Nach jahrelangem Streit liegt endlich ein Entwurf für ein sachsen-anhaltinisches Informationssicherheitsgesetz vor. Doch Experten kritisieren massive Lücken und Ausnahmen.
Es war ein digitaler Paukenschlag, der ganz Deutschland aufrüttelte: Im Juli 2021 sah sich der Landkreis Anhalt-Bitterfeld gezwungen, den ersten Katastrophenalarm der bundesdeutschen Geschichte wegen eines Cyberangriffs auszurufen. Wochenlang blieben Verwaltungen gelähmt, Bürger konnten keine Anträge stellen, sensible Daten gerieten in die Hände von Kriminellen. Die Botschaft war unmissverständlich: Die kritische Infrastruktur ist verwundbar. Die damals frisch gewählte sachsen-anhaltische Regierungskoalition aus CDU, SPD und FDP reagierte prompt und verankerte im September 2021 das Versprechen im Koalitionsvertrag, ein umfassendes IT-Sicherheitsgesetz zu erarbeiten. Ziel war eine effiziente Cybersicherheit, die den modernen Bedrohungen standhalten kann. Nach europäischen Vorgaben hätte eine entsprechende Regelung eigentlich schon im Jahr 2024 in Kraft sein müssen. Doch die Realität der Landespolitik hinkte dem eigenen Anspruch weit hinterher.
Erst jetzt, nach monatelangen, zähen Debatten hinter verschlossenen Türen, hat die Landesregierung in Magdeburg einen Entwurf für ein Informationssicherheitsgesetz vorgelegt. Der Ton im Papier sei allerdings spürbar defensiv geraten, schreibt der MDR. Statt einer technologischen Vorreiterrolle sei nur noch davon die Rede, das IT-Sicherheitsniveau auf ein angemessenes Maß anzuheben.
Lydia Hüskens, Ministerin für Digitales und Infrastruktur von der FDP, verteidigte das Vorhaben gegenüber dem Sender. Sie betont, der Entwurf bilde das dringend benötigte Fundament für eine moderne und einheitliche Informationssicherheitsarchitektur im gesamten Bundesland. Die neu geschaffenen Zuständigkeiten und Strukturen auf Landesebene sollen die administrative Handlungsfähigkeit stärken, um künftige Cyberangriffe deutlich besser und koordinierter zu bewältigen als in der Vergangenheit.
Doch die Euphorie in den Ministerien wird von Expertenseite nicht geteilt. Unabhängige Beobachter und IT-Fachleute äußern scharfe Kritik an den Inhalten des Papiers. Der Kernvorwurf lautet, dass viele der formulierten Vorgaben völlig unverbindlich blieben und sich im Wesentlichen auf absolute Mindeststandards beschränkten.
Zwar soll das Gesetz erstmals rechtlich verbindlich festlegen, wie öffentliche Stellen in Sachsen-Anhalt ihre informationstechnischen Systeme zu schützen haben. Doch die praktische Umsetzung wirft erhebliche Fragen auf. So soll etwa eine neue Aufsichtsbehörde ins Leben gerufen werden, bei der Behörden schwerwiegende IT-Sicherheitsvorfälle verpflichtend melden müssen. Die Planer rechnen mit 50 bis 200 solcher Vorfälle pro Jahr. Um diese Mammutaufgabe zu bewältigen, sind acht neue Planstellen sowie ein spezialisiertes Computer-Sicherheitsnotfallteam vorgesehen, flankiert von Schulungsprogrammen und regelmäßigen Kontrollen. Die kalkulierten jährlichen Kosten belaufen sich auf knapp 3,3 Millionen Euro.
Der größte Schwachpunkt des Gesetzes liegt in seinen umfassenden Ausnahmeregelungen. Ein genauer Blick auf den Kreis der Betroffenen offenbart eine gravierende Sicherheitslücke: Ausgerechnet jene Institutionen, die die sensibelsten Daten der Bürger verwalten und schützen, sind ausdrücklich von den Verpflichtungen des Gesetzes ausgenommen. Weder die Landespolizei noch der Verfassungsschutz, die Gerichte oder die Staatsanwaltschaften müssen sich an die neuen Vorgaben halten.
