Krisenmanagement

Kommunen und zivile Verteidigung

Sabine Griebsch

Sabine Griebsch

10 Min. Lesezeit
Teilen
Kommunen und zivile Verteidigung

183.000 Soldatinnen und Soldaten können eine Front vielleicht schützen, aber keine 83 Millionen Menschen im Hinterland. Dieser Satz mag militärisch klingen, ist aber zutiefst zivil. Er beschreibt das Grundprinzip der zivilen Verteidigung in einem demokratischen Rechtsstaat: Sie ist keine Aufgabe der Streitkräfte. Es ist eine gesamtstaatliche Aufgabe, und auf der untersten, operativsten Ebene liegt sie bei den Kommunen.

Dies gilt für die Landkreise, Städte und Gemeinden, die täglich Meldewesen, Sozialleistungen, Wasserversorgung, Schulen und Katastrophenschutz organisieren. Wenn der Ernstfall eintritt, müssen sie genau diese Funktionen unter Druck aufrechterhalten. Dabei sind sie auf eine digitale Infrastruktur angewiesen, die in vielen Fällen weder für den Normalbetrieb noch für den Krisenfall ausreichend gesichert ist.

Deutschland befindet sich längst im hybriden Graubereich

Die Bundeswehr beschreibt die sicherheitspolitische Lage mit einer zunächst akademisch klingenden, aber präzisen Formulierung: „Wir stehen weder im Frieden noch im Krieg.” Was das konkret bedeutet, zeigt sich täglich: Angriffe auf Seekabel und Bahninfrastruktur, Drohnenüberflüge über militärisch sensibles Gelände, koordinierte Desinformationskampagnen, russische Marinepräsenz in der Ostsee und Cyberangriffe auf Behörden, Energieversorger und kommunale IT-Systeme.

Seit Beginn des russischen Angriffskriegs gegen die Ukraine dokumentiert das Bundesamt für Verfassungsschutz einen messbaren Wandel: weg von reiner Spionage, hin zu Sabotage und Desinformation. Staatliche und staatsnahe Akteure greifen gezielt die Infrastruktur an, die das gesellschaftliche Leben aufrechterhält. Das Ziel ist dabei nicht immer der maximale technische Schaden. Es geht um die Demonstration von Verwundbarkeit. Ein DDoS-Angriff auf ein Landesportal, durch den es tagelang offline ist, richtet technisch gesehen nur begrenzten Schaden an. Politisch sendet er jedoch eine klare Botschaft: Dieser Staat kann sich nicht schützen.

Im Lagebericht 2025 hält das Bundesamt für Sicherheit in der Informationstechnik fest, dass die IT-Sicherheitslage in Deutschland anhaltend angespannt ist. Täglich werden 119 neue Schwachstellen in Softwareprodukten bekannt, was einem Anstieg von 24 Prozent gegenüber dem Vorjahr entspricht. Die Angriffsflächen wachsen schneller, als Schutzmaßnahmen aufgebaut werden können. Das BSI benennt öffentliche Verwaltungen explizit als überproportional betroffene Zielgruppe und gibt gleichzeitig zu, dass eine flächendeckende Unterstützung von Kommunen vor Ort nicht leistbar ist.

Im Bundeslagebild Cybercrime 2025 dokumentiert das BKA 333.922 erfasste Cybercrime-Delikte. Dabei gab es 1.041 angezeigte Ransomware-Angriffe, was einem Anstieg von zehn Prozent gegenüber dem Vorjahr entspricht. Zudem gab es 36 706 DDoS-Angriffe, was einem Anstieg von 25 Prozent gegenüber 2024 entspricht, sowie über 700 hacktivistische Angriffsankündigungen gegen deutsche Ziele, was einem Anstieg von 224 Prozent entspricht. Allein die Gruppe NoName057(16) führte zehn koordinierte Angriffswellen gegen deutsche Ziele aus, wodurch sich die Zahl der Betroffenen um 176 Prozent erhöhte. Ransomware trifft zu 90 Prozent kleine und mittlere Organisationen sowie öffentliche Einrichtungen. Betroffen sind nicht die großen Bundesbehörden und nicht die DAX-Konzerne, sondern die Kommunen.

