Förderprogramme für die Cybersicherheit von Kommunen

Bei der Cybersicherheit von Kommunen besteht Handlungsbedarf. Darüber sind sich Bund, Länder und Kommunen einig. Das geht zum Beispiel aus den Ergebnissen des 10. Kommunalen IT-Sicherheitskongresses vom 22./23.04.2024 hervor.

Cybersicherheitslage und Unterstützung durch den Bund 

Viele deutsche Kommunen wurden laut BSI bereits Opfer von IT-Angriffen. Darunter der Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT) im Oktober 2023, die Stadtverwaltung Bad Schwalbach (Hessen) im Februar 2024 und die Stadtverwaltung Rheinberg (Nordrhein-Westfalen) im März 2024, um nur einige Beispiele zu nennen. Erschwerend kommt hinzu, dass es derzeit keine bundesweit einheitlichen Vorgaben bezüglich IT-Sicherheit oder Meldepflichten zu IT-Sicherheitsvorfällen auf Kommunalebene gibt. Das BSI bietet Schulungen an und vermittelt Experten über die Allianz für Cybersicherheit, um Kommunen bei der Verbesserung ihrer IT-Sicherheit zu unterstützen, räumt aber ein, dass es eine flächendeckende Beratung bzw. Unterstützung vor Ort für Kommunen nicht leisten kann.

Ein weiteres Problem sind die zunehmenden Schwachstellen in Software, die häufig als Einfallstore für Cyberkriminelle dienen. Das BSI registrierte im Jahr 2023 durchschnittlich knapp 70 neue Schwachstellen pro Tag, wobei viele dieser Schwachstellen als kritisch eingestuft werden.

Förderprogramme der Länder

Damit sind und bleiben die Länder für die IT-Sicherheit der Kommunen verantwortlich. Die meisten Bundesländer haben Programme initiiert, um Kommunen bei der Optimierung ihrer IT-Sicherheit zu unterstützen. Es handelt sich dabei jedoch nicht um klassische Förderprogramme, über die Kommunen Finanzmittel beantragen können, sondern um Programme und Dienstleistungen, die überwiegend von Landeseinrichtungen bzw. externen Unternehmen im Auftrag des Landes für Kommunen angeboten und direkt finanziert werden. Hier einige Beispiele:

Baden-Württemberg

Baden-Württemberg hat einen Stufenplan entwickelt, bei dessen Umsetzung die Kommunen von der Cybersicherheitsagentur Baden-Württemberg (CSBW) unterstützt werden. Der Plan hat vier Stufen und die Umsetzung durch die Kommunen ist freiwillig:

  • Stufe 1 beinhaltet eine Bestandsaufnahme. Mit Hilfe einer Checkliste beantworten die Kommunen 92 Fragen zu grundlegenden Schutzmaßnahmen.
  • Stufe 2 bedeutet eine detaillierte, eintägige IT-Sicherheitsanalyse.
  • Die Stufe 3 umfasst die Umsetzung des IT-Grundschutzprofils „Basis-Absicherung Kommunalverwaltung“, das Mindestsicherheitsmaßnahmen für die Kommunalverwaltungen definiert.
  • Stufe 4 beinhaltet mit der ganzheitlichen Umsetzung des BSI-IT-Grundschutzes sehr umfassende Voraussetzungen für die technischen, infrastrukturellen, organisatorischen und personellen Bereiche der Informationssicherheit.

Zudem unterstützt die CSBW Kommunen im Angriffsfall bei der Bewältigung des Vorfalls, bei Bedarf auch mit einem mobilen Einsatzteam vor Ort.

Nach unseren Recherchen hat das Land Baden-Württemberg Finanzmittel in Höhe von 13 Millionen Euro für die Cybersicherheitsagentur Baden-Württemberg (CSBW) eingeplant.

 

Bayern

In Bayern unterstützt und berät das Landesamt für Sicherheit in der Informationstechnik (LSI) Kommunen kostenfrei in allen Themen der IT-Sicherheit. Insbesondere bezüglich des Schutzes der IT-Infrastruktur, Organisation der IT-Sicherheit, Sicherheitsrichtlinien, IT-Resilienz, dem Siegel "Kommunale IT-Sicherheit",

Managementsystemen für Informationssicherheit (ISMS = Information Security Management System), Audits und Zertifizierung, Awareness-Kampagnen, Penetrationstests, Warn- und Informationsdienst zu Schwachstellen und aktuellen Bedrohungen, sowie beim IT-Notfallmanagement.

Für das Jahr 2024 hat Bayern Finanzmittel in Höhe von etwa 12 Millionen Euro für das Landesamt für Sicherheit in der Informationstechnik (LSI) eingeplant.

Hessen

In Hessen übernimmt das Cyber Competence Center (Hessen3C) die Beratung von Kommunen zur IT-Sicherheit und unterstützt bei der Bewältigung von Cyberangriffen und IT-Sicherheitsvorfällen. Hinzu kommt ein umfangreiches auf kommunale Bedürfnisse abgestimmtes Schulungsangebot. 

Bis zum 30. März 2024 haben 324 der 442 hessischen Kommunen und 18 der 21 Landkreise an dem Programm teilgenommen. 2024 hat das Hessische Innenministerium Finanzmittel in Höhe von 6 Millionen Euro speziell für das Hessen CyberCompetenceCenter (Hessen3C) eingeplant.

Niedersachsen

Das Land Niedersachsen bietet Kommunen kostenfreie Cybersicherheitsanalysen an, die eine detaillierte Bewertung des aktuellen Sicherheitsniveaus mit eindeutigen Handlungsempfehlungen beinhalten. Sie werden von einem Unternehmen durchgeführt, das vom Innenministerium damit beauftragt wurde. 

