Die digitale Verwaltung ist längst Alltag – und damit auch ihre Verwundbarkeit. Cyberangriffe treffen längst nicht nur Unternehmen oder Ministerien, sondern auch Rathäuser. Was früher als IT-Problem in der EDV-Ecke galt, ist heute Chefsache. Ein Information Security Management ist deshalb Pflicht – und war Schwerpunktthema auf dem letzten IT-Leiter-Stammtisch von AKDB und LivingData.
Kommunen sind verpflichtet, ihre IT so abzusichern, dass Informationen – vor allem personenbezogene Daten – jederzeit geschützt bleiben. Das ergibt sich aus der DSGVO, aus Landesvorgaben und aus der schlichten Pflicht, die Arbeitsfähigkeit der Verwaltung zu sichern.
Der Weg zum Informationssicherheitsmanagementsystem (ISMS)
Der Schlüssel dazu heißt ISMS. Dahinter steckt kein einzelnes Dokument, sondern ein fortlaufender Prozess: Risiken erkennen, Schutzmaßnahmen umsetzen, Verantwortlichkeiten festlegen und regelmäßig überprüfen. Viele Gemeinden orientieren sich dabei an den Standard ISO 27001 oder dem BSI-IT-Grundschutz.
Mindestens ebenso wichtig: die Notfallplanung. Wer bei Ransomware-Befall oder Serverausfall nicht sofort weiß, wen man anrufen soll, welche Systeme Priorität haben und wo die Backups liegen, verliert wertvolle Zeit – oft Tage. Ein guter Notfallplan beschreibt Szenarien vom Stromausfall bis zum Hackerangriff, benennt klare Ansprechpartner und wird regelmäßig geübt.
Im Falle eines Angriffs: Business Continuity Management
Wie man ein effektives ISMS aufbaut, war am 22. Januar 2026 das Thema des virtuellen IT-Leiter-Stammtischs und der Inhalt des Gastvortrags, den Hermann Schambeck von der GKDS (Gesellschaft für kommunalen Datenschutz mbH) gehalten hat. Er unterstrich, wie wichtig in diesem Zusammenhang ein wirkungsvolles Business Continuity Management (BCM) sei. Während ein ISMS den Schutz von Informationen und IT-Systemen regelt und die Notfallplanung vor allem auf den Umgang mit konkreten Störungen und Angriffen fokussiert, geht BCM einen Schritt weiter: Es sorgt dafür, dass alle geschäftskritischen Prozesse einer Kommune – ob digital oder analog – im Krisenfall weiterlaufen oder nach kurzer Zeit wieder anlaufen können. So kann das Schadensereignis reduziert werden. „Ist ein ISMS vorhanden“, so Schambeck,“ so ist die Gewährleistung der Business Continuity leichter.“
In den Kommunen sind verschiedene Software-Lösungen im Einsatz, die das ISMS regeln. Um Notfälle zu üben, bietet außerdem das Landesamt für Sicherheit in der Informationstechnik (LSI) Tabletop-Übungen, die es Kommunen ermöglichen, mit überschaubarem Aufwand ihr Notfallmanagement auf die Probe zu stellen.
Der Übergang von ISIS 12 zum ISMS
Von den anwesenden Kommunalvertretern arbeiten die meisten bereits an einem ISMS. Einige nutzen noch ISIS 12. Wer ISIS 12 im Einsatz hat, dem fällt in der Regel der Wechsel zum ISMS nicht schwer. Auch Notfall-Handbücher besitzen die meisten. Außerdem gibt es einschlägige Software, die einem hilft, bei Notfällen Prozesse zu definieren. Als Cloud-Lösung (SaaS) oder On-Premise (lokaler Server).
Das Problem, das viele IT-Leiter dabei benennen, ist der Ressourcenmangel: Die Realisierung eines ISMS und die Rolle des Business Continuity Manager seien in der IT-Abteilung angesiedelt, die sowieso chronisch überlastet sei und schlecht Nachwuchskräfte finde. Eigentlich, so die einhellige Meinung, müsse man einen Kollegen einstellen, der nur für Cybersicherheitsthemen zuständig sei. Das sei ebenso schwierig, wie einen kompetenten Informationssicherheitsberater zu finden.
Die IT-Leiter wissen aus Erfahrung: Wenn Not am Mann ist, sind sie gefragt, egal, wie gut die Notfallplanung in der Kommune sei.
Viele IT-Leiter haben den Notfall in ihrer Kommune am eigenen Leib erfahren – egal, ob es ‚nur‘ ein Stromausfall oder eine Ransomware-Attacke war. Bei letzterer hieß es Datenverbindungen zum Behördennetz und AKDB trennen, Backup auf Integrität prüfen und alle zuständigen Stellen informieren: von Polizei über den Datenschutzbeauftragten, bis hin zu Staatsanwaltschaft und LSI. Diese Informationsprozesse empfinden die meisten IT-Leiter als besonders komplex und zeitraubend.
Für den Ernstfall testen
Viele Kommunen führen Wiederherstellungstests durch, allerdings nicht strukturiert oder nach Handbuch. Dabei testen sie Backups und Prozesse, idealerweise in isolierten Umgebungen, um sicherzustellen, dass kritische Dienste und Daten fristgerecht wiederhergestellt werden können. Genau das, so Schambeck und sein Kollege von der LivingData Martin Zieglmeier, sei aber wichtig: das strukturierte Dokumentieren der Schritte. Auch dafür seien Software-Tools nützlich: Sie enthalten sogar Reminder-Funktionen, wann Tests anstehen.
Die Wahl des Dienstleisters
Bei der Wahl der externen Dienstleister, die ein ISMS anbieten, gehen Kommunen bisher pragmatisch vor: Viele schreiben ein Pflichtenheft und wählen dementsprechend den Dienstleister aus. Einige nutzen die LivingData als Dienstleister. Wichtig sei, dass der Dienstleister eine einheitliche Datenbasis biete, mit einer zentralen Ablage, sodass alle transparent auf dieselben Daten zugreifen können.
Als zentraler Sicherheitsfaktor wird auch die Zwei-Faktor-Authentifizierung betrachtet. Besonders, wenn man Dienste aus der Cloud ansteuert – wie etwa MS365.
Dass Cybersicherheit nicht bei der Technik beginnt – sondern im Bewusstsein jeder Person, die mit Daten arbeitet -, ist allen klar. Auch, dass die kommunale IT-Sicherheit in Kommunen immer mehr in den Vordergrund rückt.
Kein Wunder also, dass der kommende IT-Leiter-Stammtisch am 26. März sich wieder dem Thema widmet.
Der Titel lautet diesmal: „IT-Sicherheit im Alltag: Risiken erkennen, bevor sie zum Vorfall werden“.