Die vier Felder ziviler Verteidigung und ihre digitale Grundlage

Die zivile Verteidigung im deutschen System basiert auf vier Säulen: Sicherung der Staats- und Regierungsfunktionen, Planung des Zivilschutzes, Versorgung der Bevölkerung in Notlagen und Unterstützung der Bundeswehr und Verbündeter. Diese Felder sind keine theoretischen Kategorien. Es handelt sich um operative Aufgaben, die alle durch die kommunale Verwaltung laufen.

Wer meldet, wer evakuiert, wer koordiniert? Die Kommune. Wer stellt die Daten bereit, auf deren Basis Entscheidungen getroffen werden? Die kommunalen IT-Systeme, konkret die Fachverfahren für Einwohnermeldung, Katastrophenschutzkoordination, Versorgungslogistik und Einsatzkräfteführung. Diese Systeme sind kein Beiwerk. Sie sind das operative Nervensystem der kommunalen Krisenreaktion. Wenn die Bundeswehr im Rahmen des Operationsplans Deutschland mit verlässlichen Einwohnerdaten, Versorgungskapazitäten und Infrastrukturinformationen unterstützt werden soll, ist dafür genau diese IT-Infrastruktur erforderlich - sowie ein IT-Krisenmanagement, das sicherstellt, dass sie auch bei Angriffen oder Ausfällen noch funktioniert.

Genau hier liegt das strukturelle Problem: Alle vier Felder ziviler Verteidigung durchdringt eine Voraussetzung, die in keiner dieser Kategorien explizit geführt wird - die digitale Handlungsfähigkeit der kommunalen Verwaltung. Sie ist keine Option. Sie ist die operative Grundlage. Und sie ist in weiten Teilen nicht gesichert.

Was IT-Ausfall in der Praxis bedeutet

In seiner Studie zur Informationssicherheit in Kommunen 2025 hat das Bundesinstitut für Bau-, Stadt- und Raumforschung dokumentiert: In den Jahren 2023 und 2024 traf es im Durchschnitt zwei Kommunen oder kommunale Betriebe pro Monat in Deutschland. Betroffen waren Kommunen mit 2.800 bis über 1,8 Millionen Einwohnerinnen und Einwohnern. Größe schützt nicht. Was diese Vorfälle verbindet, ist kein technisches Muster. Es ist ein organisationales.

Das erste wiederkehrende Muster: Eine kommunale Verwaltung wird durch Ransomware getroffen. Innerhalb von Stunden sind kritische Fachverfahren wie das Meldewesen, der Sozialleistungsvollzug, die Bauaktenverwaltung und die Einsatzkoordination nicht mehr erreichbar. Der IT-Betrieb ist ausgefallen. Jetzt zählt nicht mehr Technik, sondern Krisenmanagement. Und genau hier fehlt die Vorbereitung. Es gibt kein Playbook für diesen Fall. Es gibt keinen definierten Krisenstab mit IT-Kompetenz und Entscheidungsbefugnis. Es gibt keine geklärten Zuständigkeiten für die Beauftragung externer Incident-Response-Kapazitäten. Es gibt keine vorab verhandelten Notfall-SLAs mit Dienstleistern. Es gibt keinen Wiederanlaufplan, der priorisiert, welche Fachverfahren in welcher Reihenfolge wieder in Betrieb gehen müssen. Das BSI bezeichnet dieses Muster in Nachbetrachtungen gerne mal als Organisationsversagen - und damit ist nicht die IT-Abteilung gemeint. Es meint die Führungsebene. Der Angriff war der Auslöser. Die Krise war die fehlende Incident-Response-Struktur.

Das zweite Muster: Mehrere Kommunen teilen sich einen IT-Dienstleister oder eine gemeinsame IT-Infrastruktur. Ein einziger Angriff auf diesen Knotenpunkt legt alle gleichzeitig lahm - für Wochen oder sogar Monate. Die Zentralisierung, die Effizienzgewinne versprochen hatte, erzeugt somit einen Single Point of Failure. Das Kritische dabei ist nicht der Angriff selbst. Kritisch ist vielmehr, dass keine der betroffenen Kommunen eine eigenständige Krisenreaktionsstrategie vorbereitet hatte, die ohne den ausgefallenen Dienstleister funktioniert. Es gab keine alternativen Kommunikationswege. Es gab keine Notfallprozesse für einen analogen Betrieb. Es gab keine Vereinbarungen über gegenseitige Unterstützung. Der Verbund, der Resilienz versprechen sollte, multipliziert im Krisenfall die Betroffenheit.

