In den vergangenen Jahren ist die Zahl der Cyberangriffe auf Städte und Gemeinden stark gestiegen. Die IT-Sicherheit in kommunalen Verwaltungen gilt mittlerweile als kritisch: Betroffen sind nicht nur Großstädte, sondern auch kleine Gemeinden, in denen Angriffe teilweise über Wochen zentrale Verwaltungsprozesse lahmlegen. Dennoch existieren weder einheitliche Mindeststandards noch eine klare gesetzliche Zuordnung der Verantwortlichkeiten. Der Beitrag untersucht die bestehenden Schwächen und entwickelt Vorschläge für eine Reform.
Die rechtliche Grundlage für die IT-Sicherheit in Kommunalverwaltungen ist derzeit uneinheitlich. Auf europäischer Ebene verpflichtet die Datenschutz-Grundverordnung (DSGVO) zwar zum Schutz personenbezogener Daten, sie greift jedoch nur punktuell und entfaltet für die allgemeine IT-Sicherheit nur begrenzte Wirkung.
Auf Bundesebene regelt das BSI-Gesetz in seiner aktuellen Fassung (IT-Sicherheitsgesetz 2.0) den Schutz Kritischer Infrastrukturen. Kommunen fallen allerdings nur dann darunter, wenn sie in besonders sensiblen Bereichen wie der Energie- oder Wasserversorgung tätig sind. Für die überwiegende Zahl der Kommunen entfalten diese Vorgaben keine Wirkung.
Hinzu kommt, dass die Umsetzung der NIS-2-Richtlinie in Deutschland ausdrücklich ohne kommunale Verwaltungen erfolgen soll. Damit bleiben Städte und Gemeinden von europäischen Mindeststandards zu Risikomanagement, Meldepflichten und Sicherheitsüberprüfungen ausgeschlossen.
Durch die föderale Struktur liegt es an den Ländern, eigene Vorgaben für die IT-Sicherheit in Kommunen zu erlassen. In der Praxis führt dies zu erheblichen Unterschieden. Einige Länder wie Baden-Württemberg oder Hessen haben spezielle Gesetze verabschiedet, die auch Kommunen erfassen. So sieht etwa das Hessische Gesetz zum Schutz der elektronischen Verwaltung (HITSiG) eine zentrale Stelle zur landesweiten Koordination von Abwehrmaßnahmen vor. In Bayern verankert das Bayerische Digitalgesetz IT-Sicherheit als Teil einer umfassenden Digitalisierungsstrategie.
Andere Länder – darunter Brandenburg, Bremen, Thüringen oder Sachsen-Anhalt – verfügen bislang über keine eigenständigen Regelungen. Dort sind Kommunen auf allgemeine Verwaltungsvorgaben oder freiwillige Maßnahmen angewiesen. Das Ergebnis ist ein uneinheitliches Sicherheitsniveau: Manche Kommunen haben klare Pflichten, andere stehen weitgehend ohne verbindliche Vorgaben da.
Da bundeseinheitliche Mindestvorgaben fehlen, existieren lediglich freiwillige Empfehlungen, etwa durch den IT-Planungsrat oder die Allianz für Cybersicherheit. Diese haben jedoch nur begrenzte Reichweite. Viele Kommunen verfügen weder über aktuelle Sicherheitskonzepte noch über Notfallpläne. Studien zufolge sind nur etwa 35 % der Kommunen auf einen Cybervorfall vorbereitet; häufig mangelt es an qualifiziertem Personal oder an systematischen Vorgehensweisen.
Besonders kleinere Gemeinden sind überfordert: fehlende Ressourcen, unklare Zuständigkeiten und begrenzte Expertise verstärken sich gegenseitig. Dadurch bleiben Sicherheitslücken bestehen und verstetigen sich.
Die beschriebenen Lücken haben konkrete Auswirkungen: Cyberangriffe führen immer wieder zu massiven Beeinträchtigungen, da viele Kommunen keine systematischen Schutzmechanismen etabliert haben. Schulungen für Beschäftigte sind selten, ein Mindeststandard an Technik ist oft nicht vorhanden.
Die föderale Uneinheitlichkeit verhindert zudem eine flächendeckende Absicherung. Während einige Kommunen durch Landesgesetze verpflichtet sind, umfassende Maßnahmen umzusetzen, fehlen in anderen Regionen verbindliche Vorgaben. Das Resultat ist ein schwer steuerbares, stark schwankendes Schutzniveau.
Die Analyse macht deutlich: Es besteht dringender Reformbedarf. Um die Cybersicherheit in Kommunen dauerhaft zu stärken, lassen sich mehrere Ansätze skizzieren:
1. Bundesweite Mindeststandards: IT-Sicherheitsanforderungen sollten auch für Kommunen verbindlich festgelegt werden, etwa durch eine Ergänzung des BSI-Gesetzes um spezielle Vorgaben für kommunale Verwaltungen.
2. Eigenständiges Kommunal-IT-Sicherheitsgesetz: Eine weitere Option wäre ein neues Gesetz, das bundesweit einheitliche Regeln schafft und zentrale Mindestanforderungen festschreibt.
3. Koordination und Unterstützung: Neben rechtlichen Pflichten benötigen Kommunen praktische Hilfe. Landesweite Koordinierungsstellen könnten Best Practices bereitstellen, Notfallpläne organisieren und kleinere Gemeinden organisatorisch wie finanziell unterstützen.
4. Einbindung in die Digitalstrategie: IT-Sicherheit sollte systematisch Teil der bundesweiten Digitalisierungsstrategie sein, um Synergieeffekte zu nutzen und Verwaltungen besser abzusichern.