Cyber Range für Kommunen im InfSG LSA
Für Stromnetzbetreiber gibt es sie längst. Das Fraunhofer FKIE hat im März 2026 mit „PowerRange" eine Simulationsplattform vorgestellt, auf der Energieversorger Angriffsszenarien gegen ihre Netzleittechnik durchspielen (pv magazine, 12. März 2026). Für Industrie und Versorger steht eine ganze Bandbreite kommerzieller Cyber Ranges bereit. Die Bundeswehr hält mit dem Bundeswehr Cyber Security Center eine Penetrationstest-Kapazität vor, mit dem Cyber Operations Center eine Red-Team-Einheit, mit dem Forschungsinstitut CODE eine universitäre Säule der Cyber-Defence-Forschung. Für Landratsämter und Rathäuser gibt es nichts davon. Es gibt Fortbildungslehrgänge der Bundesakademie für öffentliche Verwaltung gemeinsam mit dem BSI und Präsenzseminare im Fraunhofer-Lernlabor Cybersicherheit. Zertifikatswege, Tagesformate – aber keine immersive Übungsumgebung mit Rollenmodellen, Angriffssimulation und Krisenkommunikationstraining.
Diese Asymmetrie ist die Pointe. Wer Strom verteilt, kann üben. Wer Bauanträge bearbeitet oder Sozialleistungen auszahlt, kann es nicht – nicht so, wie es der Realität eines Verwaltungsangriffs nahekäme. Die Leerstelle ist kein Versehen des Marktes. Sie ist Folge einer langen Vernachlässigung der kommunalen und Landesverwaltungsebene als Übungsadressat.
In diese Lücke versucht der Landes-CIO Sachsen-Anhalts, Bernd Schlömer, zu zielen. Im eGovernment-Interview vom 9. April 2026 beschreibt er eine „Cyber Range für Kommunen" als „Übungs- und Planspielzentrum", in dem „Bürgermeister oder Landräte … mit ihren Teams" Abläufe „in einem Reallabor konzentriert durchspielen", „ohne Ablenkung vom Tagesgeschäft". Die Marktlücke benennt er wörtlich: Cyber Ranges „für kommunale Unternehmen wie Energie- oder Wasserversorger" gebe es, „aber eben noch nicht für Landratsämter oder Rathäuser". Eine Machbarkeitsstudie ist beauftragt, die Zusammenarbeit mit der Cyberagentur am Standort Halle wird angestrebt; IT-Dienstleister, CERT und BSI sollen sich beteiligen.
Eine Bemerkung zur Lage: Die Ankündigung eines kommunalen Übungszentrums fällt mit dem Inkrafttreten eines Landesgesetzes zusammen, das die Kommunen gar nicht erfasst. Im Entwurf des Informationssicherheitsgesetzes Sachsen-Anhalt kommen die Wörter „Cyber Range", „Übung", „Simulation", „Trainingsumgebung", „Reallabor" und „Erprobungsplattform" nicht vor. Was vorkommt, ist ein Geflecht von Vorschriften, das einzeln Schulungs-, Erprobungs- und Prüffunktionen trägt – und gemeinsam einer Cyber Range in Funktion und Architektur sehr nahekommt. Es geht nicht darum, ob die Cyber Range im Gesetz verankert ist – das ist sie nicht. Es geht darum, ob sich bestimmte Aspekte daraus ableiten lassen und für wen dies zutrifft.
Was eine Cyber Range fachlich voraussetzt
Eine Cyber Range ist eine virtualisierte, mandantenfähige Übungs- und Erprobungsumgebung mit definierten Rollenmodellen. Sie simuliert Angriffsszenarien, prüft Detektionslogiken, erprobt Incident-Response, trainiert Krisenkommunikation. In der erweiterten Form ist sie zugleich Reallabor. Sie braucht dreierlei: eine Rechtsgrundlage für die Verarbeitung der eingespielten Daten, einen Träger mit operativer Reife, einen klar umrissenen Adressatenkreis. Jede dieser Voraussetzungen behandelt das InfSG LSA an mehreren Stellen, keine abschließend. Schlömer setzt selbst eine Grenze: Man werde „nicht mit Echtdaten arbeiten". Eine Selbstbegrenzung, die die rechtliche Konstruktion erheblich erleichtert.
