Resiliente Kommunen: schnell, sicher und handlungsfähig

Kommunen stehen vor einer anspruchsvollen Herausforderung: Der Klimawandel erhöht die Frequenz und Komplexität von Krisenlagen – von Starkregen über Hitzewellen und Dürre bis hin zu Stürmen. Diese Ereignisse wirken längst nicht mehr isoliert, sondern entfalten Kaskadeneffekte über Energie- und Wasserversorgung, Verkehr, Gesundheitswesen und kommunale IT. Die weitreichende Vernetzung moderner Infrastrukturen erhöht die Effizienz, verstärkt aber zugleich Verwundbarkeiten und Abhängigkeiten.

Reaktive Improvisation und rein technische Unterstützung zur Ergänzung des Lagebilds reichen unter diesen Bedingungen nicht mehr aus. Entscheidend ist ein ganzheitlicher Blick sowie ein effektives Managementsystem für Informationssicherheit (Information Security Management System – ISMS): Mit aktuellen Lagebildern, einer klaren Strategie für das Business-Continuity-Management (BCM) und der Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Kernabsicherung können Kommunen ihre Handlungsfähigkeit wahren – und selbst in angespannten Situationen schnell, strukturiert und resilient reagieren.

Kommunale Resilienz: Schutz kritischer Infrastrukturen ist essenziell

Die Flutkatastrophe im Ahrtal hat schmerzhaft vor Augen geführt, wie existenziell ein belastbares, gemeinsames Lagebild in den ersten Stunden einer Krise ist. Wenn im Ernstfall Unterführungen überflutet werden, Zufahrten zu Kliniken unpassierbar sind und Funkzellen ausfallen – und all diese Hinweise einzeln bei den Einsatzkräften auflaufen – geraten Leitstellen schnell an die Grenze ihrer Leistungsfähigkeit.

Zwischen der akuten Krisenbewältigung – von Einsatzführung bis Lagebild – und dem langfristigen Schutz kritischer Leistungen braucht es ein tragfähiges BCM. Dazu gehören fundierte Business-Impact-Analysen, definierte Wiederanlauf- und Ersatzverfahren, eingeübte Notfallkommunikation sowie klare Entscheidungswege. Im Mittelpunkt stehen Fragen wie: Was ist konkret betroffen, welche Abhängigkeiten brechen zuerst weg? und Wie bereiten wir uns dauerhaft auf regelmäßig wiederkehrende Umweltereignisse vor?

Cyberangriffe und geopolitische Risiken erhöhen die digitale Bedrohungslage für Kommunen

Neben den Klimarisiken wächst eine zweite Welle an Herausforderungen: Cyberangriffe sind längst kein Randphänomen mehr, sondern treffen Behörden, Stadtwerke, Gesundheitsdienste und Energieversorger zunehmend im Zentrum ihrer Aufgaben. Ziel ist häufig, Abläufe zu stören, Vertrauen zu beschädigen oder sensible Informationen abzugreifen. Die Angriffsmethoden reichen dabei von präzisen Phishing-Kampagnen und Ransomware-Attacken bis hin zu Angriffen auf Lieferketten oder Fernwartungssysteme wie aus dem Lagebericht zur IT-Sicherheit in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervorgeht.

Der Bericht verdeutlicht zudem, wie internationale Spannungen das Bedrohungsbild verschärfen. Staatlich gestützte Gruppen – oft aus geopolitisch sensiblen Regionen außerhalb der EU – setzen Cyberoperationen zunehmend als strategisches Instrument ein. Dabei verschwimmen die Grenzen zwischen Spionage, Sabotage und Desinformation. Obwohl das Bundesamt für Verfassungsschutz die Schäden durch diese Angriffe für 2024 auf 267 Milliarden Euro schätzt, ist die dahinterliegende Absicht schwerwiegender: Ziel ist die langfristige Destabilisierung des Staates auf wirtschaftlicher, kommunikativer und gesellschaftlicher Ebene, wie Studien der Bundesnetzagentur zeigen.

Für Kommunen, Rechenzentren und Betreiber kritischer Infrastrukturen heißt das: Die Schutzaufgabe ist nicht mehr rein technisch. Es geht um Widerstandsfähigkeit gegenüber vernetzten Krisen, die Klima, Energie, Kommunikation und digitale Dienste zugleich betreffen. In Gesprächen mit Verantwortlichen der Kommunen wird deutlich, dass sich diese ganzheitliche Perspektive zunehmend durchsetzt. Die Erkenntnis in konkrete Handlungen zu überführen, gelingt jedoch nicht allen.

NIS-2-Richtlinie als Rahmen für ganzheitliche Resilienz

Die zweite Netzwerk- und Informationssicherheitsrichtlinie der EU (kurz: NIS-2-Richtlinie) und ihre nationale Umsetzung in Deutschland reagieren direkt auf diese verschärfte Gefährdungslage. Ergänzend dazu stärkt das geplante KRITIS-Dachgesetz gemeinsam mit dem bereits am 30. Juli 2025 beschlossenen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) das bestehende Schutzsystem für die Cybersicherheit kritischer Infrastrukturen weiter.

Wesentliche Aspekte sind unter anderem:

• ein systematisches Sicherheits- und Notfallmanagement,
• ein belastbares Business-Continuity- und Wiederanlaufkonzept,
• sowie klare Regeln für Lieferketten-Sicherheit, Incident-Reporting und Führungspflichten.
   

Ziel dieser Regelwerke ist es, kritische Infrastrukturen insgesamt widerstandsfähiger zu machen – gegenüber Naturereignissen, Cyberangriffen und geopolitisch motivierten Störungen. Kommunen und Betreiber, die frühzeitig mit der Umsetzung beginnen, verbessern nicht nur ihre Compliance, sondern gewinnen vor allem echte Handlungsfähigkeit für zukünftige Herausforderungen.

