themen konzentriert. Wer hinzukommen möchte und seinen Input dazu geben möchte, ist herzlich eingeladen. Das kann ich nur immer wieder sagen. Und vor allem, wenn das ein Austausch ist von Leuten, die das schon mal mitgemacht haben, die das auch quasi oder die wirklich damit üben und das Feedback sozusagen aus der Nutzung herausgeben.
Diese Selbsthilfegruppe, wir haben es auch beziehungsweise scherzhaft so genannt, unsere Gruppe, weil auch einige, wie gesagt, wir haben IT-Sicherheitsbeauftragte, wir haben Leute aus der Wissenschaft, wir haben Leute aus dem Datenschutz, also da haben einige schon mal wirklich, sei es nur am Rande, diese Vorfälle mitgemacht. Das heißt, wir können irgendwie alle aus Erfahrung reden.
Herzlich gerne, so dieses klar, wenn sich eine Community rausbildet, wir sind gerade so ungefähr so zwischen 10 und 15 Leuten immer mal so mit wechselnden mehr, mal weniger oder so, ich glaube so ist das Stimmen so, zwischen 10 und 15, so unter Share, also insofern, wenn sich da eine Community daraus bildet, herzlich gerne, aber.
Wenn jetzt eine Firma, so wie mein Unternehmen, für das ich arbeite, die bei Kommunen, die gehört ja den bayerischen Kommunen, dem bayerischen Land. Wenn jemand auf euch zukommt, zum Beispiel oder ein Spitzenverband, ein Kommunaler, und sagt, könnt ihr das nicht mal unseren Kommunen vorstellen? Gehe ich über die E-Mail-Adresse? Und wie ist die E-Mail-Adresse nochmal?
Resi.dialog-cybersicherheit.de.
Also ich denke, jetzt kriegt ihr ganz viele E-Mails von allen kommunalen Spitzenverbänden, die den E-Government-Podcast hören, weil ich halte das Thema für ganz enorm wichtig und vor allen Dingen präventiv. Vielleicht habt ihr jetzt im ersten Quartal noch ein bisschen Ruhe, weil da sind andere Themen gerade wichtiger. Richtung Wahlen, denke ich da mal.
Das kann manchmal schnell gehen, das gerade in Bezug auf Wahlen.
Genau. Aber ich denke, ihr werdet einiges an Anfragen bekommen.
Ja, gerne. Und wie gesagt, es geht halt dann auch darum, wir werden von niemandem finanziert. Wir machen das alles im ehrenamtlichen Engagement und unterstützen jederzeit gerne und stellen das Framework vor, ob virtuell oder vor Ort. Und das kommt eben dann immer darauf an, wie man sich dann mit der entsprechenden Organisation oder mit der entsprechenden Behörde oder Kommune oder mit dem entsprechenden Verband dann eben auch auf Reisekosten oder ähnliches einigt.
Oder macht es auch gerne irgendwie über YouTube und dann als Stream und dann können wir das auch als Webtalk oder irgendwas umsetzen.
Also wichtig ist, dass die Reichweite da ist und dass möglichst viele Kommunen erreicht werden, weil das kann eine sehr gute Grundlage sein, einfach für eine schnelle Reaktion und eben auch als Grundlage oder einfach als Instrument für Übungen und dann ist es wichtig, halt immer das Feedback daraus zu haben, was hat funktioniert, was könnte man besser machen und gerade mit den Erkenntnissen aus den Übungen, aus der praktischen Anwendung ist es immer super, das Ding einfach zu perfektionieren.
Also ich glaube, ich habe jetzt verstanden, was Resi ist, wofür Resi gut ist. Haben wir noch irgendwas vergessen, was euch noch auf den Nägeln brennt, was ihr unbedingt gerne noch mit unterbringen wollt?
Ich glaube, wichtig wäre, dass es halt im Dialog für Cybersicherheit ist. Also dieser Dialog für Cybersicherheit, der ist, meine ich, im Jahr 2016 entstanden. Das BSI hat sozusagen seine Hände ausgereicht zu allen möglichen Stakeholdergruppen und das ist schon ein Dialog, der wirklich erfolgreich ist. Also das heißt, einmal im Jahr trifft man sich in der Denkwerkstatt.
Im Vorfeld werden Projekte eingereicht. Wir hatten das Glück, dass dieses Projekt ausgewählt wurde, einfach weil die gesamtgesellschaftliche Relevanz gesehen wurde, dass es in dem Kompetenzbereich des BSI lag und dass man gesagt hat, wir sehen hier den Nutzen, dass Kommunen hier sich gut aufstellen können und
da gab es auch noch einen zweiten Workstream dazu. Ich meine, hier, Und Anlaufstelle für Partner, also technische Anlaufstelle für digitale Partnerschaftsgewalt ist auch extrem wichtige Themen. Und das heißt also, dass diese Projekte, die daraus entstehen, wirklich relevant sind und eben auch greifbar sind für entsprechende Stellen. In dem Fall waren es die Kommunen, in dem anderen Fall waren es eben diese Beratungsstellen. Und das findet einmal im Jahr statt und gab es jetzt mehrere Durchläufe.
Ich weiß nicht, wer vom bunten Backbounty gehört hat. Das war auch so ein Erfolgsprojekt und gerade auch was Informationen für Cyber für Schulen und sowas betrifft. Also das lohnt sich auf jeden Fall, diesen Dialog im Blick zu behalten.
Die weiteren Informationen zu diesem Dialog finden sich eben auch auf der Webseite dialog-cybersicherheit.de. Dort kann man natürlich noch mehr Hintergrund und die aktuellen Workstreams, die jetzt seit Ende letzten Jahres aktiv sind, sich anschauen und sich gibt es eben auch dann die entsprechenden Links, über die man sich dann dort auch beteiligen kann.
Genau, und es gibt eben auch die Möglichkeit, sich an den laufenden, an den derzeit laufenden Workstreams zu beteiligen. Unsere war nach neun Monaten beendet, also wir sind jetzt durch und jetzt zum Anfang des Jahres haben die neun begonnen.
Ja, sehr schön. Also alle hier genannten Links und noch viel mehr, die ich noch gerade noch zusammensammle, findet ihr, liebe Zuhörerinnen und Zuhörer, in den Shownotes. Und liebe Sabine, lieber Franz, vielen, vielen Dank, dass ihr bei mir im Podcast worden dieses hochaus interessante Projekt vorgestellt habt. Also ich werde mich da noch ein bisschen näher reinlesen. Und liebe Hörerinnen und Hörer, vielen Dank fürs Zuhören und bis zum nächsten Mal.
Tschüss.
Tschüss.