-
» Herausragend «
Cyberangriffe auf Städte und Gemeinden haben in den letzten Jahren stark zugenommen. Die IT-Sicherheitslage kommunaler Verwaltungen gilt inzwischen als kritisch, da Angriffe nicht nur Großstädte, sondern auch kleinere Gemeinden treffen und mitunter wochenlang zentrale Verwaltungsleistungen lahmlegen. Dennoch fehlt es weiterhin an einheitlichen Mindeststandards und einer klaren gesetzlichen Verankerung der Verantwortung. Der Beitrag analysiert die bestehenden Defizite und entwickelt Vorschläge für eine Reform.
Die Cybersicherheit kommunaler Verwaltungen ist derzeit von einem Flickenteppich an Normen geprägt. Auf EU-Ebene verpflichtet die Datenschutz-Grundverordnung (DS-GVO) Kommunen, personenbezogene Daten zu schützen. Diese Verpflichtung greift zwar tief, bleibt jedoch auf den Schutz von Daten beschränkt und entfaltet auf die allgemeine IT-Sicherheit nur begrenzte Steuerungswirkung.
Auf Bundesebene regelt das BSI-Gesetz in der Fassung des IT-Sicherheitsgesetzes 2.0 den Schutz Kritischer Infrastrukturen. Kommunale Verwaltungen werden jedoch nur dann erfasst, wenn sie in besonders sicherheitsrelevanten Sektoren tätig sind, etwa in der Wasser- oder Energieversorgung. Für die breite Mehrheit der Kommunen bleiben die Vorgaben des BSI-Gesetzes ohne unmittelbare Wirkung.
Hinzu kommt, dass die Umsetzung der NIS2-Richtlinie in Deutschland ausdrücklich ohne kommunale Verwaltungen erfolgen soll. Damit bleiben Kommunen von den EU-Mindeststandards zu Risikomanagement, Meldepflichten und Audits ausgenommen.
Aufgrund der föderalen Struktur liegt es an den Bundesländern, Vorgaben für die Cybersicherheit in Kommunen zu erlassen. Die Praxis zeigt jedoch erhebliche Unterschiede. Manche Länder wie Baden-Württemberg oder Hessen haben spezifische IT-Sicherheitsgesetze verabschiedet, die auch kommunale Verwaltungen erfassen. So sieht das Hessische Gesetz zum Schutz der elektronischen Verwaltung (HITSiG) eine zentrale Koordinierungsstelle vor, die Cyberabwehrmaßnahmen landesweit bündelt. Bayern verfolgt mit dem Bayerischen Digitalgesetz einen eigenen Ansatz, der die IT-Sicherheit in den Gesamtzusammenhang von Digitalisierung und Verwaltung einbettet.
Andere Länder – etwa Brandenburg, Bremen, Thüringen oder Sachsen-Anhalt – haben bislang keine spezifischen Regelungen geschaffen. Dort sind die Kommunen auf allgemeine Verwaltungsvorschriften oder freiwillige Maßnahmen angewiesen. Das führt dazu, dass das Sicherheitsniveau stark vom Standort abhängt: Während manche Kommunen über verbindliche Vorgaben verfügen, sind andere weitgehend sich selbst überlassen.
Mangels bundeseinheitlicher Standards existieren bislang nur freiwillige Leitlinien, etwa Empfehlungen des IT-Planungsrats oder Programme der Allianz für Cybersicherheit. Diese entfalten jedoch keine flächendeckende Wirkung. Viele Kommunen verfügen über keine aktuellen IT-Sicherheitskonzepte. Laut Erhebungen sind nur rund 35 % der Kommunen auf einen Ernstfall vorbereitet, häufig fehlt es an geschultem Personal oder Notfallplänen.
Gerade kleinere Gemeinden sind überfordert, da Ressourcen und Expertise fehlen. Auch die föderale Kompetenzverteilung erschwert es, eine einheitliche Linie zu entwickeln. Dadurch entsteht ein Teufelskreis: mangelnde Ressourcen, fehlende Zuständigkeiten und unklare Verantwortlichkeiten verstärken sich gegenseitig und lassen Sicherheitslücken bestehen.
Die beschriebenen Rechtslücken haben konkrete Auswirkungen: Angriffe führen regelmäßig zu erheblichen Störungen, da viele Kommunen keine systematischen Präventions- und Abwehrmechanismen implementiert haben. Oftmals fehlt es an kontinuierlichen Schulungen des Personals oder an einem Mindestniveau technischer Standards.
Die föderale Uneinheitlichkeit verhindert zudem eine flächendeckende Prävention. Während einige Kommunen durch Landesgesetze verpflichtet sind, umfassende Maßnahmen zur IT-Resilienz umzusetzen, fehlt anderen jegliche gesetzliche Grundlage. Die Folge ist ein uneinheitliches und schwer steuerbares Sicherheitsniveau.
Die Analyse zeigt, dass ein erheblicher Reformbedarf besteht. Um die Cybersicherheit in Kommunen nachhaltig zu verbessern, werden mehrere Handlungsoptionen diskutiert:
1. Bundeseinheitliche Mindeststandards: Verbindliche IT-Sicherheitsanforderungen sollten gesetzlich auch für Kommunen gelten. Ein mögliches Modell wäre die Erweiterung des BSI-Gesetzes um einen speziellen Abschnitt für Kommunalverwaltungen mit verpflichtenden Mindeststandards.
2. Eigene Kommunale IT-Sicherheitsgesetzgebung: Alternativ könnte ein neues Gesetz geschaffen werden, das die Cybersicherheit in kommunalen Einrichtungen bundesweit einheitlich regelt und zentrale Mindeststandards festschreibt.
3. Koordination und Unterstützung: Neben rechtlichen Vorgaben benötigen Kommunen praktische Unterstützung. Landesweite Koordinierungsstellen könnten Best Practices bereitstellen, Notfallpläne koordinieren und kleinere Gemeinden finanziell sowie organisatorisch entlasten.
4. Integration in die föderale Digitalstrategie: IT-Sicherheit sollte systematisch in die bundesweite Digitalisierungsstrategie eingebunden werden, um Synergieeffekte zu nutzen und kommunale Verwaltungen besser abzusichern.