Für die nächste Sitzung des Ausschusses für Wirtschaftsförderung, Digitalisierung und Internationales am 03.03.2025 beantragen wir folgenden TOP:
Cybersicherheit in der Stadt Oldenburg
Wir möchten folgende Fragen von der Verwaltung beantwortet haben:
1. Hat es bei uns bereits einen Cyberangriff auf die Verwaltung oder auf eine kommunale Einrichtung gegeben? Wenn ja, wann und was ist passiert? Wurde ggf. bereits Lösegeld aufgrund eines Ransomeware-Angriffs gezahlt?
2. Wer ist für die IT-Sicherheit bei uns zuständig (eigenes Personal oder kommunales Rechenzentrum oder beides)? Welches Budget (extern) bzw. welches Arbeitsvolumen innerhalb der Verwaltung steht dafür zur Verfügung?
3. Wie werden die Beschäftigten für das Thema IT-Sicherheit sensibilisiert? Gibt es regelmäßige Schulungen und/oder Informationssicherheitsleitlinien für die Beschäftigten?
4. Sind Vermögensschäden unserer Kommune aufgrund von Cyberangriffen versichert? Wenn nein, warum nicht?
5. Gibt es in unserer Kommune ein Notfallmanagement und Notfallübungen und wenn ja, wie oft haben diese bisher stattgefunden?
6. Wurde der vom Land seit etwa zwei Jahren angebotene kostenlose Cybersicherheits-Check für Kommunen bereits in Anspruch genommen und wenn nein, warum nicht? Wenn ja, mit welchem Ergebnis?
7. Welche Ressourcen (finanziell oder personell) wären nach Einschätzung der Verwaltung erforderlich, um das von den kommunalen Spitzenverbänden im November 2023 veröffentlichte IT-Grundschutzprofil für kommunale Verwaltungen zu gewährleisten?
Begründung
Die Gefährdung durch kriminelle Cyberangriffe nimmt stetig zu und erreicht immer neue Höchststände. Nach dem aktuellen IT-Sicherheitslagebericht des Bundesamtes für Sicherheit in der Informationstechnik richten sich sog. Ransomware-Angriffe, bei denen Daten auf einem IT-System verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigegeben werden, vermehrt gegen Kommunen. Ebenfalls deutlich zugenommen haben sog. DDoS-Angriffe, mit denen die Server mit gefälschten Anfragen geflutet und so lahmgelegt werden.
Kommunale Verwaltungen und kommunale Einrichtungen gelten hinsichtlich der Cyber-Sicherheit der öffentlichen Verwaltung gemeinhin als die schwächsten Glieder, da sie angesichts einer angespannten Haushaltssituation und angesichts von Fachkräftemangel oft nicht im erforderliche Maße in der Lage seien, für ihre IT-Sicherheit zu sorgen.
Der Niedersächsische Landesrechnungshof hat in seinem am 14.11.2024 erschienenen Kommunalbericht 2024 die Ergebnisse der Prüfung der IT-Sicherheit bei 31 niedersächsischen Kommunen veröffentlicht: Dabei wurden bei knapp 90% der untersuchten Kommunen fehlende Risikoanalysen, ein fehlendes Notfallmanagement und fehlende Notfallübungen festgestellt.