Aktualisiert am 30.11.2024 aus aktuellen Anlass.
Onlinezugangsgesetz (OZG), Glasfaserausbau, WLAN Hotspots, Smart City, KRITIS, NIS-2, IT Sicherheit, EU-GSVO, … und vieles Mehr sind Schlagwörter die seit ca. 2015 viele bereits schon mal gehört haben sollten.
Das Sagen umwogende OGZ
In 2017 wurde das OZG erlassen und es verpflichtet Bund, Länder und Gemeinden bis spätestens Ende 2022 ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten und diese miteinander zu einem Portalverbund zu verknüpfen. Es wird als die Digitalisierung der öffentlichen Verwaltungen verkauft, ist es aber nicht.
Das OZG beinhaltet nur das was jeder Bürger*in online verschiedene Verwaltungsvorgänge durchführen kann. Es hat nichts mit der eigentlichen internen Verwaltung selbst zu tun und das ist ein Problem von vielen.
Das ist toll für die Bürgerinnen, aber sinnlos für die Verwaltung. Dies bedeutet, das ein digital eingereichter Antragsprozess vom Bürgerin ausgefüllt abgeschickt wird. Dieser Antrag kommt digital bei der Gemeinde in einem Postfach an. Dort wird es dann in aller Wahrscheinlichkeit ausgedruckt und in den physikalischen Posteingang gelegt. Anschließend wird es einer Umlaufmappe der zuständigen Sachbearbeitungen übergeben und ganz normal wie jede andere Papierakte weiter bearbeitet. Dies bedeutet auch, das Sachbearbeiter*in ggf. persönliche Daten der Anfrage etc. in eine Fachanwendung händisch eingeben muss. Dies ist unnötige Zeitverschwendung und eine mögliche Fehlerquelle. Nachdem alles bearbeitet wurde, wird ein Bescheid ausgedruckt und auf dem Postweg zugeschickt. Nicht gerade sehr digital, oder?
Fachpersonal?
Aber schalten wir erstmal ein Gang zurück und schauen uns an, wie denn Gemeinden in Deutschland aus Sicht der Digitalisierung aufgebaut sind. In der Regel gibt es in Gemeinden die kleiner als 20.000 Einwohner sind, keinen ausgebildeten IT Administrator.
Quelle: Statista (Stand: 31.12.2020)
Demnach sind insgesamt 10.796 Gemeinde in Deutschland wovon 10.095 Gemeinde eine Einwohneranzahl von bis zu 20.000 haben. Das entspricht 93% der Gemeinde in Deutschland.
Die deutliche Mehrheit der Gemeinde hat also vermutlich kein ausgebildetes IT Personal. Ist das schlimm? Wenn es darum geht informierte und sinnvolle Entscheidungen zu treffen ist es zumindest hilfreich ein allgemeines Verständnis in dem Bereich zu haben, für den man verantwortlich ist. Nun gut, es können ja externe Dienstleister beauftragt sein. Korrekt, aber trotzdem muss die Arbeit vom Dienstleister geprüft und überprüft werden. Ohne Kenntnisse ist dies auch nicht möglich.
Neben der Person die für die IT Verantwortlich ist, gibt es noch die allgemeinen Verwaltungsfachangestellten die, die tägliche Arbeit leisten. Hier sind die allgemeinen EDV Kenntnisse mehr als erschreckend. Als von der Schreibmaschine zum PC gewechselt wurde, ja das ist noch nicht so lange her, wurde Aus- und Weiterbildung wenig bis zu gar nicht durchgeführt. Also wurde selbst erlerntes und gefährliches Halbwissen zur Normalität. Leider ist in der Berufsausbildung für Verwaltungsfachangestellte das Thema EDV stark unterbeleuchtet. Die Kenntnisse reichen von Serienbrief erstellen über nicht wissen wofür die Tabulatortaste ist, bis hin zu wenn nur ein Symbol auf dem Desktop anders ist geht schon nichts mehr.
Standardisierung?
Fehlanzeige. Dies gibt es nicht.
A. Innerhalb der Gemeinde
Wenn eine Gemeinde noch einzelne PCs für jeden Arbeitsplatz hat, sind diese meiste auch einzeln jeder für sich installiert und konfiguriert. Es gibt kein Zentrales ausrollen oder „Golden Image“. Auch die Applikationen sind von PC zu PC unterschiedlich und nicht auf Grund von Richtlinien oder Notwendigkeit, sondern auf zu ruf weil der Nutzer es haben will.
Jede Gemeinde macht es anders. Teilweise alles selber, teilweise mit Dienstleister oder alles dem (falls vorhanden) Kommunalen Rechenzentrum überlassen. Auch in Sachen Applikationen macht jeder was er will.
B. Interkommunale Zusammenarbeit
Da es nichts einheitliches gibt, was ein mögliches Zusammenarbeiten z.B. bei Interkommunale Zusammenarbeit erheblich erschwert oder Schnittstellen zu anderen Systemen müssen aufwendig und teuer erstellt werden.
