Security-Trends: Was Experten für das Jahr 2025 erwarten
Wie schätzen Sicherheitsexperten die aktuelle Bedrohungslage im Internet ein? Wir haben aktuelle Berichte ausgewertet und die Ergebnisse zusammengestellt.
Bei der Cybersicherheit von Kommunen besteht Handlungsbedarf. Darüber sind sich Bund, Länder und Kommunen einig. Das geht zum Beispiel aus den Ergebnissen des 10. Kommunalen IT-Sicherheitskongresses vom 22./23.04.2024 hervor.
Viele deutsche Kommunen wurden laut BSI bereits Opfer von IT-Angriffen. Darunter der Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT) im Oktober 2023, die Stadtverwaltung Bad Schwalbach (Hessen) im Februar 2024 und die Stadtverwaltung Rheinberg (Nordrhein-Westfalen) im März 2024, um nur einige Beispiele zu nennen. Erschwerend kommt hinzu, dass es derzeit keine bundesweit einheitlichen Vorgaben bezüglich IT-Sicherheit oder Meldepflichten zu IT-Sicherheitsvorfällen auf Kommunalebene gibt. Das BSI bietet Schulungen an und vermittelt Experten über die Allianz für Cybersicherheit, um Kommunen bei der Verbesserung ihrer IT-Sicherheit zu unterstützen, räumt aber ein, dass es eine flächendeckende Beratung bzw. Unterstützung vor Ort für Kommunen nicht leisten kann.
Ein weiteres Problem sind die zunehmenden Schwachstellen in Software, die häufig als Einfallstore für Cyberkriminelle dienen. Das BSI registrierte im Jahr 2023 durchschnittlich knapp 70 neue Schwachstellen pro Tag, wobei viele dieser Schwachstellen als kritisch eingestuft werden.
Damit sind und bleiben die Länder für die IT-Sicherheit der Kommunen verantwortlich. Die meisten Bundesländer haben Programme initiiert, um Kommunen bei der Optimierung ihrer IT-Sicherheit zu unterstützen. Es handelt sich dabei jedoch nicht um klassische Förderprogramme, über die Kommunen Finanzmittel beantragen können, sondern um Programme und Dienstleistungen, die überwiegend von Landeseinrichtungen bzw. externen Unternehmen im Auftrag des Landes für Kommunen angeboten und direkt finanziert werden. Hier einige Beispiele:
Baden-Württemberg hat einen Stufenplan entwickelt, bei dessen Umsetzung die Kommunen von der Cybersicherheitsagentur Baden-Württemberg (CSBW) unterstützt werden. Der Plan hat vier Stufen und die Umsetzung durch die Kommunen ist freiwillig:
Zudem unterstützt die CSBW Kommunen im Angriffsfall bei der Bewältigung des Vorfalls, bei Bedarf auch mit einem mobilen Einsatzteam vor Ort.
Nach unseren Recherchen hat das Land Baden-Württemberg Finanzmittel in Höhe von 13 Millionen Euro für die Cybersicherheitsagentur Baden-Württemberg (CSBW) eingeplant.
In Bayern unterstützt und berät das Landesamt für Sicherheit in der Informationstechnik (LSI) Kommunen kostenfrei in allen Themen der IT-Sicherheit. Insbesondere bezüglich des Schutzes der IT-Infrastruktur, Organisation der IT-Sicherheit, Sicherheitsrichtlinien, IT-Resilienz, dem Siegel "Kommunale IT-Sicherheit",
Managementsystemen für Informationssicherheit (ISMS = Information Security Management System), Audits und Zertifizierung, Awareness-Kampagnen, Penetrationstests, Warn- und Informationsdienst zu Schwachstellen und aktuellen Bedrohungen, sowie beim IT-Notfallmanagement.
Für das Jahr 2024 hat Bayern Finanzmittel in Höhe von etwa 12 Millionen Euro für das Landesamt für Sicherheit in der Informationstechnik (LSI) eingeplant.
In Hessen übernimmt das Cyber Competence Center (Hessen3C) die Beratung von Kommunen zur IT-Sicherheit und unterstützt bei der Bewältigung von Cyberangriffen und IT-Sicherheitsvorfällen. Hinzu kommt ein umfangreiches auf kommunale Bedürfnisse abgestimmtes Schulungsangebot.
Bis zum 30. März 2024 haben 324 der 442 hessischen Kommunen und 18 der 21 Landkreise an dem Programm teilgenommen. 2024 hat das Hessische Innenministerium Finanzmittel in Höhe von 6 Millionen Euro speziell für das Hessen CyberCompetenceCenter (Hessen3C) eingeplant.
Das Land Niedersachsen bietet Kommunen kostenfreie Cybersicherheitsanalysen an, die eine detaillierte Bewertung des aktuellen Sicherheitsniveaus mit eindeutigen Handlungsempfehlungen beinhalten. Sie werden von einem Unternehmen durchgeführt, das vom Innenministerium damit beauftragt wurde.
Seit Juni 2022 haben bereits 185 Kommunen aus allen Gemeindearten in Niedersachsen dieses Angebot genutzt. 2024 stehen für die Cybersicherheitsanalysen 1,2 Millionen Euro zur Verfügung.
In Sachsen können Kommunen kostenfrei Beratungsdienstleistungen des SAX.CERT in Anspruch nehmen. Zudem bietet der Beauftragte für Informationssicherheit zusammen mit dem SAX.CERT jeden ersten Freitag im Monat eine Online-Sprechstunde zu Themen der IT-Sicherheit für Kommunen an.
Sachsen ist das erste deutsche Bundesland, das die Vorgaben der NIS-2-Richtlinie im Sächsischen Informationssicherheitsgesetz verankert hat. Das Informationssicherheitsgesetz ist für Landes- und kommunale Behörden verpflichtend umzusetzen.
Für das Jahr 2024 stellt das Land Sachsen Finanzmittel in Höhe von 1,5 Millionen Euro zur Verbesserung der Cybersicherheit von Kommunen bereit.
„Förderprogramme sind wichtige Instrumente, um die IT-Sicherheit in deutschen Kommunen zu verbessern und gegen die wachsenden Bedrohungen durch Cyberangriffe widerstandsfähiger zu machen“, sagt Christian Günther, Experte bei NCP.
Die Programme werden von Kommunen aber noch nicht in vollem Umfang genutzt. Das hat verschiedene Gründe, wie:
Verbesserungsbedarf sieht Christian Günther mit Blick auf die Landesprogramme vor allem bei einer gezielteren Kommunikation durch das Land mit den Kommunen und bei einigen Strukturen und Prozessen in den Kommunen selbst. „Komplexe und zeitaufwändige Genehmigungsverfahren in Kommunen erschweren und verzögern oft Maßnahmen zur Stärkung der IT-Sicherheit zum Beispiel beim Rollout neuer Softwarelösungen“, ergänzt Günther. Abhilfe können hier schaffen:
Nicht zu unterschätzen ist der Faktor mangelndes Bewusstsein und Verständnis für neue Technologien und ihre Vorteile, was zu Widerständen und einer niedrigen Akzeptanz führen kann. Dem lässt sich mit folgenden Maßnahmen begegnen:
Die beiden größten Probleme sind für Kommunen der Fachkräftemangel in der IT und begrenzte Finanzmittel. Dafür empfehlen sich folgende Maßnahmen: