Das Digitale Rathaus: Eine gemeinsame Lösung muss her!

Bei Ratsinformationssystemen kochen viele Gemeinden immer noch ihr eigenes Süppchen. (Foto: Nils Brandt, cc by 2.0, flickr.com)

(Matthias Steinwachs*) Die Digitalisierung der Verwaltung in Städten und Gemeinden schreitet langsam weiter voran – und offenbart zunehmend Probleme. Die sind im wahrsten Sinn des Wortes hausgemacht: Da fast jedes Rathaus dabei sein eigenes Süppchen kocht und das Geld für notwendige Aktualisierungen fehlt, sind Pannen und Sicherheitslücken fast schon an der Tagesordnung. Eine einheitliche Lösung in Form eines gemeinsamen Portals würde weiterhelfen, scheitert bisher aber an den Bedenken der Verantwortlichen. Zu Unrecht, wie das Beispiel Hessenbox und PowerFolder zeigt.

Die Digitale Verwaltung 2020 ist 2014 zu einem der Kernpunkte im Programm der Bundesregierung erklärt worden. Damit will man die ausufernde Bürokratie bekämpfen, Kosten senken und den Bürgern den Umgang mit den Ämtern und Behörden erleichtern.

Seitdem geht es – trotz wiederholter Absichtserklärungen und Gesetzentwürfen (wie dem zum “Abbau von Schriftformerfordernissen” oder das “Onlinezugangsverbesserungsgesetz”) – eher langsam voran, vor allem auf kommunaler Ebene. So landet Deutschland dann auch im Jahresbericht des Normenkontrollrates (NKR) im Bereich Verwaltungsservice im EU-Vergleich weit abgeschlagen nur auf Platz 20 – und auch weit unter dem EU-Durchschnitt; das unabhängige Gremium fordert “deutlich mehr Ressourcen und erkennbar mehr politische Entschlossenheit” und warnt: “Es ist 5 vor 12 – oder später!”. Die Digitalisierungsbilanz falle insgesamt unzureichend aus; bei Fortsetzung des “geringen Tempos” werde Deutschland den Anschluss an die führenden E-Government-Nationen in Europa und außerhalb auf absehbare Zeit nicht erreichen. Das führe nicht nur zu Unmut bei Bürgern und Unternehmen, sondern werde auch viel Geld kosten: Ausscheidendes Personal in Verwaltungen müsse bei mangelnder Digitalisierung nämlich 1:1 ersetzt werden.

Neue Gesetze wie der erwähnte Entwurf zum Abbau von Schriftformerfordernissen wurden bisher jedenfalls nur halbherzig realisiert. So wurden von rund 3.000 Schriftform-Erfordernissen bisher nur knapp ein Fünftel gestrichen oder ergänzt – und das waren überwiegend Fälle mit begrenzter Relevanz.

Sicherheitslücken und Datenpannen

Schon seit Jahren wird immer wieder über gefährliche und weniger gefährliche Pannen in der kommunalen IT berichtet. So stieß ZEIT ONLINE vor kurzem erst im Netz auf ein geheimes Sitzungsprotokoll der Großen Kreisstadt Rheinstetten, in dem es um Firmenangebote für die Ausschreibung einer Bachsanierung geht. Dazu musste man lediglich im Browser die Dokumentennummer ändern. “Ein Bedienungsfehler”, wiegelte der zuständige Oberbürgermeister ab. In einem anderen Fall war in Rheinberg ein Konzessionsvertrag der Stadt mit einem Erdgasbetreiber im Internet frei einsehbar.

Das sind beileibe keine Einzelfälle. Bereits 2014 hatte der Landtag von NRW die Sicherheit der öffentlichen IT in den Gemeinden von unabhängiger Seite prüfen lassen – das Ergebnis war niederschmetternd. So heißt es in dem Bericht unter anderem: “Die allgemeine Sicherheitslage in der öffentlichen Verwaltung ist kritisch. In allen von uns untersuchten Kommunen war es möglich, vor Ort ohne Ausweise Geräte zu installieren und so einen Zugang zum Netzwerk zu erlangen. Bei fast allen Kommunen gelang es innerhalb von 2-8 Stunden, ohne Insiderkenntnisse einen vollständigen Zugriff auf alle relevanten Systeme der betroffenen Kommunen zu erlangen.” Und dazu zählten neben Finanz- und Ordnungsämtern auch die Leitsysteme der Feuerwehr – erschreckende Aussichten.

Die Gründe für ein derartiges Versagen der kommunalen, öffentlichen IT und dem im Bericht bemängelten “Fehlen essentieller Sicherheitsmaßnahmen” sind vielfältig. Eine der Hauptursachen liegt sicher darin begründet, dass die meisten Gemeinden bei ihren sogenannten Ratsinformationssystemen ihr eigenes Süppchen kochen oder auf die – oftmals veraltete – Software kleinerer, oft lokaler Anbieter vertrauen. Die Notwendigkeit, diese Software den ständig wachsenden Bedrohungen und Ansprüchen stetig und vor allem zeitnah anzupassen, wird nur selten wirklich erfüllt. Zum einen spielen da Kostengründe eine Rolle, zum anderen wird das Risiko, gehackt zu werden, schlicht ignoriert – und das sowohl von Seiten der Verantwortlichen in den Rathäusern als auch von den betreffenden Software-Herstellern. Bei einem Test von zehn derartigen Systemen von verschiedenen Herstellern fanden Experten in allen mehr oder weniger gefährliche Sicherheitslücken, darunter Lücken für SQL-Injections und mögliche Angriffe auf Datenbanken. Natürlich existieren Leitlinien für die IT-Sicherheit in der öffentlichen Verwaltung, verfasst vom IT-Planungsrat. Doch beziehen die sich hauptsächlich auf den Datenaustausch zwischen Bund und Ländern und auf die Verwaltungen des Bundes; die IT der Kommunen ist aber Hoheitsgebiet der Länder.

Offene Fragen beim geplanten Portalverbund

Eine gemeinsame Lösung muss also her. Ein zentrales Portal, über das sich die Bürger einloggen und dann in wenigen Schritten an ihre lokale Behörde weitergeleitet werden. Zum einen wäre das für die Nutzer wesentlich komfortabler und zeitsparender, zum anderen würde eine derartige zentrale Lösung auch langfristig Schluss machen mit der kommunalen IT-Flickschusterei – und so gleichzeitig die Sicherheit drastisch erhöhen und die Kosten effizient senken.

Eine derartige gemeinsame Lösung ist eigentlich auch schon beschlossene Sache. So wird in dem 2017 – als Erweiterung des E-Government-Gesetzes (EGovG) – beschlossenen neuen “Onlinezugangsverbesserungsgesetz” (OZG), neben dem Ausbau von Verwaltungsportalen von Bund und Ländern auch die Schaffung eines Portalverbundes postuliert, der die Verwaltungsleistungen von Bund, Ländern und Kommunen bündeln und mit nur drei Klicks erreichbar machen soll. Damit will man “künftig allen Nutzern einen komfortablen, schnellen und sicheren Zugang zu allen online verfügbaren Verwaltungsdienstleistungen, ganz gleich auf welcher Ebene” ermöglichen. Über individuelle Nutzerkonten werde es dann möglich sein, sich in dem Portalverbund anzumelden und sich mit dem für die jeweilige Verwaltungsdienstleistung notwendigen Sicherheitsniveau zu authentifizieren.

Viel passiert ist seitdem nicht. “Abgesehen von den Fortschritten bei der elektronischen KFZ-Anmeldung wurde entgegen der Zielvorstellung des Koalitionsvertrages keine einzige weitere Verwaltungsleistung bundesweit koordiniert, flächendeckend digitalisiert und einheitlich angeboten. Von der Digitalisierung der TOP-100-Verwaltungsleistungen für Bürgerinnen, Bürger und Unternehmen ist Deutschland noch genausoweit entfernt wie zu Beginn der 18. Legislaturperiode.”,- bemängelt der NKR.

