25.11.24 – von Ulf Dunkel –

Sehr geehrter Herr Landrat.

Die Gefährdung durch kriminelle Cyberangriffe nimmt stetig zu und erreicht immer neue Höchststände. Nach dem aktuellen IT-Sicherheitslagebericht des Bundes­amtes für Sicherheit in der Informationstechnik richten sich sog. Ransomware-Angriffe, bei denen Daten auf einem IT-System verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigegeben werden, vermehrt gegen Kommunen. Ebenfalls deutlich zugenommen haben sog. DDoS-Angriffe, mit denen die Server mit gefälschten Anfragen geflutet und so lahmgelegt werden.

Kommunale Verwaltungen und kommunale Einrichtungen gelten hinsichtlich der Cyber-Sicherheit der öffentlichen Verwaltung gemeinhin als die schwächsten Glieder, da sie angesichts einer angespannten Haushaltssituation und angesichts von Fachkräftemangel oft nicht im erforderliche Maße in der Lage seien, für ihre IT-Sicherheit zu sorgen.

Der Niedersächsische Landesrechnungshof hat in seinem am 14.11.2024 erschienenen Kommunalbericht 2024 die Ergebnisse der Prüfung der IT-Sicherheit bei 31 niedersächsischen Kommunen veröffentlicht: Dabei wurden bei knapp 90 % der untersuchten Kommunen fehlende Risikoanalysen, ein fehlendes Notfall­management und fehlende Notfallübungen festgestellt.

Vor diesem Hintergrund fragen wir die Kreisverwaltung:

1. Hat es bereits einen Cyberangriff auf die Kreisverwaltung oder auf eine Einrichtung des Landkreises gegeben? Wenn ja wann und was ist passiert? Wurde ggf. bereits Lösegeld aufgrund eines Ransomeware-Angriffs gezahlt?

2. Wer für die IT-Sicherheit im Landkreis Cloppenburg zuständig (eigenes Personal oder kommunales Rechenzentrum oder beides)? Welches Budget (extern) bzw. welches Arbeitsvolumen innerhalb der Kreisverwaltung steht dafür zur Verfügung?

3. Wie werden die Beschäftigten für das Thema IT-Sicherheit sensibilisiert? Gibt es regelmäßige Schulungen und/oder Informationssicherheitsleitlinien für die Beschäftigten?

4. Sind Vermögensschäden unseres Landkreises aufgrund von Cyberangriffen versichert? Wenn nein, warum nicht?

5. Gibt es in unserem Landkreis ein Notfallmanagement und Notfallübungen und wenn ja, wie oft haben diese bisher stattgefunden?

6. Wurde der vom Land seit etwa zwei Jahren angebotene kostenlose Cybersicherheits-Check für Kommunen bereits in Anspruch genommen und wenn nein, warum nicht? Wenn ja, mit welchem Ergebnis?

7. Welche Ressourcen (finanziell oder personell) wären nach Einschätzung der Verwaltung erforderlich, um das von den kommunalen Spitzenverbänden im November 2023 veröffentlichte IT-Grundschutzprofil für kommunale Verwaltungen zu gewährleisten?

Mit freundlichen Grüßen

Ulf Dunkel
GRÜNE-Fraktionsvorsitzender