Die Compliance-Falle: Warum Zertifikate allein keinen Hacker stoppen
Seit dem 1. Januar 2026 ist das NIS2-Umsetzungsgesetz in Deutschland endgültig in Kraft. Doch während Bundesbehörden und KRITIS-Sektoren unter Hochdruck agieren, zeigt sich auf kommunaler Ebene ein widersprüchliches Bild: Der IT-Planungsrat hat kommunale Verwaltungen nicht direkt in die NIS2-Pflicht genommen und damit eine Sicherheitslücke in Kauf genommen. Angriffe auf Städte wie Trier oder Südwestfalen IT belegen jedoch, dass Cyberkriminelle keine regulatorischen Unterschiede machen. Wir sprechen mit Dr. Andreas Rebetzky, IT-Manager und erfahrenen Ex-CIO, darüber, warum ein ISMS auf dem Papier oft keine operative Widerstandsfähigkeit garantiert und wie Kommunen trotz lückenhafter Gesetzgebung handlungsfähig bleiben.
Herr Dr. Rebetzky, viele Verwaltungen verweisen heute stolz auf ISO-Zertifikate oder den BSI-Grundschutz. Warum bricht die operative Handlungsfähigkeit im Ernstfall trotzdem oft zusammen, obwohl man „auf dem Papier“ formal gut aufgestellt ist?
Rebetzky: ISO-Zertifikate und der BSI-Grundschutz sind wichtige Instrumente – aber sie sind in erster Linie Management- und Dokumentationsrahmen. Sie beschreiben, was getan werden soll, nicht automatisch wie gut es im Alltag gelebt wird. In vielen Verwaltungen entsteht ein trügerisches Sicherheitsgefühl: Man hat Prozesse beschrieben, Richtlinien verabschiedet und Audits bestanden. Im Ernstfall zeigt sich jedoch, dass Entscheidungswege unklar sind, Zuständigkeiten fehlen oder technische Maßnahmen nicht aktuell sind. Operative Resilienz entsteht nicht durch Ordner, sondern durch geübte Abläufe, aktuelle Lagebilder und kontinuierliche Überprüfung der Wirksamkeit. Genau diese Brücke zwischen Papier und Praxis fehlt häufig. Es ist eine fatale Lage: Die IT-Organisationen – gerade der Kommunen – sind zu klein, ob eine wirkungsvolle Abwehr gegen die modernen Cyber-Angriffsvektoren aufzubauen. Organisationen, die heute keine KI-basierten Abwehrsysteme aufbauen, sind hoffnungslos unterlegen und werden bei den nächsten Angriffen erhebliche Schäden erleben – bis zum Totalausfall.
Wir dürfen uns heute die Hacker nicht mehr so vorstellen, dass sie manuell in unsere Systeme eindringen wollen. Vielmehr gibt es Angriffsarchitekten, die sich mit Hilfe von KI Angriffswaffen bauen und diese dann einsetzen. Dies wird in Zukunft noch wesentlich massiver.
Der IT-Planungsrat hat Kommunen von der direkten NIS2-Pflicht ausgenommen, unter anderem wegen fehlender Ressourcen. Erzeugt dieser Beschluss nicht ein fatales Signal der Entwarnung, während die Realität des „kommunalen Notbetriebs“ eine ganz andere Sprache spricht?
Rebetzky: Ja, dieses Signal ist problematisch. Die Ausnahme mag politisch gut gemeint sein, sie wird aber in der Praxis oft als Entwarnung missverstanden. Cyberangriffe richten sich nicht nach Zuständigkeiten oder Gesetzestexten, sondern nach Angriffsflächen. Der kommunale Notbetrieb – Meldewesen, Sozialleistungen, Schulen – ist hochattraktiv für Angreifer. Wenn Regulierung suggeriert, dass man „nicht betroffen“ sei, entsteht ein gefährlicher Zielkonflikt zwischen Tagesgeschäft und Vorsorge. Die Realität zeigt: Kommunen sind längst kritische Infrastruktur für das tägliche Leben. Abhilfe wäre möglich durch eine Zentralisierung und Professionalisierung der Cyber-Resilienz Maßnahmen.
In der Fachwelt wird kritisiert, dass ohne NIS2-Zwang ein „Flickenteppich“ entsteht, bei dem jede Kommune eigene Wege geht. Ist dieses Vorgehen im Ergebnis nicht deutlich teurer und riskanter für die Sicherheit der Bürgerdaten als eine einheitliche Regulierung?
