Die Digitalisierung hat die kommunale Verwaltung revolutioniert und bürgernäher gemacht: Bürokratische Hürden wurden abgebaut und der Zugang zu Verwaltungsdienstleistungen erheblich vereinfacht. Die Verwaltungen selbst profitieren von besseren und schnelleren Prozessen im kommunalen Alltag. Kein Wunder also, dass sich Digitalisierung wie ein roter Faden durch das Ausstellungsspektrum der KOMMUNALE in Nürnberg zieht. An den Ständen der Software- und Cyberspezialisten zeigt sich aber auch, dass das Thema seine Schattenseiten hat. So nehmen seit Jahren Cyberangriffe auf Unternehmen und die öffentliche Verwaltung in Deutschland zu. Kommunale Einrichtungen sind immer häufiger Ziel von Ransomware-Angriffen, bei denen Kriminelle Daten verschlüsseln und Lösegeld fordern, was den Betrieb erheblich stören und hohe Kosten verursachen kann. Angriffe durch Phishing-E-Mails und Social Engineering sind an der Tagesordnung.
Zwei Beispiele: Im November 2023 wurden mehrere Kommunen im Landkreis Neu-Ulm Opfer eines Cyberangriffs. Über den gemeinsamen Zweckverband für Datenverarbeitung gelang es Hackern, Zugriff auf zahlreiche sensible Daten zu erlangen und diese zu verschlüsseln. Betroffen waren unter anderem Informationen aus der Passverwaltung, dem Kassenwesen und der Friedhofsverwaltung von insgesamt zwölf Gemeinden. Im November 2024 wiederum wurde das Rathaus in Aschaffenburg Ziel eines gezielten Hackerangriffs: Die Angreifer versuchten offenbar, durch automatisierte Passwortübermittlungen ins System zu gelangen, woraufhin die gesamte IT-Infrastruktur inklusive E-Mail und Telefon vorsorglich abgeschaltet wurde. Für mehrere Tage blieb das Rathaus geschlossen.
Kommunen als Teil der kritischen Infrastruktur
Groß angelegte Angriffe können aber noch viel weitreichendere Auswirkungen haben, wie der externe Informationssicherheits- und Datenschutzbeauftragte Ralf Turban vom KOMMUNALE-Aussteller Mein-Datenschutzberater GmbH erklärt: „Der Ausfall der kommunalen Strukturen für das Land Bayern und die Bundesrepublik als Ganzes wäre mit enormen Einschränkungen für unser öffentliches Leben verbunden. Grundlegende Dienstleistungen, die die kommunalen Strukturen bereitstellen und die freiheitliche Struktur unseres Zusammenlebens sicherstellen, würden wegfallen.“ Viele würden dabei an Formulare und Wahlen denken. Grundlegende Aufgaben seien jedoch auch die Sicherstellung der öffentlichen Sicherheit und Ordnung sowie die Versorgung der Bevölkerung mit Wasser, die Entsorgung von Abwasser und grundsätzlich der Abfallentsorgung, warnt Turban. Auch in der Organisation der Feuerwehren und des Katastrophenschutzes seien die Kommunen tragende Säulen.
Angriffe auf diese Einrichtungen zielen nicht nur auf finanzielle Schäden ab, sondern gefährden auch das Vertrauen der Bevölkerung in staatliche Institutionen. „Hier spiegelt sich wider, dass wir nicht nur mit einer zunehmenden Cyberkriminalität konfrontiert sind, sondern uns einer angespannten geopolitischen Lage gegenübersehen, die von einer hybriden Kriegsführung geprägt ist und gezielte Angriffe auf staatliche Strukturen begünstigt. Diesen Herausforderungen muss sich die kommunale IT-Infrastruktur stellen“, betont Felix Kuhlenkamp, Bereichsleiter Sicherheitspolitik beim Digitalverband Bitkom.
Strategien für mehr Sicherheit in kommunalen IT-Systemen
Kommunen speichern große Mengen personenbezogener Daten, die bei mangelhafter Sicherheit für Datenlecks anfällig sind. Die Verwaltungen sind sich den Bedrohungen durchaus bewusst und stellen sich immer mehr den Herausforderungen. „Sie wappnen sich mit grundlegenden Herangehensweisen wie dem LSI-Siegel, dem BSI IT-GrundschutzProfil für Kommunalverwaltungen oder dem Informationssicherheitsmanagement nach CISIS12 vom IT-Sicherheitscluster“, beschreibt Turban mögliche Strategien. Die verschiedenen Umsetzungsstufen – geordnet nach inhaltlicher Tiefe und Aufwand – bilden die grundlegenden Bausteine für eine Basis- bzw. Standardabsicherung. Dabei trifft das Thema Informationssicherheit, das häufig aus der IT heraus initiiert wird, auf Digitalisierungsprozesse in überwiegend kleinteiligen Strukturen. „Diese Verwaltungsstrukturen sind häufig in diesen Bereichen nicht ausgebildet und erkennen in dem ganzen „Durcheinander“ der Vorgehensweisen und Bausteine nicht den notwendigen roten Faden“, warnt der Cybersicherheitsexperte. Erforderlich sei in diesem Bereich vor allem die sogenannte Management-Attention – das heißt, Informationssicherheit muss laut Turban aktiv von der Verwaltungsspitze vorgelebt, gesteuert und als strategisches Ziel verankert werden. Auf dieser Basis kann mit einem anerkannten Leitfaden begonnen werden, um die zahlreichen Anforderungen systematisch zu erfassen und strukturiert umzusetzen.
Das übergeordnete Ziel besteht darin, IT-Sicherheit im Arbeitsalltag der Mitarbeitenden zu verankern – mit praxisnahen Schulungen und klaren Verhaltensregeln. Besonders Augenmerk sollte dabei auf Bedrohungen wie Phishing gelegt werden, sagt Dr. Florian Kunstein, Mitglied der Geschäftsleitung der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB). Neben Schulungen empfiehlt der Experte auch Notfallpläne für den Umgang mit Cyber-Angriffen, um die IT-Infrastrukturen effektiv gegen aktuelle Bedrohungen zu schützen.
Mit Schulungen und Aufklärung zu mehr IT-Sicherheitsbewusstsein
Zur Sensibilisierung der Mitarbeiter stehen inzwischen umfangreiche Angebote bereit. Michael Dellermann, Product Owner Public Sector bei der DATEV eG verweist auf jene des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Landes-CERTs (Computer Emergency Response Team) und des Landesdatenschutzbeauftragten. „Kommunen sollten ihren Mitarbeitern diese Angebote bekannt machen und zusätzlich durch entsprechende Schulungsmaßnahmen zunächst einmal für die nötige Awareness bei den Beschäftigten sorgen“, rät Dellermann. Um Ressourcen für den Betrieb und die Wartung von Inhouse- Lösungen zu sparen und gleichzeitig ein hohes Sicherheitsniveau zu etablieren sollten Städte und Gemeinden nach seiner Ansicht ihren IT-Betrieb zu einem professionellen ASP-Anbieter auslagern oder cloudbasierte Software-Lösungen einsetzen. „Es gibt ja auch externe Dienstleister, die gezielt derartige Leistungen für die Kommunen anbieten, wie beispielsweise Zweckverbände oder interkommunale Zusammenschlüsse“, ergänzt Dellermann. Bei jeder Form eines solchen Outsourcings gelte natürlich immer die Voraussetzung, dass vertrauenswürdige Anbieter ausgewählt werden. Bei der Wahl des Partners sind neben guten Referenzen auch einschlägige Zertifikate ein guter Anhaltspunkt. Im besten Fall verfügt ein Cloud-Rechenzentrum oder ASP-Anbieter sogar über eine KRITIS-Zertifizierung.
„IT-Sicherheit gibt es allerdings nicht zum Nulltarif“, gibt Felix Kuhlenkamp von Bitcom zu bedenken. Er rät Verantwortlichen, den notwendigen Ausgaben die Kosten gegenüberzustellen, die entstehen, wenn es zu einem erfolgreichen Cyberangriff kommt. Kommunen sollten daher - wie auch Unternehmen – etwa 20 Prozent ihres IT-Budgets in IT-Sicherheit investieren. Nur so lasse sich ein belastbares Schutzniveau aufbauen und langfristig aufrechterhalten. Zudem können interkommunale Kooperationen und geförderte Angebote von Bund und Ländern helfen, finanzielle und personelle Engpässe abzufedern.
All das zeigt: Auch mit begrenzten Mitteln lässt sich die IT-Sicherheit wirksam stärken – vorausgesetzt, sie wird als strategische Daueraufgabe verstanden und aktiv von der Führung unterstützt. Wer klare Prioritäten setzt, kritische Systeme gezielt schützt und Mitarbeitende regelmäßig sensibilisiert, schafft die Grundlage für eine widerstandsfähige digitale Verwaltung. So wird IT-Sicherheit nicht zur Belastung, sondern zum Erfolgsfaktor moderner kommunaler Infrastruktur.
Autor: Alexander Stark
