Digitale Souveränität beginnt in unseren Kommunen – Warum IT-Sicherheit kein Luxus sein darf
Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberangriffe auf Verwaltungen, staatliche Institutionen und kritische Infrastrukturen sind längst keine Ausnahme mehr, sondern tägliche Realität. Doch während Europa über eine bessere Abwehr nachdenkt, bleibt eine zentrale Schwachstelle bestehen: die öffentliche Verwaltung und insbesondere unsere Kommunen.
Wir können uns diesen blinden Fleck nicht mehr leisten
Immer wieder werden Städte, Gemeinden und Landkreise zum Ziel von Cyberkriminellen – mit teils dramatischen Folgen:
- Der Landkreis Anhalt-Bitterfeld rief 2021 den Katastrophenfall aus, weil Ransomware die gesamte Verwaltung lahmlegte. Sozialleistungen konnten wochenlang nicht ausgezahlt werden.
- Ende 2023 wurde die Stadt Witten angegriffen, was zu massiven IT-Ausfällen führte – ein Fall, der sich immer wieder in deutschen Kommunen wiederholt.
- Ein internationaler Cyberangriff auf Kommunen in den USA im Februar 2024 zeigt, dass Cyberkriminelle längst global agieren und gezielt Verwaltungen ins Visier nehmen.
Das Muster ist immer das gleiche: Zu alte IT-Systeme, fehlendes Risikomanagement und eine mangelhafte Umsetzung grundlegender IT-Sicherheitsmaßnahmen. Trotzdem sollen Kommunen nach dem aktuellen NIS2-Gesetzentwurf von verbindlichen Sicherheitsvorgaben ausgenommen werden – ein fahrlässiger Fehler.
IT-Sicherheit muss nicht teuer sein – es geht um grundlegende Maßnahmen
Ein oft genanntes Argument gegen höhere IT-Sicherheitsanforderungen für Kommunen sind die Kosten. Doch das ist ein Trugschluss! IT-Sicherheit bedeutet nicht, dass Kommunen Millionenbeträge für neue Infrastrukturen ausgeben müssen. Vieles lässt sich mit einfachen, sofort umsetzbaren Maßnahmen erreichen:
✔ Multi-Faktor-Authentifizierung (MFA): Die Einführung von MFA kostet kaum etwas, verhindert aber einen Großteil erfolgreicher Phishing- und Kontoübernahmen.
✔ Netzsegmentierung: Systeme müssen voneinander getrennt sein, damit ein Angriff nicht sofort alle Dienste lahmlegt. Eine gezielte Trennung kritischer Anwendungen ist mit vertretbarem Aufwand möglich.
✔ Alte Anwendungen isolieren: Wenn Legacy-Systeme nicht abgeschaltet werden können, müssen sie zumindest abgeschottet und ihre Verbindungen auf das absolut Notwendige beschränkt werden.
✔ Regelmäßige Schwachstellenscans und Patchmanagement: Sicherheitslücken müssen aktiv gesucht und geschlossen werden. Viele erfolgreiche Angriffe nutzen längst bekannte Schwachstellen – das ist vermeidbar!
Diese Maßnahmen sind keine High-End-Cybersecurity, sondern IT-Sicherheitsgrundlagen. Wer sie nicht umsetzt, gefährdet den Betrieb der gesamten Verwaltung – und damit die Sicherheit der Bürgerinnen und Bürger.
IT-Sicherheit gehört in den Infrastrukturfonds der Bundesregierung
Mit der Neuwahl und der laufenden Regierungsbildung gibt es jetzt die Chance, die Fehler des bisherigen NIS2-Gesetzentwurfs zu korrigieren. Kommunen müssen in die Verpflichtung genommen werden, IT-Sicherheit ernst zu nehmen – und dafür brauchen sie auch die nötige finanzielle Unterstützung.
Deshalb darf IT-Sicherheit nicht allein den Haushaltszwängen der Kommunen überlassen bleiben. Die aktuellen Verhandlungen zwischen CDU und SPD über einen neuen Infrastrukturfonds bieten die perfekte Gelegenheit, IT-Sicherheit als Teil der kommunalen Daseinsvorsorge mit aufzunehmen.
Mein Appell an die Bundesregierung und den IT-Planungsrat
1️⃣ Kommunen müssen in NIS2 einbezogen werden. Es kann nicht sein, dass ausgerechnet der Staat selbst eine der größten Schwachstellen im Cyberraum bleibt.
2️⃣ Verbindliche IT-Sicherheitsstandards für Kommunen sind notwendig. Es reicht nicht, Unternehmen zu verpflichten, während Verwaltungen ungeschützt bleiben.
3️⃣ Der Infrastrukturfonds muss IT-Sicherheit enthalten. Digitalisierung ohne Cybersecurity ist ein brandgefährlicher Irrweg.
Digitale Souveränität beginnt nicht in Brüssel oder Berlin – sie beginnt in unseren Städten und Gemeinden. Wenn wir das nicht verstehen, werden wir in der Cyberabwehr niemals auf Augenhöhe mit unseren Gegnern sein.
Wie seht ihr das? Haben eure Städte und Kommunen bereits eine gute IT-Sicherheitsstrategie? Oder gibt es hier noch großen Nachholbedarf?
Mehr Informationen gibt es auf unserem LinkedIn
dieser Artikel wurde mit KI-Unterstützung generiert