Wie die Lokalpresse bereits am gestrigen Dienstag vermeldete, hat es bei der Stadt Sprockhövel erneut einen weitreichenden sicherheitskritischen IT-Ausfall gegeben, der weite Teile der städtischen Rechnerinfrastruktur lahmlegte. Die humorigen Anmerkungen der Verantwortlichen können jedoch nicht darüber hinwegtäuschen, dass dies einmal mehr einen tragischen Schlagschatten auf die seit Jahren weithin ausgesessenen EDV-Probleme der Verwaltung wirft.
IT steht in Sprockhövel für »Inkompetentes Tollhaus«
Erst Ende 2017 musste die geneigte Öffentlichkeit einen gruseligen Prüfbericht über die Versäumnisse der Stadt-IT zur Kenntnis nehmen. Nicht allein, dass gravierende Sicherheitsmängel der städtischen IT-Netze und technischen Infrastruktur sichtbar wurden, auch jahrelange Verstöße gegen geltendes Recht traten zu Tage. Ernsthafte strukturelle Konsequenzen zeitigte dies jedoch nicht, eine grundlegende fachliche und juristische Aufarbeitung der Vorfälle und der Entwurf einer soliden IT-Strategie für die anspruchvollen Aufgaben der kommenden Jahre (DSGVO, eGovernment) unterblieb.
Dies liegt nicht zuletzt auch an der absoluten Unwilligkeit von Stadtrat und Verwaltung, sich in den letzten Jahrzehnten angemessen mit der fortschreitenden Digitalisierung zu befassen und ein zukunftsweisendes IT-Gesamtkonzept für Verwaltung, eGovernment und Open Data auf den Weg zu bringen. Stattdessen hat man IT als störendes Übel betrachtet, welches durch vorgabefreien Geldbewurf wieder verschwinden möge. Die Leitung des ohnehin unterbesetzten IT-Bereiches wurde zudem konsequent nicht nach Kompetenz besetzt, sondern als Manövriermasse der Personalplanung missbraucht.
Kein Wunder also, dass steigende IT-Anforderungen und Gefahren im Zeitalter von Internet und Globalisierung selbst von einem wohlmeinenden IT-Team nicht mehr gestemmt und abgewehrt werden können. Fehlende interne Kompetenzen können im Krisenfall auch nie in angemessenem Zeitrahmen durch externe Beratung aufgefangen werden.
Das Management der aktuellen Krise zeigt vielmehr das immer noch mangelnde Problembewusstsein — ein mögliches Eindringen von Dritten in stadtinterne Netze mit sensiblen Daten von Bürgern und Angestellten ist ein gravierendes datenschutzrechtliches Problem, welches unter der DSGVO ein meldepflichtiges und gegebenenfalls selbst im städtischen Umfeld strafbewehrtes Ereignis darstellt!
Es ergeben sich aus Sicht der Piratenpartei Sprockhövel einige zwingend anzugehende Arbeiten:
- Aufbau einer fachkompetenten IT-Abteilung mit Gesamtverantwortung für alle städtischen Systeme
- Erarbeitung eines öffentlichen IT-Gesamtkonzepts für interne Verwaltung, eGovernment und Open Data, auf Grundlage offener Standards und freier Software
- Erarbeitung eines stetigen IT-Sicherheitsprozesses, der die Schutzmaßnahmen kontinuierlich prüft und ergänzt
- Aufbau einer städteübergreifenden, engen Kooperation im IT-Bereich
Und für den aktuellen Krisenfall:
- Untersuchung des Vorfalls durch unabhängige Dritte, die weder der Verwaltung, noch der am Aufbau der aktuellen IT-Landschaft beteiligten Firmen angehören
- Klärung der datenschutzrechtlichen Beeinträchtigungen im Sinne der DSGVO und entsprechende Benachrichtigung der Betroffenen und der zuständigen Aufsichtsbehörde
- Neubesetzung der IT-Leitung
Änderung 29.7.2019: Eine vorhergehende Fassung legte nahe, dass der DSGVO-Bußgeldkatalog auch vollumfänglich für städtische Einrichtungen gelte. Dies ist jedoch nicht der Fall — der Gesetzgeber hat öffentliche Stellen leider weitgehend aus der Haftung entlassen; entsprechend lax ist daher die Handhabung, wie man eben derzeit in Sprockhövel wieder eindrucksstark vorgeführt bekommt … (Art. 83 DSGVO, DSG NRW §32)
Wie die Lokalpresse bereits am gestrigen Dienstag vermeldete, hat es bei der Stadt Sprockhövel erneut einen weitreichenden sicherheitskritischen IT-Ausfall gegeben, der weite Teile der städtischen Rechnerinfrastruktur lahmlegte. Die humorigen Anmerkungen der Verantwortlichen können jedoch nicht darüber hinwegtäuschen, dass dies einmal mehr einen tragischen Schlagschatten auf die seit Jahren weithin ausgesessenen EDV-Probleme der Verwaltung wirft.
