Donnerstag, 2. Juli 2026

WestoverledingenZu klein für echten Schutz?

[17.11.2015] In kleinen Kommunen kümmern sich Generalisten um die IT-Systeme. Um sie zielgerichtet gegen Gefahren abzusichern, fehlen häufig die Ressourcen. Wie kann die Sicherheit der IT-Infrastruktur trotzdem erhöht werden?

Eine gute IT arbeitet wie eine funktionierende Verdauung – man bemerkt sie erst, wenn etwas Wesentliches kaputt ist. Ernsthafter gesprochen: Die Informationstechnik einer Verwaltung gehört inzwischen zu einer Kritischen Infrastruktur, ähnlich wie die Strom- oder Telefonnetze. Welche Gefahren drohen dieser Infrastruktur? Einige Beispiele aus den schlechten Träumen eines IT-Leiters und den sich daraus ableitenden Fragen: Herausforderungen aus der alten Welt: Einbruch, Zerstörung – ist der Server-Raum sicher? Was ist nachts oder am Wochenende? Habe ich Zugangskontrollen? Weiß ich, wer wann im Server-Raum war? Läuft die Klimaanlage? Läuft sie zu gut und die Server frieren ein? Läuft sie zu schlecht und die Server sterben den Hitzetod? Herausforderungen aus der neuen Welt: Social Hacking – wurden Passwörter von Mitarbeitern ausgespäht oder geschickt erfragt? Echtes Hacking – ist jemand intern oder extern in mein System eingedrungen? Kompromittierung – hat jemand bewusst oder unbewusst Daten verändert? An den wenigen Beispielen ist erkennbar, dass es nicht die eine Bedrohung gibt, sondern eine Vielzahl sich verändernder Gefahren. Wer hätte vor zehn Jahren an Trojaner auf Tablets von Ratsmitgliedern gedacht? In vielen kleineren Organisationen besteht die IT-Abteilung – sofern vorhanden – aus Generalisten, die neben dem Aufrechterhalten des Dienstbetriebes auch für die Bereiche Anwendungsbetreuung, Support oder Schulung zuständig sind. Um die IT-Systeme zielgerichtet gegen Gefahren wappnen zu können, fehlt es häufig an Ressourcen.

Datensicherheit hat oberste Priorität

Im Folgenden geht es weniger um technische Lösungsansätze, sondern um die Möglichkeiten, Bedrohungen zu verhindern. Die ganze IT taugt nicht, wenn zentrale Probleme die Benutzung verhindern. Der IT-Leiter muss sich keine Gedanken um einen nicht funktionierenden Drucker im Bürgeramt machen, solange sein System von außen infiltriert wird und das Netz abzustürzen droht. Datensicherheit muss oberste Priorität in der IT haben und das muss Außenstehenden – etwa dem Ratsmitglied, das gern private Apps auf seinem Tablet installiert hätte – auch klar gemacht werden. Hilfestellung sowohl bei der Argumentation als auch der technischen Umsetzung bietet beispielsweise der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).
In vielen Kommunen ist die Bestellung eines IT-Sicherheitsbeauftragten längst überfällig, analog zum Datenschutz- oder Sicherheitsbeauftragten. Dieser kann, muss aber nicht zwingend aus der eigenen Verwaltung kommen. Viele Rechenzentren bieten eine solche Position zur Miete an. Die wesentlichen Aufgaben des IT-Sicherheitsbeauftragten sind:
• die Analyse der vorhandenen IT-Architektur nebst Dokumentation,
• der Aufbau einer IT-Sicherheitsorganisation,
• die Entwicklung von IT-Sicherheitskonzepten,
die Kontrolle der Umsetzung.

