Krisenvorbereitung

Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Sabine Griebsch

Sabine Griebsch

8 Min. Lesezeit
Teilen
Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Eine Cyber Range ist die einzige Lernform, die einem realen Cyberangriff annähernd standhält. Sie ist eine virtualisierte, mandantenfähige Übungs- und Erprobungsumgebung mit definierten Rollenmodellen: Sie simuliert Angriffsszenarien, prüft Detektionslogiken, erprobt Incident-Response, trainiert Krisenkommunikation. In der erweiterten Form ist sie zugleich Reallabor für neue Detektions- und Reaktionsverfahren.

Der Mehrwert für die öffentliche Verwaltung liegt auf vier Ebenen. Erstens auf der operativen: Eine Behörde, die eine Ransomware-Welle, einen koordinierten DDoS gegen Bürgerportale oder einen Lieferketten-Angriff über einen IT-Dienstleister vorher durchgespielt hat, entscheidet im Ereignisfall schneller, koordinierter und sachlich kontrollierter. Zweitens auf der organisatorischen: Eine Cyber Range zwingt Behördenleitung, IT, Datenschutz, Pressestelle und externen Dienstleister an denselben Tisch - Rollen, Eskalations- und Kommunikationspfade werden ausbuchstabiert, bevor sie sich unter Druck prüfen müssen. Drittens auf der technischen: Detektionslogiken, Notfallpläne und Wiederherstellungsprozeduren werden gegen echte Angriffsmuster getestet, nicht gegen theoretische Annahmen. Viertens auf der strategischen: Aus wiederholten Übungen entsteht eine Indikatorik, die Reifegrade messbar macht und politisch-administrativen Entscheidern Vergleichsmaßstäbe liefert. Für eine Verwaltung, deren Krisenbilder bislang aus Schulungsfolien und Tagesseminaren bestehen, ist das ein Sprung.

In anderen Sektoren ist dieser Sprung längst vollzogen. Das Fraunhofer FKIE hat im März 2026 mit „PowerRange" eine Cyber-Range-Plattform für Stromnetzbetreiber vorgestellt (pv magazine); das ECSO-Inventar listet zahlreiche kommerzielle Plattformen für Industrie und kritische Infrastrukturen. Die Bundeswehr hält eigene Prüf-, Red-Team- und Forschungskapazitäten vor; das Forschungsinstitut CODE an der Universität der Bundeswehr München flankiert sie wissenschaftlich. Aus der zivilen Wissenschaft kommt mit der ATHENE Cyber Range am Fraunhofer SIT, getragen vom Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE, ein Trainingsangebot hinzu, das sich ausdrücklich an „Unternehmen, Behörden und Forschungseinrichtungen" richtet. Es ist ein offenes Buchungsangebot - kein an die kommunale Ebene strukturell adressiertes, in eine Verwaltungs- und Lernsystematik eingebettetes Übungsregime. Für Landratsämter und Rathäuser bleibt darüber hinaus die Fortbildungslandschaft eng: Lehrgänge der Bundesakademie für öffentliche Verwaltung mit dem BSI und Präsenzseminare im Fraunhofer-Lernlabor Cybersicherheit - Zertifikatswege und Tagesformate, aber keine flächendeckende immersive Übungsumgebung mit Rollenmodellen, Angriffssimulation und Krisenkommunikationstraining. Die Leerstelle ist Folge einer langen Vernachlässigung der kommunalen und Landesverwaltungsebene als Übungsadressat.

Politischer Wille

In Sachsen-Anhalt gibt es diesen Willen. Bernd Schlömer, Landes-CIO, hat ihn öffentlich formuliert. Im eGovernment-Interview vom 9. April 2026 beschreibt er eine „Cyber Range für Kommunen" als „Übungs- und Planspielzentrum", in dem „Bürgermeister oder Landräte … mit ihren Teams" Abläufe „in einem Reallabor konzentriert durchspielen", „ohne Ablenkung vom Tagesgeschäft". Die Marktlücke benennt er wörtlich: Cyber Ranges „für kommunale Unternehmen wie Energie- oder Wasserversorger" gebe es, „aber eben noch nicht für Landratsämter oder Rathäuser". Eine Machbarkeitsstudie ist beauftragt, die Zusammenarbeit mit der Cyberagentur am Standort Halle angestrebt; IT-Dienstleister, CERT und BSI sollen sich beteiligen.