Die Gründe dafür sind auch hier wieder vielfältiger Natur. Zum einen ist die Formulierung, dass Bund, Länder und Kommunen “alle rechtlich und tatsächlich geeigneten Verwaltungsleistungen” bis zum Jahr 2022 auch online anzubieten haben, wohl bewusst schwammig gehalten. Denn was genau nun rechtlich und tatsächlich geeignet ist, bleibt Auslegungssache.

Offen ist zudem momentan auch, ob das OZG tatsächlich auch für die Kommunen Gültigkeit hat. Während die Bundesregierung dies im Begründungstext ausdrücklich erwähnt, hat der Bundesrat dem ebenso ausdrücklich widersprochen – laut Grundgesetz dürfe der Bund den Gemeinden gar keine Aufgaben übertragen, so die Länder. Möglich sei nur ein freiwilliger Beitritt zum Portalverbund. Die Bundesregierung sieht das naturgemäß anders: Man übertrage den Kommunen mit dem OZG keine Aufgaben, sondern regele Verpflichtungen; zudem seien die Gemeinden verfassungsrechtlich ja Teil der Länder. Bleibt also abzuwarten, ob und wie die Kommunen das OZG dann letztendlich tatsächlich umsetzen werden. Bisher jedenfalls haben sie sich schwer getan mit dem Gedanken, einen Teil ihrer IT-Hoheit aus der Hand geben zu müssen. Ihr Hauptargument: Jede Kommune und jede Verwaltung habe andere Bedürfnisse und Anforderungen – da sei eine gemeinsame Plattform nur schwer realisierbar.

Und es geht doch – die Hessenbox als Vorbild

Dass ein derartiges zentrales Portal auch auf kommunaler Ebene durchaus funktionieren kann, beweist die gerade im Aufbau befindliche Hessenbox. Der föderale Speicherdienst für die staatlichen hessischen Hochschulen, der auf die File Sync&Share-Lösung “PowerFolder” des Düsseldorfer Entwicklers dal33t GmbH setzt, gibt 222.000 Studierenden und 32. 000 Beschäftigten die Möglichkeit, von jeder der 13 angeschlossenen staatlichen Hochschulen des Landes aus über ein einheitliches Portal per Webportal, Client (Windows, MacOS, Linux) oder App (Android, iOS) auf ihre Daten zugreifen zu können. Diese werden wiederum dezentral in den eigenen Rechenzentren der Hochschulen und Universitäten gehostet. Womit die Hessenbox im Grunde im Hochschulbereich genau die Vorgaben des OZG umsetzt. So entsprechen die Ziele in Hessen – dazu gehören unter anderem eine einheitliche Außendarstellung, die Zusammenführung von finanziellen und personellen Ressourcen und die weitere Erhöhung des Datenschutzes – recht genau auch den Begründungen, mit denen das OZG (bzw. Teile daraus) auf die Reise geschickt wurden.

Digitalisierung tut Not…

Die Digitalisierung der Behörden in Kommunen und Ländern muss auch künftig weiter vorangetrieben werden, will man dort auch in Zukunft noch kostendeckend und effizient arbeiten. Der Föderalismus darf dabei kein Hinderungsgrund sein, sind doch große Konzerne mit ihren dezentralen Organisationsstrukturen vergleichbar aufgebaut – und in Fragen der Digitalisierung schon wesentlich weiter; statt weiter am Flickenteppich zu basteln, ist hier daher das große Ganze gefragt. Das aber kann nur funktionieren, wenn die grundlegenden technischen Voraussetzungen geschaffen werden, die die notwendigen Sicherheitsstandards erfüllen – und wenn den   Absichtserklärungen der letzten Jahre nun endlich auch Taten folgen. Der Bürger würde es seiner Verwaltung danken.

*Matthias Steinwachs ist für dal33t GmbH/PowerFolder tätig.