Kommunen rücken zunehmend ins Blickfeld von Cyberkriminellen. Angriffe mit Ransomware, Phishing-Kampagnen oder Attacken auf Bürgerportale führen dazu, dass zentrale Dienstleistungen wie Melderegister, Bauämter oder Standesämter tage- oder sogar wochenlang ausfallen. Die Ursachen für die Anfälligkeit liegen in mehreren Faktoren: knappe Haushaltsmittel, veraltete IT-Infrastrukturen und ein Mangel an qualifiziertem Fachpersonal. Gleichzeitig steigt der Anspruch der Bevölkerung, dass digitale Verwaltungsangebote zuverlässig funktionieren.
Die rechtlichen Vorgaben für kommunale Cybersicherheit ergeben sich aus einer Vielzahl von Normen. Maßgeblich sind vor allem die DSGVO, das BSI-Gesetz und die NIS-2-Richtlinie. Während die DSGVO den Datenschutz in den Vordergrund stellt, verpflichtet das BSI-Gesetz Betreiber kritischer Infrastrukturen zu höheren Sicherheitsstandards. Mit NIS-2 werden auch viele kommunale Einrichtungen unmittelbar adressiert, da sie als „wesentliche Einrichtungen“ gelten.
In der Praxis führen die parallelen Vorschriften zu Problemen. Datenschutzverletzungen nach Art. 33 DSGVO und Sicherheitsvorfälle im Sinne der NIS-2 müssen jeweils separat gemeldet werden. Kommunen benötigen daher Verfahren, die beide Pflichten effizient zusammenführen.
Hinzu kommt der Einfluss föderaler Strukturen. Während manche Bundesländer bereits zentrale Cybersicherheitsbehörden eingerichtet haben, sind andere weniger gut aufgestellt. Einige Kommunen arbeiten eng mit Landesrechenzentren zusammen, andere organisieren ihre IT weitgehend eigenständig. Dies führt zu einem Flickenteppich an Zuständigkeiten und unterschiedlichen Sicherheitsniveaus – eine Situation, die gezielte Angriffe auf schwächere Gemeinden erleichtert.
Die typischen Angriffsarten sind vielfältig. Am häufigsten treten Ransomware-Angriffe auf, bei denen Daten verschlüsselt und Lösegeld gefordert wird. Phishing-Mails verleiten Mitarbeiter zum Preisgeben sensibler Zugangsdaten. DDoS-Angriffe blockieren Portale und Webseiten, während Manipulationen an IoT-Geräten Gebäude- oder Verkehrssysteme betreffen. Erfolgreich sind diese Attacken vor allem deshalb, weil grundlegende Schutzmaßnahmen fehlen: veraltete Software, unzureichendes Patch-Management, schwache Passwörter oder fehlende Netztrennung.
NIS-2 verpflichtet Kommunen nun dazu, systematische Risikomanagementsysteme einzuführen. Dazu gehören regelmäßige Risikoanalysen, Schutzmaßnahmen nach dem Stand der Technik, klare Verantwortlichkeiten auf Leitungsebene, verpflichtende Schulungen für alle Beschäftigten und die Einrichtung von Incident-Response-Plänen. Neu ist auch die ausdrückliche persönliche Verantwortung der Verwaltungsleitung. Bürgermeister oder Amtsleiter können künftig direkt haftbar gemacht werden, wenn sie ihrer Pflicht zur Cybersicherheit nicht nachkommen.
Die Praxis zeigt, dass viele Kommunen mit der Umsetzung der Vorgaben kämpfen. Fehlende Mittel, zu wenig qualifiziertes Personal und organisatorische Schwächen machen die Umsetzung schwierig. Kleine Gemeinden sind oft auf externe Dienstleister angewiesen, deren Sicherheitsstandards schwer zu kontrollieren sind – ein zusätzlicher Risikofaktor in der Lieferkette.
Hier sind Bund und Länder gefordert, stärker zu unterstützen – sei es durch Förderprogramme, zentrale Sicherheitsdienste oder standardisierte Lösungen. Ebenso wichtig ist die Zusammenarbeit mit den Computer Emergency Response Teams (CERTs) der Länder. Nur durch eine enge Einbindung können Kommunen Angriffe frühzeitig erkennen, analysieren und wirksam abwehren.
Auch die Kooperation zwischen den Kommunen selbst muss ausgebaut werden, etwa durch gemeinsame Plattformen, Schulungsinitiativen oder regelmäßige Erfahrungsaustausche. Im Krisenfall spielt außerdem die Kommunikation eine entscheidende Rolle: Bürger erwarten klare Informationen, dürfen aber nicht durch übermäßige Offenlegung verunsichert werden. Transparenz muss mit einem sensiblen Umgang der Informationen kombiniert werden, um Vertrauen zu erhalten, ohne Angreifern zusätzliche Hinweise zu geben.