Besseres Gespür für Datensicherheit

Eine Gemeinde mit überschaubarem Personal kann sich fragen, ob alle Verfahren selber gehostet werden müssen, denn jeder gestattete Zugriff von außen stellt ein potenzielles Sicherheitsrisiko dar. Die Gemeinde Westoverledingen bedient sich beispielsweise in Bereichen der Schüler- und Kindergärtenverpflegung, des Fundwesens und natürlich des Standesamtswesens externer Anbieter aus dem SaaS-Umfeld (Software as a Service). Und falls ein entsprechendes Unglück eintritt, gibt es inzwischen in Niedersachsen für Sicherheitsbelange das Landes-Computer-Emergency-Response-Team (CERT), welches eine strategische Rolle in der IT-Security des Landes Niedersachsen einnehmen soll. Solche CERTs werden zurzeit in vielen Bundesländern etabliert. Durch den medialen Ruck, der durch das Land aufgrund von Whistleblowern wie Edward Snowden gegangen ist, hat sich in den vergangenen Monaten das Gespür für IT- und Datensicherheit spürbar verbessert. Musste man früher den Kollegen oder Gremien-Mitarbeitern die Gefahren des Passwort-Hinausposaunens durch eigene Beispiele verdeutlichen, so reicht heute meist ein Hinweis auf den Hacker-Angriff auf den Bundestag. Der beste Weg ist natürlich, zu überzeugen statt zu überreden oder gar zu zwingen. Ein vorbildliches Beispiel, wie eine Sensibilisierungskampagne zum Thema IT-Sicherheit aufgebaut und durchgeführt werden kann, zeigt die Stadt Oldenburg in ihrem IT-Security-Awareness-Projekt „Wolfi“. Mit mehr Sensibilität weiß das oben genannte Ratsmitglied, warum es nicht erlaubt ist, private Apps auf seinem Tablet zu installieren.

Chefetage muss dahinter stehen

Um die direkten und indirekten Gefahren zu bannen, ist ein hoher Personal- und Sachaufwand notwendig. Um genügend Mittel für entsprechende Ressourcen im Etat zu haben, gilt es, diese rechtzeitig einzuwerben. Oft ist IT-Personal, das nicht selten aus der Wirtschaft rekrutiert wird, nicht mit dem Finanzgebaren der öffentlichen Verwaltung vertraut. Zudem lassen sich viele organisatorische Maßnahmen, die die Verwaltung als Ganzes betreffen, kaum ohne ein Commitment der Führung durchsetzen. Die Chefetage sollte in die Lage versetzt werden, zu erkennen, dass das Hauptmaterial, mit der Verwaltungen arbeiten, Informationen sind – und sie sollte wissen, welche Folgen der Verlust oder die Verfälschung dieser Ressource hat. Zudem schadet es nicht, die Ratsmitglieder für dieses Thema anzuwärmen. Als Argumentationshilfe kann die Darstellung der entstehenden Kosten dienen. Hier fallen zunächst die reinen Wiederherstellungskosten an. Nicht vergessen werden darf zudem die Ausfallzeit der Mitarbeiter. In einer Verwaltung mit einem hohen Automationsgrad sind die Kollegen bei Ausfall der IT quasi arbeitslos. Des Weiteren lässt sich mit drohendem Vertrauensverlust der Bürger in die Infrastruktur der Behörde argumentieren, denn ein einmal verlorenes Vertrauen ist schwer wiederzugewinnen. IT-Sicherheit ist schon lange kein rein technisches Thema mehr. Dazu ist die Bedrohungslage zu vielfältig und die Beziehungen in einer Behörde zu komplex. Es gilt daher, der IT ein festes Fundament für die Bekämpfung von Sicherheitsproblemen zu geben. Dieses kann nur in vertrauensvoller Zusammenarbeit mit Personal und Führungskräften gelegt werden.

Hardy Hessenius ist Leiter der IT-Abteilung der Gemeinde Westoverledingen.




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Illustration zum Thema Cybersicherheit: Im Vordergrund sitzt eine dunkel gekleidete Person mit tief ins Gesicht gezogener Kapuze vor einem Laptop. Im Hintergrund sind schemenhafte Silhouetten von Menschen zu sehen, die miteinander sprechen oder arbeiten. Überlagerte digitale Elemente und eine angedeutete Stadtlandschaft in Blau- und Grautönen vermitteln den Eindruck einer vernetzten digitalen Welt und symbolisieren die Bedrohung durch Cyberangriffe auf Organisationen und Verwaltungen.
bericht

Komm.ONE: Cyber-Sicherheit wird zur Daueraufgabe

[29.06.2026] Der IT-Dienstleister Komm.ONE warnt beim Cybersicherheitstag 2026 vor zunehmender Professionalisierung der Angreifer. Prävention, Zusammenarbeit und Künstliche Intelligenz gewinnen an Bedeutung. mehr...

