{"id":8324,"date":"2025-04-07T12:40:00","date_gmt":"2025-04-07T10:40:00","guid":{"rendered":"http:\/\/infosilo.info\/dekom\/?p=8324"},"modified":"2025-04-07T12:40:24","modified_gmt":"2025-04-07T10:40:24","slug":"dennis-kenji-kipker-cybersicherheit-ist-kommunale-daseinsvorsorge","status":"publish","type":"post","link":"https:\/\/infosilo.info\/dekom\/dennis-kenji-kipker-cybersicherheit-ist-kommunale-daseinsvorsorge\/","title":{"rendered":"Dennis-Kenji Kipker: Cybersicherheit ist kommunale Daseinsvorsorge"},"content":{"rendered":"\n<p>Ransomware-Angriffe auf kommunale IT-Dienstleister, wochenlange Ausf\u00e4lle b\u00fcrgernaher Verwaltungsleistungen, mangelnde Ressourcen und unklare Zust\u00e4ndigkeiten: Die Cybersicherheitslage in deutschen Kommunen ist alarmierend. Wie gro\u00df die strukturellen Defizite tats\u00e4chlich sind, welche rechtlichen und organisatorischen Risiken bestehen \u2013 und was Kommunen jetzt konkret tun k\u00f6nnen \u2013, dar\u00fcber hat der DEKOM mit Prof. Dr. <a>Dennis-Kenji Kipker <\/a>gesprochen. Der renommierte IT-Rechtsexperte und wissenschaftliche Direktor des cyberintelligence.institute zeigt im Gespr\u00e4ch auf, warum kommunale Cybersicherheit weit mehr ist als ein IT-Thema \u2013 und was sich in Deutschland dringend \u00e4ndern muss. Anlass des Gespr\u00e4chs ist ein <a href=\"https:\/\/cyberintelligence.institute\/projekte\/cii-whitepaper-kommunale-cybersicherheit-auf-dem-pruefstand\">aktuelles Whitepaper zur kommunalen Cybersicherheit<\/a>, das Kipker gemeinsam mit Rechtsanwalt Dr. Tilmann Dittrich verfasst hat.<\/p>\n\n\n\n<p><strong><em>DEKOM: Herr Professor Kipker, Ihr Whitepaper beleuchtet die Herausforderungen der kommunalen Cybersicherheit<\/em><\/strong><strong><em>. <\/em><\/strong><strong><em>Welche Defizite bestehen aktuell?<\/em><\/strong><strong><em><\/em><\/strong><\/p>\n\n\n\n<p><strong>Dennis-Kenji Kipker: <\/strong>Die Cyberkriminalit\u00e4t wird im Bereich der St\u00e4dte und Kommunen zurzeit nur als punktuelles und nicht als fl\u00e4chendeckendes Problem wahrgenommen: Der Bund ist nicht zust\u00e4ndig, die L\u00e4nder w\u00e4lzen die Probleme auf die Kommunen im Rahmen ihrer Selbstverwaltungsautonomie ab, und den Kommunen selbst wiederum fehlen die personellen und wirtschaftlichen Ressourcen mit der Folge, dass die Themen am Ende liegen bleiben. Oder aber es wird auf externe IT-Dienstleister wie eine S\u00fcdwestfalen-IT (SIT) ausgelagert, ohne sich der dadurch entstehenden Risiken in der digitalen Lieferkette bewusst zu sein. F\u00fcr letztgenannten Dienstleister ist beispielsweise bekannt geworden, dass die verheerenden Auswirkungen des Cyberangriffs nur dadurch entstehen konnten, dass einerseits bei SIT keine grundlegende Cybersicherheit praktiziert wurde, andererseits zahllose Kommunen gleichzeitig an SIT angeschlossen waren und dadurch lahmgelegt wurden.<\/p>\n\n\n\n<p><strong><em>Wer tr\u00e4gt letztlich die Verantwortung f\u00fcr die IT-Sicherheit in einer Kommune?<\/em><\/strong><\/p>\n\n\n\n<p><strong>Dennis-Kenji Kipker:<\/strong> Die Kommune selbst tr\u00e4gt die Verantwortung \u2013 und das meint nicht nur den B\u00fcrgermeister und die angeschlossene Verwaltung, sondern auch den jeweiligen Stadt- und Gemeinderat. Und das ist eine logische Konsequenz, denn Cybersicherheit ist definitiv eine Aufgabe der kommunalen Daseinsvorsorge, und das auch jenseits des Betriebs der \u00f6rtlichen Versorgungsinfrastruktur wie Wasser- und Energieversorger oder Abfallbewirtschaftung. Es wurde in den letzten Jahren massiv digitalisiert und vernetzt. Dabei hat man zwar viel auf die Funktionalit\u00e4t und die Kosten geachtet, aber nur kaum oder wenig auf die Nachhaltigkeit auch im Sinne der Sicherheit. Und B\u00fcrgerinnen und B\u00fcrger m\u00f6chten Verwaltungsleistungen digital beantragen k\u00f6nnen, die St\u00e4dte und Kommunen sollen in ihrer Infrastruktur smart gesteuert werden, Termine im Rathaus digital vergeben und die Kommunikation soll ja sowieso digital ablaufen. Aber es ist wie in der freien Wirtschaft auch: Cybersicherheit kostet Geld, ohne dass man erst einmal etwas daf\u00fcr sieht. Und da wird dann lieber erst einmal gespart, bis es dann zum Cybervorfall kommt. Und am Ende m\u00fcssen daf\u00fcr die politischen Entscheidungstr\u00e4ger geradestehen, dass sie nicht richtig priorisiert und in Cybersecurity Pr\u00e4vention investiert haben.<\/p>\n\n\n\n<p><strong><em>DEKOM: Welche Haftungsrisiken ergeben sich f\u00fcr die Verantwortlichen?<\/em><\/strong><\/p>\n\n\n\n<p><strong>Dennis-Kenji Kipker:<\/strong> Die Haftungsrisiken sind real. Neben \u00f6ffentlich-rechtlichen Risiken wie Amtshaftungsanspr\u00fcchen sind vielfach auch zivile Schadensersatzanspr\u00fcche denkbar. Was tue ich als B\u00fcrger, wenn ich mein neues Auto nicht mehr anmelden kann? Keinen neuen Personalausweis oder Reisepass beantragen kann? Beglaubigungen von Arbeitszeugnissen nicht m\u00f6glich sind oder gar Sozialleistungen nicht mehr ausgezahlt werden k\u00f6nnen? Hinter dem Nichtfunktionieren kommunaler Dienste stehen sofort wirtschaftliche Schadenspotenziale, weil sich zahllose Akteure jeden Tag wieder und berechtigterweise auf ihre Funktionsf\u00e4higkeit verlassen. Die Abh\u00e4ngigkeit von kommunaler Infrastruktur sp\u00fcren wir erst dann, wenn sie nicht mehr da ist. Und das ist auch das Gef\u00e4hrliche an Grundversorgungsdienstleistungen: Wir alle nehmen sie als gegeben hin, und wenn sie nicht mehr funktionieren, werden wir uns erst der Abh\u00e4ngigkeit und damit auch Vulnerabilit\u00e4t bewusst.<\/p>\n\n\n\n<p><strong><em>DEKOM: Die NIS2-Richtlinie soll in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz eingef\u00fchrt werden. Welche Auswirkungen hat das auf Kommunen?<\/em><\/strong><\/p>\n\n\n\n<p><strong>Dennis-Kenji Kipker:<\/strong> NIS2 hat zwar Auswirkungen auf die Kommunen, die aber nicht fl\u00e4chendeckend sein werden. Soweit Kommunen Betreiber kritischer Infrastruktur sind, sind sie schon nach geltendem Recht angehalten, Cybersicherheit nach dem Stand der Technik zu realisieren. Durch die Absenkung der Betreiber-Schwellenwerte nach NIS2 werden k\u00fcnftig auch einige weitere kommunale Eigenbetriebe im Bereich der Versorgungsleistungen verpflichtet sein, Cybersecurity Risikomanagement umzusetzen. Das Problem jedoch ist, dass der deutsche Gesetzgeber umfassende Ausnahmeregelungen vorsehen will, damit Kommunen vom NIS2-Anwendungsbereich nicht erfasst werden. Der IT-Planungsrat hat bereits die entsprechenden Beschl\u00fcsse gefasst, weil es an wirtschaftlichen und personellen Ressourcen vor Ort fehlt. Cybersicherheit jedoch ist keine Frage allein der Zumutbarkeit oder Wirtschaftlichkeit, und das stellt auch NIS2 fest. Es muss vielmehr ein Cybersicherheitsniveau vorgehalten werden, das den bestehenden Risiken angemessen ist. Und diese Risiken haben in den vergangenen Jahren deutlich zugenommen. Andere Staaten in der EU machen dies besser, so z.B. Kroatien oder Griechenland, wo die lokalen Verwaltungseinheiten risikoentsprechend durch die nationale Umsetzung von NIS2 adressiert werden.<\/p>\n\n\n\n<p><strong><em>DEKOM: Wie k\u00f6nnen Kommunen am sichersten vorgehen, um sich vor Cyberangriffen zu sch\u00fctzen?<\/em><\/strong><\/p>\n\n\n\n<p><strong>Dennis-Kenji Kipker:<\/strong> Die Antwort auf diese Frage ist von der Art der Cyberbedrohungen abh\u00e4ngig, der St\u00e4dte und Kommunen tagt\u00e4glich ausgesetzt sind. In erster Linie reden wir hier von Cyberangriffen auf die kritische kommunale Infrastruktur, auf B\u00fcrgerdienste und digitale Au\u00dfenauftritte. Die Zielsetzung kann ganz unterschiedlich sein: Mit dem Lahmlegen kritischer Versorgungsdienstleistungen wird auf das Wohl und die unmittelbare Versorgung der Bev\u00f6lkerung abgezielt. Wenn Websites lahmgelegt werden, zielt man vor allem auf die gezielte Verunsicherung der Menschen ab, vor allem kommen solche speziellen Angriffe aus Russland. Das Vorgehen ist hier ganz unterschiedlich, aber gerade kleinere Kommunen haben keine IT-Notfallpl\u00e4ne oder Handlungsma\u00dfnahmen parat, manche haben einen Kontakt zu einem externen IT-Dienstleister, die aller wenigsten einen eigenen IT-Sicherheitsbeauftragten oder gar ein Cyberkrisen-Reaktionsteam. In manchen Bundesl\u00e4ndern wie zum Beispiel in Hessen gibt es spezielle Cybersicherheitsteams, die in Krisenf\u00e4llen als eine Art Cyberfeuerwehr in betroffene St\u00e4dte und Gemeinden ausr\u00fccken k\u00f6nnen. Was deshalb ganz zentral ist: Es geht nicht nur um das Geld, sondern mindestens genauso um das Bereithalten entsprechender Fachkr\u00e4fte vor Ort. Wichtig ist deshalb, dass viel in die Ausbildung der Mitarbeiterinnen und Mitarbeiter investiert wird, Quereinstiege, Umschulungen und Weiterbildungen f\u00fcr kommunale Mitarbeiter in der IT erm\u00f6glicht werden. Es m\u00fcssen wirtschaftliche Cyberr\u00fccklagen in den j\u00e4hrlichen Haushalt eingeplant werden. Kommunen m\u00fcssen einen Notfallplan bereithalten und Ansprechpartner definieren. Externe IT-Dienstleister k\u00f6nnen zur Verbesserung der eigenen Cybersicherheit hinzugezogen werden, d\u00fcrfen aber nicht die einzige Ma\u00dfnahme sein. Versicherbare Risiken sollten abgedeckt werden. Zurzeit werden solche Konzepte aber noch nicht fl\u00e4chendeckend gelebt, und das f\u00fchrt dazu, dass Schwachstellen in der kommunalen Cybersicherheit ausgenutzt werden.<\/p>\n\n\n\n<p><strong><em>DEKOM: Abschlie\u00dfend: Was muss sich in Deutschland strukturell \u00e4ndern, um die kommunale Cybersicherheit nachhaltig zu st\u00e4rken?<\/em><\/strong><strong><em><\/em><\/strong><\/p>\n\n\n\n<p><strong>Dennis-Kenji Kipker:<\/strong> Politikerinnen und Politiker vor Ort m\u00fcssen sich endlich der Tatsache bewusstwerden, dass wir nicht mehr im 20. Jahrhundert leben. Nahezu alles basiert auf Vernetzung. Im letzten Jahrzehnt wurde massiv digitalisiert und vernetzt, und jetzt m\u00fcssen wir all diese Funktionen resilient gestalten. Vieles ist hier einfach liegengeblieben. Und ich empfehle auch allen B\u00fcrgerinnen und B\u00fcrgern, die Geschicke der Kommunen aktiv politisch mitzusteuern. Cybersicherheit ist definitiv auch ein politisches Thema. Also mit den lokalen Abgeordneten sprechen, Anfragen in den Kommunalparlamenten stellen, Missst\u00e4nde vor Augen f\u00fchren und darauf hinwirken, dass mehr Budgets und Ma\u00dfnahmen bereitgestellt werden. Und last but not least m\u00fcssen sich endlich die Bundesl\u00e4nder ihrer strukturellen Verantwortung gerecht werden: Bislang war es nur allzu bequem, alles auf die kommunale Selbstverwaltungsautonomie zu schieben, aber das geht nicht, wenn die Kommunen die Verantwortung daf\u00fcr tragen, die Grundversorgung vor Ort sicherzustellen. Cybersicherheit kostet Geld, und das muss nun auch endlich einmal in der Politik ausgesprochen werden \u2013 und nicht jede Kommune oder Stadt hat die gleichen Ressourcen f\u00fcr Cybersicherheit, das interessiert Cyberkriminelle jedoch nicht. Ohne wirtschaftliche Investition werden wir immer vulnerabel bleiben. (DEKOM, 07.04.2025\/CII, 12.03.2025) <a href=\"https:\/\/cyberintelligence.institute\/projekte\/cii-whitepaper-kommunale-cybersicherheit-auf-dem-pruefstand\">Ganze PM hier\u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ransomware-Angriffe auf kommunale IT-Dienstleister, wochenlange Ausf\u00e4lle b\u00fcrgernaher Verwaltungsleistungen, mangelnde Ressourcen und unklare Zust\u00e4ndigkeiten: Die Cybersicherheitslage in deutschen Kommunen ist alarmierend. Wie gro\u00df die strukturellen Defizite tats\u00e4chlich sind, welche rechtlichen und organisatorischen Risiken bestehen \u2013 und was Kommunen jetzt konkret tun k\u00f6nnen \u2013, dar\u00fcber hat der DEKOM mit Prof. Dr. Dennis-Kenji Kipker gesprochen. Der renommierte IT-Rechtsexperte [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-8324","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8324","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/comments?post=8324"}],"version-history":[{"count":2,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8324\/revisions"}],"predecessor-version":[{"id":8326,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8324\/revisions\/8326"}],"wp:attachment":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/media?parent=8324"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/categories?post=8324"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/tags?post=8324"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}