Wachsende Cyberbedrohungen für kommunale Unternehmen und ihre Cybersicherheit
Die digitale Bedrohungslage für kommunale Unternehmen hat sich in den vergangenen Jahren deutlich verschärft, und trotz dieser Entwicklung bestehen weiterhin erhebliche Sicherheitslücken in den IT-Systemen kommunaler Unternehmen. Cybersecurity-Expertin Chris Kubecka zeichnete in einem Interview mit „Die Zeit“ ein alarmierendes Bild der aktuellen Lage. Besonders Stadtwerke, kommunale IT-Dienstleister und Versorgungsbetriebe geraten immer intensiver in den Fokus professioneller Angreifer.
Der bekannte Ransomware-Angriff auf das US-Unternehmen Colonial Pipeline zeigt exemplarisch, wie verwundbar kritische Infrastruktur sein kann. Durch den Angriff kam die Treibstoffversorgung in großen Teilen der USA zum Erliegen, und das betroffene Unternehmen zahlte ein Lösegeld von 4,4 Millionen US-Dollar. Solche Fälle machen deutlich, wie attraktiv kommunale Einrichtungen für Cyberkriminelle oder Akteure hybrider Kriegsführung sind – häufig mit gravierenden Konsequenzen für die Versorgungssicherheit und das Vertrauen der Bürgerinnen und Bürger.
Auch Deutschland ist laut Microsoft Digital Defense Report längst in den Kreis der am häufigsten attackierten Länder aufgestiegen. Besonders betroffen sind IT-Infrastrukturen in kommunalen Unternehmen und kritischen Bereichen der öffentlichen Verwaltung. Die Angriffe werden gezielter, komplexer und treffen vor allem dort, wo IT-Sicherheitsmaßnahmen veraltet oder unvollständig umgesetzt sind.
Steigende Anforderungen an IT-Sicherheit: Was die NIS-2-Richtlinie für kommunale Unternehmen bedeutet
Parallel zur zunehmenden Bedrohung wachsen auch die gesetzlichen Anforderungen. Die NIS-2-Richtlinie, die neue Anforderungen an die Cybersicherheit kommunaler Unternehmen und Kommunalverwaltungen stellt, passiert gerade die deutsche Gesetzgebung (NIS2UmsuCG). Mit der endgültigen Verabschiedung wird Ende 2025 oder Anfang 2026 gerechnet. Für kommunale Unternehmen entsteht damit die Pflicht, ihre Sicherheitsarchitektur grundlegend zu überprüfen und gegebenenfalls neu auszurichten.
Viele Organisationen müssen ihre Sicherheitsstrukturen anpassen und Informationssicherheitsmanagementsysteme (ISMS) einführen oder modernisieren. Diese Maßnahmen sind essenziell, um den gestiegenen Anforderungen der NIS-2 gerecht zu werden und die Informationssicherheit in der kommunalen Verwaltung nachhaltig zu stärken. Zudem steigt die Bedeutung von überprüfbaren Nachweisen und Zertifikaten, die im Rahmen von Audits, gegenüber Behörden oder im Austausch mit Geschäftspartnern notwendig sind. Standards wie ISO/IEC 27001 oder branchenspezifische Normen tragen zur Risikominimierung bei – allerdings nur, wenn sie verifiziert, gültig und aktuell sind. Mehrere Vorfälle der Vergangenheit haben gezeigt, wie trügerisch Sicherheit sein kann, wenn Dokumentation gefälscht oder unvollständig ist.
Handlungsempfehlungen zur Umsetzung der NIS-2-Richtlinie unterstützen Kommunen und kommunale Unternehmen dabei, ihre IT-Sicherheitsmaßnahmen effektiv zu verbessern.
Lieferanten als Risikofaktor
Ein besonders sensibler Bereich ist die Abhängigkeit von externen Dienstleistern. Sicherheitslücken entstehen oft nicht im eigenen System, sondern über unsichere Schnittstellen zu Drittanbietern. So geschehen im Fall der Stadtwerke Bruck in Österreich, wo ein Angriff über eine nicht ausreichend gesicherte Verbindung zu externer Software erfolgte.
Noch problematischer sind Fälle, in denen Partnerunternehmen bewusst täuschen. So wurden in chinesischen Solarwechselrichtern versteckte Kommunikationsmodule entdeckt, die potenziell Firewalls umgehen konnten. In einem anderen Fall aus dem Finanzsektor täuschten gefälschte ISO-Zertifikate vermeintliche Sicherheit vor und führten stattdessen zu erheblichem Datenverlust und Reputationsschäden. Solche Vorfälle führen zu Systemausfällen und zeigen, wie wichtig transparente, vertrauenswürdige und überprüfbare Nachweise in der Lieferkette sind.
Das Problem: fehlende Übersicht und veraltete Prozesse
In vielen kommunalen Organisationen fehlt ein strukturierter Überblick über Zertifikate, Nachweise und sicherheitsrelevante Dokumente. Häufig werden verschiedene Versionen in unübersichtlichen Dateiablagen gespeichert oder in E-Mail-Postfächern verteilt. Dadurch gehen wichtige Informationen zu Gültigkeitsdauer, Einsatzbereich oder Aktualität verloren. Nicht selten laufen Zertifikate unbemerkt ab oder werden für einen Anwendungsfall genutzt, für den sie eigentlich nicht gültig sind.
Diese Herausforderungen betreffen nicht nur den Bereich Cybersicherheit, sondern ebenso Themen wie Qualitätsmanagement oder Nachhaltigkeit. Ein tragisches Beispiel ist das Seilbahnunglück in Lissabon im Jahr 2025, bei dem ein ungeeignetes Kabel eingesetzt wurde. Die Zertifizierung galt weder für Standseilbahnen noch für den Personentransport. Außerdem war die Wartungsdokumentation unvollständig und fehlerhaft.
Die Lösung: Digitale Plattformen für Zertifikats- und Nachweisverwaltung
Um die Kontrolle über die Dokumentation zurückzugewinnen und gleichzeitig Anforderungen aus NIS-2, BSI-Vorgaben und ISO-Standards zu erfüllen, benötigen kommunale Unternehmen moderne digitale Lösungen. Solche Plattformen zentralisieren die Verwaltung von Zertifikaten und ermöglichen einen sicheren, nachvollziehbaren Dokumentenaustausch.
Entscheidend für ein funktionierendes System ist, dass Dokumente direkt von verifizierten Auditoren oder akkreditierten Prüfstellen ausgestellt und gespeichert werden. Sie müssen revisionssicher abgelegt sein, damit Manipulationen ausgeschlossen sind. Darüber hinaus sollten Gültigkeitsdauer und Einsatzbereiche automatisiert überwacht werden, damit entscheidende Fristen nicht übersehen werden. Der Austausch von Nachweisen entlang der Lieferkette muss individuell steuerbar sein, und alle beteiligten Partner sollten im Rahmen von KYC-Prüfungen (Know your customer) verifiziert werden. Bei Aktualisierungen sollten alle relevanten Beteiligten automatisch benachrichtigt werden. Ergänzend muss sich die Plattform nahtlos in bestehende Schulungs-, Reporting- und Analysesysteme integrieren lassen, damit keine isolierten Insellösungen entstehen.
Eine Lösung, die diese Anforderungen erfüllt und kommunale Unternehmen beim digitalen Zertifikatsmanagement sowie bei der IT-Sicherheit unterstützt, ist Kevla TrustDocS.
Fazit: Warum kommunale Unternehmen jetzt in Cybersicherheit investieren müssen
Die Bedrohungslage ist real – und sie wird weiter wachsen. Kommunale Unternehmen müssen jetzt aktiv werden, um ihre Infrastruktur, ihre Daten und ihr Vertrauen langfristig zu schützen. Digitale Plattformen wie Kevla schaffen Transparenz, Effizienz und ein Sicherheitsniveau, das für moderne Cyberabwehr unverzichtbar ist.
Wer heute in digitale Nachweisverwaltung investiert, stärkt nicht nur die eigene Organisation, sondern schützt auch seine Partner sowie die Bürgerinnen und Bürger, die auf eine verlässliche Versorgung angewiesen sind.