IT steht in Sprockhövel für »Inkompetentes Tollhaus«
Erst Ende 2017 musste die geneigte Öffentlichkeit einen gruseligen Prüfbericht über die Versäumnisse der Stadt-IT zur Kenntnis nehmen. Nicht allein, dass gravierende Sicherheitsmängel der städtischen IT-Netze und technischen Infrastruktur sichtbar wurden, auch jahrelange Verstöße gegen geltendes Recht traten zu Tage. Ernsthafte strukturelle Konsequenzen zeitigte dies jedoch nicht, eine grundlegende fachliche und juristische Aufarbeitung der Vorfälle und der Entwurf einer soliden IT-Strategie für die anspruchvollen Aufgaben der kommenden Jahre (DSGVO, eGovernment) unterblieb.
Dies liegt nicht zuletzt auch an der absoluten Unwilligkeit von Stadtrat und Verwaltung, sich in den letzten Jahrzehnten angemessen mit der fortschreitenden Digitalisierung zu befassen und ein zukunftsweisendes IT-Gesamtkonzept für Verwaltung, eGovernment und Open Data auf den Weg zu bringen. Stattdessen hat man IT als störendes Übel betrachtet, welches durch vorgabefreien Geldbewurf wieder verschwinden möge. Die Leitung des ohnehin unterbesetzten IT-Bereiches wurde zudem konsequent nicht nach Kompetenz besetzt, sondern als Manövriermasse der Personalplanung missbraucht.
Kein Wunder also, dass steigende IT-Anforderungen und Gefahren im Zeitalter von Internet und Globalisierung selbst von einem wohlmeinenden IT-Team nicht mehr gestemmt und abgewehrt werden können. Fehlende interne Kompetenzen können im Krisenfall auch nie in angemessenem Zeitrahmen durch externe Beratung aufgefangen werden.
Das Management der aktuellen Krise zeigt vielmehr das immer noch mangelnde Problembewusstsein — ein mögliches Eindringen von Dritten in stadtinterne Netze mit sensiblen Daten von Bürgern und Angestellten ist ein gravierendes datenschutzrechtliches Problem, welches unter der DSGVO ein meldepflichtiges und gegebenenfalls selbst im städtischen Umfeld strafbewehrtes Ereignis darstellt!
Es ergeben sich aus Sicht der Piratenpartei Sprockhövel einige zwingend anzugehende Arbeiten:
Und für den aktuellen Krisenfall:
Änderung 29.7.2019: Eine vorhergehende Fassung legte nahe, dass der DSGVO-Bußgeldkatalog auch vollumfänglich für städtische Einrichtungen gelte. Dies ist jedoch nicht der Fall — der Gesetzgeber hat öffentliche Stellen leider weitgehend aus der Haftung entlassen; entsprechend lax ist daher die Handhabung, wie man eben derzeit in Sprockhövel wieder eindrucksstark vorgeführt bekommt … (Art. 83 DSGVO, DSG NRW §32)