Eine Bemerkung zur Lage: Die Ankündigung eines kommunalen Übungszentrums fällt mit dem Inkrafttreten eines Landesgesetzes zusammen, das die Kommunen gar nicht erfasst. Im Entwurf des Informationssicherheitsgesetzes Sachsen-Anhalt kommen die Wörter „Cyber Range", „Übung", „Simulation", „Trainingsumgebung", „Reallabor" und „Erprobungsplattform" nicht vor. Was vorkommt, ist ein Geflecht von Vorschriften, das einzeln Schulungs-, Erprobungs- und Prüffunktionen trägt - und gemeinsam einer Cyber Range in Funktion und Architektur sehr nahekommt. Die Frage ist nicht, ob das Gesetz eine Cyber Range vorsieht. Es sieht keine vor. Die Frage ist, ob sich aus dem Gesetz eine Cyber Range bauen lässt - und für wen.

Die strukturelle Vorentscheidung - § 2

§ 2 Absatz 1 begrenzt das Gesetz auf wichtige Stellen der unmittelbaren Landesverwaltung. § 2 Absatz 4 nimmt elf Stellengruppen aus, darunter Landtagsverwaltung, Landesbeauftragte für Datenschutz und für Informationsfreiheit, Landesrechnungshof, Rechtsprechung und Rechtspflege einschließlich Staatsanwaltschaften und Justizvollzug, staatliche Hochschulen und Universitätsklinika, SED-Aufarbeitungsbeauftragte, Kirchen und anerkannte Religions- und Weltanschauungsgemeinschaften, Mitteldeutscher Rundfunk, öffentlich-rechtliche Kreditinstitute und Versicherungsanstalten sowie schließlich Stellen der unmittelbaren Landesverwaltung im Bereich nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung und Verfassungsschutz. Kommunen, Landkreise und kommunale Zweckverbände sind nicht erst ausgenommen - sie sind gar nicht aufgenommen. Die Begründung stellt das nüchtern klar: Das Gesetz schaffe „für Kommunen keine Verpflichtungen". Eine Cyber Range nach diesem Gesetz ist zunächst eine Cyber Range der Landesverwaltung. Schlömers Ankündigung - eine Cyber Range, in die Bürgermeister und Landräte kommen - liegt außerhalb des Gesetzes, das sein Haus federführend verantwortet.

Die Trägerschicht - §§ 4 und 5

§ 4 Absatz 2 Nummer 5 weist dem Ministerium die Vorbereitung von Sensibilisierungs- und Schulungsmaßnahmen samt Unterlagen zu, Nummer 4 die Konzeption von Maßnahmen für Störungen, Notfälle, Krisen und Katastrophen. Beides zusammen ist der Auftrag, Übungs- und Trainingsformate vorzuhalten.

§ 4 Absatz 5 und § 5 Absatz 5 öffnen das Erfüllungsverhältnis. Ministerium, zuständige Behörde und CSIRT dürfen sich „geeigneter Dritter" bedienen. Die Begründung nennt das CERT Nord der Dataport AöR ausdrücklich, alternativ einen SOC-Dienstleister. Eine Cyber Range muss das Land also nicht selbst betreiben. Sie kann beim CERT Nord liegen, an einer Hochschule, bei der Cyberagentur am Standort Halle oder in einem privaten Konsortium - genau der Adressatenkreis, den Schlömer benennt.

§ 5 Absatz 2 listet zehn Aufgaben des CSIRT. Nummer 8 verpflichtet zur Unterstützung öffentlicher Stellen des Landes „hinsichtlich der Überwachung ihrer informationstechnischen Systeme, Komponenten oder Prozesse". § 5 Absatz 4 Satz 6 verlangt, dass das CSIRT-Personal „entsprechend seinen Aufgaben und Pflichten geschult ist"; eine Cyber Range wäre dafür ein qualifiziertes Mittel. Übung, Simulation und Erprobung stehen als eigene Aufgaben nicht in § 5 - ableitbar, aber nicht ausgesprochen. Das CSIRT bleibt der einzige operative Akteur, der eine Cyber Range substantiell mittragen könnte.

