IT-Sicherheit in Kommunen nach dem Cyberangriff auf Südwestfalen-IT – Welche Erkenntnisse hat der „IT-Check für Kommunen“ ergeben?

Kleine Anfrage 5048

der Abgeordneten Sven W. Tritschler und Carlo Clemens AfD

IT-Sicherheit in Kommunen nach dem Cyberangriff auf Südwestfalen-IT – Welche Erkenntnisse hat der „IT-Check für Kommunen“ ergeben?

Am 30. Oktober 2023 wurde die Südwestfalen-IT GmbH (SIT) Opfer eines folgenschweren Ransomware-Angriffs durch die Hacker-Gruppe Akira. Dieser Angriff legte die IT-Systeme von 72 Kommunen in Südwestfalen lahm und beeinträchtigte die Leistungsfähigkeit dieser Kommunen in erheblichem Maße. Existenzielle finanzielle Transaktionen sowie wichtige Dienste, wie die Notruf-App Nora, waren zeitweise nicht verfügbar. Dieser Vorfall verdeutlichte die dringende Notwendigkeit, die IT-Sicherheit in den Kommunen Nordrhein-Westfalens zu stärken.

Als Reaktion darauf initiierte das Ministerium für Heimat, Kommunales, Bau und Digitalisierung (MHKBD) Anfang 2024 einen landesweiten „IT-Check für Kommunen“ nach dem Vorbild Niedersachsens. Dieser Check wurde im Wege eines Verhandlungsverfahrens ohne Teilnahmewettbewerb vergeben, unter Berufung auf „äußerst dringliche, zwingende Gründe“ gemäß § 14 Absatz 4 Nummer 3 VgV. Für den Check wurden rund 3,5 Millionen Euro an Landesmitteln aufgewendet, 336 Kommunen nahmen bis zum 31. Dezember 2024 daran teil.

Wir fragen daher die Landesregierung:

1. Welche konkreten Schwachstellen wurden im Rahmen des „IT-Checks für Kommunen“ in den teilnehmenden Kommunen aufgedeckt?
2. Wie viele der 336 Kommunen, die am „IT-Check für Kommunen“ teilgenommen haben, erreichten den vom BSI empfohlenen Mindeststandard für IT-Sicherheit?
3. Welche konkreten Maßnahmen wurden den Kommunen im Anschluss an den IT-Check empfohlen, um ihre IT-Sicherheit zu verbessern?
4. Wie stellt die Landesregierung sicher, dass die im Rahmen des IT-Checks identifizierten Schwachstellen auch behoben bzw. die empfohlenen Maßnahmen umgesetzt werden?
5. Welche finanziellen Mittel stellt die Landesregierung den Kommunen zur Verfügung, um die im Rahmen des IT-Checks identifizierten Sicherheitslücken zu schließen bzw. die empfohlenen Maßnahmen umzusetzen, insbesondere im Hinblick auf die Ankündigung von Ministerin Scharrenbach, das Sicherheitsniveau in allen Kommunen ab 2025 „gleichmäßig hochzuziehen“?

Sven W. Tritschler
Carlo Clemens

MMD18-12667

Die Ministerin für Heimat, Kommunales, Bau und Digitalisierung hat die Kleine Anfrage 5048 mit Schreiben vom 21. Februar 2025 namens der Landesregierung im Einvernehmen mit dem Minister der Finanzen und dem Minister des Innern beantwortet.

1. Welche konkreten Schwachstellen wurden im Rahmen des „IT-Checks für Kom­munen“ in den teilnehmenden Kommunen aufgedeckt?
2. Wie viele der 336 Kommunen, die am „IT-Check für Kommunen“ teilgenommen haben, erreichten den vom BSI empfohlenen Mindeststandard für IT-Sicherheit?
3. Welche konkreten Maßnahmen wurden den Kommunen im Anschluss an den IT-Check empfohlen, um ihre IT-Sicherheit zu verbessern?

Die Fragen 1 bis 3 werden aufgrund des Sachzusammenhangs gemeinsam beantwortet. Datum des Originals: 21.02.2025/Ausgegeben: 27.02.2025

Dem Ministerium für Heimat, Kommunales, Bau und Digitalisierung liegen keine Einzelergeb­nisse und/oder daraus abgeleitete Handlungsempfehlungen über die kommunal durchgeführ­ten und landesseitig finanzierten „IT-Checks“ vor.

4. Wie stellt die Landesregierung sicher, dass die im Rahmen des IT-Checks identi­fizierten Schwachstellen auch behoben bzw. die empfohlenen Maßnahmen umge­setzt werden?

Die Ergebnisse des landesseitig finanzierten „IT-Checks“ für Kommunen stehen den teilneh­menden Kommunen zur Verfügung. Im Rahmen der grundgesetzlich garantierten Selbstver­waltung nach Artikel 28 GG steht es in der kommunalen Handlungssphäre, etwaig identifizierte Schwachstellen zu beheben und/oder empfohlene Maßnahmen umzusetzen (kommunale Selbstverwaltung).

5. Welche finanziellen Mittel stellt die Landesregierung den Kommunen zur Verfü­gung, um die im Rahmen des IT-Checks identifizierten Sicherheitslücken zu schließen bzw. die empfohlenen Maßnahmen umzusetzen, insbesondere im Hin­blick auf die Ankündigung von Ministerin Scharrenbach, das Sicherheitsniveau in allen Kommunen ab 2025 „gleichmäßig hochzuziehen“?

Es wird auf die Antwort der Landesregierung vom 18. Oktober 2024 zu der Kleinen Anfrage 4539 verwiesen (LT.-Drs. 18/11104).

MMD18-12971