Gutes tun: Wie „Ethical Hacking“ smarte Kommunen digital resilient macht

Digitale Sicherheit als kommunale Kernaufgabe

Wenn in einer Kommune das Wort „Hacking“ fällt, ist das selten eine gute Nachricht. Dann geht es um verschlüsselte Server, Phishing-E-Mails, gestohlene Zugangsdaten oder ausgefallene Systeme. Cyberangriffe auf Verwaltungen, Kliniken und kommunale Dienstleister haben gezeigt: Digitale Bedrohungen sind längst Teil der kommunalen Realität.

Besonders sensibel wird es dort, wo kritische Infrastrukturen (KRITIS) betroffen sind, etwa bei der Energie- und Wasserversorgung oder in den Bereichen Gesundheit, Verkehr und Verwaltung. Wenn hier Systeme ausfallen, geht es nicht nur um Technik, sondern um Versorgungssicherheit, wirtschaftliche Stabilität. Das heißt im schlimmsten Fall sogar um Menschenleben.

Gleichzeitig treiben Städte und Regionen die Digitalisierung ihrer Verwaltungsleistungen und Smart-City-Lösungen voran. Urbane Datenplattformen, digitale Zwillinge oder City-Apps entstehen und Sensoren unterstützen Verkehr, Parkraummanagement oder Umweltmessungen. Das schafft Mehrwehrte, erhöht jedoch auch die Komplexität digitaler Systeme. Mit dem zunehmenden digitalen Fortschritt wächst damit zugleich die Verantwortung, Systeme widerstandsfähig und sicher zu gestalten.

Ein Mann in einer Gesprächssituation — Manuel 'HonkHase' Atug. CC BY-SA-ND

Um diesen Handlungsbedarf gerade bei Sicherheitsfragen zu kritischen Infrastrukturen unabhängig, praxisnah und gemeinwohlorientiert sichtbar zu machen, gründete Manuel ‚HonkHase‘ Atug vor Jahren die AG KRITIS, als zivilgesellschaftliche Initiative. Die AG KRITIS bringt Fachwissen in politische Debatten ein, weist auf Schwachstellen hin und macht deutlich, welche Folgen mangelnde Resilienz für Staat, Wirtschaft und Gesellschaft haben kann.

Für Atug wird die Bedeutung der Themen Cybersicherheit oder digitaler Souveränität von Kommunen zu wenig priorisiert, oft weil sie glauben, es fehle an Budget- oder Personalressourcen. Dabei könnten sie – mit freien und offenen Standards, aber auch mit Open-Source-Software – digital und vor allem auch kostensouverän haushalten, wenn nicht sogar selbstbestimmter und effizienter wirtschaften. Oft helfe es schon, in kleinen Schritten anzufangen. Hauptsache, der (politische) Wille sei da, so Atug.

Hacking auf der hellen Seite der Macht

Atug, mit seinem ehrenamtlichen Engagement als Gründer und Sprecher für die AG KRITIS, zählt zum „Ethical Hacking“ oder auch „White Hat Hacking.“ Anders als die Klischeebilder vom „Black Hat Hacking“ – mit dunklen Kapuzenpullovern, flackernden Bildschirmen und anonymen Angriffen – bewegt er sich auf der guten Seite der Macht: Er gehört zu den IT-Security-Expertinnen und -Experten, die Schwachstellen aufspüren, bevor Kriminelle sie ausnutzen, die Angriffe simulieren, um Risiken sichtbar und Systeme robuster zu machen. Ziel ist kein Schaden, sondern der Schutz und die Resilienz. Nicht das Ausnutzen von Lücken, sondern Aufklärung, Risikobewusstsein und der verantwortungsvolle Umgang mit digitalen Systemen.

Dahinter steht ein Ansatz, der auch für smarte Kommunen relevant ist: Technik verstehen statt nur zu nutzen. Systeme kritisch zu prüfen statt ihnen blind zu vertrauen. Probleme zu erkennen, bevor sie zum Krisenfall werden. Kurz: Es geht darum, digitale Lösungen so zu gestalten, dass Menschen sie verstehen und selbst kontrollieren können – sicher, nachvollziehbar und souverän. „Ethical Hacking“ teilt damit zentrale Ziele smarter Kommunen: digitale Souveränität, Sicherheit und Transparenz.

Welche Vorteile haben Kommunen davon, wenn sie mit IT-Sicherheitsexpertinnen und -experten aus dieser Community – ob in Hoodies oder Anzügen – zusammenarbeiten? Für Atug sind das: fundiertes, technisch kompetentes Know-how von Menschen mit einem Eigeninteresse an funktionaler KRITIS, die unabhängig, hilfsbereit und offen beraten und sich nicht von Lobbyinteressen treiben lassen.

Nicht nur smart, sondern „secure by design“

Beim Thema digitale Stadtentwicklung stehen häufig die sichtbaren Anwendungen im Fokus: Apps, Sensorik, digitale Zwillinge oder datenbasierte Steuerung. Seltener geht es um die Grundlagen für das Funktionieren dieser Lösungen, um belastbare, sichere und verlässliche IT-Infrastrukturen.

Dabei basiert jede neue Anwendung auf Netzverbindungen, Schnittstellen, Benutzerkonten, mobilen Geräten oder externen Diensten. Ein intelligentes Parksystem ist mehr als ein Serviceangebot, eine urbane Datenplattform mehr als ein Werkzeug für bessere Entscheidungen. Beide Lösungen sind Bausteine komplexer digitaler Architekturen, die sicher und zuverlässig funktionieren müssen.

Ob Energieversorgung, Verkehr, Gesundheit, Wasser oder Verwaltung: Mit jeder zusätzlichen Schnittstelle wachsen nicht nur der Nutzen, sondern auch der Grad an Verantwortung. Gerade in langjährig gewachsenen kommunalen IT-Landschaften ist IT-Sicherheit deshalb eine anspruchsvolle Aufgabe. Neue Smart-City-Anwendungen treffen dort häufig auf bestehende Plattformen oder Strukturen, die nicht immer für heutige Sicherheitsanforderungen ausgelegt sind. Wer Smart City sagt, sollte deshalb auch Sicherheit von Anfang an mitdenken (sogenanntes „secure by design“).

„Wer digitale Souveränität und Cybersicherheit in KRITIS und Kommunen will, findet Lösungen. Wer das nicht will, findet Ausreden.“

(Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS)

Eine Wand mit neonfarbenen Aufschriften — Einfach (Mit)Machen, Ideensammeln, ein kreativer Umgang mit Technik und der Anspruch, die „Welt zu verbessern" - das sind zentrale Werte des „Ethical Hacking" (Das Bild zeigt die „Gaming Wall" zu Future Smart Cities & Technologies auf der World Expo Barcelona in 2022). Nicole May

Koblenz: Mit Hoodie ins Rathaus

Zwei Männer schauen in eine Kamera — Guter Draht ins Rathaus: Immanuel Bär (li.) bei einem Fototermin mit dem Koblenzer Oberbürgermeister David Langner. Immanuel Bär privat

Wie neue Partnerschaften zwischen Kommunen und IT-Sicherheitsexpertise aussehen können, zeigt die Stadt Koblenz. Dort engagiert sich Immanuel Bär, IT-Security-Experte, im Kontext der Wirtschaftsförderung und den Themen Digitalpolitik, Bildung und Jugendarbeit und ehrenamtlich im Digitalbeirat der Stadt. Auslöser war für ihn die wachsende Zahl von Cyberangriffen auf öffentliche Einrichtungen sowie der Wunsch, nicht nur Unternehmen zu schützen, sondern auch als Bürger konkret etwas für Staat, Verwaltung und Stadtgesellschaft zu tun.

Für einen Security-Experten sind smarte Städte und Regionen eine besondere Herausforderung. Bär nennt sie augenzwinkernd den „Endgegner des Ethical Hacking“: Kaum ein Umfeld vereine so viele Systeme, Schnittstellen, Akteure und sensible Daten wie eine digitalisierte Kommune. Gleichzeitig sei kaum ein Bereich gesellschaftlich relevanter.

