Wehrhaft im Netz

Cybersicherheit ist kein Spezialthema für IT-Nerds mehr. Sie ist zur Führungsaufgabe geworden. Das zeigt nicht nur die steigende Zahl kommunaler Vorfälle, sondern auch die politische Bedeutung des Themas. „Es hat heute einen ganz anderen Stellenwert als noch vor vier Jahren“, sagt Daniel Krötz, Referent für Digitalisierung und Cybersicherheit beim Gemeindetag Baden-Württemberg.

Das Bewusstsein sei deutlich gewachsen – in den Rathäusern ebenso wie im politischen Diskurs. Auch die Gründung der Cybersicherheitsagentur Baden-Württemberg (CSBW) im Jahr 2021 habe dem Thema zusätzlichen Schub verliehen. „Die grundsätzliche Sensibilisierung ist deutlich gestiegen“, so Krötz.

Gleichzeitig bleibt die Lage angespannt. Phishing-Mails werden professioneller, Künstliche Intelligenz verbessert die Qualität der Attacken, Schwachstellen werden automatisiert gescannt. „Wir sind aber nicht chancenlos“, betont Krötz. Genau hier setzt kommunale Vorsorge an.

Cybersicherheit für Kommunen: Drei Must-haves

Gefragt nach den zentralen Elementen einer realistischen Vorsorge nennt Krötz drei Punkte. Erstens: ein funktionierendes Backup-Konzept. „Das ist ein absolutes Must-have“, sagt er. Entscheidend sei nicht nur, dass Daten gesichert werden, sondern dass die Sicherung belastbar ist – idealerweise nach der sogenannten 3-2-1-Regel: mehrere Kopien, unterschiedliche Speichermedien, mindestens eine Sicherung außerhalb des eigenen Systems. 

Im Ernstfall entscheidet das darüber, wie schnell eine Verwaltung wieder arbeitsfähig wird. Kommunen hätten nach Angriffen berichtet, dass ihnen ein solides Backup am Ende das Leben deutlich leichter gemacht habe. 

Zweitens: vorbereitete Überlegungen für den Notfall. Krötz vermeidet bewusst das Wort „Notfallplan“.  Denn ein vollständig ausgearbeitetes, streng am Bundesamt für Sicherheit in der Informationstechnik (BSI) orientiertes Krisenhandbuch sei gerade für kleinere Verwaltungen oft kaum realistisch. Stattdessen gehe es darum, grundlegende Fragen im Vorfeld zu klären: Wer informiert wen? Welche externen Stellen werden kontaktiert? Wer übernimmt welche Rolle? „Man muss sich zumindest im Groben Gedanken gemacht haben, was man im Ernstfall tut.“

Drittens: der Faktor Mensch. „Sensibilisierung der Mitarbeitenden ist zentral.“ Phishing-Mails, schwache Passwörter oder unbedachte Klicks seien noch immer klassische Einfallstore. Eine jährliche Schulung allein reiche nicht. Sinnvoll sei ein Mix: Präsenzschulungen, kurze E-Learning-Impulse, regelmäßige Phishing-Simulationen. Einige Dienstleister gingen inzwischen weiter und simulierten auch Phishing-Anrufe oder versendeten fingierte Briefe mit QR-Codes. Selbst der „vergessene USB-Stick“ könne als Test dienen. Ziel sei es, Aufmerksamkeit im Alltag zu verankern – nicht nur einmal im Jahr.

Diese Einschätzung teilt auch die CSBW. „Wenn Ressourcen knapp sind, sind Maßnahmen wichtig, die breit wirken“, sagt Präsidentin Nicole Matthöfer gegenüber die:gemeinde. Besonders wirksam seien starke Passwortrichtlinien, Passwortmanager, Mehrfaktorauthentifizierung, konsequentes Patchen von Sicherheitslücken sowie ein gegen Verschlüsselungsangriffe abgesichertes Backup. Viele dieser Maßnahmen seien vergleichsweise kostengünstig, reduzierten aber die Angriffsfläche erheblich.

Cybersicherheit Vorsorge: „Wir sind zu klein“ – ein gefährlicher Irrtum

Eine Fehlannahme begegnet der CSBW immer wieder. Sie lautet: „Wir sind zu klein, uns hat man nicht im Visier.“ Tatsächlich seien Kommunen attraktive Ziele, weil sie sensible Daten verwalten. Zudem würden IT-Infrastrukturen automatisiert und großflächig nach Schwachstellen gescannt. Größe spiele dabei kaum eine Rolle.

