Sieben Stellschrauben für mehr IT-Sicherheit

Die gute Nachricht ist: Wirksame IT-Sicherheit beginnt nicht mit Großprojekten oder Spezialtechnik. Oft sind es organisatorische Grundlagen und einfache Entscheidungen, die über das tatsächliche Sicherheitsniveau entscheiden. Wer weiß, wo Verantwortung liegt, welche Daten besonders schützenswert sind und wie der Alltag in der Verwaltung organisiert ist, kann Risiken deutlich reduzieren. Die folgenden Punkte zeigen, wo Kommunen mit überschaubarem Aufwand ansetzen können.

IT-Sicherheit: Verantwortlichkeiten klären

Ein zentraler Punkt ist die Verantwortung. IT-Sicherheit ist keine reine Aufgabe der EDV oder externer Dienstleister, sondern ein Thema für Verwaltungsleitung und politische Führung. Wo Zuständigkeiten unklar sind oder Entscheidungen vertagt werden, entstehen Sicherheitslücken. Klare Verantwortlichkeiten und feste Entscheidungswege helfen, Risiken frühzeitig zu erkennen und anzugehen.

Überblick über die gespeicherten Daten

Ebenso wichtig ist der Überblick über die eigenen Daten. Viele Kommunen wissen nicht im Detail, welche personenbezogenen Informationen sie gespeichert haben, wo diese liegen und wie lange sie benötigt werden. Eine strukturierte Bestandsaufnahme schafft Transparenz und ist die Grundlage für wirksame Schutzmaßnahmen. Besonders sensible Daten erfordern dabei höhere technische und organisatorische Standards.

Zugriffsrechte: Nur so viel wie nötig

Ein häufiger Schwachpunkt sind zu weit gefasste Zugriffsrechte. In der Praxis haben Mitarbeitende oft Zugriff auf mehr Daten, als sie für ihre Arbeit benötigen. Das erhöht das Risiko bei Fehlbedienung oder kompromittierten Benutzerkonten. Bewährt hat sich das Prinzip, Zugriffe strikt auf das Notwendige zu begrenzen und regelmäßig zu überprüfen.

Starke Passwörter verwenden

Auch der Umgang mit Passwörtern bleibt ein zentrales Thema. Schwache oder mehrfach verwendete Zugangsdaten öffnen Angreifern Tür und Tor. Verbindliche Passwortregeln, der Einsatz von Mehr-Faktor-Authentifizierung und der Verzicht auf ungesicherte Passwortlisten sind einfache, aber wirksame Maßnahmen.

Mitarbeitende sensibilisieren

Technik allein reicht jedoch nicht aus. Viele Angriffe beginnen mit einer E-Mail, die auf den ersten Blick harmlos wirkt. Deshalb ist die Sensibilisierung der Mitarbeitenden entscheidend. Regelmäßige, verständliche Schulungen helfen, Risiken zu erkennen und richtig zu reagieren. Wichtig ist dabei eine offene Fehlerkultur: Wer unsicher ist oder einen Verdacht meldet, sollte Unterstützung erfahren und keine Sanktionen befürchten.

Backups immer wieder überprüfen

Ein weiterer Schlüssel sind funktionierende Datensicherungen. Backups müssen nicht nur vorhanden sein, sondern auch regelmäßig getestet werden. Nur wenn klar ist, dass sich Systeme im Ernstfall schnell wiederherstellen lassen, bieten Sicherungen echten Schutz vor Erpressungssoftware und Datenverlust.

Notfallpläne aufsetzen

Schließlich sollten Kommunen auf den Ernstfall vorbereitet sein. Notfall- und Wiederanlaufpläne legen fest, wer im Krisenfall entscheidet, welche Systeme priorisiert werden und wie intern sowie extern kommuniziert wird. Solche Pläne lassen sich auch mit begrenzten Ressourcen erarbeiten und regelmäßig aktualisieren.

Checkliste: Was Kommunen regelmäßig prüfen sollten

• Gibt es eine klar benannte Zuständigkeit für IT- und Informationssicherheit?
• Ist bekannt, welche personenbezogenen Daten gespeichert werden und wo sie liegen?
• Sind Zugriffsrechte auf das notwendige Maß beschränkt und aktuell?
• Existieren verbindliche Passwortregeln und wird Mehr-Faktor-Authentifizierung genutzt?
• Werden Mitarbeitende regelmäßig zu IT-Sicherheit geschult?
• Sind Backups aktuell, getrennt gespeichert und getestet?
• Gibt es einen Notfall- und Wiederanlaufplan?
• Sind externe Dienstleister klar eingebunden und vertraglich geregelt?

 IT-Sicherheit für kleinere Kommunen mit wenig Personal

• Nicht alles selbst machen wollen. Kooperationen mit Rechenzentren oder Nachbarkommunen entlasten.
• Prioritäten setzen. Zuerst die sensibelsten Daten und wichtigsten Systeme absichern.
• Einfach anfangen. Klare Passwortrichtlinien und eingeschränkte Zugriffsrechte kosten wenig, bringen viel.
• Mitarbeitende einbinden. Aufmerksamkeit im Alltag ist oft der beste Schutz.
• Notfallpläne pragmatisch halten. Lieber ein einfacher, bekannter Ablauf als ein komplexes Papier im Schrank.

Erste Schritte mit großer Wirkung

• Zugriffsrechte prüfen und Alt-Konten löschen
• Passwörter zurücksetzen und Mindeststandards festlegen
• Backups testweise wiederherstellen
• Mitarbeitende über aktuelle Phishing-Risiken informieren
• Klare Meldewege für IT-Vorfälle festlegen

Soll Lösegeld nach einer Cyberattacke bezahlt werden?

Falls es zu einem Cyberangriff kommt, raten Experten davon ab, Lösegeld zu bezahlen. Denn das finanziere das Geschäftsmodell der Cyberkriminellen. Es gebe keine Garantie, dass die Erpresser danach den Zugang wieder ermöglichen.

Weitere Informationen finden Sie in einer Handreichung für Kommunen durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK und das Bundesamt für Sicherheit in der Informationstechnik BSI. Der Wegweiser enthält Hinweise für die konkrete Bewältigung eines Cyberangriffs auf kommunale Informationssysteme und für die Wiederherstellung der IT-Infrastruktur.

Wer haftet nach einem Cyberangriff?

Bei einem Schaden durch einen Cyberanriff drohen Haltungsforderungen. Die zuständigen Organe müssen ihren Pflichten nachgekommen sind. Das rät ein Anwalt im KOMMUNAL-Gastbeitrag.

MEHR

So schützen sich Behörden vor Cyber-Kriminellen

Die Corona-Krise wird der Digitalisierung einen Schub verleihen. Gerade deshalb müssen Verwaltungen vor Cyber-Kriminellen auf der Hut sein, warnt Christoph Meinel vom HPI.

MEHR