![kaputter alter Computer]({"100":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_100w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=y-SFtUZY","200":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_200w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=qs99UwkB","300":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_300w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=l3DE588q","400":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_400w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=dzyiFyWx","500":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_500w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=kEF4e7B-","600":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_600w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=DtqwGhU2","700":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_700w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=1FWTLPkl","800":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_800w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=CKiGKYnm","900":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_900w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=DqiB0MYH","1000":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_1000w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=PM6h1inz","1100":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_1100w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=uR1Gl2Fa","1200":"https:\/\/www.smart-city-dialog.de\/system\/files\/styles\/responsive_16_9_1200w\/private\/2025-01\/Blog_Headerbild_IT-Sicherheit.jpg?h=c673cd1c\u0026itok=WSxbxXZn"})
Main content
Montagmorgen, das Telefon klingelt. Ein IT-Mitarbeiter ruft an – in der Nacht gab es einen Angriff und alle IT-Systeme mussten heruntergefahren werden. Alle Terminals sind schwarz, nichts geht mehr. Mitarbeitende im Rathaus hasten ratlos über die Flure. Vor dem Bürgercenter haben sich lange Reihen von Menschen gebildet, die ungeduldig bis energisch mit dem Personal diskutieren. Niemand scheint zu wissen, was gerade passiert, wo genau die Ursache für die aktuell verfahrene Situation liegt und wie es nun eigentlich weitergehen soll. Fest steht bislang nur: Sämtliche IT ist ausgefallen und lässt sich nicht mehr hochfahren – der vermeintlich unwahrscheinliche Angriff durch Hacker hat gänzlich unerwartet die eigene kleine Behörde getroffen.
Angriffsziel Kommune: Die aktuelle Situation
Dies ist kein fiktives, dystopisches Schreckensszenario. Es ist eine reale Bedrohung, die nicht nur große, zahlungskräftige Unternehmen betrifft, sondern auch den Kern unserer Gesellschaft: die Kommunen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem Lagebericht zur IT-Sicherheit in Deutschland 2024 fest, dass die öffentliche Verwaltung EU-weit von allen Branchen am häufigsten von IT-Sicherheitsvorfällen betroffen ist.
Dabei spielte die Größe der Kommunen keine ausschlaggebende Rolle – von eher ländlichen Gemeinden mit 2.800 Einwohnern bis hin zu Großstädten mit über 1.8 Millionen Einwohnern sind alle Größen vertreten. Betrachtet man die in den letzten Jahren bekannt gewordenen IT-Sicherheitsvorfälle in Kommunalverwaltungen, so zeigt sich ein deutliches Bild der Zunahme von Angriffen (siehe: Abbildung 1). Auf der Seite „Kommunaler Notbetrieb“ finden sich zahlreiche Beispiele realer Cyberangriffe auf Kommunen.
Es gibt verschiedene Akteure hinter diesen Angriffen: Einige sind staatliche, andere sind international verstreute Kollektive, die Hacking als Geschäftsmodell verfolgen. Wieder andere sind Einzelpersonen, die Angriffe durchführen, einfach weil sie die Fähigkeiten dazu haben. Die Angriffe reichen von klassischen Ransomware-Attacken mit Erpressung über den Diebstahl sensibler Daten bis hin zur Sabotage von Hard- und Software, die den kompletten Verwaltungsbetrieb lahmlegen kann. Auch Datenschutzverletzungen stellen eine erhebliche Bedrohung dar. Hinzu kommen indirekte Risiken durch Naturkatastrophen und daraus resultierende Ausfälle von IT-Infrastruktur.
Die Hauptgründe für die steigende Gefährdungslage sind fehlende Fachexpertise vor Ort, unzureichende finanzielle Mittel für IT-Sicherheit und eine mangelhafte Sensibilisierung der Entscheidungsträgerinnen und -träger. In smarten Städten und Regionen ist diese Gefährdungslage durch die Vielzahl der Systeme teilweise noch höher: Mit zunehmender Vernetzung – von intelligenter Ampelsteuerung und digitaler Parkraumbewirtschaftung bis hin zu Hochwasser- und Starkregensensoren – steigt die Anzahl der zu schützenden Systeme, während Personal und Budget oft nicht angepasst werden.
