Kommunen erarbeiten Strategien gegen Cyberangriffe. Quelle: Getty Images
Im Zuge der Digitalisierung von Verwaltungsleistungen müssen sich Kommunen und andere öffentliche Stellen immer häufiger auch mit Cyberattacken auseinandersetzen. Experten fordern mehr Ressourcen.
Potsdam, Ludwigshafen, Anhalt-Bitterfeld: Immer wieder geraten Kommunen in die Schlagzeilen, weil sie von Cyberattacken heimgesucht werden. Seit Jahren wird daher auf Bundes- und Landesebene, aber auch in den einzelnen Kommunen an Lösungsstrategien gearbeitet. „Quantität und Qualität der Cyberangriffe steigen seit Jahren an, gerade auch durch Ransomware“, bestätigte Carsten Meywirth, Leiter der Abteilung Cybercrime im Bundeskriminalamt, gegenüber der Tagesschau. Laut BKA soll es zwischen Mitte 2021 bis Ende 2022 mehr als zwei Dutzend Cyberangriffe auf kommunale Verwaltungen, Stadtwerke und Gesundheitseinrichtungen gegeben haben.
Das Bewusstsein für das Problem ist hoch, und es steht immer häufiger auf der öffentlichen Agenda. Am 19. und 20. April 2023 trafen sich beispielsweise hochrangige Vertreter:innen deutscher und internationaler Sicherheitsbehörden sowie Expert:innen aus Politik, Wirtschaft und Wissenschaft zur Potsdamer Konferenz für nationale Cybersicherheit am Hasso-Plattner-Institut. Holger Münch, Präsident des Bundeskriminalamts (BKA) sprach laut Tagesspiegel auf der Konferenz von einer weiterhin „starken“ Bedrohungslage.
Die freiberufliche IT-Sicherheitsberaterin Sabine Griebsch war zur Zeit des Angriffs auf den Landkreis Anhalt-Bitterfeld die dortige Chief Digital Officer. Im Interview mit dem Tagesspiegel verdeutlicht sie, dass kommunale Verwaltungen vergleichsweise leichte Opfer sind, da die IT-Ressourcen und -Kompetenzen begrenzt seien, während auf der anderen Seite hochsensible personenbezogene Daten verwaltet würden. „Ein Angriff auf eine Kommune zielt direkt auf die Zufriedenheit und das Vertrauen der Bevölkerung. Wenn städtische Services nicht mehr angeboten werden können, dann untergräbt dies das Vertrauen in die Funktionsfähigkeit der öffentlichen Ordnung“, sagte Griebsch dem Tagesspiegel.
„Es reicht nicht, auf Angriffe zu reagieren, man muss schon im Vorfeld das Risiko mitdenken. Es geht um Resilienz!“, betont die Expertin. „Organisationen dürfen ihre IT-Abteilung nicht als bloße Dienstleister im eigenen Haus sehen, sondern müssen begreifen, dass hier die Funktionsfähigkeit der IT-Infrastruktur am Laufen gehalten, und damit die Grundlage für digitales Arbeiten sichergestellt wird“, fordert sie auf LinkedIn.
Investitionen und Fachpersonal sind also der Schlüssel dazu, Angriffe auf die kommunale Verwaltung besser abwenden zu können. Die geforderte Cyberresilienz wird somit Ziel öffentlicher Strategien. Gerade hat Bremen eine Cybersicherheitsstrategie verabschiedet, mit der die digitale Resilienz der staatlichen Verwaltung und der Kommunen sowie der Gefahrenabwehr-, Strafverfolgungs- und Verfassungsschutzbehörden gestärkt werden soll. Damit folgt das Land dem Vorbild mehrerer anderer Bundesländer, die solche Strategien bereits umgesetzt haben. Dazu haben sich schon im Sommer 2021 alle Länder auf bestimmte Leitlinien für die Cybersicherheit verständigt. Vorreiter waren Niedersachen und Bayern. Nordrhein-Westfalen und Baden-Württemberg verabschiedeten ihre Strategien Ende 2021.
Um im Falle von Angriffen zumindest die Kosten im Griff zu behalten, schließen mittlerweile auch Kommunen Cyberversicherungen ab. So hat sich beispielsweise kürzlich die Gemeinde Kappelrodeck gegen Cyberrisiken versichert, um Aufwendungen wie etwa Forensik, Datenwiederherstellung und Mehrkosten, aber auch Schadenersatzansprüche Dritter – beispielsweise von Bürger:innen, die durch ein Datenleck zu Schaden kommen – abdecken zu können.
Gleichzeitig gibt es im Bund Bestrebungen, den Schutz gegen Cyberangriffe nicht allein den Ländern und Kommunen zu überlassen, sondern mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Stelle für Cyberabwehr zu schaffen.
„Bund und Länder müssen Cybergefahren koordiniert entgegentreten und ihre Fähigkeiten permanent weiterentwickeln. Wir werden eine Grundgesetzänderung vorschlagen, um das Bundesamt für Sicherheit in der Informationstechnik zu einer Zentralstelle im Bund-Länder-Verhältnis auszubauen – nach dem Vorbild von Bundeskriminalamt und Bundesamt für Verfassungsschutz. Wir werden neue Befugnisse zur Gefahrenabwehr für die Sicherheitsbehörden schaffen“, sagte Bundesinnenministerin Nancy Faeser bei der Vorstellung ihrer nationalen Strategie für Cybersicherheit im Sommer 2022. Die Bedrohungslage im Cyberraum wachse jeden Tag.