Krötz formuliert es bildhaft: Auch wenn man sich den „Hacker im schwarzen Hoodie im dunklen Keller“ vorstelle – Kommunen seien nicht wehrlos. „Mit vielen kleinen, auch günstigen Maßnahmen kann man sehr viel erreichen.“ Wer Backups pflegt, Zuständigkeiten klärt und Mitarbeitende sensibilisiert, erhöhe die eigene Widerstandsfähigkeit erheblich.
Gleichzeitig bleibt er realistisch: „Eine hundertprozentige Sicherheit gibt es nie.“ Ziel könne daher nicht absolute Abschottung sein, sondern Resilienz – also die Fähigkeit, einen Angriff zu überstehen und möglichst schnell wieder arbeitsfähig zu werden.

Cyberangriff: Chefsache – aber nicht Chefarbeit

Wo ist das Thema nun organisatorisch angesiedelt? Für Krötz ist die Antwort klar: „Informationssicherheit ist Chefsache.“ Das bedeutet jedoch nicht, dass Bürgermeisterinnen und Bürgermeister selbst Firewalls konfigurieren oder Notfallpläne schreiben müssen. „Chefsache heißt, dass die Verwaltungsspitze dahinterstehen und das Thema steuern muss.“ Ohne Rückendeckung von oben lasse sich kein tragfähiges Sicherheitsniveau etablieren.

Gerade kleinere Kommunen stehen hier vor strukturellen Herausforderungen. IT-Fachkräfte sind schwer zu gewinnen, hochspezialisierte Expertinnen und Experten noch schwerer. Der öffentliche Dienst kann mit der Privatwirtschaft beim Gehalt oft nicht konkurrieren. Interkommunale Zusammenarbeit kann helfen. In manchen Regionen teilen sich mehrere Rathäuser IT-Verantwortliche oder Informationssicherheitsbeauftragte. „Das ist durchaus erfolgreich umgesetzt worden“, sagt Krötz.  

Zentralisierung könne helfen – aber nur begrenzt, betont Krötz. Eine Notfallorientierung oder Mustervorlagen ließen sich gut bündeln, etwa über ein gemeinsames Übersichtspapier, wie das, das der Gemeindetag im Dezember 2025 veröffentlicht hat. Bei zentralen technischen Fragen stoße man jedoch schnell an Grenzen. „Backups sichern immer die individuellen Daten einer Organisation. Das kann ich nicht einfach auslagern“, so Krötz sinngemäß. Jede Kommune bleibe für ihre eigene Infrastruktur verantwortlich.

Üben wie beim Brandschutz

Ein weiterer Punkt wird in der Praxis oft unterschätzt: das Üben. „Notfallübungen gleichen einem Realitätscheck“, betont CSBW-Präsidentin Matthöfer. Prozesse, die auf dem Papier stimmig wirken, müssten auch unter Druck funktionieren. Cybersicherheitskrisen beträfen nicht nur die IT-Abteilung. Auch Verwaltungsspitze, Kommunikation, Datenschutz und Fachbereiche seien einzubinden.
Die CSBW bietet dafür kostenfreie IT-Notfallübungen an. Mithilfe fiktiver Szenarien werden Kommunen und ihre Krisenstäbe auf mögliche Vorfälle vorbereitet. Die Botschaft dahinter ist einfach: Wie beim Brandschutz verhindert regelmäßiges Üben Schlimmeres.

Für Krötz steht am Ende eine klare Haltung. Der Verweis auf wachsende Bedrohungen dürfe nicht zur digitalen Resignation führen. „Die Alternative wäre, die Digitalisierung zu stoppen und wieder analog zu arbeiten – und das kann nicht funktionieren.“ Cybersicherheit bedeute deshalb nicht Rückzug, sondern strukturiertes Vorgehen. Mit klaren Zuständigkeiten, belastbaren Backups, geübten Abläufen und einer sensibilisierten Belegschaft können Kommunen ihre Widerstandsfähigkeit deutlich erhöhen. Nicht chancenlos – aber gefordert. Genau darin liegt die eigentliche Botschaft der Vorsorge.