Cybersicherheit in kommunalen Verwaltungen

Prof. Dr. Dennis-Kenji Kipker, Mitgründer des cyberintelligence.institute und Berater an allen Fronten, analysiert, warum Cybersicherheit auch mit NIS2 in Deutschland so kompliziert ist, und gibt Einblicke in die Cybersicherheitsrealität in kommunalen Verwaltungen. Der Podcast entstand kurz vor Verabschiedung des NIS2UmsuCG.

Dauer:

24 min

Zu Gast in dieser Folge:

Prof. Dr. Dennis-Kenji Kipker

Mitgründer cyberintelligence.institute

FAQ

Fakten zum Thema

Was kritisierte der Bundesrechnungshof-Bericht zur Cybersicherheit konkret?

Der interne Bericht stellte ein "massiv unzureichendes" Sicherheitsniveau in kommunalen Einrichtungen und Bundesrechenzentren fest. Besonders alarmierend: Weniger als 10 % der untersuchten Rechenzentren des Bundes erfüllen die Mindeststandards für Georedundanz und Notstromversorgung (USV). Zudem wurde die Cybersicherheitsstrategie 2021 als ineffektiv kritisiert, da klare Messbarkeitskriterien und eine konsequente Umsetzung fehlen.

Warum gibt es bei der NIS2-Umsetzung Ausnahmen für staatliche Einrichtungen?

Im aktuellen Entwurf der NIS2-Umsetzung (Stand 2024/25) gibt es heftige Diskussionen über Sonderregelungen für Bundeseinrichtungen. Experten kritisieren diese "Verantwortungsdiffusion". Während die Privatwirtschaft streng reguliert wird und bei Verstößen hohe Strafen fürchtet, nimmt sich der Staat teils selbst aus der Pflicht. Dies ist besonders problematisch, da staatliche Stellen die Daseinsvorsorge (z. B. Sozialleistungen) garantieren müssen, die bei einem Cyberangriff gefährdet ist.

Was ist das "Wimmelbild der Verantwortungsdiffusion" in der deutschen Cybersicherheit?

Dieser Begriff beschreibt die hochkomplexe nationale Cybersicherheitsarchitektur mit über 77 verschiedenen Akteuren (BSI, BKA, Verfassungsschutz, BBK etc.). Die Folge ist eine Fragmentierung von Zuständigkeiten und Informationsflüssen. Experten fordern daher eine Reduzierung der Komplexität und eine Stärkung des BSI als zentrale Kontrollinstanz, um die Effizienz zu steigern, statt ständig neue Behörden zu schaffen.

Wie können Kommunen trotz Personalmangel ihre Resilienz erhöhen?

Da Kommunen oft weder das Budget noch die Fachkräfte für spezialisierte IT-Sicherheit haben, ist die interkommunale Zusammenarbeit der Schlüssel. Zweckverbände und regionale IT-Dienstleister können Expertise bündeln. Wichtig ist jedoch, dass diese Dienstleister nicht nur Systemadministration betreiben, sondern echtes Cyber Security Management beherrschen, um Desaster wie den Fall Südwestfalen IT zu verhindern.

Welche "Low-Hanging Fruits" verbessern die Sicherheit sofort?

Laut Prof. Kipke lassen sich 90 % der standardisierten Cyberangriffe durch einfache Basis-Maßnahmen verhindern. Dazu gehören:

Multifaktor-Authentisierung (MFA): Ein absolutes Muss für jedes System.
Notstromversorgung & Backups: Absicherung der physischen Verfügbarkeit.
Fortbildung: Nutzung von Boardmitteln und Open-Source-Tools durch geschultes Bestandspersonal.
Pragmatismus: Mit kleinen Schritten starten (Pareto-Prinzip: 80 % Schutz mit 20 % Aufwand), statt auf langwierige Gremienentscheidungen zu warten.

Cybersicherheit in kommunalen Verwaltungen

Das digitale Nervensystem: Warum Gebäudeautomation echte OT ist

CE-Kennzeichen für Digitales: Wie der CRA die OT-Schieflage korrigiert

Ferrari ohne Führerschein? Die richtige Reihenfolge zur OT-Sicherheit für CEOs

Risikoanalyse in der OT

Angriffserkennung in der OT

Aufbau des OT-Cybersicherheits-Knowhows

SIEM-Integration

Gesetzliche Compliance

Asset Discovery in der OT

Zustandsüberwachung in der OT

Mitre Att&ck for ICS Integration