Bild in Blautönen: Junger Mann in Office-Umgebung stützt Kopf in Hand, un ihn herum eingeblendet Icons für Dokumente und Daten und Vernetzung

CSBW: Neues Handbuch für IT-Notfälle

[23.06.2026] Für Verwaltungen bestehen jederzeit Risiken für Sicherheitsvorfälle und Datenschutzverletzungen – mit möglichen schweren Folgen. Die Cybersicherheitsagentur Baden-Württemberg unterstützt Land und Kommunen mit neuen Angeboten, ein belastbares Informationssicherheits-Managementsystem aufzubauen. mehr...

Etwas düster wirkende Bühne mit der obligaten Großprojektion, davor Personen in förmlicher Business-Kleidung in Gruppenfopto-Aufstellung

BSI/NExT: Drei Projekte für mehr Sicherheit

[22.06.2026] Den InfoSec Impact Award von BSI und NExT erhielten drei herausragende IT-Sicherheitslösungen aus dem Public Sector, die sich mit Software-Lieferketten, Cyber-Trainings und interkommunaler Zusammenarbeit befassen. Die Projekte werden als Best Practices veröffentlicht und der Fachöffentlichkeit vorgestellt. mehr...

Im Homeoffice für Cyber-Sicherheit sensibilisieren.

Schleswig-Holstein: Maßnahmenpaket für Cyber-Sicherheit

[01.06.2026] Schleswig-Holstein baut die Cyber-Sicherheit für Land und Kommunen aus. Zum Schutzschirm gehören unter anderem ein erweitertes Schwachstellenmanagement, mobile IT für Krisenlagen und Vor-Ort-Supportteams. Digitale souveräne Arbeitsplätze und IT-Infrastruktur sichern Behörden weiter ab. mehr...

Blick in einen Vortragssaal auf der SaarSecurity Roadshow

eGo-Saar: Erfolgreiche SaarSecurity Roadshow

[27.05.2026] In einer gemeinsamen Veranstaltungsreihe haben der Zweckverband eGo-Saar und das saarländische Wirtschaftsministerium über NIS2, IT-Notfallmanagement und digitale Resilienz informiert. Bei den Kommunen stieß die SaarSecurity Roadshow 2026 auf großes Interesse. 
 mehr...

G-DAta_leitzgen_bölting_porträt
interview

Cyber-Sicherheit: Kommunen sind leichte Beute

[12.05.2026] Wie Städte und Kreise ihre IT trotz Fachkräftemangel wirksam vor Cyber-Kriminellen schützen können, erläutern im Interview Kira Groß-Bölting und Jan Leitzgen vom Computer Security Incident Response Team (CSIRT) des Unternehmens G DATA Advanced Analytics. mehr...

BSI: Frühwarnsystem für Cyber-Sicherheitsvorfälle

[30.03.2026] Angesichts der angespannten Cyber-Sicherheitslage stärkt das BSI die Reaktionsfähigkeit gegen IT-Sicherheitsvorfälle. Mit den öffentlichen IT-Dienstleistern von Ländern und Kommunen soll der Einsatz von Datensensorik ausgebaut werden – als Grundlage für Echtzeitanalysen und erster Schritt Richtung Cyberdome. mehr...

Markus Bauer (Landrat Salzlandkreis), Hendrik Nitz (Chief Governance Officer GISA GmbH), Dirk Helbig (Stabsstellenleiter und CDO / CIO Salzlandkreis)
(Quelle: GISA GmbH)

Salzlandkreis: IT digital resilient machen

[04.03.2026] Um die digitale Resilienz seiner Verwaltung nachhaltig zu erhöhen, setzt der Salzlandkreis auf eine umfassende Sicherheitsinitiative. Unterstützt wird die Kommune dabei von dem Unternehmen GISA. mehr...

