Standards „Made in Europe“
Digitale Resilienz in der öffentlichen Verwaltung
Im Spannungsfeld zwischen Sicherheit und neuen Ansprüchen von BürgerInnen: Wie die öffentliche Verwaltung eine souveräne IT-Infrastruktur nach europäischen Standards aufbauen kann und welche Rolle dabei der digitalen Resilienz zukommt.
- Was ist digitale Resilienz?
- Wie steht Deutschland in Sachen Digitalisierung in Europa da?
- Wie lassen sich standardisierter Prozesse für eine sichere Infrastruktur implementieren?
- Wie lassen sich Behördenmitarbeitende einbeziehen?
- Warum sind europäische Standards unabdingbar? Und wie lassen sich diese realisieren?
Gerade während der Corona-Krise hat die Anzahl der Cyberattacken auf Unternehmen stark zugenommen. Laut des Lageberichts der IT-Sicherheit (2021) von Bitkom führten Cyberangriffe bei 86 Prozent aller Unternehmen zu Schäden. Außerdem seien die Schäden durch Erpressung und Systemausfälle seit 2019 um 85 Prozent gestiegen.
So hat der Landkreis Bitterfeld nach einem Cyberangriff im Juli 2021 erstmals den Katastrophenfall ausgerufen. Durch einen Trojaner wurde die IT-Infrastruktur lahmgelegt und die Auszahlung von Sozial- und Unterhaltsleistungen war für mindestens eine Woche nicht möglich. Ein Ausfall hat somit einen großen Impact auf BürgerInnen. Die IT-Infrastruktur muss so gestärkt sein, dass die E-Government-Angebote jederzeit und von überall erreichbar sind. Security allein reicht nicht aus, es braucht eine digitale Resilienz der Institutionen. Doch wie kann eine souveräne IT-Infrastruktur nach europäischen Standards erreicht werden und welche Rolle kommt der digitalen Resilienz dabei zu?
Digitale Resilienz – der Schlüssel zu digitaler Souveränität
Digitale Resilienz beschreibt die Widerstandsfähigkeit von digitalen Ökosystemen. Sie eröffnet Handlungs- und Anpassungsräume und muss darauf abzielen, die durch deren Einsatz gewonnene Flexibilität dauerhaft zu ermöglichen. Gleichzeitig soll sie aber auch Sicherheit in Krisenzeiten gewährleisten. In diesem Kontext lässt sich digitale Resilienz als ein Gleichgewicht aus Flexibilität, Anpassungsfähigkeit und Standfestigkeit des soziotechnischen Systems definieren.
Widerstandsfähig durch schwierige Zeiten zu kommen, ist im Kontext der Digitalen Transformation zur Schlüsselkompetenz geworden. Daher muss die IT autonomer, agiler und nachhaltiger werden. Die Business Continuity – also Maßnahmen und Prozesse, die den IT-Betrieb auch unter Krisensituationen aufrechterhalten – fungiert dabei als Schutz vor disruptiven Veränderungen. Nachhaltige Entwicklung und Resilienz sind daher eng miteinander verbunden.
Dies gilt auch und insbesondere für den öffentlichen Sektor. Behörden und andere Einrichtungen der öffentlichen Infrastruktur müssen den Ausbau ihrer Resilienz forcieren, um unabhängig und digital selbstbestimmt agieren zu können und einseitige Abhängigkeiten zu vermeiden. In einer Welt, die durch Dynamik, Schnelllebigkeit, Komplexität und Mehrdeutigkeit bestimmt ist, auch VUCA-Welt genannt (Voltälity, Uncertainty, Complexity, Ambiguity), müssen sich nicht nur wirtschaftliche Akteure, sondern auch Behörden und öffentliche Verwaltungen diesen Bedingungen anpassen, um ihren öffentlichen Auftrag erfüllen zu können. Notwendig ist dafür ein hoher digitaler Reifegrad, der zeigt, inwieweit die jeweilige Organisation im Prozess der Digitalen Transformation vorangeschritten ist.
Vom Bürger aus denken
Auch die Ansprüche der BürgerInnen verändern sich in einer volatilen, zunehmend digitalen und dynamischen Welt. Die Digital Public Services (DPS) sollen mobil, bürgernah, jederzeit und von überall auf allen Kanälen erreichbar sein. Dass Deutschland jedoch in der digitalen Wettbewerbsfähigkeit hinter dem europäischen Durchschnitt herhinkt, ist kein Geheimnis. Laut einer Studie des Berliner European Center for Digital Competitiveness (ECDC)1 aus dem Jahr 2021 hat sich die Lage weiter verschlechtert: Deutschland verlor die zweitmeisten Ränge, schlechter schnitt nur Albanien ab.
Neben den Behörden und Organisationen mit Sicherheitsauftrag (BOS), die nun als besonders gefährdet gelten, ist auch die öffentliche Verwaltung von der Notwendigkeit digitaler Souveränität betroffen. Die 24/7-Verfügbarkeit von Dienstleistungen und Informationsangeboten bringt eine Reihe konkreter Herausforderungen für die öffentliche Verwaltung mit sich. So müssen zum Beispiel sowohl die IT-Infrastruktur als auch die internen Prozesse flexibel und sicher zugleich sein. Um diesen Herausforderungen zu begegnen, sind die Bürger:innen als maßgebende Ausgangslage für strategische Entscheidungen über digitale Maßnahmen zu betrachten.
