Dennis-Kenji Kipker: Cybersicherheit ist kommunale Daseinsvorsorge
Ransomware-Angriffe auf kommunale IT-Dienstleister, wochenlange Ausfälle bürgernaher Verwaltungsleistungen, mangelnde Ressourcen und unklare Zuständigkeiten: Die Cybersicherheitslage in deutschen Kommunen ist alarmierend. Wie groß die strukturellen Defizite tatsächlich sind, welche rechtlichen und organisatorischen Risiken bestehen – und was Kommunen jetzt konkret tun können –, darüber hat der DEKOM mit Prof. Dr. Dennis-Kenji Kipker gesprochen. Der renommierte IT-Rechtsexperte und wissenschaftliche Direktor des cyberintelligence.institute zeigt im Gespräch auf, warum kommunale Cybersicherheit weit mehr ist als ein IT-Thema – und was sich in Deutschland dringend ändern muss. Anlass des Gesprächs ist ein aktuelles Whitepaper zur kommunalen Cybersicherheit, das Kipker gemeinsam mit Rechtsanwalt Dr. Tilmann Dittrich verfasst hat.
DEKOM: Herr Professor Kipker, Ihr Whitepaper beleuchtet die Herausforderungen der kommunalen Cybersicherheit. Welche Defizite bestehen aktuell?
Dennis-Kenji Kipker: Die Cyberkriminalität wird im Bereich der Städte und Kommunen zurzeit nur als punktuelles und nicht als flächendeckendes Problem wahrgenommen: Der Bund ist nicht zuständig, die Länder wälzen die Probleme auf die Kommunen im Rahmen ihrer Selbstverwaltungsautonomie ab, und den Kommunen selbst wiederum fehlen die personellen und wirtschaftlichen Ressourcen mit der Folge, dass die Themen am Ende liegen bleiben. Oder aber es wird auf externe IT-Dienstleister wie eine Südwestfalen-IT (SIT) ausgelagert, ohne sich der dadurch entstehenden Risiken in der digitalen Lieferkette bewusst zu sein. Für letztgenannten Dienstleister ist beispielsweise bekannt geworden, dass die verheerenden Auswirkungen des Cyberangriffs nur dadurch entstehen konnten, dass einerseits bei SIT keine grundlegende Cybersicherheit praktiziert wurde, andererseits zahllose Kommunen gleichzeitig an SIT angeschlossen waren und dadurch lahmgelegt wurden.
Wer trägt letztlich die Verantwortung für die IT-Sicherheit in einer Kommune?
Dennis-Kenji Kipker: Die Kommune selbst trägt die Verantwortung – und das meint nicht nur den Bürgermeister und die angeschlossene Verwaltung, sondern auch den jeweiligen Stadt- und Gemeinderat. Und das ist eine logische Konsequenz, denn Cybersicherheit ist definitiv eine Aufgabe der kommunalen Daseinsvorsorge, und das auch jenseits des Betriebs der örtlichen Versorgungsinfrastruktur wie Wasser- und Energieversorger oder Abfallbewirtschaftung. Es wurde in den letzten Jahren massiv digitalisiert und vernetzt. Dabei hat man zwar viel auf die Funktionalität und die Kosten geachtet, aber nur kaum oder wenig auf die Nachhaltigkeit auch im Sinne der Sicherheit. Und Bürgerinnen und Bürger möchten Verwaltungsleistungen digital beantragen können, die Städte und Kommunen sollen in ihrer Infrastruktur smart gesteuert werden, Termine im Rathaus digital vergeben und die Kommunikation soll ja sowieso digital ablaufen. Aber es ist wie in der freien Wirtschaft auch: Cybersicherheit kostet Geld, ohne dass man erst einmal etwas dafür sieht. Und da wird dann lieber erst einmal gespart, bis es dann zum Cybervorfall kommt. Und am Ende müssen dafür die politischen Entscheidungsträger geradestehen, dass sie nicht richtig priorisiert und in Cybersecurity Prävention investiert haben.
DEKOM: Welche Haftungsrisiken ergeben sich für die Verantwortlichen?
Dennis-Kenji Kipker: Die Haftungsrisiken sind real. Neben öffentlich-rechtlichen Risiken wie Amtshaftungsansprüchen sind vielfach auch zivile Schadensersatzansprüche denkbar. Was tue ich als Bürger, wenn ich mein neues Auto nicht mehr anmelden kann? Keinen neuen Personalausweis oder Reisepass beantragen kann? Beglaubigungen von Arbeitszeugnissen nicht möglich sind oder gar Sozialleistungen nicht mehr ausgezahlt werden können? Hinter dem Nichtfunktionieren kommunaler Dienste stehen sofort wirtschaftliche Schadenspotenziale, weil sich zahllose Akteure jeden Tag wieder und berechtigterweise auf ihre Funktionsfähigkeit verlassen. Die Abhängigkeit von kommunaler Infrastruktur spüren wir erst dann, wenn sie nicht mehr da ist. Und das ist auch das Gefährliche an Grundversorgungsdienstleistungen: Wir alle nehmen sie als gegeben hin, und wenn sie nicht mehr funktionieren, werden wir uns erst der Abhängigkeit und damit auch Vulnerabilität bewusst.
DEKOM: Die NIS2-Richtlinie soll in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz eingeführt werden. Welche Auswirkungen hat das auf Kommunen?