Von der Anforderung zur Umsetzung: Einstieg über die BSI-Kernabsicherung

Die Vorgaben der NIS 2 wirken auf den ersten Blick komplex, lassen sich jedoch gut in einem strukturierten Informationssicherheitsmanagementsystem (ISMS) verankern. Ein ISMS ist zwar nicht verpflichtend, bietet aber einen praxistauglichen Rahmen, um die zahlreichen organisatorischen und technischen Anforderungen konsistent umzusetzen.

Als Orientierung dienen die BSI-Standards. Diese enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Damit sind diese Standards ein elementarer Bestandteil des IT-Grundschutzes. Der BSI-Standard 200-2 unterscheidet drei Vorgehensweisen: 

1. Basisabsicherung: Hierbei handelt es sich um den einfachsten und schlanksten Einstieg. Dieser umfasst die wichtigsten Mindestmaßnahmen, die sich schnell umsetzen lassen, allerdings wenig in die Tiefe gehen.
2. Kernabsicherung: Sie richtet den Blick auf die wirklich kritischen Prozesse und Assets. Dieser Ansatz bildet einen fokussierten Mittelweg, der deutlich robuster ist als die Basisabsicherung und sich zugleich schneller umsetzen lässt als die Standardabsicherung. 
3. Standardabsicherung: Die vollständige Umsetzung der IT-Grundschutz-Bausteine
    

In meiner langjährigen Zusammenarbeit mit Kommunen und Betreibern hat sich der Einstieg über die Kernabsicherung bewährt, da diese sich auf die kritischsten Prozesse und Systeme konzentriert und in kurzer Zeit ein belastbares ISMS-Grundgerüst schafft. Ergänzend kann über den BSI-Standard 200-4 ein wirksames Business-Continuity-Management aufgebaut werden. Dieser geht insbesondere auf die möglichen Synergiepotentiale mit den angrenzenden Themen der Informationssicherheit und des Krisenmanagements ein und stellt hierdurch einen zentralen Bestandteil zur organisatorischen Resilienz dar.

Dieser Ansatz ermöglicht es, zentrale NIS-2-Anforderungen wie Governance, Risikoanalysen, Notfallmanagement und technische Mindestmaßnahmen effizient zu adressieren. Die Kernabsicherung 

• legt die Grundlage für verlässliche Informationssicherheit,
• ist flexibel skalierbar
• und kann Schritt für Schritt bis zur vollständigen Standardabsicherung erweitert werden.
   

So entsteht nicht nur formale Compliance, sondern echte Handlungsfähigkeit – gegenüber Cyberangriffen, geopolitischen Risiken und Naturgefahren.

NIS 2 und BSI-Kernabsicherung: Vorteile für kommunale Organisationen

Die Umsetzung von NIS 2 und der Einstieg über die BSI-Kernabsicherung schaffen nicht nur rechtliche Sicherheit, sondern liefern einen spürbaren Mehrwert für den operativen Alltag. Laut dem IBM Cost of a Data Breach Report 2024 liegt der durchschnittliche Schaden pro Datenpanne in Deutschland inzwischen bei 5,31 Mio. USD (2024) – ein deutlicher Anstieg gegenüber 4,67 Mio. USD im Vorjahr und ein Risiko, das sich durch wirksame Sicherheitsmaßnahmen erheblich reduzieren lässt.

Kommunen, Versorger und öffentliche IT-Dienstleister gewinnen durch die Einführung eines ISMS an Struktur, Reaktionsgeschwindigkeit und Vertrauen – genau dort, wo Ausfälle besonders teuer werden. Die wichtigsten Vorteile lassen sich wie folgt zusammenfassen: 

• Schnelle Handlungsfähigkeit: Ein fokussierter Kern statt eines „Big Bang“ ermöglicht Schutz in kurzer Zeit und bleibt skalierbar.
• Resilienz über die Akutphase hinaus: Ein etabliertes BCM hält kritische Leistungen aufrecht, reduziert Ausfallzeiten und stärkt die Lieferfähigkeit – auch bei längeren Störungen.
• Regulatorische Anschlussfähigkeit: Prozesse, Rollen und Dokumentation sind auditfähig und erfüllen die Anforderungen von NIS 2.
• Passgenau für kommunale Realitäten: Risikobasiertes Vorgehen, klare Prioritäten und schlanke Governance verhindern Überlastung in ohnehin stark beanspruchten Verwaltungen.
• Nachweisbare Sicherheit: Transparente, revisionsfeste Unterlagen schaffen Vertrauen bei Aufsicht, Politik und Öffentlichkeit.
• Kooperation als Stärke: Geübte Notfall- und Kommunikationsprozesse verbessern das Zusammenspiel mit Leitstellen, Katastrophenschutz, Rechenzentren und Versorgern. 
• Effiziente Mittelverwendung: Investitionen fließen dorthin, wo sie den größten Effekt erzielen – statt nach dem Gießkannenprinzip.
   

So werden Sicherheit, Compliance und praktische Resilienz miteinander verknüpft – und das mit einem Ansatz, der kommunale Strukturen realistisch berücksichtigt.

Mit der BSI-Kernabsicherung bleiben Kommunen fit für die Zukunft

Klimarisiken und Cyberbedrohungen werden weiter zunehmen. Daher ist es unerlässlich, Sicherheit zukünftig ganzheitlich zu denken und die Umsetzung jetzt voranzutreiben, um bestmöglich auf den Ernstfall vorbereitet zu sein. Die BSI-Kernabsicherung bietet Organisationen und Betreibern kritischer Infrastrukturen einen guten Einstieg, um sich nachhaltig resilient für die Zukunft aufzustellen.