-
» Herausragend «
Kommunale IT-Systeme sind in den letzten Jahren zunehmend ins Visier von Cyberkriminellen geraten. Während große Unternehmen und Banken ihre Sicherheitsarchitekturen erheblich ausgebaut haben, stehen viele Städte und Gemeinden weiterhin vergleichsweise ungeschützt da. Gerade Kommunen sind für Angriffe besonders attraktiv: Sie verarbeiten sensible personenbezogene Daten, betreiben kritische Dienste wie Melde- und Standesämter oder Teile der Energie- und Wasserversorgung und verfügen gleichzeitig über nur begrenzte finanzielle und personelle Ressourcen, um sich wirksam zu schützen. Diese Kombination aus hoher Relevanz und begrenzten Abwehrmöglichkeiten macht sie zu einem bevorzugten Ziel.
Zu den häufigsten Angriffen auf kommunale Infrastrukturen gehören Ransomware-Attacken. Dabei werden Daten verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigegeben. Ebenso verbreitet sind Phishing-Mails, mit denen Mitarbeiter zur Preisgabe von Zugangsdaten verleitet werden. Hinzu kommen Methoden des Social Engineering, bei denen Angreifer gezielt Vertrauen erschleichen, sowie Distributed-Denial-of-Service-Angriffe (DDoS), die Webseiten und Bürgerportale lahmlegen.
Die Auswirkungen sind gravierend. Bürger können zentrale Verwaltungsdienste nicht mehr nutzen, Verfahren kommen zum Stillstand, und das Vertrauen in die Funktionsfähigkeit der kommunalen Selbstverwaltung wird erheblich beschädigt. Gerade bei sensiblen Bereichen wie der Energie- oder Wasserversorgung kann ein erfolgreicher Angriff nicht nur zu organisatorischen, sondern auch zu sicherheitsrelevanten Störungen führen.
Viele Kommunen lagern ihre IT-Dienstleistungen an externe Anbieter aus, weil ihnen selbst die erforderlichen Kapazitäten fehlen. Diese Abhängigkeit schafft zusätzliche Risiken, da kleine oder spezialisierte Anbieter nicht immer über ausreichende Sicherheitsstandards verfügen. Angreifer nutzen solche Schwachstellen gezielt aus, um über Dienstleister Zugang zu sensiblen Verwaltungsdaten zu erhalten. Damit rücken Fragen der Lieferketten- und Dienstleisterkontrolle auch für den öffentlichen Sektor ins Zentrum.
Besonders verschärft wird die Situation durch die Umsetzung der NIS-2-Richtlinie. Sie verpflichtet nun auch öffentliche Einrichtungen zur Einhaltung europaweit einheitlicher Cybersicherheitsstandards. Kommunen, die als Betreiber wesentlicher Dienste gelten, müssen künftig Risikoanalysen durchführen, Sicherheitsmanagementsysteme implementieren, Sicherheitsvorfälle binnen 24 Stunden melden und die Verantwortung auf Leitungsebene sicherstellen. Bürgermeister und Amtsleiter können damit erstmals persönlich haftbar gemacht werden, wenn sie die Anforderungen nicht umsetzen. Dies markiert eine deutliche Abkehr von der bisherigen Rechtslage, in der die Verantwortung stärker auf technische Ebenen beschränkt war.
Um den neuen Vorgaben gerecht zu werden und die Verwundbarkeit zu verringern, ist eine umfassende Neuordnung erforderlich. IT-Sicherheit muss strategisch auf Leitungsebene verankert werden, etwa durch die Einrichtung klarer Governance-Strukturen. Schulungen sämtlicher Mitarbeiter sind unverzichtbar, da menschliche Fehler nach wie vor die größte Sicherheitslücke darstellen. Ergänzend bedarf es enger Kooperationen mit CERTs (Computer Emergency Response Teams) auf Landes- und Bundesebene, um aktuelle Bedrohungen frühzeitig zu erkennen und gezielt abzuwehren.
Auf technischer Ebene sind Netzsegmentierung, Zwei-Faktor-Authentifizierung, regelmäßige Patches und gesicherte Backups unverzichtbar. Ebenso notwendig ist die Entwicklung und Erprobung von Notfallplänen, die gewährleisten, dass zentrale Verwaltungsleistungen auch bei IT-Ausfällen erbracht werden können. Ein besonderes Augenmerk liegt auf der Kommunikation im Krisenfall: Bürger müssen transparent informiert werden, ohne Panik auszulösen. Nur durch eine offene Informationspolitik lässt sich Vertrauen erhalten. Gleichzeitig ist eine enge Zusammenarbeit mit Polizei und Datenschutzaufsichtsbehörden unerlässlich, da Cyberangriffe regelmäßig auch strafrechtliche Dimensionen haben.
Kommunale Infrastrukturen bilden einen neuralgischen Punkt der Gesellschaft: Sie vereinen hohe Verwundbarkeit mit enormer praktischer Bedeutung für das tägliche Leben der Bürger. Cyberangriffe auf Gemeinden sind längst keine abstrakte Bedrohung mehr, sondern konkrete Realität. Die Anforderungen der NIS-2-Richtlinie, ergänzt durch organisatorische und technische Schutzmaßnahmen sowie eine gelebte Sicherheitskultur, machen deutlich, dass Cybersicherheit im öffentlichen Sektor nicht länger als Randthema behandelt werden darf. Nur wenn Kommunen IT-Sicherheit als Kernaufgabe begreifen, lässt sich die Funktionsfähigkeit der Verwaltung in Zeiten wachsender Bedrohungen nachhaltig sichern.