Besonders schwer wiegt zudem der Ausschluss der Kommunen und Landkreise. Damit bleibt die kommunale Ebene, die im direkten Bürgerkontakt die größte Datenmenge überhaupt verarbeitet, außen vor. Politische Insider berichten, dass es vor allem das von der CDU geführte Innenministerium war, das sich vehement gegen eine Einbeziehung dieser Kernbereiche wehrte.
Die Ohnmacht der neuen Sicherheitsarchitektur zeigt sich auch an den Kompetenzen der künftigen Aufsichtsstelle. Diese soll laut dem Bericht die Verwaltung zwar vor bekannten Sicherheitslücken warnen und darf theoretisch sogar Schutzmaßnahmen anordnen oder anweisen. Das Problem dabei ist, dass sie keinerlei Durchsetzungsmacht besitzt. Wenn sich eine andere Landesbehörde weigert, die Anweisungen umzusetzen, hat die IT-Aufsicht keine rechtlichen oder sanktionierenden Hebel in der Hand.
Zudem drängt die Zeit: Der Gesetzentwurf soll im Juni im Magdeburger Landtag debattiert werden. Angesichts der bevorstehenden Landtagswahl im September wird das Zeitfenster für eine erfolgreiche Verabschiedung extrem eng. Es droht das Szenario, dass das Gesetz im Wahlkampfgetöse stecken bleibt.
Dennoch gibt es auch Stimmen aus der Wirtschaft, die den Entwurf trotz aller Mängel als überfälligen Schritt betrachten. Marco Langhof, Vorsitzender des Verbands der IT-Unternehmer in Sachsen-Anhalt, mahnt zur Eile und betont, dass es angesichts der angespannten globalen Sicherheitslage und der spürbar zunehmenden Angriffe höchste Zeit für eine gesetzliche Grundlage sei. Als warnendes Beispiel nennt er einen Vorfall aus dem Januar dieses Jahres, bei dem Cyberkriminelle die Kontrolle über das Sirenennetzwerk in Halle an der Saale übernahmen und Fehlalarme auslösten. Das habe schmerzhaft vor Augen geführt, dass vitale Infrastrukturen im Land unzureichend geschützt seien, erklärt Langhof. Dass ausgerechnet diese Kommunen nun nicht unter das neue Gesetz fallen, bedauert auch er.
Aus dem Digitalministerium heißt es dazu lediglich, dass sich für die Landkreise und Kommunen zwar keine unmittelbaren Verbesserungen ergeben, ein schwerer Cyberangriff wie der im Jahr 2021 in Anhalt-Bitterfeld durch die neuen Landesstrukturen jedoch besser abgewehrt werden könne. Sandro Wefel, IT-Sicherheitsforscher an der Universität Halle, vermutet finanzielle Gründe hinter den Ausnahmen. Den Kommunen feste Pflichten aufzuerlegen, ohne das nötige Geld bereitzustellen, sei politisch kaum durchsetzbar.
Wefel hofft immerhin auf einen psychologischen Effekt durch eine höhere Sensibilisierung der Mitarbeiter, warnt aber gleichzeitig davor, dass Landesbehörden hochgradig anfällig für Angriffe bleiben, bei denen Daten verschlüsselt oder manipuliert werden, um Lösegeld zu erpressen. Ein struktureller Aufbau von dringend benötigtem IT-Fachpersonal im Land werde durch dieses Gesetz wohl kaum angestoßen.
Im bundesweiten Vergleich landet Sachsen-Anhalt mit diesem Entwurf nach Einschätzung von Experten lediglich im grauen Mittelfeld. Dennis Kipker, Professor für IT-Sicherheitsrecht, verweist auf das Nachbarland Sachsen, wo die Kommunen konsequent in die Pflicht genommen werden, was den sachsen-anhaltischen Entwurf im direkten Vergleich stark einschränkt. Thüringen schneide mit einer bloßen Verwaltungsvorschrift noch schlechter ab.
Vernichtend fällt das Urteil von Manuel Atug aus, Sprecher der AG Kritis. Er sieht Sachsen meilenweit vorne, da dort das Gesetz seit 2019 bereits dreimal an die Realität angepasst worden sei. Die Regierung in Sachsen-Anhalt habe den Entwurf unnötig kompliziert formuliert. Zudem rügt Atug, dass die Aufsicht nicht in der Staatskanzlei angesiedelt sei. Damit werde die Informationssicherheit im Land nicht zur echten Chefsache erklärt, sondern im bürokratischen Unterbau der Ministerien versteckt.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen