Was bedeuten die zahlreichen Meldungen über Attacken auf kommunale Infrastrukturen? Sind Kommunen besonders stark gefährdet – oder besonders schlecht geschützt? Was kann auch kleinen Kommunen helfen, die personell eingeschränkt sind? IT-Sicherheitsexpertin Bianca Kastl ordnet ein und weiß Rat.
Anscheinend vergeht in letzter Zeit kein Monat ohne Nachrichten über Cyberangriffe auf Kommunen oder kommunale Unternehmen. Ist die Cybersicherheit in Kommunen daher nach wie vor schlecht? Ist die Situation vielleicht noch schlimmer geworden als vor ein paar Jahren? Ja und nein zugleich.
Generell ist der Stand der Cybersicherheit in Kommunen an vielen Stellen nach wie vor ausbaufähig. Allerdings ist die Gefahrenlage im Cyberraum generell angespannt, nicht nur im kommunalen Kontext. Das Aufkommen neuer, datenintensiver Anwendungen wie Künstliche Intelligenz oder Big Data sowie die immer stärkere Digitalisierung von Verwaltungsprozessen führen insgesamt zu einer größeren Angriffsfläche für Cyberkriminelle.
Wo mehr zu holen ist, passieren auch mehr Angriffe. Im Bereich der Cyberkriminalität führen aktuelle Methoden der künstlichen Intelligenz zu einer Beschleunigung von Angriffen, die früher vielleicht aufwendiger und langwieriger waren.
Kommunen als ein Ziel unter vielen anderen
Die wahrgenommene Gefährdung im kommunalen Umfeld ist also möglicherweise fühlbar gestiegen, fügt sich aber eher in einen globalen Kontext einer allgemeinen Gefährdungslage ein. Kommunen sind oft kein dediziertes Ziel von Cyberangriffen, sie sind eher im global vernetzten Cyberraum nur oft eines von vielen schlecht gesicherten IT-Systemen.
Zu einer ähnlichen Schlussfolgerung kommt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht von 2025. Mehr Meldungen bedeuten nicht automatisch eine größere Gefährdungslage.
Im BSI-Lagebericht sind kommunale Unternehmen zumindest zum Teil als kritische Infrastrukturen erfasst, etwa wenn es sich um Abfallentsorgung, Wasserversorgung oder Energieversorgung handelt. Die Gefährdungslage ist also weder ein Grund, in Panik zu verfallen, noch mit der eigenen Informationssicherheit nachlässig zu werden – denn passieren kann nach wie vor viel.
Was passiert, wenn etwas passiert?
Getreu dem Sprichwort „Aus Schaden wird man klug“ werden Maßnahmen für mehr Informationssicherheit oft erst dann ein Thema, wenn ein Cyberangriff bereits stattgefunden hat. Informationssicherheit unterliegt leider einem Präventionsparadox: Sinnvoll und kontinuierlich betriebene Informationssicherheit fällt erst einmal nicht auf, eben weil Maßnahmen getroffen werden, die Risiken reduzieren und Angriffe verhindern.
Nicht selten führen deshalb erst erfolgreiche Cyberangriffe zu einem gesteigerten Fokus auf Informationssicherheit, wie etwa der erfolgreiche Cyberangriff auf den kommunalen Dienstleister Südwestfalen-IT im Jahr 2023 zeigte. Nach dem Angriff ist dort sehr viel passiert, sechsstellige Aufwendungen für sichere Systeme, bessere Prozesse, strengere Sicherheitsvorgaben und letztlich sogar ein Umbau der Geschäftsführung, die selbst grundlegende Sicherheitsvorkehrungen missachtet hat.
Eine so starke Veränderung sollte aber nicht als Erfolg gewertet werden, es ist eher das Korrigieren langjähriger struktureller Defizite. Informationssicherheit ist heute längst Teil der Führungsaufgaben für alle im kommunalen Umfeld. Steht die IT in Folge eines Cyberangriffs still, ist auch das Fortführen der kommunalen Aufgaben schwerlich möglich.
Wo anfangen, damit nichts passiert?
Für eine kleine Kommune stellt sich oftmals die Frage: Wo fangen wir mit der Informationssicherheit an, was ist wichtig und gibt es vielleicht sogar Best Practices, die übernommen werden können?
Es gibt zwei wesentliche Aufgaben im Bereich der Informationssicherheit, die Kommunen vor Ort wahrnehmen müssen – entweder selbst oder durch Unterstützung durch vertrauenswürdige externe Dienstleister, die oftmals einen Großteil möglicher Angriffe eindämmen können.
Zum einen geht es um Prozesse, damit Software vor Ort durch regelmäßige Updates aktuell gehalten wird. Wichtig wird das oft bei besonders exponierten Softwarebestandteilen wie VPN- oder Groupware-Lösungen (zum Beispiel Exchange).
Digitale Lösungen im kommunalen Verbund denken
Zum anderen braucht es vor Ort den entsprechend zeitgemäßen Umgang mit Anmeldeverfahren. Absicherungen von Anmeldungen an Systemen über einen zweiten Faktor, bestenfalls über sichere Hardware unterstützt, sollten hier inzwischen eine Selbstverständlichkeit sein.
Informationssicherheit geht aber weit über diese Punkte hinaus und kann kleine Kommunen in ihrer Tiefe und Komplexität auch schon mal überfordern.
Das Gute an digitalen Lösungen und den dahinterliegenden Prozessen ist jedoch, dass sie sich auch im kommunalen Verbund gemeinsam denken lassen. Akteure sollten keine Scheu haben, sich mit anderen Kommunen zusammenzutun, um sehr ähnliche Probleme der Cybersicherheit gemeinsam anzugehen und die daraus resultierenden Lösungen jeweils lokal zu nutzen.
Wie kleine Kommunen stark werden
Beispiele für das gelungene Gemeinsam-Denken von Informationssicherheit dafür sind Angebote wie „Digi-SOS“ in Nordrhein-Westfalen oder das hessische „CyberCompetenceCenter“, das an einem zentralen Punkt Angebote für Kommunen oder Landesbehörden anbietet. Denn auch im Bereich der Abwehr von Cyberangriffen gilt: Nur gemeinsam sind wir stark und widerstandsfähig!
Bianca Kastl
Die Autorin
Bianca Kastl ist IT-Sicherheitsexpertin und ethische Hackerin aus dem Umfeld des „Chaos Computer Club“.
Hilfe im Notfall
Was tun, wenn ein Cyberangriff erfolgreich war? Zwei Beispiele:
- Nordrhein-Westfalen hat „Digi-SOS“: Das Hilfspaket soll die Informationssicherheit der Kommunen und Landesbehörden stärken.
- Hessen operiert mit dem „CyberCompetence Center“: Das Zentrum für Informationssicherheit steht der hessischen Landesverwaltung, hessischen Kommunen sowie hessischen Unternehmen beratend zur Seite – in Notfällen telefonisch auch rund um die Uhr.
Cyberabwehr für Kommunen: Warum IT-Sicherheit jetzt Chefsache sein muss
Aktionsprogramm Kommunale Cybersicherheit: Hessen stärkt seine Kommunen gegen Cyberangriffe