Dennis-Kenji Kipker: NIS2 hat zwar Auswirkungen auf die Kommunen, die aber nicht flächendeckend sein werden. Soweit Kommunen Betreiber kritischer Infrastruktur sind, sind sie schon nach geltendem Recht angehalten, Cybersicherheit nach dem Stand der Technik zu realisieren. Durch die Absenkung der Betreiber-Schwellenwerte nach NIS2 werden künftig auch einige weitere kommunale Eigenbetriebe im Bereich der Versorgungsleistungen verpflichtet sein, Cybersecurity Risikomanagement umzusetzen. Das Problem jedoch ist, dass der deutsche Gesetzgeber umfassende Ausnahmeregelungen vorsehen will, damit Kommunen vom NIS2-Anwendungsbereich nicht erfasst werden. Der IT-Planungsrat hat bereits die entsprechenden Beschlüsse gefasst, weil es an wirtschaftlichen und personellen Ressourcen vor Ort fehlt. Cybersicherheit jedoch ist keine Frage allein der Zumutbarkeit oder Wirtschaftlichkeit, und das stellt auch NIS2 fest. Es muss vielmehr ein Cybersicherheitsniveau vorgehalten werden, das den bestehenden Risiken angemessen ist. Und diese Risiken haben in den vergangenen Jahren deutlich zugenommen. Andere Staaten in der EU machen dies besser, so z.B. Kroatien oder Griechenland, wo die lokalen Verwaltungseinheiten risikoentsprechend durch die nationale Umsetzung von NIS2 adressiert werden.
DEKOM: Wie können Kommunen am sichersten vorgehen, um sich vor Cyberangriffen zu schützen?
Dennis-Kenji Kipker: Die Antwort auf diese Frage ist von der Art der Cyberbedrohungen abhängig, der Städte und Kommunen tagtäglich ausgesetzt sind. In erster Linie reden wir hier von Cyberangriffen auf die kritische kommunale Infrastruktur, auf Bürgerdienste und digitale Außenauftritte. Die Zielsetzung kann ganz unterschiedlich sein: Mit dem Lahmlegen kritischer Versorgungsdienstleistungen wird auf das Wohl und die unmittelbare Versorgung der Bevölkerung abgezielt. Wenn Websites lahmgelegt werden, zielt man vor allem auf die gezielte Verunsicherung der Menschen ab, vor allem kommen solche speziellen Angriffe aus Russland. Das Vorgehen ist hier ganz unterschiedlich, aber gerade kleinere Kommunen haben keine IT-Notfallpläne oder Handlungsmaßnahmen parat, manche haben einen Kontakt zu einem externen IT-Dienstleister, die aller wenigsten einen eigenen IT-Sicherheitsbeauftragten oder gar ein Cyberkrisen-Reaktionsteam. In manchen Bundesländern wie zum Beispiel in Hessen gibt es spezielle Cybersicherheitsteams, die in Krisenfällen als eine Art Cyberfeuerwehr in betroffene Städte und Gemeinden ausrücken können. Was deshalb ganz zentral ist: Es geht nicht nur um das Geld, sondern mindestens genauso um das Bereithalten entsprechender Fachkräfte vor Ort. Wichtig ist deshalb, dass viel in die Ausbildung der Mitarbeiterinnen und Mitarbeiter investiert wird, Quereinstiege, Umschulungen und Weiterbildungen für kommunale Mitarbeiter in der IT ermöglicht werden. Es müssen wirtschaftliche Cyberrücklagen in den jährlichen Haushalt eingeplant werden. Kommunen müssen einen Notfallplan bereithalten und Ansprechpartner definieren. Externe IT-Dienstleister können zur Verbesserung der eigenen Cybersicherheit hinzugezogen werden, dürfen aber nicht die einzige Maßnahme sein. Versicherbare Risiken sollten abgedeckt werden. Zurzeit werden solche Konzepte aber noch nicht flächendeckend gelebt, und das führt dazu, dass Schwachstellen in der kommunalen Cybersicherheit ausgenutzt werden.
DEKOM: Abschließend: Was muss sich in Deutschland strukturell ändern, um die kommunale Cybersicherheit nachhaltig zu stärken?
Dennis-Kenji Kipker: Politikerinnen und Politiker vor Ort müssen sich endlich der Tatsache bewusstwerden, dass wir nicht mehr im 20. Jahrhundert leben. Nahezu alles basiert auf Vernetzung. Im letzten Jahrzehnt wurde massiv digitalisiert und vernetzt, und jetzt müssen wir all diese Funktionen resilient gestalten. Vieles ist hier einfach liegengeblieben. Und ich empfehle auch allen Bürgerinnen und Bürgern, die Geschicke der Kommunen aktiv politisch mitzusteuern. Cybersicherheit ist definitiv auch ein politisches Thema. Also mit den lokalen Abgeordneten sprechen, Anfragen in den Kommunalparlamenten stellen, Missstände vor Augen führen und darauf hinwirken, dass mehr Budgets und Maßnahmen bereitgestellt werden. Und last but not least müssen sich endlich die Bundesländer ihrer strukturellen Verantwortung gerecht werden: Bislang war es nur allzu bequem, alles auf die kommunale Selbstverwaltungsautonomie zu schieben, aber das geht nicht, wenn die Kommunen die Verantwortung dafür tragen, die Grundversorgung vor Ort sicherzustellen. Cybersicherheit kostet Geld, und das muss nun auch endlich einmal in der Politik ausgesprochen werden – und nicht jede Kommune oder Stadt hat die gleichen Ressourcen für Cybersicherheit, das interessiert Cyberkriminelle jedoch nicht. Ohne wirtschaftliche Investition werden wir immer vulnerabel bleiben. (DEKOM, 07.04.2025/CII, 12.03.2025) Ganze PM hier…
