"Cybersicherheit ist inzwischen integrierender Bestandteil der öffentlichen und kommunalen Daseinsvorsorge"

Meine sehr verehrten Damen und Herren,

wenn man zum Thema Cybersicherheit recherchiert, stößt man früher oder später auf einen Satz, der zunächst fast banal klingt – der aber bei näherer Betrachtung dann doch eine gewisse Wucht entfaltet. Der Satz lautet: „Es gibt nur zwei Arten von Organisationen: diejenigen, die bereits Opfer eines Cyberangriffs geworden sind – und diejenigen, die es noch werden.“

Ob dieser Satz in seiner Absolutheit stimmt, darüber kann man streiten. Unstreitig ist allerdings etwas anderes:

Cybersicherheit ist längst kein Spezialthema mehr für IT-Abteilungen, keine technische Randfrage für Expertinnen- und Expertenzirkel und auch kein Problem, das nur große Konzerne oder internationale Behörden betrifft. Cybersicherheit ist vielmehr zu einer Grundbedingung staatlicher und damit auch kommunaler Handlungsfähigkeit geworden.

Genau das ist denn auch der Grund, weshalb wir bei Cybersecurity nicht nur und vielleicht nicht einmal primär über Technik reden. Vielmehr reden wir zunächst und zuvörderst über Vertrauen. Über Verlässlichkeit. Über Resilienz. Und letztlich reden wir über die Frage, ob der Staat – ob unsere Kommunen – auch in Krisensituationen funktionsfähig bleiben. Denn die Bürgerinnen und Bürger interessiert im Zweifel nicht, ob ein Angriff – technisch gesehen – besonders raffiniert, ausgebufft oder technisch genial war. Sie interessiert etwas anderes: Sie interessiert … ob der Notruf funktioniert, … ob Sozialleistungen ausgezahlt werden, … ob Bauanträge bearbeitet werden, … ob Schulen, Gesundheitsämter oder Leitstellen arbeitsfähig bleiben. Kurz gesagt: Cybersicherheit ist inzwischen integrierender Bestandteil der öffentlichen und kommunalen Daseinsvorsorge. Und das ist – um ein Bonmot  zu zitieren, das dieser Tage sein 20-jähriges Jubiläum feiert – und das ist auch gut so. 
 

Meine sehr verehrten Damen und Herren,

vor zwei Jahren haben wir an dieser Stelle intensiv darüber gesprochen, weshalb Cybersicherheit ein Megatrend ist. Heute, zwei Jahre später, müssen wir feststellen: Die Lage hat sich weiter zugespitzt. Die Bedrohungslage ist aggressiver, die Angriffswerkzeuge sind leistungsfähiger geworden. Und die Geschwindigkeit, mit der sich Risiken verbreiten, hat nochmals erheblich zugenommen. Vor allem aber hat sich etwas ganz Grundsätzliches verändert: Cyberangriffe sind nicht mehr nur kriminell motiviert. Sie haben zunehmend einen geopolitischen Hintergrund. Cyberangriffe sind Teil hybrider Bedrohungen geworden. Sie richten sich gegen kritische Infrastrukturen. Gegen demokratische Institutionen. Und eben auch gegen die kommunale Ebene.

Denn die kommunale Ebene ist besonders nah an den Menschen. Und gerade deshalb vulnerabel, verletzlich. Wer eine Kommune lahmlegt, legt nicht nur Server lahm. Er beschädigt Vertrauen in staatliche Funktionsfähigkeit. Deshalb sind Cyberangriffe auf Kommunen gerade auch für politisch motivierte Angreifer so attraktiv und die Herausforderungen für uns infolgedessen so groß.

Genau deshalb lautet das Motto dieses Cybersecurity-Tags vollkommen zu Recht auch: „Gemeinsam stark für Cybersicherheit.“ Denn eines dürfte mittlerweile jeder und jedem klar geworden sein: Alleine wird keine Kommune diese Herausforderung dauerhaft bewältigen können.
 

Meine sehr verehrten Damen und Herren,

lassen Sie mich deshalb im Folgenden weniger in klassischen Thesen oder Beobachtungen sprechen. Denn ich glaube, dass die Herausforderung Cybersicherheit inzwischen zu groß und zu komplex geworden ist, um sie entlang sauber getrennter Kategorien zu diskutieren.

Vielmehr geht es um ein Zusammenspiel verschiedener Ebenen: um Führung, um Organisation, um Kultur, um Kooperation – und letztlich auch um staatliche Verantwortung. Und genau auf dieses Zusammenspiel möchte ich heute eingehen.