Rebetzky: Absolut. Ein Flickenteppich bedeutet Mehrkosten, doppelte Arbeit und inkonsistente Sicherheitsniveaus. Jede Kommune entwickelt eigene Lösungen, vergibt eigene Verträge und definiert eigene Standards. Das ist ineffizient und erhöht systemische Risiken – insbesondere bei interkommunaler Zusammenarbeit oder gemeinsamen Rechenzentren. Eine einheitliche Mindestregulierung wäre langfristig günstiger und sicherer, weil sie Skaleneffekte schafft und klare Erwartungen formuliert. Sicherheit ist kein Wettbewerbsvorteil, sondern eine Gemeinschaftsaufgabe.
Ein Kernaspekt für die öffentliche Hand ist die „Digitale Souveränität“. Warum ist die Herkunft der Sicherheitstechnologie („Made in Germany“) gerade für Kommunen heute ein kritisches Kriterium, um versteckte Abhängigkeiten und Hintertüren zu vermeiden?
Rebetzky: Kommunen tragen Verantwortung für besonders schützenswerte Daten. Die Herkunft von Sicherheitstechnologie entscheidet darüber, welchem Rechtsraum, welchen Interessen und welchen Abhängigkeiten man sich aussetzt. Lösungen „Made in Germany“ oder zumindest aus der EU unterliegen klaren Datenschutz- und Compliance-Regeln. Sie reduzieren das Risiko von versteckten Abhängigkeiten, Zugriffsmöglichkeiten durch Drittstaaten oder intransparenten Update-Mechanismen. Digitale Souveränität bedeutet nicht Abschottung, sondern bewusste Kontrolle über kritische Kernfunktionen.
Sie betonen häufig, dass Informationssicherheit eine Führungsaufgabe ist. Wie kann ein Bürgermeister das Thema aus der IT-Nische in die aktive Verwaltungssteuerung holen, ohne selbst ein Techniker sein zu müssen?
Rebetzky: Indem er die richtigen Fragen stellt und klare Prioritäten setzt. Informationssicherheit ist kein Technik-, sondern ein Risikomanagement-Thema. Ein Bürgermeister muss nicht wissen, wie ein Firewall-Regelwerk aussieht – aber er sollte wissen, welche Dienste bei einem Angriff ausfallen, wie lange der Notbetrieb dauert und welche Folgen das für Bürger und Verwaltung hat. Regelmäßige Lageberichte, Cyber-Risiken im Verwaltungsvorstand und klare Verantwortlichkeiten machen Sicherheit zu einem Steuerungsthema auf Augenhöhe mit Finanzen und Personal.
Kommunale IT-Teams sind chronisch überlastet. Wie gelingt in der Praxis der Schritt weg von manuellen Risiko-Listen hin zu einer automatisierten Abwehr, die – wie bei Enginsight – schon nach wenigen Minuten erste Ergebnisse liefert?
Rebetzky: Der Schlüssel liegt in Automatisierung und Transparenz. Dies kann aufgrund der enormen Komplexität nur durch Konzentration der Kompetenzen erfolgen. Zu kleine, dezentrale IT-Teams werden scheitern. Die Rathäuser sind nur kleine Burgen ohne nennenswerte Gegenwehr- und Abwehrmöglichkeiten. Die Nutzung moderner Plattformen zeigt innerhalb weniger Minuten eine realistische Sicht auf Angriffsflächen, Schwachstellen und Risiken – ohne monatelange Projekte. Statt Excel-Listen erhält die Verwaltung ein dynamisches Lagebild, das sich kontinuierlich aktualisiert. Es gibt Lösungen, die zeigen, dass Sicherheit nicht mehr zwangsläufig mehr Personal erfordert, sondern bessere Werkzeuge. Das entlastet IT-Teams und verschiebt den Fokus von Reaktion hin zu Prävention.
Fazit: Auch ohne formale NIS2-Pflicht können und müssen Kommunen handeln. Cyberresilienz ist heute Teil der kommunalen Daseinsvorsorge – und damit Chefsache.
Über Andreas Rebetzky
Dr. Andreas Rebetzky ist IT-Strategieexperte, CEO der Syngain GmbH und Partner bei der taskforce AG. Der ehemalige CIO begleitet Organisationen bei der Absicherung kritischer Infrastrukturen und der Einführung moderner Sicherheitsarchitekturen. Er ist Präsidiumsmitglied von VOICE e. V. (Bundesverband der IT-Anwender) und setzt sich im Senat der Wirtschaft für die digitale Souveränität Deutschlands ein. (DEKOM, 12.01.2026) BSI – Infos zur NIS2 Umsetzung hier…