Die strukturelle Vorentscheidung – § 2
§ 2 Absatz 1 begrenzt das Gesetz auf wichtige Stellen der unmittelbaren Landesverwaltung. § 2 Absatz 4 nimmt elf Stellengruppen aus: Landtagsverwaltung, Datenschutz- und Informationsfreiheitsbeauftragte, Landesrechnungshof, Rechtsprechung und Rechtspflege einschließlich Staatsanwaltschaften und Justizvollzug, Hochschulen und Universitätsklinika, MDR und schließlich der gesamte Bereich nationale Sicherheit, Verteidigung, Strafverfolgung und Verfassungsschutz. Kommunen, Landkreise und kommunale Zweckverbände sind nicht erst ausgenommen – sie sind gar nicht aufgenommen. Die Begründung stellt das nüchtern klar: Das Gesetz schaffe „für Kommunen keine Verpflichtungen". Damit ist die Vorentscheidung getroffen. Eine Cyber Range nach diesem Gesetz ist zunächst eine Cyber Range der Landesverwaltung. Schlömers Ankündigung – eine Cyber Range, in die Bürgermeister und Landräte kommen – liegt an dieser Stelle außerhalb des Gesetzes, das sein Haus federführend verantwortet.
Die Trägerschicht – §§ 4 und 5
§ 4 Absatz 2 Nummer 5 weist dem Ministerium die Vorbereitung von Sensibilisierungs- und Schulungsmaßnahmen samt Unterlagen zu, Nummer 4 die Konzeption von Maßnahmen für Störungen, Notfälle, Krisen und Katastrophen. Beides zusammen ist der Auftrag, Übungs- und Trainingsformate vorzuhalten – mit oder ohne Plattform.
§ 4 Absatz 5 und § 5 Absatz 5 öffnen das Erfüllungsverhältnis. Ministerium, zuständige Behörde und CSIRT dürfen sich „geeigneter Dritter" bedienen. Die Begründung nennt das CERT Nord der Dataport AöR ausdrücklich, alternativ einen SOC-Dienstleister. Eine Cyber Range muss das Land also nicht selbst betreiben. Sie kann beim CERT Nord liegen, an einer Hochschule, bei der Cyberagentur am Standort Halle oder in einem privaten Konsortium – genau der Adressatenkreis, den Schlömer benennt.
§ 5 Absatz 2 listet zehn Aufgaben des CSIRT. Nummer 8 verpflichtet zur Unterstützung öffentlicher Stellen des Landes „hinsichtlich der Überwachung ihrer informationstechnischen Systeme, Komponenten oder Prozesse". § 5 Absatz 4 Satz 6 verlangt, dass das CSIRT-Personal „entsprechend seinen Aufgaben und Pflichten geschult ist"; eine Cyber Range wäre dafür ein qualifiziertes Mittel. Übung, Simulation und Erprobung stehen als eigene Aufgaben nicht in § 5 – ableitbar, aber nicht ausgesprochen.
Die Nachfrageschicht – §§ 8 und 10
§ 8 Absatz 1 Nummer 7 verlangt von den wichtigen Stellen „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Informationssicherheit"; Nummer 3 fordert Maßnahmen zum Krisenmanagement. § 10 Absatz 2 verpflichtet die Leiterinnen und Leiter zur regelmäßigen Teilnahme an Schulungen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Informationssicherheit … zu erwerben". Diese Vorschriften verlangen Schulung, nicht Plattform. Aber sie schaffen die Grundgesamtheit, ohne die eine zentrale Cyber Range wirtschaftlich nicht zu begründen wäre – und eine Leitungs-Anschlussfähigkeit, die im Krisenfall regelmäßig fehlt. Schlömer formuliert dieselbe Erkenntnis aus der Praxis: Ein Reallabor sei „viel nachhaltiger, als etwa einen Vortrag anzuhören".
Die Prüflinie – § 11 Absatz 4
§ 11 Absatz 4 ermächtigt das Ministerium zu „gezielten Sicherheitsprüfungen und Sicherheitsscans samt zugehöriger Datenverarbeitungen" bei wichtigen Stellen. Durchführen darf sie das CSIRT – oder „geeignete und unabhängige Dritte im Sinne von Artikel 33 Absatz 2 Buchstabe b der Richtlinie (EU) 2022/2555". Damit sind Penetrationstests, Red-Team-Übungen und Schwachstellenscans gedeckt. Bestandteile eines Cyber-Range-Programms – aber als Aufsichts-, nicht als Schulungsmaßnahme. Wer eine Cyber Range über § 11 trägt, baut sie als Prüf-, nicht als Lernumgebung.