Die Nachfrageschicht - §§ 8 und 10

§ 8 Absatz 1 Nummer 7 verlangt von den wichtigen Stellen „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Informationssicherheit"; Nummer 3 fordert Maßnahmen zum Krisenmanagement. § 10 Absatz 2 verpflichtet die Leiterinnen und Leiter zur regelmäßigen Teilnahme an Schulungen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Informationssicherheit … zu erwerben". Diese Vorschriften verlangen Schulung, nicht Plattform. Aber sie schaffen die Grundgesamtheit, ohne die eine zentrale Cyber Range wirtschaftlich nicht zu begründen wäre - und eine Leitungs-Anschlussfähigkeit, die im Krisenfall regelmäßig fehlt. Schlömer formuliert dieselbe Erkenntnis aus der Praxis: Ein Reallabor sei „viel nachhaltiger, als etwa einen Vortrag anzuhören". Präzise gegen die Schwäche der bestehenden BAköV- und Lernlabor-Formate gerichtet.

Die Prüflinie - § 11 Absatz 4

§ 11 Absatz 4 ermächtigt das Ministerium zu „gezielten Sicherheitsprüfungen und Sicherheitsscans samt zugehöriger Datenverarbeitungen" bei wichtigen Stellen. Durchführen darf sie das CSIRT - oder „geeignete und unabhängige Dritte im Sinne von Artikel 33 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555". Damit sind Penetrationstests, Red-Team-Übungen und Schwachstellenscans gedeckt. Bestandteile eines Cyber-Range-Programms - aber als Aufsichts-, nicht als Schulungsmaßnahme. Wer eine Cyber Range über § 11 trägt, baut sie als Prüf-, nicht als Lernumgebung.

Die datentechnische Engstelle - §§ 13 und 14

Sobald reale oder realitätsnahe Daten ins Spiel kommen, greifen §§ 13 und 14. § 13 erlaubt eine zweckändernde Verarbeitung nur zur Sammlung, Auswertung oder Untersuchung von Schwachstellen, Schadprogrammen und Angriffen sowie zur Unterstützung in Fragen der Informationssicherheit. § 14 Absatz 1 verlangt unverzügliche automatisierte Auswertung und anschließende sichere Löschung; gespeichert wird ausschließlich in der EU. Absätze 2 und 3 erlauben Protokoll-, Protokollierungs- und Inhaltsdaten für längstens 180 Tage und nur unter engen Voraussetzungen. Absatz 8 verbietet jede darüber hinausgehende Auswertung zu anderen Zwecken und die Weitergabe personenbezogener Daten an Dritte.

Eine Schulungs-Cyber-Range mit synthetischen oder anonymisierten Daten bleibt von §§ 13/14 unberührt. Sie fällt nicht in deren Anwendungsbereich - genau die Konstruktion, die Schlömer beschreibt. Eine Cyber Range mit Vorfalldaten kann diese nur verarbeiten, wenn die Verarbeitung der Gefahrenabwehr dient. Training im engeren Sinne ist kein Zweck der §§ 13/14.

Die Tür zum Reallabor - § 16

§ 16 ermächtigt jede oberste Landesbehörde, durch Rechtsverordnung - im Einvernehmen mit der zuständigen Stelle nach § 4 Absatz 3 Satz 1 und mit Zustimmung der Landesbeauftragten für den Datenschutz - sachlich und örtlich begrenzte Ausnahmen zur Auswertung „von anderen nicht in § 14 Absatz 2 genannten Daten" für höchstens drei Jahre zuzulassen, „zur Erprobung neuer Systeme zur Datenanalyse, die der Abwehr von Gefahren für die informationstechnischen Systeme des Landes Sachsen-Anhalt dienen". Damit öffnet sich der starre Datenkorridor des § 14 - unter rechtsstaatlicher Kontrolle. Eine Cyber Range mit Reallaborfunktion passt hinein: neues System zur Datenanalyse, mittelbar der Gefahrenabwehr dienend, sachlich, örtlich und zeitlich begrenzbar.