Wer die Sicherheit smarter Städte stärkt, schützt nicht nur IT-Systeme, sondern Verwaltungsfähigkeit, Daseinsvorsorge und Vertrauen in öffentliche Institutionen. Bär unterstützt auch das Modellprojekt Smart Cities Mayen-Koblenz (MYK10) und andere Kommunen mit Fachimpulsen zur IT-Sicherheit und digitalen Resilienz, sowie langfristig und strategisch, zum Beispiel beim Aufbau einer urbanen Datenplattform. Koblenz wurde so zum praktischen Beispiel dafür, wie kommunale Digitalisierung und externe Expertise sinnvoll zusammenfinden können.

Der Faktor Mensch entscheidet

Ein Miniatur-Camping-Platz — Best Practice für kreative Lösungsfindung: Wenn das WLAN beim "Hacker-Camp" nicht reicht, werden Kabel verlegt und Dixie-Toiletten zu Serverräumen umfunktioniert. (Das Bild zeigt ein "Computer-Camp" im Miniatur-Wunderland in Hamburg) Nicole May

Bär brachte seine Expertise nicht nur in strategische Fragen mit ein, sondern auch in konkreten Formaten zur Sensibilisierung und Resilienz. Gemeinsam mit kommunalen Partnern wurden Schwachstellenanalysen, Awareness-Maßnahmen und realistische Angriffsszenarien entwickelt, technisch, organisatorisch und mit Blick auf menschliches Verhalten. Denn viele Sicherheitsprobleme beginnen nicht mit Hochtechnologie, sondern mit einem unbedachten Klick. Täuschend echt gestaltete Login-Seiten, unsichere Passwörter oder die Ablehnung einer Zwei-Faktor-Authentifizierung zeigen: Der Faktor Mensch ist nicht nur Risiko, sondern zugleich eine der wichtigsten Schutzlinien. Wer Mitarbeitende nur als Funktion betrachtet, erreicht oft wenig. Wer sie auch als Eltern, Großeltern oder digital aktive Privatpersonen anspricht, schafft eher nachhaltige Verhaltensänderungen, im Büro wie zuhause.

Aus den Erfahrungen vor Ort entstanden weitere Impulse. Bär engagiert sich mittlerweile auch in weiteren kommunalen Netzwerken und auf Landesebene, etwa im Austausch mit dem Städtetag Rheinland-Pfalz. Dabei wird deutlich: Was in einer Kommune funktioniert, kann auch anderen Städten helfen. Gerade bei Cybersicherheit, Awareness und Resilienz profitieren Kommunen davon, wenn gute Lösungen geteilt statt neu erfunden werden.

Es geht allerdings nicht nur um Technik, sondern auch um Zusammenarbeit: Verwaltung, Politik, Feuerwehr, Wirtschaftsförderung oder IT müssen im Krisenfall zusammenspielen und frühzeitig miteinander sprechen. Resilienz entsteht dort, wo Zuständigkeiten geklärt, Risiken verstanden und Perspektiven zusammengebracht werden. Bärs Erfahrung dabei: Solche Kooperationen gelingen besonders dann, wenn beide Seiten bereit sind zuzuhören.

„Wir können viel verändern. Wenn wir endlich erreichen, dass den Leuten mit einem ‚Hoodie im Mindset‘ zugehört wird.“

(Immanuel Bär, Co-Founder der IT-Sicherheitsfirma ProSec und ehrenamtlich aktiv in der Bundesfachkommission Cybersecurity und im Digitalbeirat der Stadt Koblenz)

Sicherheit, die sich auszahlt

Porträtfoto — Tobias Querbach, Chief Digital Officer (CDO) der Kreisverwaltung Mayen-Koblenz und Teil der Stabstelle Smart Cities. privat

Wie wertvoll diese Kooperationen für Kommunen sind, diese Erfahrung hat auch Tobias Querbach, Chief Digital Officer (CDO) der Kreisverwaltung Mayen-Koblenz und Teil der Stabstelle Smart Cities, gemacht. Er hatte Bär bei Vorträgen an der Universität kennengelernt und – spätestens nach den Cyberangriffen auf kommunale Infrastrukturen in Anhalt-Bitterfeld oder im Rhein-Pfalz-Kreis – auch andere in der Verwaltung von der Bedeutung des Themas IT-Sicherheit überzeugen können. Auf einmal wirkte, was andernorts passiert, nicht mehr abstrakt, sondern sehr nah.

