• bb@walkingcows.de
Kontakt

IT Sicherheit in der Dienststelle

IT Sicherheit in der Dienststelle

14. Oktober 2025 Allgemein von Ben Bülow #Awareness, #Best-Practice, #IT-Security, #IT-Security Basics, #IT-Sicherheit, #Personalrat

(zusammengefasst aus „Der Personalrat“ 06/2025)

Autor: Ben Bülow, CTO und CISO, Bund-Verlag Frankfurt am Main

Cyberangriffe auf Krankenhäuser, Behörden und kritische Infrastrukturen zeigen immer wieder, wie verletzlich öffentliche Einrichtungen sind. Besonders der öffentliche Sektor ist ein beliebtes Ziel für Hacker. Doch bereits mit einfachen Mitteln lassen sich wirksame Schutzmaßnahmen treffen. Auch wenn Personalräte nicht selbst die IT-Verantwortung tragen, sollten sie als Schnittstelle zwischen Dienststellenleitung und Belegschaft gut informiert sein.

Die Gefährdungslage im öffentlichen Dienst

Cyberangriffe können gravierende Folgen haben: Von Ausfällen der IT über den Verlust sensibler Daten bis hin zu Reputationsschäden und Vertrauensverlust bei Mitarbeitenden und Bürger*innen. Neben den direkten finanziellen Schäden müssen auch immaterielle Folgen bewältigt werden.

Einfache Mittel – große Wirkung

Absolut sicher ist kein System, da sich digitale Umgebungen ständig verändern. Hochentwickelte Konzepte wie „Verhaltensbasierte Bedrohungserkennung“ sind wichtig, aber oft sind es die einfachen Grundlagen, die den wirksamsten Hebel darstellen. Häufige Fehler wie fehlende Updates, unzureichende Backups und schwache Passwörter führen immer wieder zu großen Schäden.

10 Tipps zur Minimierung von IT-Sicherheitsrisiken in der Dienststelle

Wenn die folgenden Grundlagen eingehalten und durch regelmäßige Schulungen und Awareness-Programme das Bewusstsein für Gefahren geschärft wird, kann die Wahrscheinlichkeit für erfolgreiche Angriffe massiv vermindert werden:

1. Updates zeitnah installieren

Viele Schäden hätten durch das Nutzen bereits verfügbarer Updates verhindert werden können. Veraltete Systeme sind ein Einfallstor für Angreifer.

2. Klare Passwortrichtlinien & Multi-Faktor-Authentifizierung

Starke und einzigartige Passwörter sind Pflicht. Die IT sollte Richtlinien implementieren, Passwortmanager fördern und Multi-Faktor-Authentifizierung einführen.

3. Regelmäßige Schulungen

74 % der Cyber-Attacken sind auf den Faktor Mensch zurückzuführen. Security-Awareness-Programme sind einer der wirksamsten Hebel, um das Bewusstsein für Sicherheitsrisiken zu schärfen.

4. Vorbereitet sein mit Notfallplan

Jede Dienststelle sollte einen Notfallplan vorhalten, der alle relevanten Informationen dokumentiert und regelmäßig getestet wird.

5. Bei Verdacht auf Sicherheitslücken schnell reagieren

Ein klarer Prozess zur Meldung und Behandlung von Sicherheitsvorfällen hilft, Schäden zu minimieren.

6. Transparente Melde- und Kommunikationsstruktur etablieren

Einfache und transparente Wege zur Meldung von Sicherheitsvorfällen sowie eine offene Fehlerkultur erhöhen die Sicherheit.

7. Die 3-2-1-1 Backup-Strategie

Mindestens drei Kopien der Daten, auf zwei verschiedenen Medientypen, eine Kopie außerhalb der Dienststelle und eine Offline-Kopie schützen vor Datenverlust.

8. Zugriffsrechte klar regeln

Strenges Zugriffsmanagement nach dem „Need-to-Know-Prinzip“: Nur autorisierte Personen erhalten Zugang zu sensiblen Daten.

9. Mobile Geräte und Heimarbeitsplätze sicher gestalten

Auch mobile Geräte und Heimarbeitsplätze müssen verschlüsselt und durch sichere Netzwerkverbindungen und Firewalls geschützt sein.

10. Regelmäßig Prüfungen durchführen und Ergebnisse konsequent umsetzen

Regelmäßige Schwachstellen-Scans und Penetrationstests helfen, Schwachstellen zu finden und zu beheben.

Fazit

Mangelndes Bewusstsein für Informationssicherheit, strukturelle Trägheit und die Vernachlässigung grundlegender Sicherheitspraktiken führen dazu, dass Schutzmaßnahmen zu leicht ausgehebelt werden. IT-Sicherheit kann nur gelingen, wenn jede einzelne Person die Dringlichkeit und die wichtigsten Eckpunkte versteht und einen eigenen Beitrag leistet.

Hinweis des Autors:
„There is no glory in prevention“ – Solange nichts Gravierendes passiert, wird die Rolle der IT-Sicherheitsexpert*innen oft marginalisiert. Doch im Ernstfall sind alle betroffen. Gemeinsam auf das gleiche Ziel hinzuarbeiten ist entscheidend, um die Sicherheit zu stärken und Risiken zu minimieren.

Praxis-Tipp:
Mail-Anhänge und Links sorgfältig prüfen! Alle Beschäftigten müssen für die Gefahren von Phishing und E-Mail-basierten Angriffen sensibilisiert werden. Verdächtige E-Mails und Anhänge sollten erkannt, beachtet und gemeldet werden.

Quellen:

  • Bitkom Research, Statista 2025
  • Verizon Data Breach Investigations Report 2024
  • Vollständiger Artikel in „Der Personalrat“ 6/2025 – Veröffentlich von der Bund-Verlag GmbH

Über den Autor:
Ben Bülow ist CTO und CISO mit Schwerpunkt Beratung, IT-Strategie und Informationssicherheit beim Bund-Verlag Frankfurt am Main.

vonBen Bülow

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert