Wenn der digitale Zwilling zum Risiko wird: Wie Kommunen über Resilienz nachdenken

Urbane digitale Zwillinge gelten als Zukunftswerkzeug der integrierten Stadtentwicklung. Sie verknüpfen Daten, bauen Silos ab und ermöglichen Simulationen, die helfen, Planungen besser aufeinander abzustimmen – etwa bei Verkehr, Energie oder Wasser. Doch genau diese Verknüpfung macht sie auch interessant für potenzielle Angriffe. Was passiert, wenn Daten manipuliert werden? Oder wenn ein Zwilling versehentlich Einblicke in kritische Infrastrukturen gewährt?

Diesen Fragen ging im September 2025 die Arbeitsgruppe „Urbane Digitale Zwillinge“ in einer Online-Werkstatt nach. In der Arbeitsgruppe vernetzen sich Kommunen miteinander, die aktiv an der Umsetzung digitaler Zwillinge arbeiten oder dies vorhaben. Unter dem Titel „Resiliente Zwillinge im Kontext kritischer Infrastrukturen und Datensicherheit“ tauschten sich kommunale Vertreterinnen und Vertreter mit zwei Experten aus Wissenschaft und Cybersicherheit aus. Mit dabei: Thomas Braml, Teilprojektleiter im Projekt RISK.Twin der Universität der Bundeswehr München, und Sven Herpig, Lead für Cybersicherheitspolitik und Resilienz bei Interface EU.

Ihr gemeinsames Ziel: herausfinden, wie Städte digitale Zwillinge sicher gestalten können – und welche Verantwortung Kommunen dabei tatsächlich tragen.

Screenshot eines Zeitungsartikels — Die Süddeutsche Zeitung berichtet von potenziellen Sicherheitsrisiken digitaler Zwillinge und löst eine Debatte aus. Süddeutsche Zeitung

Cybersicherheit trifft Stadtentwicklung

Anlass der Diskussion war eine Recherche von Westdeutschem Rundfunk, Norddeutschem Rundfunk und Süddeutscher Zeitung, die auf mögliche Sicherheitsrisiken digitaler Zwillinge aufmerksam machte. Die Debatte zeigte, wie dringend das Thema geworden ist: Einerseits eröffnen digitale Zwillinge neue Wege, Stadtprozesse zu verstehen, zu steuern und so auch zu manipulieren. Andererseits machen sie Systeme sichtbar, die eigentlich geschützt werden müssten – etwa Energie- oder Wassernetze.

Doch im Workshop wurde schnell klar: Digitale Zwillinge sind nicht nur Risiko, sie können auch Teil der Lösung sein. Beispiele dafür sind Brücken, die von Sensoren in Echtzeit überwacht, oder Stadtquartiere, deren Energieflüsse durch Simulation effizienter gestaltet werden können.

„Der Einsturz der Carolabrücke in Dresden hat verdeutlicht, dass Brücken anders überwacht werden müssen. Digitale Zwillinge ermöglichen es, effizient alle Unterlagen einer Brücke an einem Ort zu sammeln und zu verwenden“, so Thomas Braml.

Die Frage ist also nicht ob, sondern wie Kommunen ihre digitalen Zwillinge sicher und resilient aufbauen.

Eine eingestürtze Brücke über einen Fluss — Die eingestürzte Carolabrücke in Dresden. Scalaran / Wikimedia Commons

Sechs Learnings aus der Werkstatt

Im Austausch mit den beiden Experten kristallisierten sich sechs Punkte heraus, die für eine sichere Umsetzung in der kommunalen Praxis entscheidend sind:

Verantwortung klären:
Nicht jede kritische Infrastruktur liegt in der Hand der Kommune. Wichtig ist, den eigenen Verantwortungsbereich klar zu definieren und sich dort konsequent um Sicherheit zu kümmern. So fallen Autobahnbrücken beispielsweise nicht in kommunale Handlungsfelder.

