Zusammenspiel für die kommunale Resilienz in der digitalen Verwaltung
Zusammenspiel für die kommunale Resilienz in der digitalen Verwaltung
Von Alinka Rother und Liadán Sage
Digitalisierung stellt Kommunen vor die Aufgabe, neu über Resilienz nachzudenken. Resilient zu sein, heißt selbst bei unerwarteten kritischen Ereignissen handlungs- und anpassungsfähig zu bleiben. In Zeiten von Cyberangriffen ist das keine triviale Aufgabe, zumal es bei Kommunen darum geht, die Daseinsvorsorge weiter gewährleisten zu können. Resilienz lässt sich dabei thematisch nicht nur auf IT-Sicherheit eingrenzen, sondern ist in starkem Ausmaß eine Frage organisationaler Weitsicht, ausreichender Unterstützung und passgenauer Zusammenarbeit. Welche Maßnahmen und Rahmenbedingungen hierfür notwendig sind, welches Zusammenspiel besonders wichtig ist und wo aktuell noch Hürden für kommunale Verwaltungen liegen, darüber diskutierten Vertreter:innen von Bundesbehörden und kommunalen Verbänden sowie Verantwortliche für Digitalisierung und Informationssicherheit aus Kommunen im ÖFIT-Workshop »Zusammenspiel für die kommunale Resilienz in der digitalen Verwaltungstransformation« am 27. November 2023 unter der Leitung von Dr. Karoline Krenn. Der Blogbeitrag gibt einen Überblick über Ansätze und Prozesse, die Teilnehmende als Stellschrauben für digitale Resilienz in den Kommunen identifizierten. Bereichert wurde der Workshop durch Impulse von Julia Schütze (Cyber Policy House), Mathea Essinger (NExT) und Holger Kurrek (Fraunhofer FOKUS).
Eingangsimpulse: Zielgruppenorientierte Unterstützungsleistungen als Schlüssel für digitale Resilienz
Kommunale Resilienz lässt sich auf einem breiten Spektrum verorten: Sie reicht von Sicherheit über Flexibilität bis hin zu Bedarfsorientierung. Durch die gemeinsame Betrachtung von Resilienz und Digitalisierung als Querschnittsthemen entsteht für Kommunen ein komplexes Spannungsfeld: Einerseits bietet ihnen die Digitalisierung immenses Potenzial, flexibler und damit resilienter zu werden – und so auch in Krisensituationen handlungsfähig zu bleiben. Die Umstellung auf digitale Prozesse und Verwaltungsleistungen macht Kommunen andererseits anfällig für IT-Störungen und Cyberangriffe. Digitale Resilienz muss deshalb bereits im Prozess der Digitalisierung von Verwaltungsabläufen und -leistungen mitgedacht werden.
Vor diesem Hintergrund stellte Workshop-Leiterin Dr. Karoline Krenn dazu das »ÖFIT-Resilienzmodell« vor, das drei Schwerpunkte der digitalen Resilienz identifiziert: Nutzendenzentrierung, Schutz und Sicherheit sowie Unterstützung der Mitarbeitenden im Kontext der Digitalisierung. Im Fokus des Workshops stand im Speziellen der dritte Aspekt: Welche Unterstützung benötigen Mitarbeitende - im Bereich der IT-Sicherheit und darüber hinaus - um digitale Resilienz zu stärken?
Hier zeichne sich aktuell ein Dilemma ab. Zwar gebe es mittlerweile umfangreiches Wissen sowie Informationsangebote zur Frage, wie kommunale Behörden mit Gefährdungslagen und Risiken umgehen könnten. Allerdings komme dieses Wissen zu selten bei den betroffenen Akteur:innen an – damit wachse auch die Unzufriedenheit innerhalb der Kommunen.
Diese Beobachtung wurde von Julia Schütze gestützt, Gründerin des Cyber Policy House. Sie stellte die Studie der Stiftung Neue Verantwortung »Wie sich die Informationssicherheit von deutschen Städten verbessern lässt – eine Bedarfsanalyse in 34 Städten« vor, die Bedarfe von städtischen Mitarbeitenden hinsichtlich Informationssicherheit und Resilienz untersuchte. Vor dem Hintergrund der Bandbreite an Berufs- und Rollenprofilen, die durch das Thema digitale Resilienz betroffen sind – von IT-Sicherheitsbeauftragten über Mitarbeitende des Krisenmanagements bis hin zu Kommunikationsverantwortlichen und Digitalisierungsbeauftragten – verwies Schütze auf den weiterhin großen Bedarf an zielgruppenspezifisch zugeschnittenen Unterstützungsleistungen. Nach wie vor bedürfe es darüber hinaus Antworten auf die Frage, wie genau die zusätzlichen Fähigkeiten und Kapazitäten geschaffen werden können, die es brauche, um Resilienz zu steigern.