§ 16 ist Datenverarbeitungs-, keine Infrastrukturermächtigung; die Plattform muss sich organisatorisch auf andere Vorschriften stützen. Die Ermächtigung liegt bei den obersten Landesbehörden; eine ressortübergreifende Cyber Range setzt eine Verordnung des für Informationssicherheit zuständigen Ministeriums oder eine konzertierte Aktion mehrerer obersten Landesbehörden voraus. Schlömers Cyber Range bewegt sich, solange keine Echtdaten verarbeitet werden, im Schulungs-, nicht im Reallaborkorridor. Erst wenn aus Übungen Erkenntnisse für neue Detektions- und Analyseverfahren gewonnen werden, kommt § 16 in Reichweite.

Der parlamentarische Anschluss - § 17

§ 17 verpflichtet das Ministerium, dem Landtag erstmals zum 31. Dezember 2027 zu berichten; danach „jeweils nach Ablauf weiterer fünf Jahre". Darzulegen sind Auswirkungen des Gesetzes, Projekte nach der Experimentierklausel und Weiterentwicklungsbedarf. Die Begründung verweist auf qualitative Indikatoren - Schulungen, Sensibilisierungskonzepte, etablierte Prozesse. § 17 ist der Kanal, durch den eine unter § 16 betriebene Cyber Range in die parlamentarische Wahrnehmung käme. Ohne ihn bliebe sie eine Maßnahme der Exekutive. Mit ihm wird sie dokumentiertes Element der landesweiten Sicherheitsarchitektur.

Vier Konstellationen, die eine Cyber Range mit dem aktuellen Entwurf möglich machen

Aus diesen Vorschriften lassen sich vier Konstellationen formen. Eine Schulungs-Cyber-Range für die Landesverwaltung, getragen von § 4 Absatz 2 Nummer 5, § 8 Absatz 1 Nummer 7 und § 10 Absatz 2, betrieben über die Drittenklauseln durch das CERT Nord oder einen anderen geeigneten Dritten; sie kommt mit synthetischen Daten aus und entspricht dem, was Schlömer als „Übungs- und Planspielzentrum" skizziert. Eine Prüf-Cyber-Range für Sicherheitsprüfungen, Scans und Red-Team-Übungen, gestützt auf § 11 Absatz 4 in Verbindung mit § 5 Absatz 2. Eine Reallabor-Cyber-Range zur Erprobung neuer Detektions- und Reaktionsverfahren, gestützt auf § 16 und über § 17 parlamentarisch begleitet - die einzige Variante, die über den Schulungsbegriff hinausreicht. Und eine kombinierte Schulungs- und Reallabor-Cyber-Range, die alles zusammenführt - die strategisch wertvollste, wenn §§ 4, 5, 8, 10, 11 Absatz 4, 13, 14, 16 und 17 sauber ineinandergreifen.

Das Gesetz erzwingt keine Cyber Range. Es bietet die Stützpunkte, eine zu errichten - als Lern-, als Prüf-, als Reallaborumgebung oder als alles zusammen. Schlömers Beschreibung ist in den ersten drei Varianten vollständig abbildbar.

Freiwillige Öffung der kommunalen Leerstelle

Eine kommunal mitgenutzte Cyber Range trägt der Entwurf nicht. § 2 Absatz 1 schließt die kommunale Ebene aus, § 2 Absatz 4 nimmt zusätzlich Bereiche aus, in denen eine Cyber Range besonderen Nutzen hätte. Die Adressatengruppe, die Schlömer erkennbar meint, kommt im Gesetz nicht vor.

Aus der Architektur des Entwurfs lässt sich eine spekulative Linie ziehen. Was nicht verpflichtend geöffnet werden kann, kann freiwillig geöffnet werden. Der Hebel liegt in den Drittenklauseln der §§ 4 Absatz 5 und 5 Absatz 5; das CERT Nord erfüllt bereits Aufgaben des Landes und wäre der natürliche Adressat einer kommunalen Verstärkung. Eine Cyber Range, die in einer ersten Stufe der Landesverwaltung dient und in einer zweiten Stufe den Kommunen über Verwaltungsvereinbarung, Anschlussvertrag oder Förderlinie offensteht, ist vom InfSG LSA nicht gedeckt - aber auch nicht ausgeschlossen. Freiwilligkeit ist im Sachsen-Anhalt-Modell Strukturprinzip; Schlömer formuliert es im selben Interview für die Zentralen Service-Angebote: „Keine Kommune ist gezwungen, mit in die Bündelung einzusteigen. Das ist uns sehr wichtig, denn die kommunale Selbstverwaltung wollen wir nicht antasten." Was für die Online-Dienste gilt, lässt sich auf die Cyber Range übertragen.