Seit Juni 2022 haben bereits 185 Kommunen aus allen Gemeindearten in Niedersachsen dieses Angebot genutzt. 2024 stehen für die Cybersicherheitsanalysen 1,2 Millionen Euro zur Verfügung.

Sachsen

In Sachsen können Kommunen kostenfrei Beratungsdienstleistungen des SAX.CERT in Anspruch nehmen. Zudem bietet der Beauftragte für Informationssicherheit zusammen mit dem SAX.CERT jeden ersten Freitag im Monat eine Online-Sprechstunde zu Themen der IT-Sicherheit für Kommunen an.

Sachsen ist das erste deutsche Bundesland, das die Vorgaben der NIS-2-Richtlinie im Sächsischen Informationssicherheitsgesetz verankert hat. Das Informationssicherheitsgesetz ist für Landes- und kommunale Behörden verpflichtend umzusetzen.

Für das Jahr 2024 stellt das Land Sachsen Finanzmittel in Höhe von 1,5 Millionen Euro zur Verbesserung der Cybersicherheit von Kommunen bereit.

Förderprogramme werden noch zu wenig genutzt

„Förderprogramme sind wichtige Instrumente, um die IT-Sicherheit in deutschen Kommunen zu verbessern und gegen die wachsenden Bedrohungen durch Cyberangriffe widerstandsfähiger zu machen“, sagt Christian Günther, Experte bei NCP. 

Die Programme werden von Kommunen aber noch nicht in vollem Umfang genutzt. Das hat verschiedene Gründe, wie:

  • Mangelndes Bewusstsein/Information: Viele Kommunen sind sich nicht aller verfügbaren Förderprogramme bewusst oder kennen die spezifischen Details nicht. Dies kann daran liegen, dass Informationen nicht ausreichend verbreitet oder nicht in verständlicher Weise aufbereitet sind.
  • Fehlendes Personal: Viele Kommunen verfügen nicht über ausreichend qualifiziertes Personal, um die Programme der Länder aktiv wahrzunehmen. Der Fachkräftemangel im IT-Bereich verstärkt dieses Problem zusätzlich.
  • Andere Prioritäten: In einigen Fällen liegt der Fokus der Kommunen auf anderen dringenden Aufgaben und Projekten. IT-Sicherheit wird nicht immer als prioritäres Thema angesehen, insbesondere wenn andere dringende Infrastrukturprojekte anstehen.
  • Unsicherheit über den Nutzen: Manche Kommunen sind unsicher über den tatsächlichen Nutzen und die Wirksamkeit der Förderprogramme. Es kann Skepsis darüber bestehen, ob die Programme tatsächlich zu einer signifikanten Verbesserung der IT-Sicherheit beitragen.

Verbesserungsbedarf: Gezielte Information, effizientere Prozesse und Strukturen

Verbesserungsbedarf sieht Christian Günther mit Blick auf die Landesprogramme vor allem bei einer gezielteren Kommunikation durch das Land mit den Kommunen und bei einigen Strukturen und Prozessen in den Kommunen selbst. „Komplexe und zeitaufwändige Genehmigungsverfahren in Kommunen erschweren und verzögern oft Maßnahmen zur Stärkung der IT-Sicherheit zum Beispiel beim Rollout neuer Softwarelösungen“, ergänzt Günther. Abhilfe können hier schaffen:

  • Gezielte Information über Förderprogramme und digitale Aufklärungsgespräche mit Kommunen
  • Standardisierung und Vereinfachung der Verfahren: Die Einführung standardisierter und vereinfachter Genehmigungsprozesse könnte die Effizienz erheblich verbessern.

Nicht zu unterschätzen ist der Faktor mangelndes Bewusstsein und Verständnis für neue Technologien und ihre Vorteile, was zu Widerständen und einer niedrigen Akzeptanz führen kann. Dem lässt sich mit folgenden Maßnahmen begegnen:

  • Frühzeitige Einbindung aller Stakeholder: Eine frühzeitige Einbindung aller relevanten Akteure in der Kommune und regelmäßige Kommunikationsmaßnahmen können das Verständnis und die Akzeptanz erhöhen.
  • Umfassende Schulungsprogramme: Investitionen in Schulungen und Trainingsprogramme für das kommunale IT-Personal und die Endanwender sind notwendig, um z.B. die Nutzung neuer Software zu maximieren.

Die beiden größten Probleme sind für Kommunen der Fachkräftemangel in der IT und begrenzte Finanzmittel. Dafür empfehlen sich folgende Maßnahmen:

  • Attraktive Arbeitsbedingungen: Die Schaffung attraktiver Arbeitsbedingungen, z.B. mit flexiblen Arbeitszeiten, kann helfen, qualifizierte IT-Fachkräfte anzuziehen und zu halten.
  • Kooperationen mit Bildungseinrichtungen: Partnerschaften mit Hochschulen und anderen Bildungseinrichtungen können helfen, den Nachwuchs im IT-Bereich zu fördern und langfristig qualifizierte Fachkräfte zu gewinnen.
  • Flexible Finanzierungsmodelle: Die Einführung flexibler Finanzierungsmodelle, wie gestaffelte Zahlungspläne oder Leasing-Optionen, könnte die finanzielle Belastung der Kommunen reduzieren.
  • Erweiterung der Förderprogramme: Eine Ausweitung der staatlichen Förderprogramme, um mehr Kommunen den Zugang zu finanziellen Mitteln für IT-Projekte zu ermöglichen, ist ebenfalls hilfreich.