Beide Muster sind empirisch gut belegt. Und sie werden gefährlicher, je mehr eine Verwaltung im Ernstfall leisten muss. Genau in dem Moment, in dem im Rahmen ziviler Verteidigung all das gefordert wird, können Kommunen keine verlässlichen Einwohnerdaten liefern, die Versorgungslogistik nicht digital koordinieren, kein gemeinsames Lagebild erzeugen und keine verlässliche Kommunikation mit Einsatzkräften aufrechterhalten.

Warum sich das nicht von selbst löst

Die Ursachen sind strukturell und nicht individuell. Zwar wollen viele Kommunen handeln, jedoch stoßen sie auf finanzielle Engpässe, fehlende Fachkräfte und mangelnden politischen Rückhalt. Ohne Beschluss des Rates kommt kein Projekt voran. Ohne klare Vorgaben des Landes bleibt es bei gut gemeinten Einzelinitiativen.

Das BBSR hat dies systematisch belegt: Es fehlen verbindliche Vorgaben für die IT-Sicherheit auf kommunaler Ebene, die Kommunen liegen weitgehend außerhalb des Anwendungsbereichs der NIS-2-Richtlinie, obwohl sie überproportional häufig angegriffen werden, es gibt kein ausreichendes Fachpersonal und keine Informationssicherheitsbeauftragten in den Stellenplänen und die Notfallpläne sind veraltet. Das BSI ergänzt, dass 48 Prozent der Betreiber kritischer Infrastrukturen in Deutschland über kein System zur Angriffserkennung verfügen. Das ist kein marginales Defizit. Wer einen Angriff nicht erkennt, kann ihn nicht eindämmen. Wer ihn nicht eindämmt, wird ihn Wochen oder Monate zu spät melden - wenn überhaupt. Und wer ohne Erkennungssysteme operiert, hat im Krisenmanagement das Äquivalent eines Lagebildes ohne Sensoren: Man reagiert auf das, was bereits eingetreten ist, nicht auf das, was gerade eintritt.

Aus der Perspektive des IT-Krisenmanagements halte ich ein bestimmtes Denkmuster für strukturell gefährlich. Wir machen uns die IT selbst zu kompliziert. Je mehr Systeme, Schnittstellen, Fachverfahrensmodule und Cloud-Anbindungen aufeinandergestapelt werden, desto größer wird die Angriffsfläche - und desto weniger versteht jemand das Gesamtsystem noch vollständig. Die Angriffsfläche wächst nicht primär, weil Angreifer besser werden. Sie wächst, weil wir unsere IT so aufbauen, wie wir es tun. Das Prinzip im IT-Krisenmanagement lautet daher: so einfach wie möglich, so sicher wie nötig. Systeme, die von Menschen ohne IT-Kenntnisse bedient werden müssen, brauchen Klarheit und Robustheit.

Hinzu kommt die ungelöste Architekturspannung: Zentralisierung schafft Professionalität, aber auch Single Points of Failure. Dezentralisierung erzeugt zwar Resilienz, überfordert aber kleine Kommunen personell und finanziell. Die Antwort liegt also nicht in einem der beiden Extreme, sondern in föderaler Redundanz mit zentralen Lagefähigkeiten: gemeinsame Infrastruktur dort, wo sie sicher betrieben werden kann, und lokale Handlungs- und Krisenreaktionsfähigkeit dort, wo ein Ausfall des Dienstleisters keine Kettenreaktion auslösen darf.

Government Resilience

Die zivile Verteidigung entwickelt sich wieder zu einem Teil der Daseinsvorsorge. Das ist richtig. Es reicht jedoch nicht aus, wenn diese Erkenntnis auf der Ebene strategischer Papiere verbleibt. Sie muss sich auch in konkreten Strukturentscheidungen niederschlagen.

Government Resilience, also die Fähigkeit staatlicher Institutionen, auch unter komplexen und gleichzeitigen Belastungen robust, handlungs- und lernfähig zu bleiben, ist das konzeptuelle Fundament, das Kommunen benötigen. Kein Einzelszenario-Notfallplan. Kein IT-Sicherheitsprojekt mit Abschlussbericht. Benötigt wird ein ganzheitlicher Rahmen, der quer zu allen Krisentypen wirkt: Prävention, Vorhersage, Erkennung, Reaktion, Stabilisierung, Nachsorge und strukturiertes Lernen aus jedem Vorfall. Dieser Zyklus ist aus dem Krisenmanagement bekannt. Im IT-Kontext wird er jedoch selten vollständig durchlaufen, da die Nachsorge und das strukturierte Lernen oft ausbleiben. Vorfälle werden behoben, aber nicht ausgewertet. Lücken werden geschlossen, aber nicht systematisch erfasst. Somit beginnt das nächste Ereignis auf demselben Ausgangsniveau.

Dieser Rahmen hat drei Dimensionen, die nicht voneinander zu trennen sind.

Technik. Die Grundlagen sind nicht verhandelbar: aktuelle Systeme, regelmäßig getestete Backups, Mehr-Faktor-Authentifizierung, segmentierte Netzwerkarchitekturen sowie definierte Wiederanlaufzeiten für kritische Verfahren. In einer Stichprobe hat das BSI Folgendes festgestellt: 61 Prozent der geprüften .de-Adressen nutzten noch ausschließlich IPv4 und bei etwa der Hälfte der Adressen waren Daten schlecht gesichert oder frei einsehbar. Ein nicht getestetes Backup ist im IT-Krisenmanagement wertlos, denn es ist ein Versprechen, das unter Druck bricht. Segmentierte Netze sind kein Goldstandard. Sie sind die Minimalvoraussetzung, damit sich Ransomware nicht ungehindert lateral durch alle Systeme bewegt.

Prozess. Business Continuity Management ist kein Dokument, das in einem Ordner darauf wartet, verwendet zu werden. Es ist ein gelebter, geübter und regelmäßig überprüfter Prozess. Im IT-Krisenmanagement ist die entscheidende Frage nicht, ob ein System ausfällt, sondern: Welche Fachverfahren müssen binnen 24 Stunden wiederhergestellt sein, damit die Verwaltung ihre Kernfunktionen aufrechterhalten kann? Welche können warten? Diese Priorisierung - in der Fachsprache Recovery Time Objective (RTO) und Recovery Point Objective (RPO) genannt - muss vor dem Ernstfall entschieden und dokumentiert sein. Sie ist kein IT-Parameter. Es handelt sich um eine fachliche und politische Entscheidung, die die Verwaltungsleitung und die IT gemeinsam treffen müssen. Wiederanlaufplanung ist keine IT-Aufgabe. Sie ist eine Führungsaufgabe.

Mensch. IT-Sicherheit, die an die IT-Abteilung delegiert und damit als erledigt betrachtet wird, ist keine Sicherheitsstrategie. Es ist die strukturelle Vorbereitung einer Krise. Das BSI empfiehlt Führungskräften, sich mindestens alle zwei Monate aktiv über den Stand der Informationssicherheit zu informieren - nicht als Pflichttermin, sondern als Teil ihrer strategischen Verantwortung. Wenn es keine benannten Informationssicherheitsbeauftragten mit ausreichenden Befugnissen und Mitteln gibt, dann ist das keine Lücke im Organigramm. Es ist eine Lücke in der Krisenvorsorge. Wer keinen ISB hat, hat niemanden, der Risiken im Vorfeld bewertet, Maßnahmen priorisiert und im Ernstfall im Krisenstab sitzt.

Und die Krisenkommunikation ist der am häufigsten unterschätzte Faktor im Cyber-Krisenmanagement: Wenn Systeme ausfallen, ist oft auch die Kommunikation betroffen. Das ist keine Seltenheit, sondern eine logische Konsequenz: E-Mail, Telefonie, Kollaborationsplattformen und Verteiler laufen in vielen Verwaltungen auf derselben IT-Infrastruktur. Im Angriffsfall ist diese entweder kompromittiert oder nicht mehr erreichbar. So entsteht ein Informationsvakuum, das sich schnell mit Gerüchten, Fehlinformationen und öffentlichem Vertrauensverlust füllt. Desinformation benötigt keine äußeren Einflüsse, wenn innen keine verlässliche Struktur vorhanden ist. Krisenkommunikation im Cyber-Kontext ist deshalb keine Pressemitteilung, die nachts entworfen wird, wenn es bereits brennt. Sie ist eine vorab definierte, kanalredundante Struktur: Funk, Messenger mit Ende-zu-Ende-Verschlüsselung auf getrennter Infrastruktur, Krisenplattformen sowie vorbereitete Texte für den Moment, in dem das Netz weg ist. Und sie beantwortet drei Fragen, die vor dem Ernstfall entschieden sein müssen: Wer kommuniziert, wenn das E-Mail-System kompromittiert ist? Über welchen Kanal, der nicht auf derselben Infrastruktur läuft? Wer hat Zugang zu den Kontaktlisten, wenn das Verzeichnissystem ausgefallen ist? Das sind keine akademischen Fragen. Es geht um operative Lücken, die im Ernstfall darüber entscheiden, ob eine Verwaltung noch koordinierungsfähig ist.

Was jetzt zu tun ist

Aus Sicht des IT-Krisenmanagements lassen sich fünf Handlungsfelder benennen, die keine Millionenetats voraussetzen:

Lagebild erstellen - funktional, nicht IT-technisch. Welche Verfahren sind für die Grundversorgung der Bevölkerung kritisch? Welche Abhängigkeiten bestehen zwischen Fachverfahren, Dienstleistern und Netzinfrastrukturen? Welche davon sind Single Points of Failure? Ein solches Lagebild ist die Voraussetzung für jede weitere Krisenmanagementplanung - doch in den meisten Kommunen existiert es nicht.

Rollen, Entscheidungswege und Kommunikationsstrukturen klären - für den Ausfall, nicht für den Normalbetrieb. Wer hat in einem solchen Fall Entscheidungsbefugnis, wenn der IT-Dienstleister nicht erreichbar ist? Wer aktiviert den IT-Krisenstab? Wer beauftragt externe Incident-Response-Kapazitäten? Wer spricht nach außen? Über welche Kanäle soll kommuniziert werden, wenn E-Mail und Telefon ausgefallen sind? All diese Fragen müssen im Voraus geklärt sein.

Kooperation mit Nachbarkommunen suchen - gemeinsame Anschaffungen, gegenseitige Unterstützungsabkommen, abgestimmte Notfallpläne. Größere IT-Verbünde können ihre Sicherheitsstrukturen professioneller betreiben als Einzelkommunen. Sie müssen jedoch so gestaltet sein, dass der Ausfall eines Verbundknotens keine regionale Krisenreaktion lähmt. Das setzt eine gemeinsame Krisenmanagementplanung voraus und nicht nur eine gemeinsame Beschaffung.

Einsatzkräfte erfassen - auch die in der eigenen Verwaltung. Mitarbeitende mit Reservistenstatus, THW- oder DRK-Mitgliedschaft sind im Ernstfall von besonderer Relevanz. Dasselbe gilt für IT-Fachkräfte in der Verwaltung, die im Krisenfall gezielt eingesetzt werden können, sofern sie erfasst sind, ihre Rolle definiert ist und sie in das Krisenmanagement eingebunden wurden.

Üben - regelmäßig, mit IT-Bezug. Tabletop-Übungen zu Cyberszenarien sind kein Luxus für gut ausgestattete Großstädte. Sie sind das Minimum jeder ernsthaften Krisenvorsorge. Ein Ransomware-Szenario, das in einer zweistündigen Tischübung durchgespielt wird, zeigt schnell, wo die Entscheidungsstrukturen unklar sind, wo die Kommunikation abbricht und wo niemand weiß, welches Fachverfahren zuerst wieder laufen muss. Das sind keine Erkenntnisse, die man im Ernstfall gewinnen sollte.