Themenmapping: Wo liegen Nadelöhre und Barrieren?
Im Anschluss widmeten sich die Teilnehmenden der Frage, welche akuten Herausforderungen rund um das Themenfeld der digitalen Resilienz in den Kommunen bestehen. Die Diskussion zeigte insbesondere vier Barrieren für die Umsetzung organisationaler Strategien auf: Mangelnde Sensibilisierung, unzureichende Rollenzuweisungen, knappe Ressourcen und unklare Kommunikationswege im Krisenfall.
Themenfeld Sensibilisierung der Leitungsebenen
Die Teilnehmenden wiesen insbesondere auf die fortdauernd hohe, wenn auch abstrakte Bedrohungslage für die Kommunen hin. Die Frage sei nicht »ob, sondern wann gehackt« werde. Zugleich aber fehle es insbesondere auf Leitungsebene zu häufig an Problembewusstsein. Bevor Digitalisierungsprozesse daher im engeren Sinn in den Blick gefasst werden könnten, müsse der Fokus zuallererst auf das Thema Sensibilisierung gelegt werden. Den Leitungsebenen müsse deutlich werden, wie komplex die Anforderungen an die Verantwortlichen im Aufgabenspektrum der IT-Sicherheit sind und welche Unterstützung sie für ihre konkreten Aufgaben brauchen. Informationsmaterial und Austauschmöglichkeiten seien schließlich vorhanden. Das Problem sei vielmehr, dass die Umsetzung entsprechender Maßnahmen nur schleppend vorangehe, da zumeist nur die bereits Interessierten erreicht würden. Ein sicherheitsrelevanter Vorfall in einer Kommune sorge zwar oft für kurzfristige Betroffenheit, habe aber selten einen nachhaltigen Kulturwandel innerhalb der Verwaltung zur Folge. Noch fehle es in vielen kommunalen Verwaltungen an Wissen und Bewusstsein für zentrale präventive Vorgehensweisen, Standards und Regeln. Vor diesem Hintergrund stelle sich die Frage, wie genau diese Akteur:innen erreicht und motiviert werden könnten.
Themenfeld Rollen und Aufgaben
Zugleich würden die Organisationsstrukturen und Aufgabenverteilungen in den kommunalen Verwaltungen der Vielfalt der neuen Anforderungen rund um digitale Resilienz aktuell nicht gerecht würden. Digitale Resilienz sei oft ausschließlich bei den Informationssicherheitsbeauftragten (ISB) beziehungsweise »bei der IT« aufgehängt. Gerade weil die Gewährleistung digitaler Resilienz dauerhafter Beachtung und komplexer Abwägungen bedarf, müsse das Thema in der Verwaltung verankert werden – und dürfe nicht nur »der Feuerwehr« untergeordnet werden. Zu oft hänge die Beachtung des Resilienzthemas vom Engagement beispielsweise der ISB ab.
Themenfeld Kapazitäten und Ressourcen
Resilienz ist und bleibt eine Frage der vorhandenen und eingeplanten Ressourcen, hielten die Workshop-Teilnehmenden fest. Dies betreffe nicht nur den Ressourcenaufwand für die Etablierung resilienter IT-Prozesse und -Infrastrukturen, sondern auch die vorausschauende Vorbereitung und das präventive »Vorhalten« von Ressourcen – um im Krisenfall das Tagesgeschäft überhaupt fortsetzen zu können. Gerade kleinere Kommunen verfügten oft nicht über die notwendigen Ressourcen. Einige Teilnehmende wiesen deshalb darauf hin, dass die Verschiedenheit der Kommunen stärker berücksichtigt werden müsse und differenzierte Ansätze für große und kleine Kommunen nötig seien. Kleine Kommunen hätten teils nur Kapazitäten für das Tagesgeschäft und seien beim Risikomanagement und insbesondere im Krisenfall auf externe Akteur:innen angewiesen. Andere Workshop-Beteiligte befürchteten, dass eine solche Differenzierung zu einer Schwächung der kommunalen Ebene beitragen könne. Wichtiger sei es zunächst, eine übergreifende Perspektive einzunehmen: Resilienz sei maßgeblich eine Frage des Engagements der Leitungsebene, auch unabhängig von der Größe der Kommune.