Cybersicherheit beginnt bei der Führung. Noch immer wird Cybersicherheit in manchen Organisationen als Spezialmaterie der IT-Nerds betrachtet. Als etwas, das man möglichst weit irgendwo in einem Seitenstrang der Organisation ansiedelt. Irgendwo zwischen Firewall, Passwortmanagement und Software-Updates. Aber genau das greift definitiv zu kurz.

Denn ein erfolgreicher Cyberangriff ist niemals nur ein IT-Problem. Er wird innerhalb kürzester Zeit zu einem Organisationsproblem. Zu einem Kommunikationsproblem. Zu einem Führungsproblem. Und nicht selten zu einem ausgewachsenen politischen Problem. Jede und jeder von Ihnen hat hier ein hypothetisches Szenario aus dem eigenen Umfeld vor Augen und weiß genau, was Sache wäre, wenn der Falle der Fälle eintritt.

Wer entscheidet im Krisenfall? Welche Systeme werden zuerst wieder hochgefahren? Wie kommuniziert man gegenüber der Öffentlichkeit? Wer spricht mit Polizei, Landesbehörden oder Datenschutzaufsicht? Und wie hält man den Betrieb überhaupt noch aufrecht? All das sind keine technischen Fragen. Das sind Führungsfragen.

Deshalb gilt mehr denn je: Cybersicherheit ist Chefinnen- und Chefsache. Nicht im Sinne technischer Detailverantwortung. Das in keinem Fall. Aber im Sinne strategischer Gesamtverantwortung. Die Leitungsebenen in den Rathäusern und Landratsämtern müssen das Thema sichtbar priorisieren. Sie müssen Sicherheitskultur vorleben. Und sie müssen deutlich machen: Cybersicherheit ist kein Luxus. Sie ist Voraussetzung im wahrsten Sinne des Wortes nachhaltiger kommunaler Handlungsfähigkeit.

Genau aus diesem Verständnis heraus haben die 35 baden-württembergischen Landkreise im vergangenen Jahr erstmals einen gemeinsamen Cybersicherheitskodex beschlossen. Dieser Kodex ist bundesweit einzigartig und definitiv mehr als eine lose Sammlung technischer Empfehlungen. Der Kodex ist ein gemeinsames politisches Commitment der Landkreise, der 35 Landrätinnen und Landräte, Cybersicherheit als strategische Führungsaufgabe zu begreifen.

Die dort formulierten Grundsätze reichen von der Priorisierung der Informationssicherheit auf Leitungsebene über die Einbindung der Mitarbeitenden bis hin zum Aufbau von Informationssicherheitsmanagementsystemen und zur interkommunalen Zusammenarbeit im Krisenfall.

Bemerkenswert ist dabei vor allem eines: Die kommunale Ebene wartet nicht darauf, dass andere handeln. Und genau darin liegt bekanntlich eine ihrer großen Stärken.

Meine sehr verehrten Damen und Herren,

vielleicht kennen Sie den Satz: „Kultur entsteht nicht durch Leitbilder, sondern durch Verhalten.“ Das gilt gerade auch für den Bereich der Cybersicherheit. Wenn Sicherheitsregeln nur auf dem Papier stehen, aber im Alltag niemanden interessieren, entsteht keine Sicherheitskultur. Wenn dagegen die Leitungsebene das Thema ernst nimmt, wächst Aufmerksamkeit in der gesamten Organisation.

Und genau darauf kommt es an. Cybersicherheit entscheidet sich nicht allein an der Technik. Die vielleicht unangenehmste Erkenntnis im Bereich der Cybersicherheit lautet: Der Mensch bleibt der entscheidende Faktor. Phishing-Mails werden raffinierter. Täuschungen glaubwürdiger. Künstliche Intelligenz ermöglicht inzwischen völlig authentisch wirkende Texte, Stimmen und Bilder. Die technische Schutzmauer wird deshalb allein nicht ausreichen.

Natürlich brauchen wir moderne Infrastruktur. Natürlich brauchen wir professionelle Sicherheitsarchitekturen. Natürlich brauchen wir technische Standards. Aber ebenso notwendig ist etwas anderes: Awareness. Sensibilität. Routine. Und Übung, Übung, Übung. Denn in kritischen Situationen handeln Menschen nicht nach Handbüchern. Sie handeln nach eingeübten Mustern. Deshalb müssen wir Cybersicherheit trainieren. Nicht einmalig. Sondern immer wieder. Dauerhaft. Regelmäßig. Konsequent. Und zwar in der gesamten Verwaltung. Von der Hausspitze bis in die Sachbearbeitung.
 

Meine sehr verehrten Damen und Herren,

wir reden oft über digitale Transformation. Aber digitale Transformation bedeutet eben nicht nur neue digitale Prozesse und aktuellere Software. Sie bedeutet auch neue Verwundbarkeit. Je digitaler Prozesse werden, desto größer werden die Auswirkungen von Ausfällen. Gerade deshalb braucht Digitalisierung immer auch Resilienz. Oder etwas pointierter formuliert: Eine ungeschützte Digitalisierung ist keine Modernisierung. Sie ist ein … Risiko.

Entscheidend ist nicht nur, Angriffe abzuwehren – sondern handlungsfähig zu bleiben. Nicht wenige Organisationen beschäftigen sich intensiv mit Krisenmanagement – allerdings oft erst dann, wenn die Krise bereits eingetreten ist. Bei Cyberangriffen ist das zu spät.

Deshalb sollte die entscheidende Frage künftig nicht mehr lauten: „Können wir jeden Angriff verhindern?“ Denn realistischerweise lautet die Antwort darauf: njet, nein. Die entscheidende Frage lautet daher vielmehr: Wie schnell können wir wieder arbeitsfähig werden? Wie resilient ist unsere Organisation? Wie robust sind unsere Prozesse? Und haben wir einen funktionierenden Plan B? Genau darauf wird es ankommen.

Deshalb gewinnen Notfallmanagement, Wiederanlaufplanung und Krisenübungen massiv an Bedeutung. Und zwar nicht theoretisch. Sondern praktisch. Wer macht was? Welche Prozesse sind kritisch? Welche Systeme haben Priorität? Wie kommuniziert man analog, wenn digital nichts mehr funktioniert? Durch Rauchzeichen, berittene Boten oder Brieftauben?

Und wie lange kann eine Kommune überhaupt ohne zentrale Fachverfahren arbeiten? Das sind zugegebenermaßen unbequeme Fragen. Aber es sind notwendige Fragen. Denn Resilienz entsteht nicht in der Krise. Resilienz entsteht vor der Krise.
 

Meine sehr verehrten Damen und Herren,

wir erleben derzeit in vielen Bereichen einen tiefgreifenden Wandel unseres Sicherheitsverständnisses. Lange Zeit war Effizienz das dominierende Leitbild. Möglichst schlank. Möglichst schnell. Möglichst kostengünstig.

Heute erkennen wir zunehmend: Ein ausschließlich auf Effizienz ausgerichtetes System kann hochgradig störanfällig werden. Deshalb gewinnt ein anderer Begriff an Bedeutung: Robustheit. Und Robustheit kostet. Redundanzen kosten. Backups kosten. Notfallstrukturen kosten. Aber fehlende Robustheit kann sehr viel teurer werden.

Wagen wir hier den Blick ins Land und aus aktuellem Anlass auch gleich in den neuen Koalitionsvertrag. Er enthält erfreulicherweise eine ganze Reihe von Signalen, die in die richtige Richtung weisen. Die langfristige Finanzierung der Verwaltungsdigitalisierung, die stärkere Standardisierung, die engere Zusammenarbeit mit der Komm.ONE sowie die Weiterentwicklung gemeinsamer IT-Strukturen sind wichtige und richtige Schritte, die man sich insoweit ins grün-schwarze Pflichtenheft geschrieben hat. Gerade die Betonung von Interoperabilität, gemeinsamen Architekturen und resilienten IT-Strukturen deckt sich mit unseren kommunalen Erwartungen.

Allerdings gehört zur Wahrheit auch: Aus kommunaler Sicht enthält der Koalitionsvertrag eine ebenso bemerkenswerte wir bedauerliche Leerstelle. Der seit Jahren angekündigte Cybersicherheitspakt zwischen Land und Kommunen findet sich dort nicht wieder. Dabei ist ein solcher Pakt heute wichtiger denn je.