Schutzschild für die Kommune: Der Weg zur digitalen Resilienz
Auch wenn die Lage der IT-Sicherheit in den Kommunen aktuell nur grob zu überblicken ist, so wird aus dem vorigen Abschnitt doch deutlich, dass hier individuell enorme Risikopotenziale existieren und künftig mehr getan werden muss, um den absehbaren Bedrohungen angemessen zu begegnen. Zum gleichen Ergebnis kam bereits eine größer angelegte Studie der Stiftung Neue Verantwortung und des Deutschen Städtetags aus dem Jahr 2023: der Cybersicherheitskompass. Ausgangspunkt war auch dort die Erkenntnis, dass die Informationssicherheit von Städten auf breiter Basis verbessert werden müsse. Hier stellt sich zwangsläufig die Frage, welche konkreten Verbesserungen vorzunehmen sind beziehungsweise ganz allgemein, wie die Situation in Kommunen und kleinen Städten idealerweise beschaffen sein sollte, um ein angemessenes Informationssicherheitsniveau zu erzielen.
Das Bundesamt für Sicherheit in der Informationstechnik bietet in diesem Zusammenhang mit dem allgemein anwendbaren IT-Grundschutzkompendium eine generelle, systematische und umfassende Antwort auf die Frage, wie der Aspekt Informationssicherheit idealerweise angegangen werden sollte. Der Ansatz, der auf den Aufbau eines ISO27000-kompatiblen Managementsystems zur Informationssicherheit (Information Security Management System-ISMS) abzielt, richtet sich jedoch in erster Linie an mittlere und große Unternehmen und hat sich für kleinere Organisationen oder Kommunen als eher unpraktikabel erwiesen.
Daher wurden im Laufe der Zeit zunehmend schlankere Ansätze entwickelt, die für die Anwendenden einen akzeptablen Kompromiss zwischen Vollständigkeit und praktischer Umsetzung darstellen. Mittlerweile gibt es mit dem „Weg in die Basis-Absicherung (WiBA)“ und dem „IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung“ speziell für Kommunen auch ein angepasstes Vorgehen, das einen elementaren Einstieg zur Verbesserung der Informationssicherheit bietet.
Um die IT-Sicherheit nachhaltig zu stärken, ist es jedoch entscheidend, sich der zentralen Fragen stets bewusst zu sein und klare Verantwortlichkeiten sowie Strukturen zu schaffen. Die folgenden Fragen bieten eine Orientierung, welche Maßnahmen und Zuständigkeiten in einer Kommune etabliert und allen bekannt sein sollten:
- Gibt es in unserer Kommune eine Informationssicherheitsbeauftragten beziehungsweise einen Informationssicherheitsbeauftragten (ISB)? Ist diese Rolle klar definiert und wissen alle, wer dafür verantwortlich ist? Eine ISB beziehungsweise ein ISB sollte benannt und mit ausreichenden Ressourcen ausgestattet sein, um solche Aufgaben effektiv wahrnehmen zu können.
- Haben wir eine aktuelle und umfassende Bestandsaufnahme unserer IT-Systeme und -Prozesse und wissen wir, wie diese miteinander verknüpft sind? Transparenz über alle Systeme und Abläufe ist die Grundlage für IT-Sicherheitsstrategien.
- Gibt es bei uns ein dokumentiertes und wirksames Risikomanagement und ist allen klar, wie potenzielle Risiken identifiziert und bewertet werden? Ein systematisches Risikomanagement muss festgelegt und regelmäßig überprüft werden.
- Sind klare Regelungen und ein definierter Meldeprozess für Sicherheitsvorfälle bei uns vorhanden? Es muss bekannt sein, wie Vorfälle zu melden sind und wer zuständig ist, damit schnell reagiert werden kann.
- Gibt es einen Notfallplan für Cyberangriffe und wissen wir, welche Schritte zur Eindämmung, Wiederherstellung und Kommunikation vorgesehen sind? Der Plan sollte regelmäßig geprüft und allen Beteiligten bekannt sein.
- Ist das Budget für unsere IT-Sicherheitsmaßnahmen eingeplant und auch effektiv zugewiesen?
- Verfügen wir über qualifiziertes IT-Sicherheitspersonal? Sind Verantwortlichkeiten eindeutig zugeordnet?
- Werden auch die anderen Mitarbeitenden, die nicht der IT-Abteilung zugehören, aktiv mit einbezogen? Sensibilisierungsmaßnahmen wie Schulungen zum Thema oder anschauliche Phishing-Simulationen, um die Gefahren im Social Engineering zu verdeutlichen, helfen an dieser Stelle maßgeblich.
- Gibt es bei uns einen regelmäßigen Austausch mit anderen Kommunen sowie mit Expertinnen und Experten? Der Zugang zu aktuellem Wissen und Best Practices ist essenziell, um neue Bedrohungen zu erkennen und darauf zu reagieren.
Als Beispiel kann bereits eine kleinere Kommune mit begrenzten Ressourcen ihre IT-Sicherheit gezielt durch einfache, aber effektive Maßnahmen verbessern (sogenannter „Quick-Win“). Ein pragmatischer Ansatz ist der Start mit dem WiBA-Ansatz, die speziell auf die Bedürfnisse solcher Verwaltungen zugeschnitten sind. Sichere Cloud-Lösungen bieten eine praktische Alternative, wenn die eigene Infrastruktur nicht ausreichend geschützt werden kann, und reduzieren gleichzeitig den Aufwand für Wartung und Updates.
Ergänzend dazu sollten Kommunen einen klar definierten Meldeprozess für Sicherheitsvorfälle etablieren, um bei Angriffen schnell und strukturiert reagieren zu können. Diese Schritte bauen auf den zuvor beschriebenen Best Practices auf und ermöglichen auch kleineren Städten, ein grundlegendes Niveau an IT-Sicherheit zu erreichen. Entscheidend bleibt jedoch, dass die Verwaltung Verantwortung übernimmt, die Risiken ernst nimmt und konsequent handelt, um ihre digitale Resilienz zu stärken.
Handeln statt Hoffen: Der Weg nach vorn
Die Bedrohungslage für kommunale IT-Systeme ist ernst, aber mit den richtigen Maßnahmen beherrschbar. Eine effektive Cybersicherheit erfordert die Zusammenarbeit von Akteuren auf Bundes-, Landes- und kommunaler Ebene sowie die Nutzung der zahlreichen Unterstützungsangebote.
Ein hilfreiches Instrument hierfür ist der bereits erwähnte Cybersicherheitskompass, der eine Übersicht über die Leistungen von Bund und Ländern zur Förderung der Informationssicherheit und Resilienz von Kommunen bietet. Ergänzend bietet das neu entwickelte Cyberresilience-Framework praxisorientierte Leitlinien, die es Kommunen ermöglichen sollen, schneller auf Cyberangriffe zu reagieren und dadurch Schäden für sich und die Gesellschaft zu minimieren.
Das Bundesamt für Sicherheit in der Informationstechnik stellt mit IT-Grundschutz, Schulungen, Analysen und dem CERT-Bund wertvolle Hilfsmittel bereit, während Landes-CERTs und kommunale IT-Dienstleister regionale und praxisnahe Lösungen anbieten. Förderprogramme wie „Digitale Verwaltung 2020“ und Initiativen wie „Deutschland sicher im Netz“ oder „KMU-innovativ“ stärken IT-Sicherheit zudem durch finanzielle Unterstützung, Beratung und Weiterbildung.
Der erste Schritt liegt jedoch bei den Kommunen selbst: sich der Risiken bewusst zu werden und aktiv zu handeln. Mit einem systematischen Ansatz und den verfügbaren Ressourcen können auch kleinere Städte ihre IT-Sicherheit nachhaltig stärken und schützen, sodass der eingangs beschriebene Montagmorgen weiterhin nur ein ausgedachtes Szenario bleibt.
Namentlich gekennzeichnete Beiträge geben die Meinung der Autorin oder des Autors wieder.
Hinweis:
Dieser Blogbeitrag basiert auf Erkenntnissen und Forschungsergebnissen des vom Bundesinstituts für Bau-, Stadt- und Raumforschung (BBSR) geförderten Projekts „Digitale Resilienz in der kommunalen Verwaltung“. Im Rahmen des Projekts wird ein Leitfaden mit detaillierten Handlungsempfehlungen entwickelt, der sich in erster Linie an Führungskräfte kleiner und mittlerer Kommunen richtet. Die Autorinnen und Autoren freuen sich über Rückmeldungen und fachlichen Austausch zu diesem wichtigen Thema der kommunalen Digitalisierung.
Cybersicherheitskompass 2023
Weiterführende Links
Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.J.): WiBA - Weg in die Basis-Absicherung [zuletzt abgerufen am 7. Januar 2025].
Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.J.): IT-Grundschutz [zuletzt abgerufen am 7. Januar 2025].
Bundesinstituts für Bau-, Stadt- und Raumforschung (BBSR) (o.J.): ForschungsprojektDigitale Resilienz in der kommunalen Verwaltung: Handlungsfelder zur Stärkung der IT-Sicherheit in Städten. Zugriff: https://www.bbsr.bund.de/BBSR/DE/forschung/programme/exwost/jahr/2023/digitale-resilienz/01-start.html [zuletzt abgerufen am 7. Januar 2025].
Dialog für Cybersicherheit (o.J.): Ergebnisbericht Cyberresilience-Framework. In IT-Krisen schneller agieren. (Kurz: RESI) Zugriff: https://www.dialog-cybersicherheit.de/storage/uploads/ws24-endprodukte/2024_Ergebnisbericht_RESI.pdf [zuletzt abgerufen am 7. Januar 2025].
