Literaturhinweis : Handbuch Cybersecurity für die öffentliche Verwaltung : aus der RDV 2/2021, Seite 118
Gina Rosa Wollinger/Anna Schulze (Hrsg.), Handbuch Cybersecurity für die öffentliche Verwaltung, Verlag C.H. Beck, München 2020, 450 S., 69,– €
Mit der Erstauflage des Handbuches Cybersecurity für die öffentliche Verwaltung wollen deren Herausgeberinnen einen Beitrag dazu liefern, die Bedeutung von Cybersecurity, auch über die Mitarbeiter der IT-Abteilung hinaus, verständlich zu transportieren sowie Handlungsmöglichkeiten für die öffentliche Verwaltung aufzuzeigen. Das Handbuch zeichnet sich dabei insbesondere durch die interdisziplinäre Autorenschaft aus den Bereichen der Kriminologie, Mathematik, Informatik, Psychologie, Soziologie, Politikwissenschaft, Verwaltungswissenschaft, Wirtschaftswissenschaft, Rechtswissenschaft und Digitalen Forensik aus.
Der erste Teil des Handbuchs ist der Beschreibung des Phänomens der Cyberkriminalität gewidmet. Eine einheitliche Definition des Begriffs „Cyber“ existiert demnach nicht. Wie im Titel des Handbuchs selbst, verfolgt die Voranstellung des Präfixes den Zweck, einen Bezug zu informationstechnischen Systemen, Internet und Datenverarbeitung herzustellen und beim Leser entsprechende Assoziationen hervorzurufen. Beschrieben werden verschiedene Formen der Bedrohung durch Cyberkriminalität – z.B. in Form von Schadsoftware-Angriffen, Botnetzen, Ransomware, (Distributed) Denial-of-Service Attacken, Spyware, Social Engineering und Phishing –, Täter- und Opferprofile sowie das Ausmaß der Verbreitung von Cyberkriminalität in Deutschland.
Wie Wollinger und Schulze in der Einführung zu ihrem Handbuch konstatieren, haben sich die Kommunikationsverhältnisse in den letzten Jahrzehnten in einer noch nie da gewesenen Geschwindigkeit elementar gewandelt, und unter den Bedingungen von Corona habe sich das Potenzial des Digitalen nochmals in einer neuen Dimension gezeigt. Vor diesem Hintergrund beleuchtet der zweite Teil des Handbuchs die Bedeutung der Digitalisierung für die kommunale Verwaltung, wobei auf bisherige Ansätze zur Digitalisierung im Bereich der Bin-nenverwaltung, aktuelle Entwicklungen im Kontext der Digitalisierung der Kommunalverwaltung sowie Anforderungen an die kommunale Verwaltung im Digitalisierungskontext eingegangen wird. Ein eigenes Kapitel im zweiten Teil des Handbuchs ist der Organisation und Struktur der Digitalisierung der Kommunen gewidmet.
Unter der Überschrift „Informationssicherheit für Kommunen“ befasst sich der dritte Teil mit den Grundzügen des Informationssicherheits-/Datenschutzrechts für Kommunen, BSI-Grundschutz und ISO/IEC 27001, technischen Sicherheitsmaßnahmen in Form von Kryptografie und elektronischen Vertrauensdiensten, Mitarbeitersensibilisierung in der Kommunalverwaltung und der Einführung eines IT-Sicherheitsmanagements in der kommunalen Praxis. Praktisch dürfte dabei u.a. dem Punkt „Mitarbeitersensibilisierung“ besondere Bedeutung zukommen, denn die beste technische Absicherung der IT-Infrastruktur nützt nichts, wenn kommunale Mitarbeiter im Rahmen von Social Engineering relevante Informationen preisgeben oder arglos auf Anhänge von Phishing Mails klicken. Die Mitarbeiterakzeptanz ist – neben der Nutzerfreundlichkeit – zudem ein zentraler Schlüssel bei der Einführung technischer Sicherheitsverfahren, wie z.B. der Mailverschlüsselung.
Einen wesentlichen Beitrag zur Mitarbeitersensibilisierung können der/die Datenschutzbeauftragte und, sofern vorhanden, der/die IT-Sicherheitsbeauftragte leisten. Eine wichtige Rolle spielen nach Ivona Matas, Autorin des relevanten Kapitels, zudem die gelebte Fehler- und Behördenkultur sowie das Verhalten der Führungskräfte. Bei der Konzeption von Sensibilisierungsmaßnahmen sollten nach Matas u.a. unterschiedliche Lernweisen und psychologische Mechanismen berücksichtigt werden. Ziel sei nicht die (kurzfristige) Information, sondern vielmehr eine im Arbeitsalltag dauerhaft umgesetzte Wachsamkeit für eigene Verhaltensweisen.
Mit Innovationen zur Begegnung von Cyberangriffen in Form von Cyber-Versicherungen und der Block Chain Technologie beschäftigt sich der letzte Teil des Handbuchs.
Das Handbuch bietet damit einen gelungenen Überblick über verschiedene wissenschaftliche Aspekte des Themas Cybersecurity, der zwar nach dem Titel des Handbuchs auf die öffentliche Verwaltung zugeschnitten, aber nicht nur für diese von Relevanz ist. Viele Kapitel enthalten Informationen und geben Impulse, die für Verantwortungsträger in der Privatwirtschaft in gleicher Weise aktuell sind.
(RAin Yvette Reif, LL.M., Bonn)