C. Nicht vorhandene IT Sicherheit
Schlecht bis gar nicht geschultes Personal in den Kommunen haben nur sehr rudimentäre EDV Kenntnisse und selbst das größte Risiko für die IT Sicherheit einer Kommune. Fehlendes Fachperson für die IT Aufgaben macht dies nicht besser. Damit sollte klar sein, dass ohne Fachpersonal das Risiko für fehlende oder falsch konfigurierte Systeme / Anwendungen ein nicht mehr zu akzeptierendes Risiko darstellt. Kommunen haben teilweise nicht mal eine Firewall oder nutzen längst veraltete Systeme ("EOL"), von segmentierte Netze, VLANs, oder gar Zero Trust muss erst gar nicht geredet werden. BSI Grundschutz, BCM, ISMS, IT-Sicherheitsbeauftragte und vieles mehr sind oft Fremdwörter.
Was muss also passieren, das Verwaltungen endlich ins 21 Jahrhundert wechseln?
Aktualisiert am 30.11.2024, nach dem Besuch des "Cybersicherheitsgipfel 2024" durch geführt von Land Hessen, Regierungspräsidium Kassel und der ekom21.
Mein Vorschlag:
Mindestens auf der Ebene der Landkreise muss eine Standardisierung eingeführt werden, welches für alle Gemeinde dem Landkreis angehörig verpflichtend ist.
Aus meiner Sicht macht es keinen Sinn es auf Ebene einer Interkommunalen Zusammenarbeit zwischen mehreren Gemeinden zu stellen. Denn es fehlt dort immer noch das Fachwissen und Personal. Auch sind die Kosten höher und die Wirtschaftlichkeit dadurch fraglich.
Wie kann so etwas aussehen?
Am Beispiel vom „Landkreis Digi“, welches 28 Städte und Gemeinde hat, mit ca. 300.000 Einwohner.
A. Landkreis geführte Interkommunale Zusammenarbeit
Das größte Problem für Standardisierung ist der Föderalismus und die Kommunale Selbstverwaltung. Dies legt gesetzlich fest, das alle Kommunen tun dürfen wie Sie es wollen. Egal ob Sie die fachlichen Kompetenzen haben oder nicht.
Wie also um dieses Problem herum arbeiten? Die Interkommunale Zusammenarbeit (IKZ) auf Landkreis Ebene mit allen Mitgliedskommunen des Landkreises gründen. Dies sehen wir bereits in manchen Landkreisen bereits in Form von Abgabe von Aufgaben an den Landkreis. So ist dies z.B. beim Landkreis Kassel (Hessen) der Fall bzgl. alles Rundum Schulen, was eigentlich eine Aufgabe der Kommunen ist, wurde zentral an den Landkreis abgegeben.
Formell ist dies eine Vertragliche Vereinbarung zwischen dem Landkreis und den Kommunen. Sicherlich muss es weiterhin den Kommunen freigestellt sein, an dieser IKZ teilzunehmen. Dieser Vertrag muss klare Kompetenzen und Mitsprache Rechte definieren, sowie wie das Personal und die Kosten verwaltet und organisiert werden. Eine Leitlinie wäre der nächste Schritt, unterzeichnet von allen Mitgliedskommunen, legt diese die Grundprinzipen der Zusammenarbeit fest.
B. Personal
Ein Landkreis hat eine Vielzahl an Aufgaben zu erfüllen. Angefangen mit dem politischen (Kreistag) bis hin zu den vielen Verwaltungsaufgaben und Aufsichtspflichten gegenüber der Mitgliedsgemeinden. Aus diesem Grund ist ein Landkreis bereits sehr umfangreich aufgestellt mit Personal und natürlich auf eine IT Infrastruktur (für eigene Dienste aber auch für externe wie Gemeinden und Bürger*innen). Es ist also davon auszugehen, dass das IT Verantwortliche Personal eines Landkreises auch die benötigte fachliche Qualifikationen und Kompetenzen inne hat.
Warum also nicht die Landkreis IT insgesamt für die IT Standardisierung der Mitgliedsgemeinden verantwortlichen machen? Hier können die Standards und Richtlinien definiert werden. Dies hätte auch in der Beschaffung erhebliche Vorteile.
Der Landkreis legt fest, wie die IT insgesamt im Landkreis auszusehen hat. Angefangen von der Hardware bis hin zu den Applikationen.
Es ist denkbar, dass alle Mitgliedsgemeinden jeweils 1-2 Personalstellen an den Landkreis abzustellen ist. Bei 28 wäre dies minimal 28 bis hin zu maximal 56 zusätzliches Personal. Dieses Personal ist zuständig für den vor Ort Service. Also alles was nicht zentral und remote gemacht werden kann. Jede Gemeinde hätte eine Person festzugeteilt, welche aber bei größeren Projekten auch in anderen Gemeinde des Landkreises Unterstützen kann.
Der Landkreis wäre zuständig für die Aus- und Weiterbildung des Personals. Damit wird gleich für eine einheitliche Ausbildung gesorgt und die Qualität gesichert.