Für Querbach sind IT-Security-Checks wie Schwachstellenanalysen oder Pen-Testing (das gezielte Simulieren von Angriffsszenarien zum Sicherheitscheck) deshalb keine Kür, sondern eine Voraussetzung zukunftsfähiger Digitalisierung. Wer urbane Datenplattformen, digitale Fachverfahren oder Smart-City-Projekte aufbauen wolle, brauche Vertrauen in die Sicherheit der Basisinfrastruktur. Deshalb werden in Mayen-Koblenz für alle, auch für zukünftige oder interkommunale IT- oder Smart-City-Projekte, frühzeitige Maßnahmen wie Pen-Testing, Schwachstellenanalysen und Awareness-Schulungen für die beteiligten Teams geplant. Denn gerade, wo Anwendungen und Daten in einer Region mehrere Kommunen, Landkreise oder sogar Bundesländer betreffen, sind die Anforderungen an Schutz, Governance und Resilienz der Systeme besonders groß. Dabei müsse es nicht immer das große Sonderbudget sein. Auch mit überschaubaren Mitteln lasse sich beginnen: Risiken sichtbar machen, Systeme prüfen, Prioritäten setzen und Maßnahmen Schritt für Schritt verbessern.

„Eine smarte Region ist nur so smart, wie sie sicher ist. Cybersicherheit ist kein Add-on, sondern das Fundament jeder vernetzten Region. Wer Resilienz ernst nimmt, denkt Sicherheit von Anfang an mit – nicht erst nach dem ersten Vorfall.“

(Tobias Querbach, Chief Digital Officer der Kreisverwaltung Mayen-Koblenz und Teil der Stabstelle Smart Cities)

Zwischen Rathaus und Community

Kooperationen zwischen Kommunen, lokalen Communitys, engagierten Fachleuten oder spezialisierten Unternehmen können viel bewegen. Selbstläufer sind sie jedoch nicht. Verwaltungen arbeiten nachvollziehbar, formalisiert und rechtsgebunden; technische Communitys oft direkter, schneller und experimenteller. Sie wollen über Updates und Fortschritte informiert werden, auch über Gründe, falls etwas nicht umgesetzt werden kann, um gemeinsam nach neuen Lösungen zu suchen. Damit Zusammenarbeit gelingt, braucht es offene Kommunikation, Transparenz und gegenseitige Wertschätzung, gerade dort, wo es um sensible Daten und Sicherheitsfragen geht.

Gleichzeitig ist Cybersicherheit längst keine reine IT-Frage mehr. Wenn Systeme ausfallen, betrifft das Bürgerdienste, Unternehmen, Schulen, Rettungsstrukturen und die kommunale Handlungsfähigkeit insgesamt. Viele Städte suchen deshalb nach Wegen zu mehr digitaler Souveränität, belastbarer Infrastruktur und Vertrauen in ihre Smart-City-Projekte und -Lösungen.

Dabei liegt oft mehr Kompetenz vor Ort, als auf den ersten Blick sichtbar ist, in Communitys, Initiativen, Hochschulen oder spezialisierten Unternehmen. Hier sind die Übergänge fließend, viele besonders engagierte IT-Expertinnen und -Experten arbeiten bereits mit oder für Kommunen, oft allerdings nicht primär zu Sicherheitsthemen. Im Kontext der Modellprojekte Smart Cities beschäftigen sich viele mit den Themen Open-Source-Software oder -Communitys, organisieren sich in „Makerspaces“ oder anderen digitalen Ankerorten, beziehungsweise: auch sie scheinen ein „Hoodie im Mindset“ zu tragen.

Es lohnt sich, diese Ressourcen von zivilgesellschaftlichen Initiativen oder einzelnen Akteuren einzubinden und gemeinsam und wertschätzend an ähnlichen Zielen zu arbeiten, sodass am Ende alle dabei gewinnen. Denn die smarte Kommune der Zukunft entsteht nicht allein durch neue Technik, sondern dort, wo Menschen Systeme verstehen, Risiken ernst nehmen und gemeinsam bessere Lösungen entwickeln.

Namentlich gekennzeichnete Beiträge geben die Meinung der Autorin oder des Autors wieder.