Drangeschraubt ist auch kaputt 7 Fakten über IT-Sicherheit in öffentlichen Einrichtungen

Anbieter zum Thema

Hewlett-Packard Enterprise

G DATA CyberDefense AG

Ceyoniq Technology GmbH

NCP engineering GmbH

Security, die einem Netzwerk nachträglich übergestülpt wird, schützt nicht. Axel Simon von HPE Networking liefert sieben Thesen, warum Cyberresilienz in öffentlichen Einrichtungen neu gedacht werden muss – von Zero Trust bis zur Klimaanlage als Sicherheitsrisiko.

Kürzlich bin ich auf eine Phishing-Mail hereingefallen. Wir hatten gerade intern mehrere neue KI-Tools eingeführt, mit diversen Trainings und Einweisungen. In diesen Strom passte eine Mail, die mich an ein „verpflichtendes KI-Training“ mit Frist erinnerte, nahtlos hinein. Klick. Es war eine fingierte Mail unserer eigenen Cybersecurity-Abteilung.

ARCH-Projekt

Cyberagentur will Internetkriminalität messen

Nun bin ich bereits seit über 30 Jahren im Netzwerk- und Security-Bereich. Und offenbar bin auch ich nicht davor gefeit, auf genau die Tricks hereinzufallen, vor denen ich andere warne. Entscheidend ist, was nach dem Klick geschieht. Daran lässt sich ablesen, ob die Sicherheitsarchitektur einer Organisation trägt – oder nur auf dem Papier steht. Davon handelt dieser Text.

1. Erst das Organigramm, dann der IT-Etat

Netzwerk hier, Security dort: In vielen Behörden und Kliniken sind die beiden noch getrennte Welten. Der Netzwerker sagt: „Eine Security-Policy konfiguriert nicht mein Netzwerk.“ Der Security-Mitarbeiter sagt: „Sicherheit ist ein Overlay, das hat mit dem Netzwerk nichts zu tun.“ Beide Sichtweisen greifen zu kurz.

Nicht jede Attacke beginnt im Netzwerk, aber fast alle Angreifenden nutzen es, um sich auszubreiten. Das Netzwerk muss deshalb das Bollwerk sein, an dem ein Angriff scheitert. Die Sicherheit muss ins Netzwerk hinein, nicht draufgeschraubt oder angeflanscht werden.

Intern formulieren wir das so: „If it's bolted on, it's broken.“ Solange Security als nachgelagerter Schritt behandelt wird – eigenes Team, eigenes Budget, eigene Prioritäten –, bleibt sie reaktiv. Wer Cyberresilienz ernst meint, muss zuerst das Organigramm anfassen, dann den IT-Etat.

2. Das N in NIS steht für Netzwerk

NIS-2 wird vor allem als Compliance-Pflicht diskutiert: Wer fällt darunter? Welche Bußgelder drohen? Das ist die falsche Perspektive. Interessanter ist, was NIS eigentlich heißt: Netzwerk- und Informationssicherheit. Schon der Name der Richtlinie formuliert die Kernthese: Netzwerk und Sicherheit gehören zusammen.

Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Was dort an technischen Maßnahmen steht – Risikomanagement, Meldepflichten, Notfallpläne –, ist nicht revolutionär, sondern das Minimum dessen, was jede Organisation tun sollte.

Das NIS 2 Bundesgesetz gilt nicht für die kommunale Kernverwaltung. Das heißt nicht, dass die Inhalte dort irrelevant wären. Wer gar nichts unternimmt, weil NIS-2 für ihn nicht gilt, wird zur Zielscheibe.

Laut Erhebungen unseres eigenen Threat-Labors richtete sich im Jahr 2025 nahezu jede vierte koordinierte Angriffskampagne gegen Behörden – häufiger als gegen jede andere Branche. Die Angreifer suchen sich ihre Opfer nicht manuell aus: im Hintergrund scannen automatisierte Werkzeuge nach offenen Flanken, rund um die Uhr. Die Gruppierung „NoName057(16)“ etwa attackierte systematisch die Webportale von Stuttgart, Berlin und Dresden; letzten Sommer traf ein DDoS-Angriff über 30 Kommunen in Sachsen-Anhalt und Thüringen gleichzeitig.

3. Denken Sie an den Montag danach

Kein System ist unverwundbar. Wer das akzeptiert, stellt die richtige Frage: Wie schnell bin ich nach einem erfolgreichen Angriff wieder handlungsfähig? Ludwigshafen hat im November 2025 gezeigt, wie die Antwort selbst im besten Fall aussieht: Als die IT-Überwachung der Stadtverwaltung einen unbefugten Zugriff erkannte, wurde die gesamte Infrastruktur präventiv heruntergefahren. Eine Bilderbuchreaktion. Trotzdem war die 177.000-Einwohner-Stadt danach fast drei Wochen lang weder per E-Mail noch telefonisch erreichbar; Kfz-Zulassung, Bürgerbüros und Sozialleistungen liefen nur im Notbetrieb. Wenn das der Preis einer schnellen Reaktion ist, lässt sich erahnen, was Organisationen erwartet, die einen Angriff erst nach Monaten bemerken.

Resilienz erfordert dreierlei: erstens, die kritischen Prozesse und Daten kennen und priorisieren. Zweitens, Wiederanlaufprozesse definieren, inklusive Backup-Wiederherstellung aus einem vom Netzwerk getrennten Datentresor. Drittens, diese Prozesse regelmäßig üben. Ein Notfallplan, der in der Schublade liegt und nie geprobt wurde, ist kein Notfallplan.

Schließlich: Zur Resilienz gehört auch die Ursachenanalyse. Wie kam der Angriff ins Netz, und wie lässt sich dieser Weg verschließen? Zero Trust liefert das passende Konzept: Kein Zugriff ohne Prüfung.

(ID:50871640)