Wenn Sie sich kurz vorstellen und uns sagen, welchen Bezug Sie zur Sicherheit im Bereich der Informations- und Kommunikationstechnologie (IKT) haben?
Mein Name ist Ulrike Huemer und ich bin seit 2020 Magistratsdirektorin der Landeshauptstadt Linz. In dieser Funktion bin ich auch für die Digitalisierung der Verwaltung verantwortlich. Ein wesentliches Element der Digitalisierung ist für die Sicherheit der Anwender und Nutzer zu sorgen. Vor meiner Funktion in Linz war ich CIO, also Chief Information Officer, der Bundeshauptstadt Wien und damals ressortierte auch der gesamte Bereich der IT-Sicherheit in meinem Aufgabengebiet. Wir hatten in Wien bereits eine sehr detaillierte IT-Sicherheitsstrategie aufgebaut und u.a. die Cyber Security Challenge als sehr wichtige Veranstaltung unterstützt und vor dort viel mitnehmen können!
Stichworte Daten und Datenanalyse: Welche Anknüpfungspunkte sehen Sie für die Großstadt Linz dabei?
Daten sind für jede Organisation bzw. für jedes Unternehmen extrem wichtig, daher beschäftigen wir uns auch in Linz sehr intensiv mit unseren Daten. Wir sind derzeit dabei ein Projekt zur Etablierung einer umfassenden Data Governance durchzuführen. Dies ist die Grundvoraussetzung, um erfolgreiche Datenanalysen machen zu können. Beide dieser Themen sind somit auch in der öffentlichen Verwaltung unsere großen Schwerpunkte. Wir beschäftigen uns in einem ersten Schritt gerade mit der Frage, über welche Daten wir überhaupt verfügen, und welche wir tatsächlich nutzen können. Eine Erkenntnis aus der Pandemie ist, je besser die verfügbare Datenqualität ist, desto besser kann gesteuert bzw. geplant werden. Die Pandemie hat uns vor allem in der Anfangsphase massive Schwächen vor Augen geführt, aber auch heute noch muss ich eingestehen, dass wir uns hier noch stark verbessern müssen!
Datenanalysen sind wichtig für eine funktionierende Stadtverwaltung, um auch bessere Services für die Bevölkerung anbieten zu können und die Verwaltung selbst effizienter gestalten zu können. Dazu braucht es einen sehr umsichtigen Umgang, da wir natürlich mitunter sehr sensible Daten verwalten, wie etwa Gesundheitsdaten, die es gut zu schützen gilt. Dafür braucht es natürlich die entsprechende Technologie, aber auch die Awareness der Mitarbeiterinnen und Mitarbeiter und der Bevölkerung.
Es geht somit darum, auch die Mitarbeiterinnen und Mitarbeiter zu einem sensiblen Umgang zu bringen, da leider gerade wir Menschen eine wesentliche Risikoquelle darstellen. Sei es der Umgang mit Passwörtern, USB-Sticks oder auch mit mobilen Endgeräten bzw. Internetkonsum. Gerade im Umgang mit unseren Smartphones sehe ich oftmals Fehlinformationen und eine große Sorglosigkeit. Genau hier sind sehr viele kleine bzw. große Teuferl versteckt, die fatale Folgen haben können. Auch der Umgang mit Social Media und den damit verbundenen Gefahren, wie Fake News, also Falschinformationen, ist besonders wichtig bei der Weiterbildung der Mitarbeiter. Somit ist die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter ein klarer Schwerpunkt.
Linz hat sich eine eigene IT-Strategie zurechtgelegt. Wie verhält es sich damit?
Die Stadt Linz hat im letzten Sommer ein eigenes Digitales Programm entwickelt. Also eine Digitalisierungsstrategie für die gesamte Stadt und auch den Magistrat Linz. Ein Schwerpunkt darin ist auch die IT-Sicherheit, insbesondere das Thema Blackout. Wir stellen uns die Frage, wie die Stadt in so einer Situation, so weit wie möglich, handlungsfähig bleiben kann. Daher untersuchen wir, welche Funktionalitäten vorhanden sind, welche davon zentral gesteuert werden, und welche absolut unverzichtbar sind, um das öffentliche Leben aufrechtzuerhalten. Es geht dabei natürlich um die Versorgung der Bevölkerung mit Gütern, Sicherheit und Informationen.
Im Zuge der Umsetzung der Digitalisierungsstrategie wird sich der Magistrat auch im Bereich des Informationssicherheitsmanagements neu aufstellen. Dabei geht es um IT-Sicherheitsprozesse, IT-Sicherheits-Technologien, sowie entsprechende Aus- und Weiterbildung.
Wie wollen sie das Thema IKT-Sicherheit konkret umsetzen?
Viele betrachten IT-Sicherheit als rein technisches Thema. Dies führt dann dazu, dass das Thema gegenüber den Mitarbeiterinnen und Mitarbeitern zu sehr technologisch kommuniziert wird. Die Folge ist, dass man es nicht versteht und viele Maßnahmen nicht mitgetragen werden. Ich bin ein Fan von kreativen Zugängen und von direkten Maßnahmen. Dazu gehört es, dass wir unser Sicherheitslevel durch Penetrationstests laufend evaluieren. Auch finde ich es gut professionell und strukturiert zu prüfen, ob wir etwa gefährdet sind auf Social Engineering Angriffe hereinzufallen. Ich denke, dass es wichtig ist, dass wir allfällige Sicherheitslücken erkennen und rasch reagieren können.
Ich möchte in das Thema IT-Sicherheits-Awareness investieren, um das Problembewusstsein zu schärfen: Der Umgang mit Passwörtern oder auch der Umgang mit dem Smartphone sind kritische Bereiche. Viele Menschen fühlen sich einfach zu sicher. Sie posten Dinge und fühlen sich in der vermeintlichen Anonymität unangreifbar. Niemandem ist bewusst, was mit ihren Daten passiert, ob die Nachrichten z.B. gespeichert werden, oder nicht. Einstellungen in Smartphones werden leichtfertig akzeptiert und später ist man überrascht, wenn man doch nicht anonym agiert oder Nachrichten doch nicht gelöscht werden können.
In meiner früheren Funktion in Wien als Chief Information Officer haben wir Bewusstseinsbildung auch mit den Stadtpolitikern betrieben. Wir haben z.B. einen USB-Stick mit vermeintlichen Fotos von Veranstaltungen von einer unbekannten Person abgeben lassen. Dann wurde beobachtet, wie damit umgegangen wird – wird der Stick auf Viren geprüft, bevor die Fotos im IT-System abgespeichert werden oder sogar verschickt werden? Diese Methoden dienen dazu, dass die Mitarbeiterinnen und Mitarbeiter zum Nachdenken angeregt und sensibilisiert werden. In diese Richtung werden wir auch in Linz jetzt wieder verstärkt arbeiten.
Sind Fehlinformationen, also Fake News, auch ein Thema der Stadtverwaltung?
Es ist heute schon erstaunlich, wie schnell Themen in den Sozialen Medien ausgeschlachtet werden können. Während der Pandemie zeigt sich, wie über Social Media Fehlinformationen verbreitet werden können, und wie viel davon tatsächlich geglaubt wird bzw. maßgeblich die öffentliche Meinungsbildung beeinflusst. Ich habe stets die Meinung vertreten, dass das Internet und Social Media eigentlich einen wichtigen Beitrag zur Demokratisierung der Gesellschaft liefern, da dadurch viele Menschen am gesellschaftlichen Diskurs teilnehmen können und nicht nur der lauteste am Stammtisch zu Wort kommt, um es überspitzt zu formulieren.
Das dürfte nun gekippt sein. Man hält sich bei der Verbreitung von Falschinformationen immer weniger zurück. Im Mittelpunkt steht nicht mehr der Wahrheitsgehalt, sondern die Reaktion, welche die Meldung im Netz auslöst. Die Gesellschaft ist somit mit einer großen Herausforderung konfrontiert. Ich finde, dass viele Postings, also Kommentare zu Meldungen, bereits inhaltlich vergiftet und extrem verachtend sind. Und dieses Gift kann man viel zu schnell verbreiten, als dass man als Betroffener etwas dagegen machen könnte.
Was denken Sie, können Sie dagegen unternehmen?
Mir als Juristin ist bewusst, dass das Recht meistens hinter den technologischen Entwicklungen nachhinkt. Der rechtliche Rahmen kommt frühestens dann, wenn er erforderlich wird. Und dann kommen oftmals schon wieder neue Technologien und das Recht kommt erneut zu spät. Dennoch muss man immer versuchen, den Entwicklungen die richtige Richtung zu geben. Man muss versuchen mitzuhalten, selbst wenn man vielen Technologien ausgeliefert ist. Tatsächlich erfolgreich werden wir dann sein, wenn man Recht und Technologie in einem verschränkten Miteinander versteht. Manchmal habe ich ja mittlerweile den Eindruck, Menschen suchen heute eher den rechtsfreien Raum, als dass sie rechtliche Regelungen fordern. Sinn und Zweck der Norm ist es, Sicherheit zu bringen und nicht Schlupflöcher zu finden.
In Linz ist das Thema des Digitalen Humanismus seit vielen Jahren sehr ausgeprägt. Dabei wird der Frage nachgegangen, wie wir Technologien zum Wohle der Menschen einsetzen können und nicht rein der Technologien wegen. Somit geht es bei der Digitalisierung um die Menschen, die im Mittelpunkt stehen müssen. Dabei sind für mich die digitale Bildung bzw. die Ausbildung von digitalen Kompetenzen entscheidend.
Die Stadt Linz und das Militärkommando Oberösterreich sind eine Partnerschaft eingegangen. Wo sehen Sie Zusammenarbeitsmöglichkeiten im Bereich IKT-Sicherheit?
Die Pandemie hat uns gezeigt, dass Kooperation extrem wichtig ist! Durch ein starkes Miteinander mit dem Militärkommando Oberösterreich ist es in vielen Situationen gelungen für die Bevölkerung Sicherheit und Stabilität zu bringen. Wir haben uns daher entschlossen, dass wir mit diesem Grundgedanken auch weiterhin verstärkt zusammenarbeiten wollen. So haben wir uns entschieden, dass wir im Rahmen der Partnerschaft einen Schwerpunkt auf das Thema Blackout legen werden. Denn ein großflächiger Stromausfall mit all seinen Folgen kann die nächste große Krise sein. Um das vorausschauend anzugehen, sehe ich in der Partnerschaft viele Chancen. Auch das Thema IT-Sicherheit wird im Dialog sehr wichtig sein, weil wir in diesem Bereich viel vom Österreichischen Bundesheer lernen können. Generell würde ich sagen, dass uns die Partnerschaft viele Möglichkeiten des Miteinanders eröffnet. Über diese Gelegenheit freue ich mich sehr und ich bedanke mich dafür!