-
» Herausragend «
Kommunen geraten zunehmend in den Fokus von Cyberangriffen. Ransomware, Phishing und Attacken auf Verwaltungsportale können dazu führen, dass zentrale Dienstleistungen wie Melderegister, Standesämter oder Bauämter tagelang ausfallen. Die Verwundbarkeit beruht auf mehreren Faktoren: knappen Budgets, veralteten IT-Systemen und fehlendem Fachpersonal. Gleichzeitig wächst die Erwartung der Bürgerinnen und Bürger, dass digitale Verwaltungsleistungen zuverlässig verfügbar sind.
Cybersicherheit in kommunalen Verwaltungen bewegt sich im Spannungsfeld verschiedener Rechtsgrundlagen. Maßgeblich sind insbesondere die DSGVO, das BSI-Gesetz sowie die NIS-2-Richtlinie. Während die DSGVO vor allem den Schutz personenbezogener Daten regelt, verpflichtet das BSI-Gesetz Betreiber kritischer Infrastrukturen zu erhöhten Sicherheitsstandards. Mit der Umsetzung von NIS-2 werden zudem viele kommunale Einrichtungen unmittelbar in die Pflicht genommen, da sie als wesentliche Einrichtungen gelten.
Die parallele Geltung dieser Normen führt zu erheblichen praktischen Schwierigkeiten, insbesondere bei Meldepflichten. Datenschutzverletzungen nach Art. 33 DSGVO und Sicherheitsvorfälle nach NIS-2 müssen jeweils separat gemeldet werden. Kommunen sind daher gefordert, integrierte Verfahren zu entwickeln, die beide Anforderungen gleichzeitig abdecken.
Ein weiteres Problem liegt in den föderalen Strukturen Deutschlands. Während einige Bundesländer zentrale Cybersicherheitsbehörden eingerichtet haben, sind andere kaum vorbereitet. Manche Kommunen sind eng an Landesrechenzentren angebunden, andere betreiben ihre IT weitgehend selbst. Diese Unterschiede führen zu einem Flickenteppich an Zuständigkeiten und zu uneinheitlichen Sicherheitsniveaus, was gezielte Angriffe auf schwächere Kommunen erleichtert.
Besonders verbreitet sind Ransomware-Angriffe, bei denen Daten verschlüsselt und Lösegeld gefordert wird. Phishing-Mails verleiten Mitarbeiter zur Preisgabe von Zugangsdaten, DDoS-Angriffe blockieren kommunale Online-Portale, und Manipulationen an IoT-Geräten betreffen etwa Gebäudesteuerungen oder Verkehrssysteme. Viele dieser Angriffe sind erfolgreich, weil elementare Schutzmaßnahmen fehlen: veraltete Software, unzureichendes Patch-Management, schwache Passwörter oder fehlende Netzsegmentierung.
Mit NIS-2 werden Kommunen verpflichtet, umfassende Risikomanagementsysteme einzuführen. Vorgesehen sind regelmäßige Risikoanalysen, Schutzmaßnahmen nach dem Stand der Technik, klare Verantwortlichkeiten auf Leitungsebene, Schulungen für alle Mitarbeiter und die Einrichtung eines Incident-Response-Plans. Besonders bedeutsam ist die persönliche Verantwortung der Verwaltungsleitung. Bürgermeister und Amtsleiter können künftig haftbar gemacht werden, wenn sie keine angemessenen Sicherheitsmaßnahmen ergreifen. Damit wird Cybersicherheit ausdrücklich zu einer Führungsaufgabe.
Viele Kommunen haben Schwierigkeiten, die neuen Vorgaben umzusetzen. Es fehlt an Geld, an qualifiziertem Personal und an organisatorischer Kompetenz. Kleinere Gemeinden sind häufig auf externe Dienstleister angewiesen, deren Sicherheitsstandards nur schwer überprüfbar sind, wodurch zusätzliche Lieferkettenrisiken entstehen. Daher ist es notwendig, dass Bund und Länder Kommunen stärker unterstützen – durch Förderprogramme, zentrale Sicherheitsdienste oder standardisierte Lösungen.
Zentral ist auch die enge Zusammenarbeit mit den Computer Emergency Response Teams der Länder. Nur so können Kommunen Angriffe frühzeitig erkennen, analysieren und abwehren. Ergänzend müssen Kommunen untereinander stärker kooperieren, etwa durch gemeinsame Plattformen, Schulungsprogramme und Austauschforen, um das allgemeine Sicherheitsniveau zu erhöhen.
Besondere Bedeutung hat die Kommunikation im Krisenfall. Angriffe auf kommunale Systeme sind öffentlich sichtbar und betreffen unmittelbar das Verhältnis zwischen Verwaltung und Bürgern. Transparente Information ohne Panikmache ist entscheidend, um Vertrauen zu erhalten. Gleichzeitig müssen Kommunen vorsichtig mit Details umgehen, um Angreifern keine zusätzlichen Hinweise zu liefern.
Die Cybersicherheit in Kommunen gehört zu den größten Herausforderungen der kommenden Jahre. Die rechtlichen Vorgaben sind ambitioniert und grundsätzlich geeignet, das Schutzniveau zu erhöhen. Ohne zusätzliche finanzielle und organisatorische Unterstützung wird es jedoch vielen Kommunen nicht gelingen, die Anforderungen zu erfüllen. Entscheidend ist, dass Cybersicherheit als zentrale Führungsaufgabe verstanden und auf allen Ebenen verankert wird. Nur so können Kommunen ihre Funktionsfähigkeit sichern und das Vertrauen der Bürger in eine digitale Verwaltung langfristig bewahren.