Gerade vor dem Hintergrund beschränkter Kapazitäten mangele es darüber hinaus an übergreifenden und klar definierten Vorgaben zur Verbesserung digitaler Resilienz in den Kommunen. Einheitliche Standards sowie umfassendere unterstützende Leit- und Richtlinien könnten die Verwaltungsmitarbeitenden in den Kommunen deutlich entlasten.
Themenfeld Interkommunale Zusammenarbeit
Vor diesem Hintergrund kam auch das Thema der interkommunalen Zusammenarbeit zur Sprache: Hemmnisse bestünden aktuell sowohl bei der Krisenkommunikation (»An wen wende ich mich bei welchem Krisenfall entsprechend welcher Vorhaben und Routinen?«) ebenso wie bei der Kooperation von Kommunen im Krisenfall, beispielsweise beim Ausfall von IT-Systemen. Oft seien die jeweiligen Fachverfahren und Prozesse zu unterschiedlich, um eine schnelle Übernahme von Leistungen einer Kommune durch eine andere zu ermöglichen. Zugleich bestünden nur selten etablierte Strukturen der Amtshilfe, während Kooperationsverbote oder -hemmnisse die Zusammenarbeit schwächten. Die Folge: Kommunen könnten einander nur schwer unterstützen – das gelte für das »Ausleihen« von Personal ebenso wie für das »Einspringen« beim Erbringen einer Leistung. Während einer (IT-)Krise durchgängig handlungsfähig zu bleiben, sei daher praktisch oft nicht möglich.
Viele dieser Hürden und Barrieren seien lange bekannt, so die Teilnehmenden. Über Probleme würde offen diskutiert – von mangelnder Fehlerkultur könne keine Rede sein. Die maßgebliche Herausforderung liege darin, die tatsächliche Umsetzung von Resilienzmaßnahmen innerhalb der Kommunen voranzutreiben.
Resilienzdenken nachhaltig verankern: Lösungsansätze für Kommunen
Ansätze und konkrete Lösungen für digital resiliente Kommunen diskutierten die Teilnehmenden im abschließenden Teil des Workshops. Peter Adelskamp (CDO der Stadt Essen), einer der Teilnehmenden des Workshops, betonte die Relevanz einer ganzheitlichen Perspektive: »Neben der technischen Absicherung bedarf es einer intensiven organisatorischen Betrachtung in den Kommunen: Wie kann ich meine wichtigsten Geschäftsprozesse der Daseinsvorsoge aufrechterhalten, wenn die IT nicht läuft?«
1. Auf Krisen reagieren: Unterstützungsleistungen koordinieren und Vorgaben für die Krisenkommunikation etablieren
Als ein zentraler Faktor wurde die Verbesserung von Unterstützungsleistungen im Krisenfall sowie deren Vorbereitung ausgemacht. Das betreffe Hilfsangebote von größeren für kleinere Kommunen ebenso wie Leistungen vom Land für die Kommunen. Zwar sei jede Kommune grundsätzlich selbst für die eigenen Prozesse verantwortlich und müsse Vorkehrungen beispielsweise im Bereich Informationssicherheit treffen. Es sei allerdings insbesondere Aufgabe der Länder, die dafür notwendigen Informationskanäle und -dienste zu schaffen, bei der Vernetzung zu unterstützen (z. B. Clusterbildung) und interkommunale Unterstützungsangebote zu koordinieren. Notwendig sei insbesondere der Aufbau von Strukturen für geordnete Hilfebeistellungen und die Zusammenführung von Hilfesuchenden und Anbietenden. Gleiches gelte auch für Amtshilfen bei akuten Vorfällen: Klare Vorgaben für die Krisenkommunikation in vertraulichem Kreis seien die Voraussetzung für eine gelingende Amtshilfe.
2. Prävention in den Kommunen: Notfallpläne von Beginn an mitdenken, Verfahren nutzendenorientiert gestalten und Rollendenken verankern
Innerhalb der einzelnen Kommunen beginne Resilienz beim einzelnen Fachverfahren oder Digitalisierungsprojekt. Holger Kurrek, wissenschaftlicher Mitarbeiter am Fraunhofer FOKUS, verdeutlichte dies im Rahmen eines Kurzimpulses am Beispiel von Cloudverfahren. Die Gewährleistung von Resilienz sei kein kurzfristiges Anliegen, das nur bei der Implementierung eines Verfahrens mitgedacht werden dürfe. Im Gegenteil: Resilienz sei nur durch fortlaufende Verbesserungs- und Nachsteuerungsprozesse zu erreichen. Beim Aufsetzen eines solchen Projekts sei es deshalb unerlässlich, Sicherheitsarchitekturen und Notfallpläne von Beginn an mitzudenken. Auch deshalb müssten Ressourcen für kontinuierliche Anpassungen von Anfang an eingeplant werden. Zugleich sollte auf vorhandene Regelwerke (z.B. Cyber Resilience Act) und bestehende Standards gesetzt werden, beispielsweise Grundschutzstandards des BSI oder internationale ISO-Standards. Es lägen zudem bereits viele unterstützende Guidelines und Werkzeuge für eine risikobewusste Umsetzung von Cloudverfahren vor, die nun auch angenommen werden müssten.
