Cybersicherheit der 16 deutschen Bundesländer

Das ATHENE-Missionsprojekt ADISEC veröffentlicht hier die Ergebnisse einer umfassenden Datenerhebung zur IT und IT-Sicherheit der 16 deutschen Länder (Erhebungszeitraum 2023-25). Im Mittelpunkt steht die von außen sichtbare Angriffsfläche der Landesverwaltungen – also jene digitalen Dienste, die im Internet erreichbar sind und damit besonders im Fokus von Angriffen stehen.

Unser Ziel ist es, die Struktur der IT-Landschaften zu verstehen, deren Besonderheiten und Schwachstellen zu identifizieren, deren Ursachen zu analysieren und darauf aufbauend maßgeschneiderte Empfehlungen für Digitalisierung und Cybersicherheit zu entwickeln.

Dazu betrachten wir, wie Digitalisierung in den Ländern praktisch umgesetzt wird: Wie funktioniert die Digitalisierung in den Ländern? Ist sie gut gemacht oder birgt sie Risiken? Was sind die Kernherausforderungen und wo unterscheiden sich die Länder? Wie groß sind die IT‑Landschaften? Wie stark sind sie fragmentiert oder konsolidiert? Welche Teile laufen On‑Premise, welche bei externen Dienstleistern und welche in der Cloud und in welchen geographischen Regionen? Welche Dienste gibt es, sind sie aktuell oder schon “end of life”, wie alt sind die vor­handenen Schwachstellen? So wird sichtbar, wo Digitalisierung gut skaliert und professionell betrieben wird, wo sich Risiken aufbauen: etwa durch digitalen Wildwuchs, mangelhafte Zuständigkeiten, Abhängigkeiten in der Lieferkette oder fehlende Prozesse für Lifecycle- und Patchmanagement. Gerade der Vergleich zwischen den Ländern macht Unterschiede in Governance, Betriebsmodellen und Sicherheitsreife sichtbar.

Digitalisierung braucht nicht nur neue digitale Dienste, sondern auch die Professionalisierung und Modernisierung der vor­handenen IT-Infrastrukturen.

Was sind die wichtigsten Erkenntnisse?

Kein Bundesland verfügt über einen zentral verantwortlichen Akteur für die gesamte Landes-IT oder über die strukturellen Voraus­setzungen, verbindliche Sicherheitsstandards durchzusetzen. Die Folgen sind heterogene Legacy-Landschaften, fehlende Lifecycle-Prozesse und ein systemischer Patch-Rückstand. Über 75% der kritischen Schwachstellen sind älter als ein Jahr; bei vielen Systemen existieren gar keine Updates mehr, weil der Hersteller-Support bereits eingestellt wurde.