Die datentechnische Engstelle – §§ 13 und 14
Sobald reale oder realitätsnahe Daten ins Spiel kommen, greifen §§ 13 und 14. § 13 erlaubt eine zweckändernde Verarbeitung nur zur Sammlung, Auswertung oder Untersuchung von Schwachstellen, Schadprogrammen und Angriffen sowie zur Unterstützung in Fragen der Informationssicherheit. § 14 Absatz 1 verlangt unverzügliche automatisierte Auswertung und anschließende sichere Löschung; gespeichert wird ausschließlich in der EU. Absätze 2 und 3 erlauben Protokoll-, Protokollierungs- und Inhaltsdaten für längstens 180 Tage und nur unter engen Voraussetzungen. Absatz 8 verbietet jede darüber hinausgehende Auswertung zu anderen Zwecken und die Weitergabe personenbezogener Daten an Dritte.
Eine Schulungs-Cyber-Range mit synthetischen oder anonymisierten Daten bleibt von §§ 13/14 unberührt. Sie fällt nicht in deren Anwendungsbereich – genau die Konstruktion, die Schlömer beschreibt. Eine Cyber Range mit Vorfalldaten kann diese nur verarbeiten, wenn die Verarbeitung der Gefahrenabwehr dient. Training im engeren Sinne ist kein Zweck der §§ 13/14.
Die Tür zum Reallabor – § 16
§ 16 ermächtigt jede oberste Landesbehörde, durch Rechtsverordnung – im Einvernehmen mit der zuständigen Stelle nach § 4 Absatz 3 Satz 1 und mit Zustimmung der Landesbeauftragten für den Datenschutz – sachlich und örtlich begrenzte Ausnahmen zur Auswertung „von anderen nicht in § 14 Absatz 2 genannten Daten" für höchstens drei Jahre zuzulassen, „zur Erprobung neuer Systeme zur Datenanalyse, die der Abwehr von Gefahren für die informationstechnischen Systeme des Landes Sachsen-Anhalt dienen". Damit öffnet sich der starre Datenkorridor des § 14 – unter rechtsstaatlicher Kontrolle. Eine Cyber Range mit Reallaborfunktion passt hinein: neues System zur Datenanalyse, mittelbar der Gefahrenabwehr dienend, sachlich, örtlich und zeitlich begrenzbar.
§ 16 ist Datenverarbeitungs-, keine Infrastrukturermächtigung. Die Plattform selbst muss sich organisatorisch auf andere Vorschriften stützen. Zudem liegt die Ermächtigung bei den obersten Landesbehörden; eine ressortübergreifende Cyber Range setzt entweder eine Verordnung des für Informationssicherheit zuständigen Ministeriums voraus – oder eine konzertierte Aktion mehrerer obersten Landesbehörden. Schlömers Cyber Range bewegt sich, solange keine Echtdaten verarbeitet werden, im Schulungs-, nicht im Reallaborkorridor. Erst wenn aus Übungen Erkenntnisse für neue Detektions- und Analyseverfahren gewonnen werden, kommt § 16 in Reichweite.
Der parlamentarische Anschluss – § 17
§ 17 verpflichtet das Ministerium, dem Landtag erstmals zum 31. Dezember 2027 zu berichten; danach „jeweils nach Ablauf weiterer fünf Jahre". Darzulegen sind Auswirkungen des Gesetzes, Projekte nach der Experimentierklausel und Weiterentwicklungsbedarf. Die Begründung verweist auf qualitative Indikatoren – Schulungen, Sensibilisierungskonzepte, etablierte Prozesse. § 17 ist der Kanal, durch den eine unter § 16 betriebene Cyber Range in die parlamentarische Wahrnehmung käme. Ohne ihn bliebe sie eine Maßnahme der Exekutive. Mit ihm wird sie dokumentiertes Element der landesweiten Sicherheitsarchitektur.
