Sicherheitsvorfälle sind selten ein Technikproblem
Zwar verfügen die meisten Verwaltungen über grundlegende Sicherheitswerkzeuge wie Firewalls, Virenschutz oder Zugriffskontrollen. Dennoch kommt es regelmäßig zu sicherheitsrelevanten Vorfällen mit teils erheblichen Auswirkungen auf den Verwaltungsbetrieb. Die Ursachen liegen dabei nur selten in fehlender Technik. Häufiger sind es organisatorische Defizite, die Sicherheitsmaßnahmen unwirksam werden lassen.
Dazu zählen unklare Zuständigkeiten, nicht abgestimmte Abläufe zwischen Fachämtern und IT oder fehlende Transparenz über die eigene IT-Landschaft. Viele kommunale IT-Strukturen sind historisch gewachsen. Server, Anwendungen, Fachverfahren oder Schnittstellen laufen seit Jahren produktiv, ohne systematisch dokumentiert oder hinsichtlich ihres Schutzbedarfs bewertet zu sein. Wer keinen vollständigen Überblick über seine Systeme hat, kann Risiken weder realistisch einschätzen noch im Ernstfall gezielt priorisieren.
Transparenz schafft Handlungssicherheit
Eine zentrale Voraussetzung wirksamer IT-Sicherheit ist daher Transparenz:
Welche Systeme und Verfahren sind im Einsatz?
Welche davon sind für den Verwaltungsbetrieb besonders kritisch?
Und welche Abhängigkeiten bestehen?
Eine aktuelle, strukturierte Dokumentation des IT-Bestands bildet die Grundlage dafür, technische und organisatorische Maßnahmen sinnvoll auszurichten. Erst wenn klar ist, was geschützt werden muss, kann entschieden werden, wie und mit welcher Priorität Schutzmaßnahmen umgesetzt werden sollten.
IT-Sicherheit braucht klare Verantwortung
In vielen Kommunen wird Informationssicherheit faktisch als Aufgabe der IT-Abteilung verstanden. Das ist nachvollziehbar, greift aber zu kurz. Sicherheit betrifft die gesamte Verwaltung: Fachbereiche, Datenschutz, externe Dienstleister, Eigenbetriebe und insbesondere die Verwaltungsspitze.
Nachhaltige IT-Sicherheit erfordert klare Rollen und Verantwortlichkeiten, etwa für Informationssicherheit, Datenschutz, Risiko‑ und Compliance‑Themen sowie für das Zusammenspiel mit Verwaltungssteuerung und Prozessmanagement.
Das klingt nach bürokratischem Mehraufwand. In der Praxis ist es das Gegenteil: Klar geregelte Zuständigkeiten beschleunigen Entscheidungen, besonders dann, wenn es schnell gehen muss.
NIS2 macht IT-Sicherheit zur Daueraufgabe
Mit der Umsetzung von NIS2 verschärfen sich die Anforderungen an viele Kommunen und kommunale Unternehmen deutlich. Das betrifft Meldepflichten, Mindestanforderungen an Schutzmaßnahmen und Nachweispflichten (Mehr erfahren). Das zeigt: IT-Sicherheit ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Prozess.
Punktuelle Prüfungen oder jährliche Audits reichen nicht aus, um dem gerecht zu werden. Stattdessen kommt es auf kontinuierliche Überwachung, konsequentes Patch‑ und Schwachstellenmanagement sowie klar definierte Abläufe für den Sicherheitsvorfall an. Im Ernstfall muss feststehen, wer meldet, wer entscheidet und wer intern wie extern informiert.
Unterstützung durch spezialisierte Strukturen
Da nicht jede Kommune alle sicherheitsrelevanten Aufgaben mit eigenen Ressourcen abdecken kann, haben sich ergänzende Modelle wie Security Operations Center (SOC) oder Cyber Emergency Response Teams (CERT) etabliert. Sie ermöglichen ein kontinuierliches Monitoring der IT-Landschaft, eine fundierte Analyse von Sicherheitsereignissen und professionelle Unterstützung im Krisenfall – auch außerhalb regulärer Arbeitszeiten.
Fazit: IT-Sicherheit als Bestandteil moderner Verwaltungssteuerung
IT-Sicherheit in Kommunen ist vor allem eine Organisationsfrage. Erst das Zusammenspiel aus Transparenz über die IT-Landschaft, klaren Zuständigkeiten, integrierten Prozessen, kontinuierlicher Überwachung und vorbereiteten Notfallabläufen schafft Resilienz. Wer IT-Sicherheit strategisch verankert, stärkt nicht nur den Schutz vor Cyberangriffen, sondern auch die Handlungsfähigkeit und digitale Souveränität der Verwaltung.
GISA begleitet Kommunen und öffentliche Einrichtungen genau dabei: von der ersten Bestandsaufnahme bis zum laufenden Betrieb. Sprechen Sie uns an!