Neben einer ausführlichen Projektdokumentation sollte darüber hinaus von Beginn an geklärt werden, welche Kompetenzen inhouse verfügbar sind und welche Aufgaben extern vergeben werden sollten. Die Umsetzung eines resilienten Fachverfahrens erfordere Kompetenzen im IT-, Projekt-, und Risikomanagement, die aufgebaut, eindeutig im Team zugewiesen und durch eine Projektleitung koordiniert werden müssen. Darüber hinaus müssten die Verfahren so gestaltet werden, dass sie für alle betroffenen Mitarbeitenden nachvollziehbar und verständlich seien. Nur ein nutzendenorientiertes Design stelle auf Dauer resiliente Abläufe und Prozesse sicher, um kreative Work-Arounds zu vermeiden, die Einfallstore für Cyberangriffe eröffnen. Mit Blick auf die Steuerung einer solchen Umsetzung schlugen einige Teilnehmende vor, die Vorhabensfinanzierung von der Einhaltung bestimmter Standards abhängig zu machen – oder finanzielle Fördermaßnahmen zu sperren, wenn ein bestimmtes Grundschutzlevel nicht umgesetzt sei. Dafür sei der Rückhalt in allen Leitungsebenen unbedingt notwendig.
Vor dem Hintergrund der Komplexität und Vielfalt dieser Aufgaben diskutierten die Workshop-Teilnehmenden über die Notwendigkeit standardisierter Rollen und die Einbindung unterschiedlicher Akteur:innen. So sollten beispielsweise Datenschutzbeauftragte und externe Dienstleister:innen früher in die Einführung neuer digitaler Verfahren einbezogen werden. In vielen Kommunen aber müssten vor allem neue Rollen geschaffen und verankert werden. Es bedürfe zentraler Stellen innerhalb der Verwaltung und der Führung, die das Resilienzthema verantworteten und vorantrieben (bspw. Resilienzmanager:innen). Diese könnten Aufgaben zuweisen, Rollen festlegen, Kompetenzen aufbauen und die Fachabteilungen eng begleiten. Zwar könnten gerade die kleineren Kommunen möglicherweise nicht jede notwendige Rolle besetzen. Hier aber könnten orchestrierte kommunale Cluster und Netzwerke sowie die Arbeitsteilung Abhilfe schaffen.
3. Wirklich alle erreichen: Von Pull-Formaten über Sicherheitstests bis hin zur Regulierung
Die Notwendigkeit von Vernetzungsangeboten wurde auch mit Blick auf das Thema Sensibilisierung diskutiert. Um ein Bewusstsein für Risiken und ihre Vermeidung bei politischen Entscheidungsträger:innen (»agiles Resilienzdenken«) zu entwickeln, könnten Formate für den Austausch von Erfahrungen und Best Practices das informelle »Voneinanderlernen« ermöglichen. Ein hilfreiches Format könnten die NExT-Communities und -Werkstätten sein, die Mathea Essinger vom NExT e.V. in einem Kurzimpuls vorstellte: Das Netzwerk im öffentlichen Dienst bringe Beschäftigte aus Bund, Ländern und Kommunen zusammen, um den Erfahrungsaustausch zu Digitalthemen voranzutreiben. Eine große Stärke der Communities liege in ihrer Selbstorganisation und Interdisziplinarität – gerade das ermögliche einen tatsächlichen Wissenstransfer innerhalb eines geschützten Raumes.