Baut das Land seine Cyber Range so, dass Kommunen sie freiwillig nutzen können, mildert es die Fatalität, sie aus dem Anwendungsbereich herausgelassen zu haben. Es behebt sie nicht.

Fazit: Einbeziehung der Kommunen würde das Vorhaben effizienter und belastbarer machen

Eine über die Drittenklauseln freiwillig kommunal geöffnete Cyber Range ist die bestmögliche Antwort innerhalb des aktuellen Entwurfs. Sie bleibt eine Antwort zweiter Ordnung. Effizienz und Belastbarkeit gewinnt das Vorhaben erst, wenn die kommunale Ebene Teil des Regelungsbereichs wird.

Drei Gründe sprechen dafür. Effizienz: Ohne Einbeziehung muss jede kommunale Nutzung über eine eigene Verwaltungsvereinbarung, einen Anschlussvertrag oder eine Förderlinie konstruiert werden. Mit Einbeziehung gilt ein einheitlicher Rechts-, Daten- und Trägerschaftsrahmen aus §§ 4, 5, 11, 13, 14 und 16; Doppelstrukturen, parallele Datenschutz-Folgenabschätzungen und ad hoc verhandelte Zugangsregime entfallen. Die Drittenklauseln entfalten ihre volle Wirkung erst, wenn die Empfänger der Leistung im Anwendungsbereich stehen.

Belastbarkeit: Eine Übungsumgebung, die die Ebene, auf der Bürger der Verwaltung am unmittelbarsten begegnen, strukturell ausspart, deckt die statistisch verwundbarste Schicht des Landes nicht ab. Resilienz ist ohne die Kommunen nicht herzustellen. Eine Cyber Range, die nur Landesverwaltung übt, übt zur Hälfte.

Lern- und Berichtsschleife: § 17 wird nur dann zu einem Steuerungsinstrument, wenn die Erkenntnisse aus dem Reallaborbetrieb nach § 16 die volle Bandbreite öffentlicher Stellen erreichen. Kommunale Übungs- und Vorfalldaten sind dafür unverzichtbar - sie liefern die Indikatorik, die der Entwurf in seinem § 17 bislang offenlässt.

Normativ ist die Einbeziehung überschaubar: eine Anpassung in § 2, die Landkreise, kreisfreie Städte und kommunale Zweckverbände - differenziert nach Größe oder Risiko - in den Anwendungsbereich aufnimmt; eine klarstellende Ergänzung in § 4 zur Trägerschaft kommunal nutzbarer Übungs- und Erprobungsumgebungen über das CERT Nord; eine Verzahnung mit § 17, die kommunale Erkenntnisse zum Bestandteil des Erfahrungsberichts macht. Die Cyber Range entstünde dann nicht aus dem Schatten der Drittenklauseln, sondern aus dem Tatbestand des Gesetzes.

Der Entwurf kann die Lücke tragen - über die Drittenklauseln, die Experimentierklausel, die Berichtspflicht. Schließen kann er sie erst, wenn er die Kommunen einbezieht. Dann wird aus einer Cyber Range, die der Markt für Rathäuser vergessen hat, eine, die der Staat für sie eingerichtet hat. Das ist nicht alles. Es ist mehr als nichts. Und es wäre die einzige Antwort, die der Lage gerecht würde.

Weiterlesen

TLP: Informationsaustausch in kommunalen Cyberlagen

TLP: Informationsaustausch in kommunalen Cyberlagen

In einer entstehenden oder eingetretenen Ransomware-Lage entscheidet die Disziplin des Informationsaustauschs zwischen Kommune, Sicherheitsbehörden, Aufsichtsstellen und Dienstleistern maßgeblich über den weiteren Verlauf. Eine unbedachte Weitergabe kann Ermittlungen gefährden, die Taktung des Angreifers beschleunigen oder rechtlich geschützte Belange verletzen. Das Traffic Light Protocol (TLP) ist das im deutschen Behördenumfeld etablierte Instrument,