Was die Kommunen allein nicht lösen können, müssen die Länder liefern: verbindliche Rahmenvorgaben, eine angemessene Konnexitätsfinanzierung, eine strukturelle Einbindung in CERT-Strukturen sowie überregionale Lagebilder. In der BBK-Konzeption ziviler Verteidigung aus dem Jahr 2016 wird das Wort „Cyber” nur zweimal erwähnt. Die Richtlinie NIS-2 hat Kommunen europaweit weitgehend ausgenommen. In vielen Bundesländern ist die Situation ähnlich.

Was die Ukraine lehrt

Die Ukraine zeigt, welche Schäden an der Infrastruktur im Kriegsfall entstehen können. Sie zeigt auch, wozu Cyber- und IT-Krisenmanagement unter extremem Druck fähig ist - vorausgesetzt, es wurde im Voraus aufgebaut. Verwaltungen, die in den Jahren vor dem Angriff digitale Notfallstrukturen aufgebaut hatten, blieben länger handlungsfähig als jene, die dies versäumt hatten. Kritische Behördendaten, die in die Cloud migriert worden waren, überlebten die physische Zerstörung der Serverräume. Kommunikationsstrukturen, die auf redundante Kanäle ausgelegt waren, funktionierten noch, als das öffentliche Netz zusammenbrach.

Das ist kein Zufall. Es sind die Früchte von Entscheidungen, die im Normalbetrieb getroffen wurden.

Deutschland befindet sich nicht in diesem Extremszenario. Doch der hybride Graubereich ist kein Friedenszustand. Er bedeutet einen kontinuierlichen Teststress für genau die Strukturen, die im Ernstfall tragen müssen. Die Lageberichte von BSI, BKA und BfV zeigen bereits jetzt, wo die Lücken sind.

Zivile Verteidigung ist wieder eine reale Anforderung an kommunale Verwaltungen

Die Frage ist nicht, ob Kommunen investieren sollten. Sie sind bereits Teil des Systems. Der Operationsplan Deutschland, die vier Felder ziviler Verteidigung und die Anforderungen an die Unterstützung der Streitkräfte setzen eine funktionsfähige kommunale Verwaltung voraus. Keine funktionierende Verwaltung ohne funktionierende IT. Und keine funktionierende IT ohne ein Cyber- und IT-Krisenmanagement, das nicht nur präventiv, sondern auch reaktiv ausgerichtet ist: mit Erkennungsfähigkeiten, definierten Reaktionsstrukturen, geübten Prozessen und einer Führungsebene, die im Ernstfall entscheidungsfähig bleibt.

Cyber- und IT-Krisenmanagement ist in diesem Kontext keine Spezialaufgabe für IT-Abteilungen. Es ist eine Führungsaufgabe, die in die Kernverantwortung kommunaler Entscheidungsträger fällt. Government Resilience ist das konzeptuelle Fundament dafür - nicht szenariospezifisch, sondern szenariounabhängig tragfähig. Im Hochwasserfall. In der Pandemie. Bei einem Terrorereignis. Und wenn der Operationsplan Deutschland greift.

Weiterlesen

TLP: Informationsaustausch in kommunalen Cyberlagen

TLP: Informationsaustausch in kommunalen Cyberlagen

In einer entstehenden oder eingetretenen Ransomware-Lage entscheidet die Disziplin des Informationsaustauschs zwischen Kommune, Sicherheitsbehörden, Aufsichtsstellen und Dienstleistern maßgeblich über den weiteren Verlauf. Eine unbedachte Weitergabe kann Ermittlungen gefährden, die Taktung des Angreifers beschleunigen oder rechtlich geschützte Belange verletzen. Das Traffic Light Protocol (TLP) ist das im deutschen Behördenumfeld etablierte Instrument,
Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Eine Cyber Range ist die einzige Lernform, die einem realen Cyberangriff annähernd standhält. Sie ist eine virtualisierte, mandantenfähige Übungs- und Erprobungsumgebung mit definierten Rollenmodellen: Sie simuliert Angriffsszenarien, prüft Detektionslogiken, erprobt Incident-Response, trainiert Krisenkommunikation. In der erweiterten Form ist sie zugleich Reallabor für neue Detektions- und Reaktionsverfahren. Der Mehrwert für die