Denn Cybersicherheit gelingt nur dann dauerhaft, wenn Verantwortlichkeiten, Unterstützungsleistungen, Krisenstrukturen und Finanzierungsfragen abgestimmt und verlässlich geregelt sind. Wir brauchen deshalb endlich einen Cybersicherheitspakt zwischen Land und Kommunen. Einen Pakt, der Klarheit schafft. Einen Pakt, der Verlässlichkeit schafft. Einen Pakt, der die Rolle der Kommunen, der Komm.ONE und der Cybersicherheitsagentur Baden-Württemberg dauerhaft definiert. Und einen Pakt, der auch mit den notwendigen Ressourcen hinterlegt ist. Denn eines muss klar sein: Wer Cybersicherheit zur Voraussetzung staatlicher Handlungsfähigkeit erklärt, muss auch bereit sein, die dafür erforderlichen Rahmenbedingungen zu schaffen.

Das Motto dieser Veranstaltung könnte treffender nicht sein: „Gemeinsam stark für Cybersicherheit.“ Denn in der Tat: Cybersicherheit ist längst eine Gemeinschaftsaufgabe geworden. Gerade die Kommunen stoßen allein auf sich gestellt schnell an Grenzen. Grenzen beim Personal. Grenzen bei Spezialwissen. Grenzen bei finanziellen Ressourcen. Deshalb wird Kooperation immer wichtiger.

Kooperation zwischen Kommunen. Kooperation mit dem Land. Kooperation mit Sicherheitsbehörden. Und natürlich Kooperation innerhalb unseres kommunalen IT-Verbunds. Die Komm.ONE spielt dabei eine Schlüsselrolle. Denn sie bündelt Kompetenzen. Sie schafft Skaleneffekte. Sie ermöglicht Standardisierung. Und sie stärkt die Resilienz des Gesamtsystems. Das ist von enormer Bedeutung. Gerade in Zeiten zunehmender Bedrohungen.
 

Meine sehr verehrten Damen und Herren,

Kooperation ist weit mehr als organisatorische Zusammenarbeit. Kooperation bedeutet auch … voneinander lernen … Informationen teilen … Vorfälle offen ansprechen … und Erfahrungen weitergeben. Denn eines darf nicht passieren: Dass aus Angst vor Reputationsschäden geschwiegen wird. Cybersicherheit braucht Offenheit. Denn nur wer Angriffe analysiert und Erkenntnisse teilt, verbessert das Gesamtsystem. Oder anders formuliert: Die Schwäche eines Einzelnen kann schnell zum Risiko für viele werden.

Aber umgekehrt gilt ebenso: Die Stärke des Netzwerks erhöht die Sicherheit aller.
 

Meine sehr verehrten Damen und Herren,

dass dies keine theoretische Überlegung ist, sondern ganz konkret funktioniert, zeigt ein Projekt, auf das wir als Landkreise durchaus ein wenig stolz sein dürfen. Ich meine den 16. INDILAKO – die Initiative Digitale Landkreiskonvois zum Thema „Interkommunale Zusammenarbeit bei Cyberangriffen“. Hervorzuheben ist dabei zunächst, dass sich alle 35 baden-württembergischen Landkreise an diesem Prozess beteiligt haben. Gemeinsam wurden Notfallkonzepte, Checklisten, Handreichungen und Blaupausen entwickelt. Gemeinsam wurden Handlungsmuster für den Ernstfall erarbeitet. Und gemeinsam wurde die Frage beantwortet, wie wir uns gegenseitig unterstützen können, wenn ein Landkreis von einem schwerwiegenden Cyberangriff betroffen ist.

Das Entscheidende dabei ist jedoch nicht die schiere Zahl der erstellten Dokumente. Das Entscheidende ist die dahinterstehende Haltung. Der INDILAKO basiert auf der Überzeugung, dass Cybersicherheit keine isolierte Aufgabe einzelner Häuser ist, sondern eine Gemeinschaftsaufgabe der kommunalen Familie. Oder anders formuliert: Wenn eine Kommune ausfällt, betrifft das längst nicht mehr nur diese eine Kommune. Deshalb müssen wir uns schon heute darauf vorbereiten, uns morgen gegenseitig unterstützen zu können.

Der INDILAKO hat hierfür einen wichtigen Grundstein gelegt. Er hat Standards geschaffen. Er hat Vertrauen gestiftet. Und er hat gezeigt, dass interkommunale Zusammenarbeit nicht erst in der Krise beginnt, sondern lange vorher. Nun kommt es darauf an, die erarbeiteten Konzepte in die Praxis zu überführen. Denn Cybersicherheit ist keine Kampagne mit Enddatum. Sie ist eine Daueraufgabe.

