Wer heute im Internet über die Suchmaschine Google nach dem Landkreis Anhalt-Bitterfeld sucht, findet in den ergänzend vorgeschlagenen Suchbegriffen noch immer das Wort „Cyberangriff“. Bereits im Juli 2021 wurde die Kommune Opfer einer Cyberattacke. Das Ereignis war prägend – sowohl für den Landkreis als auch für die Wahrnehmung von Cyberkriminalität im kommunalen Kontext. Denn die Hacker legten weite Teile der Verwaltung lahm. Der Landkreis rief sogar den Katastrophenfall aus. Und Anhalt-Bitterfeld ist nur ein besonders einprägsames Beispiel von vielen.
Cyberangriff: Bedrohungslage nimmt zu
„Wir sehen uns einer zunehmenden Bedrohungslage, was Cyberangriffe angeht, ausgesetzt“, sagt der Spezialist für Cyberregulatorik im Public Sector André Glenzer, Partner beim Wirtschaftsprüfungs- und Beratungsunternehmen PwC Deutschland. Die Kommunen und ihre kommunalen Unternehmen als Betreiber kritischer Infrastrukturen seien da besonders gefordert. In seinem Bericht zur „Lage der IT-Sicherheit in Deutschland 2024“ schätzt das Bundesamt für Sicherheit und Informationstechnik (BSI) die Situation als „besorgniserregend“ ein. „Es ist unabdingbar, dass wir uns – dass Kommunen und Unternehmen sich selbst – besser schützen“, heißt es darin. Unter anderem weist der Bericht auf einen Fall vom Oktober 2023 hin, bei dem vom Angriff auf einen IT-Dienstleister insgesamt 72 Kommunen mit rund 20.000 Arbeitsplätzen und zusammen 1,7 Millionen Einwohnern betroffen waren.
Die Gründe für die sich verschärfende Bedrohungslage sieht Glenzer in einer Gemengelage, die die Eintrittswahrscheinlichkeit von Bedrohungen erhöht. Zum einen ist da der technologische Fortschritt, der immer neue Risiken mit sich bringt, zum anderen sind da geopolitische Spannungen, die ebenfalls für Gefahren im Cyberraum sorgen. Während Cyberkriminelle ihre Angriffe auf die Infrastruktur in der Regel aus finanziellen Interessen und für Erpressungsversuche unternehmen, zielen staatliche Akteure beispielsweise darauf ab, das demokratische System zu destabilisieren und Unsicherheit zu verbreiten. Zur Problemlage gehöre außerdem eine Bereitschaft zur Prävention: „Cybersicherheit und Informationssicherheit werden nach wie vor oft als lästige Kostentreiber wahrgenommen“, meint Glenzer.
Cybersicherheit als kontinuierliche Aufgabe
Aus Sicht der Kommunen komme hinzu, dass das Streben nach Cybersicherheit oft mit anderen kommunalen Aufgaben um Ressourcen und Haushaltsmittel konkurriere. Und in Fällen, in denen trotz der allgemeinen kommunalen Finanznot Mittel dafür vorhanden sind, fehlten oft Fachkräfte, um entsprechende Lösungen zu implementieren, die über Einzelmaßnahmen hinausgehen, erklärt Glenzer. „Ein flächendeckendes Sicherheitskonzept sieht man leider viel zu selten.“ Er plädiert dafür, Cybersicherheit umfassend, langfristig und fortlaufend zu denken. Es sei eine stetige Aufgabe, daran zu arbeiten, den Reifegrad der eigenen Systemsicherheit zu erhöhen.
Kommunen stelle dabei ihre Vielgestaltigkeit vor eine besondere Herausforderung. Zum einen seien sie dort, wo es um kritische Infrastrukturen geht – in sogenannten Kritis-Bereichen –, nicht zuletzt aufgrund der europaweit geltenden Regulatorik meist solide und robust aufgestellt. Zum anderen täten sich aber jenseits dieser sensiblen Bereiche immer wieder Lücken auf. „In der Breite und in der Vielfalt der kommunalen Arbeit gibt es Defizite“, meint Glenzer. Das wiederum wirke auf sicherheitsrelevante Bereiche zurück. „Da alles mit allem zusammenhängt, lassen sich einzelne Bereiche aus dem kommunalen System nicht ausblenden.“
Systemische Lösungen gefragt
Schließlich sei es ein typisches Muster von Cyberangreifern, in weniger sicherheitskritische Strukturen einzudringen und diese dann „als Sprungbrett dafür zu verwenden, sich zu kritischen Bereichen durchzuhangeln“, erklärt Glenzer. „Die Cybersicherheit einer Kommune fängt im Emailsystem des Kindergartens und des Zoos an und hört bei der komplexen Steuerung der Stromversorgung eines Energieversorgers auf.“ Jeder Bereich sei ein Puzzlestück des gesamten kommunalen IT-Systems, indem alle Bereiche mehr oder weniger miteinander vernetzt sind.
Neben der systemischen Betrachtung des eigenen Cyberraums spricht sich Glenzer für ein neues Mindset in Sachen Cybersicherheit aus. Es brauche ein neues Problembewusstsein. „Man sollte nicht nur Risiken denken, sondern Cybersicherheit als gesellschaftliche Aufgabe verstehen und entsprechende Chancen erkennen.“ So könne die Sicherheit bei der IT-Infrastruktur als Standortfaktor für Deutschland begriffen werden – genauso wie Verkehrsanbindungen oder die Mobilfunkversorgung. Es brauche ein Verständnis für Cybersicherheit als wichtiges Kriterium für volkswirtschaftliche Resilienz. Mit Blick auf die Kommunen bedeute dies: „Das in einzelnen Bereichen vorherrschende sehr gute Sicherheitsniveau braucht es in der Breite.“
Andreas Erb ist Redakteur im Public Sector des F.A.Z.-Fachverlags. Für die Plattform #stadtvonmorgen berichtet er über urbane Transformationsprozesse, die Stadtgesellschaft und die internationale Perspektive der Stadt. Seit 1998 ist der Kulturwissenschaftler als Journalist und Autor in verschiedenen Funktionen tätig, seit 2017 als Redakteur im F.A.Z.-Fachverlag.