Die Teilnehmenden wiesen vor diesem Hintergrund auf das notwendige Zusammenspiel unterschiedlicher Ansätze hin: Wie sensibilisiert man diejenigen, die freiwillige Vernetzungsangebote (»Pull-Formate«) nicht annehmen? Hier bedürfe es zum einen einer regelmäßigen Sichtbarmachung der Bedrohungslage: So könnten beispielsweise ein Warntag oder Probealarme für IT-Sicherheit in den Kommunen ins Leben gerufen werden. Einen hohen Wirkungsgrad würde darüber hinaus das Anbieten von (kostenlosen) Penetrationstests für Kommunen entfalten. Zum anderen bedürfe es zwingend verpflichtender Vorgaben, Regelungen und Standards. Hier seien insbesondere die Länder gefragt, die Kommunen zur Umsetzung bestimmter Sicherheitsmaßnahmen verpflichten könnten. Der Bund könne hier aktuell aufgrund der föderalen Strukturen nur mittelbar unterstützen, beispielsweise über Rahmensetzungen und die Entwicklung noch stärker zielgruppenorientierter Resilienz-Standards, die wiederum von den Ländern aufgegriffen und weiterkommuniziert werden sollten. Einzelne Teilnehmende äußerten darüber hinaus den Wunsch, sich an Vorgaben des IT-Planungsrats oder ähnlicher Gremien orientieren zu können – hierfür bedürfe es Anpassungen und Gesetzesänderungen, die ein solches Vorgehen möglich machen. Zugleich aber würden Gesetzesanpassungen viel Zeit in Anspruch nehmen.
Übergreifend komme es darum auf einen mehrgleisigen Ansatz an, der neben regulativen Anpassungen auch Aspekte der Koordination ebenso wie des Wissensmanagements umgreife, so das abschließende Fazit der Teilnehmenden. Formate für den unkomplizierten interkommunalen Austausch, die Etablierung von Arbeits- und Kommunikationsroutinen sowie eindeutige Rollenzuweisungen können im Krisenfall auch kurz- und mittelfristig einen entscheidenden Unterschied machen – und den Kulturwandel innerhalb der kommunalen Verwaltungen vorantreiben. Für die digitale Resilienz heißen diese Ergebnisse: Resilienz ist nicht nur die Aufgabe Einzelner, sondern aller, unter besonderer Verantwortung der Leitungsebene. Es muss in Zukunft darum gehen, Resilienzdenken nachhaltig in kommunalen Verwaltungen zu verankern.
Weiterführendes von ÖFIT:
re|Staat digital – Der ÖFIT-Podcast: Resilienz – Folge 28
Resilienz beschreibt als Begriff ein komplexes Paket an Fähigkeiten, die es braucht, um auf kritische Ereignisse und Krisen reagieren zu können und Handlungsfähig zu bleiben. Im Kontext der Digitalisierung bedarf es hierfür eingespielter Routinen aber auch Flexibilität. Auf der anderen Seite kann Digitalisierung auch Resilienz erzeugen. Diese verschiedenen Perspektiven und ihre Bedeutung für die Verwaltung beleuchten Karoline Krenn und Nicole Opiela in unserer ersten Folge für 2024.
Good Practices störungsresilienter, menschzentrierter Technikgestaltung
Warum geht die Entwicklung digitaler Werkzeuge so oft am Bedarf der Nutzenden vorbei, obwohl menschzentrierte Gestaltungsansätze hierfür doch zahlreiche Lösungen bereitstellen? Damit menschzentrierte Gestaltung erfolgreich ist, braucht es neben Methodenwissen ein gemeinsames Verständnis und die richtige Haltung. Der Impuls beschreibt Good Practices für einen resilienten Umgang mit typischen Störungen und skizziert entlang verschiedener Projektphasen eines fiktiven Projektszenarios das Ineinandergreifen von Rahmenbedingungen und idealen methodischen Abläufe im Forschungs- und Entwicklungskontext. Dabei gibt der Impuls Fördergebenden, Projektverantwortlichen und Entwickler:innen Einblicke in häufig nur implizit vorhandenes Praxiswissen.
Cloud-Betrieb im öffentlichen Sektor - Selbstbedienung, Automatisiert
Bürger:innen erwarten von einer modernen öffentlichen Verwaltung ein zeitgemäßes Online-Angebot, das den klassischen Behördengang weitgehend ersetzt. Voraussetzung dafür sind Entwicklung und Betrieb moderner IT-Anwendungen, die neue oder geänderte Software schnell und zuverlässig bereitstellen können – für Nutzer:innen innerhalb und außerhalb der Verwaltung. Das vorliegende White Paper stellt den Betrieb von IT-Anwendungen in der Cloud in den Mittelpunkt und zeigt Vorteile von Cloud-Technologie bei der Umsetzung der vielfältigen Anforderungen an aktuelle Software über deren unmittelbare Funktionalität hinaus. Cloud-Lösungen können die Verwaltung aktiv dabei unterstützen, agiler zu werden – und damit zu einem Kulturwandel nicht nur innerhalb, sondern auch zwischen Organisationen führen.
Veröffentlicht: 10.04.2024