D64 – Zentrum für Digitalen Fortschritt e.V. war als sachverständige Organisation eingeladen, den Bericht der schwarz-grünen Landesregierung über die Aktivitäten zur Abwehr von Bedrohungen der Informationssicherheit in Schleswig-Holstein zu kommentieren. In unserer Stellungnahme sehen wir viel Nebel und wenig Substanz. Keine der seitenweise vorgetragenen Klagen über fehlende Ressourcen, unbesetzte Planstellen und andere Mängel wird mit Zahlen belegt.
Wie viel Personal fehlt tatsächlich, um die Zielstruktur mit eine:r CISO der Landesregierung, mit Informationssicherheitsbeauftragten in allen Ministerien, dazu die technischen und organisatorischen Funktionen in allen Ressorts und den nachgeordneten Behörden auszufüllen? Das Ausmaß der offensichtlich vorhandenen und im Bericht durchaus eingestandenen Defizite lässt sich in den 74 Seiten des Berichts nur erahnen – nicht beziffern.
Man merkt dem Bericht an, dass er mit heißer Nadel gestrickt wurde. Die Rückmeldungen aus den einzelnen Ressorts, die zu einer Gesamtdarstellung zusammengefügt wurden, sind von sehr unterschiedlicher Qualität. Das Wirtschaftsministerium zeigt wenig Gestaltungswillen und zieht sich besonders elegant aus der Affäre: Die meisten seiner Zuständigkeitsbereiche sind für ihre Informationssicherheit „eigenverantwortlich“.
Wenn das Parlament künftig eine Chance haben soll, die Mängel seiner Cyber-Sicherheitsarchitektur durch die Bereitstellung ausreichender Haushaltsmittel zu beheben, sind die Ressorts der Landesregierung gut beraten, ihren Bedarf mit einem nachvollziehbaren Erfüllungsaufwand zu begründen. Dies gilt insbesondere dann, wenn – wie im Bericht an mehreren Stellen angedeutet – die Anforderungen der europäischen Cybersicherheitsrichtlinie NIS2 erfüllt werden sollen. Die Absicht ist löblich – das Land kann es sich derzeit offensichtlich nicht leisten.
Die Stellungnahme kann hier heruntergeladen werden: