Informationssicherheit in Kommunen
Wie Kommunen ihre digitale Resilienz stärken
„Cyberattacke trifft Gemeindeverwaltung Untereisenheim“ meldete der SWR im Oktober vergangenen Jahres. Nach einem schweren Hackerangriff auf die gesamte IT-Infrastruktur waren die öffentlichen Dienste lahmgelegt. Einzig die Telefonanlage funktionierte noch. Das Problem: Ein Computervirus sorgte dafür, dass die Inhalte des Gemeinde-Servers der Verwaltung in Untereisenheim (Kreis Heilbronn) verschlüsselt worden waren. Daten wurden gestohlen und im Darknet veröffentlicht – darunter auch einzelne Daten von Bürgerinnen und Bürgern.
Angriffe wie diese sind längst kein Einzelfall mehr, IT-Sicherheitsvorfälle auf Kommunalverwaltungen nehmen zu. Das Bundesamt für Sicherheit in der Informationstechnik (BIS) beschrieb die Lage der IT-Sicherheit in Deutschland im Jahr 2025 „weiterhin auf angespanntem Niveau“. In Zahlen: Waren es 2022 noch weniger als 20 bekannte, gemeldete IT-Sicherheitsvorfälle in Kommunalverwaltungen, steigerten sich die Angriff 2024 auf 200 (Quelle: Fraunhofer-Institut für Experimentelles Software Engineering IESE/ Kommunaler Notbetrieb).
Warum IT-Sicherheit Chefsache ist
Ob Bürgermeisterin, Landrat, Dezernats- oder Amtsleitung: Führungskräfte in Kommunen tragen die Verantwortung für sichere und verlässliche Abläufe in ihrem Zuständigkeitsbereich. Dazu gehört auch, die Voraussetzungen für einen sicheren IT-Betrieb zu schaffen und die Verwaltung auf mögliche Cyberangriffe vorzubereiten.
Informationssicherheit ist dabei keine technische Nebenaufgabe, sondern eine strategische Führungsaufgabe. Sie braucht klare Prioritäten, verbindliche Entscheidungen und muss aktiv durch die Verwaltungsspitze unterstützt werden. Führungskräfte müssen deutlich machen, dass IT-Sicherheit ein Grundpfeiler moderner Verwaltung ist. Dazu gehört auch, Mitarbeitende für Risiken zu sensibilisieren und notwendige Schutzmaßnahmen konsequent voranzutreiben.
Hier setzt das Forschungsvorhaben des Bundesinstituts für Bau-, Stadt- und Raumforschung (BBSR) „Informationssicherheit in Kommunen“ an. Zusammen mit dem Fraunhofer IESE entwickelte das Institut Maßnahmen gegen digitale Angriffe, um Führungskräfte in kleineren und mittleren Kommunen für Cybersicherheit zu sensibilisieren. Ziel ist es, das Bewusstsein für die aktuelle Bedrohungslage zu schärfen und mit konkreten Empfehlungen den Schutz vor Cyberangriffen zu verbessern.
Checkliste für Führungskräfte
IT-Sicherheit braucht eine klare Strategie: vorbeugen, schnell handeln, kontinuierlich besser werden. Um gut aufgestellt zu sein, empfiehlt das BBSR Führungskräften in Kommunen u. a. folgende Fragen im Blick zu behalten:
- Ist ein Informationssicherheitsbeauftragter (ISB) benannt und mit den notwendigen Mitteln und Befugnissen ausgestattet?
- Gibt es eine aktuelle und umfassende Bestandsaufnahme der IT-Systeme und -Prozesse?
- Verfügt die Kommune über ein effektives Risikomanagement?
- Gibt es klare Regelungen für die Meldung von Sicherheitsvorfällen?
- Liegt ein Notfallplan für den Fall eines Cyberangriffs vor?
- Ist das notwendige Budget für IT-Sicherheit eingeplant?
Notfallplan im Krisenfall
Kommt es – trotz guter Vorbereitung – zu einem Sicherheitsvorfall, gilt es die Handlungsfähigkeit zu erhalten. Bei einem Angriff auf ein Einwohnermeldeamt bedeutet das beispielsweise: Der Betrieb soll möglichst schnell wieder aufgenommen werden, wenn auch in reduziertem Umfang. Das Ziel: vorläufige Dokumente sollen weiterhin ausgestellt werden und dringende Meldevorgänge gewährleistet sein.
Um handlungsfähig zu bleiben, braucht es einen klaren Notfallplan. Regelmäßige Backups auf gesicherten Servern ermöglichen eine schnelle Wiederherstellung der Daten. Notfallarbeitsplätze und analoge Übergangslösungen sichern wichtige Verwaltungsleistungen auch ohne funktionierende IT. Gleichzeitig muss ein Krisenteam die Wiederherstellung koordinieren und Bürgerinnen und Bürger schnell über alternative Kontaktwege informieren.
Maßnahmen für schnelles Handeln
- Datenverfügbarkeit: Regelmäßige Datensicherungen auf getrennten, geschützten Servern ermöglichen eine schnelle Wiederherstellung der Systeme.
- Notfallarbeitsplätze: Mobile oder unabhängige Systeme mit Offline-Funktionen sichern wichtige Verwaltungsabläufe auch bei einem IT-Ausfall.
- Krisenmanagement: Ein Notfallteam koordiniert die Wiederherstellung der Systeme und steuert die interne wie externe Kommunikation.
- Alternative Prozesse: Festgelegte analoge Abläufe, etwa die vorübergehende Bearbeitung in Papierform, sichern den Betrieb im Notfall.
- Kommunikation: Bürgerinnen und Bürger werden über alternative Kontaktwege informiert, damit dringende Anliegen trotz IT-Ausfall bearbeitet werden können.
IT-Sicherheit ist eine zentrale Aufgabe der Kommunen. Führungskräfte müssen angesichts wachsender Cyberbedrohungen proaktiv handeln, um Vertrauen in die digitale Verwaltung zu sichern und die Handlungsfähigkeit im Krisenfall zu erhalten. Dazu gehört Sicherheitsmaßnahmen kontinuierlich anzupassen, ein wirksames Risikomanagement aufzubauen und belastbare Notfallpläne bereitzustellen.