Der INDILAKO hat uns eines gezeigt: Gemeinsam können wir als Landkreise, Städte und Gemeinden vieles leisten. Gemeinsam können wir als Kommunen deutlich resilienter werden. Und dennoch – und dieses Caveat, diesen Vorbehalt will ich hier sehr nachdrücklich platzieren – dennoch dürfen die Kommunen mit dieser Aufgabe nicht alleine bleiben und nicht alleine gelassen werden.
 

Meine sehr verehrten Damen und Herren,

natürlich tragen die Kommunen Verantwortung. Darüber haben wir bereits vor zwei Jahren gesprochen. Und das gilt unverändert. Aber genauso klar ist: Die Kommunen dürfen mit dieser Herausforderung in der Tat nicht alleine gelassen werden.

Denn die Anforderungen steigen permanent. Neue Regulierung. Neue Standards. Neue Dokumentationspflichten. Neue technische Anforderungen.

Und gleichzeitig erleben wir eine dramatische Verschärfung der kommunalen Finanzlage. Viele Städte, Gemeinden und Landkreise arbeiten längst an der Belastungsgrenze. Deshalb müssen wir sehr offen über Prioritäten sprechen.

Cybersicherheit kostet Geld. Und zwar dauerhaft. Nicht einmalig. Es geht um Personal. Um Infrastruktur. Um Schulung. Um Krisenvorsorge. Um Redundanzen. Und deshalb bleibt es richtig, das Land in der Mitverantwortung zu sehen und diese Mitverantwortung auch ganz konkret einzufordern. Denn wenn Cybersicherheit Voraussetzung staatlicher Funktionsfähigkeit schlechthin ist, dann kann sich das Land bei der Finanzierung von Cybersicherheit auf kommunaler Ebene nicht einfach wegducken. Denn – diesen Satz muss ich auch an dieser Stelle zwingend loswerden – die Kommunen sind verfassungsrechtlich Teil der Länder und haben daher gegen das Land Baden-Württemberg einen grundgesetzlich verbürgten Anspruch auf aufgabenangemessene Finanzausstattung.
 

Meine sehr verehrten Damen und Herren,

lassen Sie mich zum Schluss nochmals zusammenfassen und meine heutige Botschaft in die berühmt-berüchtigte Nussschale bringen.

Cybersicherheit wird häufig vor allem unter technischen Gesichtspunkten diskutiert. Aber in Wahrheit geht es um etwas Größeres. Es geht um Vertrauen in den demokratischen Staat. Die Bürgerinnen und Bürger erwarten zu Recht, dass Verwaltung funktioniert. Verlässlich. Sicher. Und auch unter schwierigen Bedingungen.

Gerade deshalb ist Cybersicherheit kein Nebenthema. Sie gehört inzwischen zum Kern moderner Staatlichkeit. Und sie wird in den kommenden Jahren noch stärker darüber entscheiden, wie leistungsfähig unsere öffentliche Verwaltung bleibt. Wir werden Cyberrisiken niemals vollständig eliminieren können. Aber wir können unsere Widerstandskraft erhöhen. Wir können professioneller werden. Wir können resilienter werden. Und wir können und sollen vor allem eines tun: Zusammenarbeiten. Denn genau darin liegt unsere eigentliche Stärke – und zwar nicht nur die der kommunalen Familie in Baden-Württemberg, sondern die unseres Bundeslandes insgesamt.

Unsere baden-württembergische Stärke ist die Kooperation. Nicht das isolierte Vor-sich-Hinwursteln. Nicht die „splendid isolation“. Sondern die Fähigkeit, Herausforderungen gemeinsam zu bewältigen. Deshalb – ich unterstreiche es nochmals – passt das Motto dieses Cybersecurity-Tags hervorragend: „Gemeinsam stark für Cybersicherheit.“ Das Motto passt nicht bloß als Veranstaltungstitel. Es passt auch als Handlungsauftrag. Und vielleicht sogar als Grundprinzip moderner Verwaltung im digitalen Zeitalter.
 

Meine Damen und Herren,

ich danke der Komm.ONE – stellvertretend dem Vorstandsvorsitzenden William Schmitt und dem Vorstand Jörg Eberle – sehr herzlich für die Durchführung dieses wichtigen Cybersecurity-Tags. Wenn es der Cybersecurity-Tag der Komm.ONE nicht gäbe müsste er glatt erfunden werden. Und Ihnen danke ich, meine Damen und Herren, die Sie mir so geduldig zugehört haben.