Wie gut sind Deutschlands Kommunen auf Cyber-Angriffe vorbereitet und vor ihnen geschützt? Dies wurde auf dem 11. Kommunalen IT-Sicherheitskongress (KITS) in Berlin im Detail diskutiert, die entsprechenden Ergebnisse aus Bund, Ländern und Kommunen präsentiert. Exemplarische Cyber-Sicherheitsmaßnahmen kamen aus dem „Ländle“.
Die kommunalen Spitzenverbände hatten zu dem Kongress eingeladen: der Deutsche Städtetag, der Deutsche Landkreistag, der Deutsche Städte- und Gemeindebund (DStGB) sowie der IT-Planungsrat. Vertreterinnen und Vertreter dieser Verbände, des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie Sicherheitsbeuftragte der Länder und Städte gaben Einblicke in unterschiedliche IT-Sicherheitslagen und Best Practises.
Vier Schritte für mehr Cyber-Sicherheit
Die Frage sei nicht ob, sondern wann ein Cyber-Angriff erfolge, wies Dominik Schuler, Referent bei der Cybersicherheitsagentur Baden-Württemberg (CSBW), zunächst auf das grundlegende Verständnis von IT-Sicherheit in der heutigen Zeit hin. Die Unterstützung der Kommunen in „The Länd“ – so die Bezeichnung für das digitale Baden-Württemberg – erfolge in vier aufeinander aufbauenden Schritten. Im ersten Schritt gebe es eine IT-Chekliste, die bspw. Tipps zum Passwortmanagement beinhalte. Die Erstellung eines sicheren Passworts sei für viele Mitarbeitende in den Kommunen tatsächlich „der erste Schritt“, so Schuler. Auch Schulungsangebote fielen darunter. Als Zweites werde eine eingehende IT-Sicherheitsanalyse durchgeführt. Lägen deren Ergebnisse vor, werde der IT-Grundschutz für die jeweilige Kommune angestrebt: die „Basis-Absicherung Kommunalverwaltung“. Der letzte und vierte Schritt sei dann die Zertifizierung nach BSI-IT-Grundschutz.
Krise der Kommunikation
Um die theoretische Absicherung in der Praxis zu testen, gibt es in Baden-Württemberg das Pilotprojekt IT-Notfallübung. Seit Herbst 2024 werden in fünf Pilotkommunen realitätsnahe IT-Angriffssszenarien getestet. Dabei werde aus einer reinen IT-Krise auch eine Kommunikationskrise, so Schuler – denn die Kommunikation zwischen den Bürgerinnen und Bürgern und der Verwaltung würde mitunter komplett zusammenbrechen. Ein Bewusstsein dafür zu schaffen, dass eine Cyber-Attacke auf eine Kommune immer „multiple Krisen“ auslöse, sei neben den technischen Erkenntnissen aus den Notfallübungen wesentlich.