Welche Konstellationen der Entwurf trägt
Aus diesen Vorschriften lassen sich vier Konstellationen formen. Eine Schulungs-Cyber-Range für die Landesverwaltung, getragen von § 4 Absatz 2 Nummer 5, § 8 Absatz 1 Nummer 7 und § 10 Absatz 2, betrieben über die Drittenklauseln durch das CERT Nord oder einen anderen geeigneten Dritten; sie kommt mit synthetischen Daten aus und entspricht dem, was Schlömer als „Übungs- und Planspielzentrum" skizziert. Eine Prüf-Cyber-Range für Sicherheitsprüfungen, Scans und Red-Team-Übungen, gestützt auf § 11 Absatz 4 in Verbindung mit § 5 Absatz 2. Eine Reallabor-Cyber-Range zur Erprobung neuer Detektions- und Reaktionsverfahren, gestützt auf § 16 und über § 17 parlamentarisch begleitet – die einzige Variante, die über den Schulungsbegriff hinausreicht. Und eine kombinierte Schulungs- und Reallabor-Cyber-Range, die alles zusammenführt – die strategisch wertvollste, wenn §§ 4, 5, 8, 10, 11 Absatz 4, 13, 14, 16 und 17 sauber ineinandergreifen.
Die kommunale Leerstelle – und ihre freiwillige Öffnung
Zurück zur Marktlücke. Eine kommunal mitgenutzte Cyber Range trägt der Entwurf nicht. § 2 Absatz 1 schließt die kommunale Ebene aus, § 2 Absatz 4 nimmt zusätzlich Bereiche aus, in denen eine Cyber Range besonderen Nutzen hätte. Die Adressatengruppe, die Schlömer erkennbar meint, kommt im Gesetz nicht vor.
Hier setzt eine spekulative Linie an, die aus der Architektur des Entwurfs und aus der Programmatik des Landes herauswächst. Was nicht verpflichtend geöffnet werden kann, kann freiwillig geöffnet werden. Der Hebel liegt in den Drittenklauseln der §§ 4 Absatz 5 und 5 Absatz 5; das CERT Nord erfüllt schon heute Aufgaben des Landes und wäre der natürliche Adressat einer kommunalen Verstärkung. Eine Cyber Range, die in einer ersten Stufe der Landesverwaltung dient und in einer zweiten Stufe den Kommunen über Verwaltungsvereinbarung, Anschlussvertrag oder Förderlinie offensteht, ist vom InfSG LSA nicht gedeckt – aber auch nicht ausgeschlossen.
Freiwilligkeit ist im Sachsen-Anhalt-Modell kein rhetorisches Element, sondern Strukturprinzip. Schlömer formuliert es im selben Interview für die Zentralen Service-Angebote: „Keine Kommune ist gezwungen, mit in die Bündelung einzusteigen. Das ist uns sehr wichtig, denn die kommunale Selbstverwaltung wollen wir nicht antasten." Was für die Online-Dienste gilt, lässt sich auf die Cyber Range übertragen. Eine Kommune, die ihre Krise üben will, weil ihr Bürgermeister die Folgen des Nachbarlandkreises kennt, braucht keine gesetzliche Verpflichtung. Sie braucht eine offene Plattform, eine niedrigschwellige vertragliche Aufnahme und eine fachliche Begleitung. Baut das Land (vor dem Hintergrund des aktuellen Gesetzesentwurfes) seine Cyber Range so, dass Kommunen sie freiwillig und ohne große Zugangshürden nutzen können, mildert es die Fatalität, sie aus dem Anwendungsbereich herausgelassen zu haben. Es behebt sie nicht.
Freiwillige Anschlussfähigkeit der Kommunen an eine Cyber Range
Zwischen einer gut versorgten KRITIS-Übungslandschaft und einer Verwaltung, die ihre Krisen weiter im Frontalformat lernt, klafft eine Lücke, die kein Marktteilnehmer schließen wird. Der Entwurf des InfSG LSA enthält keine Cyber Range. Er enthält ein Geflecht von Vorschriften, das eine tragen kann – als didaktisches, als prüfendes und, im anspruchsvollsten Fall, als forschendes Instrument. Schlömers Beschreibung ist in der Schulungs-, der Prüf- und der kombinierten Variante vollständig im Gesetz abbildbar. Was fehlt, ist nicht die Möglichkeit einer Cyber Range. Was fehlt, ist ihre normative Adressierung an die kommunale Ebene. Diese kann der Entwurf nicht leisten. Eine freiwillige Öffnung für die Kommunen kann er aber tragen – weil die Drittenklauseln den Spielraum offenlassen und Freiwilligkeit das erklärte Strukturprinzip der landesseitigen Zusammenarbeit mit den Kommunen ist. Daraus wird kein gesetzlich verankertes kommunales Schutzniveau, aber ein potentiell erreichbares.
