Panel-Recap

„Sicheres Deutschland 2030“ entscheidet sich in den Kommunen

Sabine Griebsch

Sabine Griebsch

4 Min. Lesezeit
Teilen
„Sicheres Deutschland 2030“ entscheidet sich in den Kommunen

Auf der Public IT Security in Berlin stand am Ende eine Diskussion, die das Zielbild der Nationalen Sicherheitsstrategie auf vier Prinzipien verdichtete: Governance statt Heldentum, gesamtstaatliche statt rein militärischer Verteidigung, Souveränität ohne Autarkie, Resilienz der Bevölkerung als strategisches Zentrum. Das Panel war hochkarätig besetzt - Streitkräfte, Wissenschaft, Sicherheitsbehörden. Es spiegelte damit präzise die Architektur der Strategie, und es reproduzierte zugleich deren blinden Fleck. Denn keines der genannten Ziele entscheidet sich auf einer Bühne im Hotel Adlon. Es entscheidet sich in den Kreisverwaltungen, Rathäusern und kommunalen Rechenzentren - dort, wo die zweite Reihe steht, auf die der Gegner zielt.

Die Lage ist unstrittig, die Antwort nicht

An der Diagnose gibt es nichts zu deuteln. Die Bitkom-Studie „Wirtschaftsschutz 2025“ beziffert den jährlichen Gesamtschaden durch Diebstahl, Sabotage und Spionage auf rund 289 Milliarden Euro. Etwa 70 Prozent davon, gut 202 Milliarden, entfallen inzwischen auf Cyberangriffe. 87 Prozent der Unternehmen waren konkret betroffen. Auch das Panel formulierte die Befunde sauber: Automatisierung und Autonomie sind nicht erst mit der KI in die Welt gekommen; was die KI senkt, ist die Expertise- und Kostenschwelle, um anzugreifen. Der Gegner sucht sich verlässlich den Schwächsten. Und Verteidigung ist eine gesamtstaatliche Aufgabe, kein Privileg der Uniform.

Strittig ist nicht die Lage. Strittig ist, ob die Antworten dort ankommen, wo die Angriffsfläche am größten und die Abwehrbereitschaft am geringsten ist. Das ist nicht der Bund. Das sind die Kommunen.

Governance ist kein Strategiebegriff, sondern eine Frage organisatorischer Schulden

Die Forderung, vom Heldentum zur Governance zu kommen, trifft den Kern. Sie beschreibt aber zugleich, woran es kommunal am sichtbarsten fehlt. Wer einen Cyberangriff in einer Kommune erlebt hat, weiß: Die Bewältigung gelingt fast nie, weil eine Struktur funktioniert, sondern obwohl sie fehlt. Sie gelingt, weil einzelne Personen über sich hinauswachsen. Genau das ist Heldentum im Sinne des Panels - ein Betriebszustand, der nicht skaliert und nicht resilient ist, weil er an Köpfen hängt statt an Rollen.

Aus kommunaler Sicht ist Governance deshalb kein Begriff aus dem Strategiepapier, sondern die Kehrseite organisatorischer Schulden: aufgeschobene Investitionen, intransparente Entscheidungen, dauerhafte Provisorien, fehlende Verantwortlichkeiten. Eine Kommune ohne unabhängige Stellung des IT-Sicherheitsbeauftragten, ohne dokumentierte Prozesse, ohne Vortragsrecht der IT in den Gremien kann die beschworene Governance gar nicht herstellen - unabhängig davon, wie gut die Strategie auf Bundesebene formuliert ist. Die konzeptionelle Vollständigkeit, die das Panel zu Recht konstatierte, endet exakt an der Schwelle zur kommunalen Umsetzungsfähigkeit. Dort beginnt das eigentliche Problem.

Organisatorische Schulden verschärfen eine Krise nicht nur, sie beschleunigen sie. Sie bleiben unsichtbar, solange der Normalbetrieb läuft, und werden in dem Moment fällig, in dem eine Lage Tempo und Flexibilität verlangt. Wer 2030 sicher sein will, muss diese Schulden vorher tilgen. Das ist eine Aufgabe für den laufenden Haushalt, nicht für eine spätere Legislatur.

Das Center of Gravity ist die Bevölkerung - der Hebel ist die Verwaltung

Das überzeugendste Argument des Panels war die Bestimmung des Schwerpunkts: Der hybride Angriff zielt zuerst auf die Bevölkerung, weil die Verteidigungsfähigkeit demokratischer Staaten wesentlich aus deren Resilienz erwächst. Das ist richtig, und es ist folgenreicher, als es auf der Bühne klang. Denn die Bevölkerung erlebt Staat nicht abstrakt, sondern an der Schnittstelle, die im Krisenfall zuerst ausfällt: der Kommune. Fällt das Bürgerbüro, die Leitstelle, die Sozialleistung oder die Zulassungsstelle aus, ist das keine IT-Störung. Es ist ein unmittelbarer Vertrauensverlust in die Handlungsfähigkeit des Staates.

Die Kommune ist damit nicht nur Angriffsfläche, sondern der Ort, an dem gesellschaftliche Resilienz konkret wird. Das Panel adressierte diese Ebene allenfalls mittelbar. Es sprach über Streitkräfte, Wissenschaft, Souveränität und Bevölkerung - die kommunale Verwaltung als verbindendes Glied blieb eine Leerstelle. Die selbstkritische Bemerkung, man hätte gern auch Menschen am Tisch, die nicht aus der eigenen Community kommen, beschrieb diese Lücke unfreiwillig präzise. Solange kommunale Praxis nicht mitdiskutiert, bleibt gesamtstaatliche Sicherheit eine Diskussion über die Kommune, nicht mit ihr.

Die zweite Reihe hat einen Namen

Die Metapher von der zweiten Reihe lässt sich ohne Umschweife übersetzen. Es sind die rund elftausend Kommunen mit historisch gewachsener, heterogener IT, dünner Personaldecke und chronisch defizitären Haushalten. Während Bund und große KRITIS-Betreiber zunehmend professionalisiert sind, bleibt die kommunale Ebene das attraktivste Ziel mit dem geringsten Schutzniveau. Die im Panel angesprochene Schere - jene Mehrheit der Einheiten, die man nicht aus dem Blick verlieren dürfe - ist auf der kommunalen Landkarte am deutlichsten sichtbar.

Quantentechnologie und KI-gestützte Angriffe sind reale Zukunftsthemen. Für die überwiegende Mehrheit der Kommunen entscheidet sich Sicherheit aber weiterhin an Basishygiene: Patch-Management, Netzsegmentierung, belastbare Backups, sauberes Rechte-Management, ein gelebter Offboarding-Prozess. Dass die KI die Einstiegsschwelle für Angreifer senkt, verschiebt das Risiko überproportional zu Lasten genau jener Stellen, die ohnehin am wenigsten abwehrbereit sind. Die Distanz zwischen Bedrohungsniveau und Schutzniveau ist nirgends so groß wie hier.

Souveränität wird kommunal an Fachverfahren entschieden

Die Souveränitätsdebatte des Panels wurde auf der Ebene nationaler Schlüsseltechnologien geführt: Halbleiter, Lithografie, die Abhängigkeit von einzelnen Plattformen. Übersetzt man sie auf die kommunale Ebene, verliert sie nichts an Schärfe, gewinnt aber an Konkretheit. Kommunale Handlungsfähigkeit hängt an einer überschaubaren Zahl von Fachverfahren und Basisdiensten, bereitgestellt über kommunale IT-Dienstleister und wenige Anbieter. Die Abhängigkeit ist hier nicht abstrakt, sondern operativ unmittelbar. Fällt ein zentraler Dienst aus oder wird er strategisch abgedreht, steht nicht eine Behörde still, sondern eine Versorgungskette für Bürgerinnen und Bürger.

Die Einsicht, Souveränität bedeute nicht Autarkie, sondern Augenhöhe und belastbare Alternativen, ist deshalb auch ein kommunaler Auftrag: Mehranbieterfähigkeit, exit-fähige Verträge, dokumentierte Wiederanlaufpläne und die Bereitschaft, Abstriche bei Komfort und Performance zugunsten von Beherrschbarkeit zu akzeptieren. Der Satz „können wir noch nicht, aber wir arbeiten daran“ ist auf Bundesebene eine Haltung. Kommunal ist er eine Frage der Notfallvorsorge.

Das Tempoproblem trifft die Kommune doppelt

Die Wissenschaft adressierte das Tempoproblem treffend: Die Transformation verläuft schnell, Ausschreibungs- und Genehmigungsprozesse verlaufen langsam, und bis etwas genehmigt ist, ist es oft nicht mehr relevant. Kommunal ist dieser Befund zugespitzter. Vergaberecht, Haushaltslogik und die Mechanik der Kreisumlage wirken wie ein Verstärker der Langsamkeit - und treffen auf eine Investitionsrealität, in der angemessene technische Anschaffungen regelmäßig schon in der Haushaltsaufstellung zurückgewiesen werden. Sicherheit lässt sich nicht im Tempo der Bedrohung beschaffen, wenn Investitionen im Tempo des Defizits priorisiert werden.

Was bleibt also?

Das Panel hat die richtigen Prinzipien benannt. Es hat sie nur auf der falschen Höhe verhandelt. Aus kommunaler und Länderperspektive ist die entscheidende Erkenntnis eine andere als die der Strategiepapiere: Die konzeptionelle Vollständigkeit auf Bundesebene sagt nichts über die Umsetzungsfähigkeit in Ländern und Kommunen aus. Governance, Personal und Finanzierung sind föderal verteilt. Das Panel verhandelte Strategie, nicht Vollzug.

Sicheres Deutschland 2030 wird es nicht geben, wenn die Sicherheit der Kommunen 2030 noch immer von einzelnen Heldinnen und Helden abhängt. Die eigentliche Arbeit beginnt nicht bei der Strategie. Die ist da. Sie beginnt beim Vollzug, beim Personal, bei der Finanzierung und bei der Tilgung organisatorischer Schulden. Und sie beginnt damit, die kommunale Stimme an den Tisch zu holen - nicht als Gast, sondern als die Ebene, auf der sich gesamtstaatliche Sicherheit für die Bevölkerung am Ende beweist.

Weiterlesen

TLP: Informationsaustausch in kommunalen Cyberlagen

TLP: Informationsaustausch in kommunalen Cyberlagen

In einer entstehenden oder eingetretenen Ransomware-Lage entscheidet die Disziplin des Informationsaustauschs zwischen Kommune, Sicherheitsbehörden, Aufsichtsstellen und Dienstleistern maßgeblich über den weiteren Verlauf. Eine unbedachte Weitergabe kann Ermittlungen gefährden, die Taktung des Angreifers beschleunigen oder rechtlich geschützte Belange verletzen. Das Traffic Light Protocol (TLP) ist das im deutschen Behördenumfeld etablierte
Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Eine Cyber Range ist die einzige Lernform, die einem realen Cyberangriff annähernd standhält. Sie ist eine virtualisierte, mandantenfähige Übungs- und Erprobungsumgebung mit definierten Rollenmodellen: Sie simuliert Angriffsszenarien, prüft Detektionslogiken, erprobt Incident-Response, trainiert Krisenkommunikation. In der erweiterten Form ist sie zugleich Reallabor für neue Detektions- und Reaktionsverfahren. Der Mehrwert für