  • Sehr große Unterschiede zwischen den Ländern: Größe, Struktur und Digitalisierungsintensität variieren stark; teilweise auch insgesamt zwischen West- und Ostdeutschland. Größere IT‑Landschaften bedeuten meist mehr Beteiligte, mehr Abhängigkeiten und damit mehr Komplexität.
  • Wachstum der Angriffsfläche ohne ausreichende Modernisierung: Die Länder-IT ist zwischen 2023 und 2025 um 53% gewachsen, jedoch nicht durch Modernisierung, sondern vorwiegend durch Outsourcing und Cloud‑Nutzung. Die neue IT kommt häufig zusätzlich zur bestehenden, d.h. die Altsysteme laufen weiter. Das Ergebnis: zunehmende Redundanz, steigende Fragmentierung und eine wachsende Angriffsfläche.
  • Cloud nimmt zu – oft ohne einheitliche Strategie: Der Cloud‑Anteil ist in allen Ländern noch vergleichsweise gering, zeigt aber ein sehr starkes Wachstum. Insgesamt dominieren im Wesentlichen wenige Anbieter aus den USA. Ohne abgestimmte Cloud‑Strategie entstehen innerhalb und erst recht zwischen den Ländern inkompatible Lösungen, fragmentierte Sicherheitsvorgaben und fehlende gemeinsame Resilienzmechanismen. Das fragmentierte Vorgehen verhindert nicht nur Synergien, es verschlechtert auch die Verhandlungspositionen der Länder gegenüber den Anbietern und erhöht so die Kosten. 
  • Outsourcing ist sehr unterschiedlich ausgeprägt: Outsourcing findet teils sehr selektiv, teils für nahezu alle Dienste statt. Besonders relevant sind dabei digitale Basisdienste wie E-Mail, Remote‑Zugänge, FTP, DNS oder der Zugang zu Datenbanken, mit je nach Land sehr unterschiedlichen Risikoprofilen.
  • Kernproblem: Mangelhaftes Patch- und Lifecycle‑Management: Länderübergreifend finden sich sehr viele kritische Schwachstellen, die bereits 1-3 Jahre alt sind, häufig sogar deutlich älter. Solche Schwachstellen stellen ein besonders hohes Sicherheitsrisiko dar. Das Schwachstellenproblem besteht also keineswegs nur aus neuen Schwachstellen und Zero-Days. Überall finden sich zudem viele Systeme, die über das Support-Ende (“End of Life”) hinaus betrieben werden. Ein Teil der Angriffsfläche ist dadurch überhaupt nicht mehr zuverlässig patchbar.
  • Die Ursachen liegen oft in Strukturen und Governance: Sichere Digitalisierung braucht Standardisierung und Automatisierung, Modernisierung und konsequentes Lebenszyklusmanagement, insbesondere die Abschaltung unnötiger und veralteter Systeme. Diesen Zielen stehen die tatsächlichen Gegebenheiten in und zwischen den Ländern entgegen: Föderale Fragmentierung, Ressortprinzip und fehlende Durchgriffsrechte, unvollständige IT‑Inventarisierung, heterogene Beschaffung sowie der Fachkräftemangel und die starren Gehaltsstrukturen im öffentlichen Dienst. Das Ergebnis ist eine Digitalisierung, die zu oft auf einer unzureichend konsolidierten und professionell steuerbaren IT‑Basis aufsetzt. Eine tragfähige Digitalisierungsstrategie braucht es neben neuen Online‑Diensten vor allem konsequente Dekommissionierung, Lifecycle‑Management, verbindliche Baselines und durchsetzungsfähige Governance.
  • Informationssicherheitsmanagement ersetzt keine IT-Modernisierung: Ein zertifiziertes ISMS (Informationssicherheitsmanagementsystem) wird häufig als die eine zentrale Maßnahme zur Verbesserung der IT-Sicherheit empfohlen. In den ATHENE-Lagebildern zeigen sich allerdings keine signifikanten Unterschiede in Angriffsfläche und IT-Hygiene zwischen zertifizierten und unzertifizierten IT-Infrastrukturen. Dies zeigt, dass ein ISMS für sich genommen die IT-Sicherheit noch nicht verbessert: Es verwaltet lediglich die vor­handene IT-Sicherheit, schafft sie aber nicht. Ohne konkrete Maßnahmen zur Modernisierung und Professionalisierung entsteht durch ein zertifiziertes ISMS lediglich Scheinsicherheit.

Bitte melden Sie sich an, um den Bericht zu erhalten. Nach der Anmeldung wird der Bericht an die von Ihnen hinterlegte E-Mail-Adresse verschickt.
 

Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Die personenbezogenen Pflichtangaben dieses Formulars werden auf Basis von Art. 6 Abs. 1 lit. f DSGVO zur Kenntnisnahme des Empfängerkreises des Berichts (sowie ggf. zum Hinweis auf zukünftige Studien und Veranstaltungen, sofern sie hierin gem. Art. 6 Abs. 1 lit. a DSGVO eingewilligt haben) gespeichert. Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe f DSGVO erfolgt, Widerspruch einzulegen. Näheres dazu finden Sie in unserer Datenschutzerklärung, die im Übrigen gilt.
1) Wir informieren Sie per E-Mail über Veranstaltungen, Seminare und Fortbildungen des ATHENE-Centers. Sie sind damit einverstanden, dass Ihre angegebenen Daten durch die Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. für ihr Institut für Sichere Informations­technologie („Fraunhofer SIT“) gespeichert und verarbeitet werden, um Sie über ATHENE-Veranstaltungen zu informieren. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Der Widerruf ist zu richten an: ­datenschutzkoordination@zv.fraunhofer.de.

Kontakt

Prof. Dr. Haya Schulmann
Koordinatorin
E-Mail