Implementieren standardisierter Prozesse für eine sichere Infrastruktur
Eine belastungsfähige und ausfallsichere IT, die den veränderten Ansprüchen der BürgerInnen gerecht wird, lässt sich nur mithilfe einer modernen und flexiblen digitalen Infrastruktur erreichen. So gehört selbstredend ein flächendeckendes, schnelles und störungsfreies Internet zu den wichtigsten Voraussetzungen. Nur wenn die Infrastruktur anpassbar und skalierbar ist, kann die öffentliche Verwaltung digital resilient agieren. Es bedarf zudem einer IT-Strategie, die auf schnelles Erkennen von Gefahren und Einleiten von Abwehrmaßnahmen setzt. Dazu gehören regelmäßige Stresstests, sichere Backup- und Recovery-Konzepte, die festlegen, wie Daten und Informationen abgelegt werden. Die Herausforderung hier: Der deutsche Föderalismus, der durchaus seine Vorteile hat, führt im Kontext der digitalen Transformation aber vor allem zu Abstimmungsproblemen auf politischer Ebene und zu großen regionalen Unterschieden im infrastrukturellen Ausbau.
Dabei könnten sich Behörden an den Transformationsprozessen von Großbanken orientieren, welche die Folgekosten eines Ausfalls sehr genau kennen und daher schon heute eine positive Entwicklung in der Nutzung infrastruktureller Neuerungen zeigen. Um weiterhin auf den globalen Finanzmärkten bestehen zu können, sind sie schon früh unter einen hohen Digitalisierungsdruck geraten und kämpfen seither mit ähnlichen Herausforderungen sowie dem Spannungsfeld aus Flexibilität und Sicherheit.
Der Faktor Mensch
Neben den Technologien und der Infrastruktur, ist der Mensch ein wichtiger Faktor für die Resilienz. Denn Menschen sind diejenigen, die ihre Passwörter nicht ausreichend sichern oder auf betrügerische Links klicken oder Opfer von gezieltem Social Engineering werden, und somit Sicherheitslücken entstehen lassen. Der Aufbau digitaler Kompetenzen ist daher von zentraler Bedeutung, um Datenschutz und absolute Ausfallsicherheit zu gewährleisten.
Behördenmitarbeitende müssen ein digitales Mindset entwickeln und in der Lage sein, in ihrem digitalen Handeln kritisch vorauszudenken. Vor allem im Bereich der Cyber Security zeigt sich, dass Menschen deutlich einfacher zu überlisten sind als die Technik, die sie bedienen. Ausschließlich technologische Einschränkungen reichen nicht aus, um für mehr IT-Sicherheit zu sorgen. Vielmehr kann eine resiliente und souveräne IT nur durch eine digitale Kultur erreicht werden. Ein erfolgreicher Kulturwandel kann mithilfe einer Reihe über organisatorische Maßnahmen geschehen:
- Awareness schaffen und über Fake Webseiten und andere betrügerische Methoden aufklären
- Durch größere Experimentierräume, höhere Kompetenzen und agilere Arbeitsweisen Raum für Entwicklung schaffen
- Angesichts des Mangels an IT-Fachkräften, muss eine Steigerung der Arbeitgeberattraktivität im öffentlichen Sektor vorgenommen werden, um neue Denkweisen zu implementieren.
Nur unter Beachtung der Menschen hinter den Systemen kann sichergestellt werden, dass ein Deutschland der Zukunft wettbewerbsfähig und damit digital souverän ist.
Standards „Made in Europe“: Deutschland ist gut – Europa ist besser
Um eine nachhaltig resiliente, souveräne und auf europäischen Werten basierende Infrastruktur aufzubauen, reicht ein alleiniger Fokus auf Deutschland allerdings nicht aus. Vielmehr ist der Aufbau einer europäischen Cloud-Infrastruktur nötig, um die europäische Datensouveränität zu gewährleisten. Zur Sicherung der digitalen Souveränität von öffentlichen Einrichtungen sind europäische Standards unabdingbar. Neben der Einführung von standardisierten Regularien zur(Aus-)Bildung von (IT) Fachkräften, ist eine sichere und vernetzte Dateninfrastruktur nötig.
Standards „Made in Europe“ stehen unter dem Einfluss von Wechselwirkungen aus digitaler Souveränität und Resilienz. Kleinstaaterei und daraus resultierende Insellösungen müssen vermieden werden. Nur durch ein vernetztes Europa mit geteilten europäischen Werten kann die digitale Souveränität einzelner Staaten gewährleistet werden. Einen Beitrag zu einer souveränen europäischen Dateninfrastruktur für nachkommende Generationen soll GAIA-X leisten, das NutzerInnen befähigt, eine informierte Entscheidung über die Speicherung ihrer Daten treffen zu können. Entwickelt von VertreterInnen aus Wirtschaft, Politik und Wissenschaft, sollen Daten und Dienste einem offenen und transparenten digitalen Ökosystem verfügbar gemacht, zusammengeführt, vertrauensvoll geteilt und genutzt werden können. Sie gewährleisten also die digitale Souveränität der NutzerInnen und fördern gleichzeitig Innovationen.
1 digital-competitiveness.eu/wp-content/uploads/Digital_Riser_Report-2021.pdf
Lesen Sie mehr zum Thema