Meeting im Büro, Person am Kopfende des Tisches sieht sehr angespannt aus, die anderen sind unscharf (Bewegungsunschärfe)

CSBW: IT-Notfallübung für Krisenstäbe in Kommunen

[02.03.2026] Die Cybersicherheitsagentur Baden-Württemberg (CSBW) bietet Kommunen IT-Notfallübungen an. Unter realistischen Bedingungen werden Krisenstab, Krisenkommunikation und IT-Notfallhandbuch geübt, anschließend erhalten die Teilnehmenden einen individuellen Maßnahmenplan. Termine für 2026 sind ab sofort buchbar. mehr...

Kommunen benötigen einen Notfallplan für Cyber-Attacken.

Hessen: Neue Angebote für kommunale Cyber-Sicherheit

[18.02.2026] Angesichts wachsender Cyber-Angriffe erweitert Hessen sein Unterstützungsangebot für Kommunen: Neu sind eine Notfallhilfe bei IT-Ausfällen sowie Trainings zur Sensibilisierung von Beschäftigten. Innenminister Roman Poseck ruft Städte und Gemeinden auf, die kostenfreien Angebote zu nutzen. mehr...

Symbolische Darstellung eines digitalen Schutzschildes gegen Cyberattacken.

Berlin: 12. Kommunaler IT-Sicherheitskongress

[04.02.2026] Die kommunalen Spitzenverbände laden am 27. und 28. April zum 12. Kommunalen IT-Sicherheitskongress (KITS) in einem hybriden Format ein. Die Themen reichen vom Grundschutz++ über Erfolgsmodelle für die kommunale Zusammenarbeit bis hin zu Open Source und Künstlicher Intelligenz (KI). Die Veranstaltung ist kostenfrei. mehr...

Alt-Text: Vier Männer in dunklen Anzügen stehen vor einer blauen Wand. Zwei Männer halten ein Zertifikat in die Kamera.

BSI/SIT: Zertifizierte Sicherheit

[27.01.2026] Der kommunale IT-Dienstleister Südwestfalen-IT (SIT) hat vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz erhalten. Zertifiziert wurden unter anderem Rechenzentrumsbetrieb und Verwaltungs-PKI. mehr...

Silhouette einer gesichtslosen Person mit Kapuzenpulli die auf einer Tastatur tippt, im Bildvordergrund ist ein abstrakt dargestelltes Schutzschild zu sehen.

Heidelberg: Hacker-Angriffe abgewehrt

[23.01.2026] Heidelberg verzeichnet seit Wochen wiederholte DDOS-Attacken auf die Website der Stadt. Dank kontinuierlich angepasster Sicherheitsmaßnahmen konnten die Angriffe allesamt abgewehrt werden. Durch die Maßnahmen war lediglich die Website hin und wieder für wenige Minuten nicht erreichbar. mehr...

Mann im weißen Hemd sitzt vor mehreren Monitoren und zeigt auf einen davon.
bericht

Kreis Breisgau-Hochschwarzwald: Managed Security für sensible Daten

[22.01.2026] Das Landratsamt Breisgau-Hochschwarzwald verwaltet sensible Bürger- und Sozialdaten – IT-Sicherheit hat hohe Priorität. Die Behörde nutzt eine Managed-Extended-Detection-and-Response-Lösung des Bochumer Sicherheitsspezialisten G Data. Ein Praxisbericht zeigt, welche Anforderungen es gab und wie Zusammenarbeit und Roll-out verliefen. mehr...

Vektorgrafik die unter anderem ein Schutzschild mit Verriegelungsschloss zeigt.

Kommunale IT-Sicherheit Bayern: 1.000. Siegel geht an Bodenwöhr

[19.01.2026] Bayern hat zum mittlerweile 1.000. Mal das Siegel Kommunale IT-Sicherheit verliehen. Erhalten hat es die Gemeinde Bodenwöhr. Die Kommune wird das Thema IT-Sicherheit weiterhin im Blick behalten und laufend nachbessern. mehr...