Einen Überblick über konkrete Handlungsempfehlungen an Führungskräften findet sich in einer vom Bundesinstitut für Bau-, Stadt- und Raumforschung (BBSR) herausgegeben Broschüre zur Informationssicherheit in Kommunen vom Fraunhofer-Institut für Experimentelles Software Engineering IESE.
Fachexpertise einholen:
Cybersicherheit ist Spezialwissen. Wer Standards und Sicherheitsfragen nicht selbst abdecken kann, sollte sich gezielt an übergeordnete Institutionen wenden – etwa an das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder an die Landesbehörden für Verfassungsschutz.
An Standards orientieren:
Es gibt bereits solide Leitplanken. Diese reichen von Branchenspezifischen Sicherheitsstandards (B3S) und Technischen Richtlinien für IT-Sicherheitsstandards des Bundesamts für Sicherheit in der Informationstechnik über die NIS-2 Richtlinien der Europäischen Union bis hin zur DIN SPEC 91607.

Die unabhängige Informationsplattform OpenKRITIS hat Mappings zu Standards bezüglich Kritis und den NIS-2 Vorgaben veröffentlicht, in denen die Vorgaben zu kritischer Infrastruktur und der NIS-2-Umsetzung mit aktuellen Sicherheitsstandards verknüpft werden.

Die Leitplanken helfen, rechtssicher und strukturiert vorzugehen, wenn es um den Umgang mit Datensicherheit, das Errichten kritischer Infrastrukturen und den Aufbau urbaner digitaler Zwillinge geht.
Stand der Technik gewährleisten:
Regelmäßige Updates, Backups und Systemprüfungen gehören zum Pflichtprogramm. Daher sollte schon in Ausschreibungen festgeschrieben sein, dass eingesetzte Komponenten dem aktuellen Stand der Technik entsprechen. Einen Überblick über die nötigen Systemanforderungen geben das IT-Grundschutz-Kompendium des BSI und die Handreichung zum Stand der Technik in der IT-Sicherheit des Bundesverbands IT-Sicherheit e.V.
Rechtemanagement ernst nehmen:
Wer darf was sehen? Ein klares Zugriffskonzept ist insbesondere bei sensiblen Daten entscheidend. Nicht alles muss frei verfügbar sein; im Gegenteil: Transparenz und Schutz müssen austariert werden.

Ein Überblick über relevante Rechtsakte in diesem Zusammenhang findet sich im Praxisleitfaden Digitale Zwillinge des Bundesministeriums für Digitales und Verkehr. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat ebenfalls ein Standard-Datenschutzmodell entwickelt.
Open Source nutzen:
Offene Software erhöht Transparenz, reduziert Herstellerabhängigkeiten und macht Sicherheitslücken leichter erkennbar. Das stärkt Vertrauen innerhalb der Verwaltung und bei Bürgerinnen und Bürgern.

Vernetzung

Ein zentraler Punkt für die Entwicklung sicherer urbaner digitaler Zwillinge ist die Vernetzung der Kommunen untereinander. Kommunen, die ähnliche Projekte umsetzen, sollten voneinander lernen. Der offene Austausch über Erfahrungen, Stolpersteine und Lösungen spart nicht nur Zeit, sondern erhöht die Sicherheit für alle. Dies ist eines der Hauptziele der Arbeitsgruppe „Urbane Digitale Zwillinge“, die die oben erwähnte Online-Werkstatt organisierte: Ein Netzwerk schaffen, das sein Wissen und innovative Lösungen teilt, voneinander lernt und anfangs nicht bedachte Schwierigkeiten aufzeigt. Kurz: ein gutes Beispiel für gelebte Smart-City-Resilienz.

Resilienz beginnt im Systemdesign

Die Diskussionen während der Werkstatt und im Anschluss auch in der Arbeitsgruppe haben den Teilnehmenden bewusst gemacht, dass urbane digitale Zwillinge komplexe Gebilde sind, die oft mehrere Teilsysteme verknüpfen – von Sensoren über Datenplattformen bis hin zu Simulationstools. Jede Schnittstelle ist damit potenziell ein Einfallstor für Cyberangriffe.

Deshalb steht und fällt Sicherheit mit einem resilienten Design.

Das Bundesinstitut für Bau-, Stadt- und Raumforschung (BBSR) beschreibt in der gemeinsamen Studie mit dem Kompetenzzentrum Wasser Berlin (KWB) und dem Deutschen Institut für Urbanistik (DifU) „Resilienz in der Smart City“ vier zentrale Prinzipien, die die Resilienz von urbanen digitalen Zwillingen fördern:

Feedbackloops verbessern die Entscheidungsfindung,
Modularität begrenzt Kaskadeneffekte,
Diversität sorgt für flexible Lösungen und
Redundanz schafft Puffer bei Ausfällen.

Hilfreich ist es außerdem, den digitalen Zwilling von Beginn an in eine Datengovernance-Strategie einzubetten, die Schutzbedarfe und -ziele definiert.

Fazit: Gemeinsam resilient werden

Die Online-Werkstatt hat gezeigt: Cybersicherheit ist keine reine Technikfrage. Sie ist eine Gemeinschaftsaufgabe – zwischen Verwaltung, Forschung und Praxis. Kommunen, die ihre digitalen Zwillinge gemeinsam weiterentwickeln, schaffen nicht nur sichere Systeme, sondern auch Vertrauen in die Digitalisierung selbst. Denn am Ende gilt: Nur zusammen können wir die Potenziale digitaler Zwillinge sicher und wirkungsvoll nutzen.

Namentlich gekennzeichnete Beiträge geben die Meinung der Autorin oder des Autors wieder.

Leselinks und Literaturhinweise

Sahr, F. (2024): Cybersicherheit für kritische Infrastrukturen. Smart City Blog. Zugriff: /wissen/blog/cybersicherheit-fuer-kritische-infrastrukturen [zuletzt abgerufen am: 3. Dezember 2025].

Bundesamt für Sicherheit in der Informationstechnik (BSI): Branchenspezifische Sicherheitsstandards (B3S)

Bundesamt für Sicherheit in der Informationstechnik (BSI): Technische Richtlinien für IT-Sicherheitsstandards

Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kompendium

Bundesministerium für Digitalisierung und Verkehr (BMDV): Praxisleitfaden digitale Zwillinge

Bundesverband IT-Sicherheit e.V.: Handreichung zum Stand der Technik in der IT-Sicherheit

Chwalek, J.; Berg, M.; Eichholz, L.; Hübsch, V. (2025): Informationssicherheit in Kommunen. Maßnahmen gegen digitale Angriffe. Bundesinstitut für Bau-, Stadt- und Raumforschung (BBSR), Hrsg. Zugriff: https://www.bbsr.bund.de/BBSR/DE/veroeffentlichungen/sonderveroeffentlichungen/2025/informationssicherheit-kommunen-dl.pdf?__blob=publicationFile&v=2 [zuletzt abgerufen am: 3. Dezember 2025].

Deutsches Institut für Normung (DIN): Digitale Zwillinge für Städte und Kommunen DIN SPEC 91607

OpenKRITIS Mapping zu Standards bezüglich Kritis

OpenKRITIS Mapping zu NIS-2 Vorgaben

Sahr, F.; de Macedo Schäfer, N.; Caradot, N.; Rabe, J.; Diringer, J.; Stein, C.; Abt, J.; Libbe, J.; Dreier, D. (2023): Resilienz in der Smart City: Wie Kommunen besser mit Krisen umgehen und proaktiv eine nachhaltige Zukunft gestalten können. Bundesinstitut für Bau-, Stadt- und Raumforschung (BBSR), Hrsg. Zugriff: https://www.bbsr.bund.de/BBSR/DE/veroeffentlichungen/sonderveroeffentlichungen/2023/resilienz-smart-city-dl.pdf;jsessionid=0B236DCCE68831A640EC734C8070519B.live11313?__blob=publicationFile&v=5 [zuletzt abgerufen am: 3. Dezember 2025].

107. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Das Standard-Datenschutzmodell: Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele

Autorinnen und Autoren