C. Zentrales Modell
Derzeit macht jede Gemeinde was sie will und hat mehr oder weniger eine eigene Infrastruktur. Dies kostet Geld. Viele Gemeinden betreiben immer noch ein dezentrales System von Server und Clients. Also mehrere Server und einen PC pro Arbeitsplatz.
Dies sollte in ein zentrales Modell umgewandelt werden. Einzige Voraussetzung ist eine gute Internetanbindung der jeweiligen Gemeindeverwaltungen der Mitgliedgemeinden.
So führt der Landkreis ein eigenes Rechenzentrum (RZ). Dies sollte es i.d.R. so wieso schon haben auf Grund der Größe und Aufgaben. Es muss also nur erweitert werden. In dem RZ wird zentral auf entsprechender ausfallsicheren Hardware für die Gemeinden eine Arbeitsumgebung auf gebaut. Dies kann z.B. via Remote Desktop Services (mit oder ohne Citrix) aber auch andere mögliche Lösungen betrieben werden. Diese Umgebung muss weiterhin Mandanten (Gemeinde) getrennt eingerichtet sein. Ggf. wird auch ein Dienstleister hierfür beauftragt, so gibt es bereits Kommunale RZs in den verschiedenen Bundesländern. Vor Ort in den Gemeinden ist keine große Infrastruktur mehr notwendig. Dort werden Thin Clients eingesetzt mit benötigten Drucker und Scanner. So kann der einzelne Verwaltungsaufwand von einen normalen Windows PC erheblich auf fast nichts reduziert werden.
D. Kosten
Die erste Frage von den Gemeinden / Bürgermeister*innen und natürlich auch vom Landkreis wird sein – wie werden die Kosten hierfür aufgebracht. 28 Gemeinde mal eben zu finanzieren könne ein Landkreis ja nicht selbst. Falsch.
Denn auf Grund von Standardisierung und zentralen Modell, sind die Kosten in den jeweiligen Gemeinde sehr deutlich reduziert.
Die Kosten könnten anteilig anhand der Gemeindegröße umgelegt werden.
E. Beschaffung
Wenn ein Landkreis die zentrale Beschaffung für dessen Gemeinde übernimmt, ist es möglich auf Grund der höheren Mengen und Kosten gute Rahmenverträge auszuhandeln. Auch wird eine Standardisierung ermöglicht. Anstatt verschiedenster Hardware und Software bereits in einer Gemeinde, können gleiche PCs / Thin Clients / Monitore / Drucker / etc. beschafft werden.
F. Einführung von neuen Lösungen
Eine zentrale Einführung einer neuen Lösung, z.B. Dokumentenmanagementsystem (DMS), wird fast zu einem Kinderspiel. Was für eine einzelne Gemeinde mit kein Fachpersonal eine riesige Hürde ist, wird hierdurch nur ein großes Projekt geführt durch den Landkreis und Schrittweise in den Gemeinde eingeführt. Auf Grund der Wiederholung (28 mal) baut sich sehr schnell Fachwissen auf und Erfahrungen der vorhergegangenen Einführungen macht es fast zu einem Kinderspiel.
G. Schnittstellen
Wenn die Gemeinden im Landkreis auf der selben Arbeitsumgebung arbeiten, alle Daten (Mandantenrechtlich getrennt) zentral in der Landkreis IT Umgebung gespeichert wird, sind Schnittstellen extrem einfach. Zwischen Landkreise und Landkreis zum Land können viel effizienter Datenausgetauscht werden und nicht erst bei Gemeinde angefordert werden.
H. IT-Sicherheitsbeauftragten
Die wenigsten Kommunen, außer größere wie eine Stadt mit 50.000+ Einwohner, haben einen IT-Sicherheitsbeauftragten. Die kleineren die einen bestellt haben, haben leider dazu den IT-Administrator missbraucht, was ein Interessenkonflikt darstellt und unzulässig ist aus gutem Grund. Hier sollte auch der Landkreis entsprechende IT-Sicherheitsbeauftragten entweder selbst oder durch Dienstleister für die genannte IKZ zur Verfügung stellen.
I. BSI Grundschutz
Auf dem Cybersicherheitsgipfel 2024 in Kassel, wurde öfters vom BSI Grundschutz und der "Basis Absicherung" sowie eines entsprechendes Audit gesprochen. Dabei handelt es sich bei der Basis Absicherung um ein absolutes Mindestmaß an Organisation, Maßnahmen und Schutz. Aus meiner Sicht ist dies in der heutigen Zeit aber viel zu wenig. Auf dem Cybersicherheitsgipfel 2024 wurde immer wieder auf die verschiedenen Angriffstypen und Ziele verwiesen, der BSI Sicherheitsbericht 2024 nennt auch die öffentliche Verwaltung als einer der Hauptziele. Die verschiedenen sehr gravierenden Sicherheitsvorfälle gerade in den öffentlichen Verwaltungen, sollten eigentlich klar machen das mit Minimum Aufwand auch nur ein Minimum Maß an IT-Sicherheit vorhanden ist. Gemessen an der Art und Wichtigkeit der Daten mit denen öffentliche Verwaltungen zu tun haben, sollte die BSI Standard Absicherung das Ziel sein.