Cyberattacken auf Städte wie Aschaffenburg häufen sich dramatisch und gefährden kritische Infrastrukturen sowie sensible Daten. Doch Cloud-basierte Security-Lösungen mit dem strengen BSI-C5-Testat bieten Kommunen effektiven Schutz und ermöglichen schnelle Wiederherstellung nach Angriffen – unverzichtbar für sichere Digitalisierung trotz knapper Ressourcen.
Das C5-Testat ist für die öffentliche Hand eine wichtige Orientierung, um Cloud-Dienste sicher und rechtskonform einzusetzen.
(Bild: Dall-E / KI-generiert)
Im November 2024 traf ein Cyberangriff die Stadt Aschaffenburg: Bürger standen vor verschlossenen Türen, Dokumente konnten nicht ausgestellt, und Anträge nicht bearbeitet werden. Auch wenn langfristiger Schaden nicht entstanden sei, zieht das BSI das übergeordnete Fazit: Besonders Kommunen und öffentliche Einrichtungen seien „schlecht geschützte Opfer“. Was kann der öffentliche Sektor tun?
Der Cyberangriff auf Aschaffenburg ist kein Einzelfall – die Zahl der Cyberangriffe auf Städte und Kommunen steigt seit Jahren kontinuierlich an. Ransomware-Angriffe haben sich allein seit 2022 nahezu verdoppelt. Dabei geraten nicht nur IT-Systeme der Verwaltung ins Visier der Angreifer, sondern auch kritische Infrastrukturen wie öffentlicher Nahverkehr, Energie- und Wasserversorgung sowie Schulen und Kultureinrichtungen. Solche Angriffe legen nicht nur wichtige Dienstleistungen lahm, sondern bedrohen auch sensible personenbezogene Daten. Die Folgen reichen von organisatorischen und finanziellen Belastungen bis hin zu erheblichen Einschränkungen im öffentlichen Leben.
Mit der Digitalisierung haben sich auch im öffentlichen Sektor hybride IT-Umgebungen als Standard etabliert. Die Integration von On-Premises-Systemen als Teil komplexer hybrider Multi-Cloud-Lösungen ist zwar flexibel und effizient, führt jedoch auch zu neuen Sicherheitsherausforderungen: Angriffsflächen entstehen vor allem an den Schnittstellen zwischen den verschiedenen Systemen. Besonders problematisch sind dabei unzureichend gesicherte Objekt-Speicher, die laut Rubrik Zero Lab Report in einem durchschnittlichen Unternehmen etwa 70 Prozent der Daten in der Cloud speichern. Diese Speicher lassen sich mit herkömmlichen Sicherheitslösungen oft nicht maschinell analysieren, was sie zu einer Art Blackbox macht.
Zusätzlich erschweren begrenzte personelle Ressourcen und die Komplexität der IT-Infrastrukturen den Verantwortlichen, eine umfassende Sicherheitsstrategie zu entwickeln und umzusetzen. Umso wichtiger sind automatisierte Lösungen, die Transparenz schaffen und eine zentrale Verwaltung über alle Plattformen hinweg ermöglichen.
Um hybride Umgebungen richtig zu schützen, benötigen Organisationen daher spezialisierte IT-Security-Lösungen. Security as a Service (SaaS)-Plattformen sind dafür unverzichtbar. Mit einer Cloud-basierten Plattform können IT-Security-Teams verteilte Infrastrukturen von einer zentralen Management-Konsole aus sichern und so die Komplexität vielfältiger Einzel-Security-Lösungen reduzieren. Zudem spielt der Anbieter Patches und Updates zentral ein, so dass die Management-Plattform immer auf dem aktuellen Stand ist. IT- und Security-Teams sparen dadurch Aufwand und erhöhen gleichzeitig die Sicherheit. Trotz des Fachkräftemangels kann so schnell auf veränderte Anforderungen reagiert werden und insbesondere Kommunen und öffentliche Einrichtungen reduzieren Ihre Angriffsfläche. Rubrik schafft so bereits Voraussetzungen für die fortschreitende Digitalisierung der Stadtverwaltung der Stadt Baden-Baden.
C5-Testat: Ein Standard für Cloud-Sicherheit
Die Auswahl einer geeigneten Cloud-SaaS-Lösung für IT-Sicherheit stellt Organisationen jedoch vor Herausforderungen: Unterschiedliche Compliance-Vorgaben, Sicherheitsstandards und die Frage der Datenhoheit erschweren die Entscheidungsfindung. Das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) verspricht hier, Abhilfe zu schaffen.
C5 steht für „Cloud Computing Compliance Criteria Catalogue“ und definiert strenge Sicherheitsanforderungen für Cloud-Dienste. Seit der Aktualisierung im Jahr 2020 gilt der Standard als einer der weltweit strengsten. Das C5-Testat bietet Entscheidern in der öffentlichen Hand eine klare Orientierung, welche Cloud-Dienste höchste Sicherheitsstandards erfüllen.
Zudem ist das Testat für alle Cloud-Anwendungen in Bundesbehörden laut §8 BSI-Gesetz verpflichtend, und auch andere Bereiche wie das Gesundheitswesen müssen seit Juli 2024 darauf setzen. Das C5-Testat umfasst Aspekte wie Datenschutz, Transparenz und Ausfallsicherheit und stellt sicher, dass Anbieter jährlich durch unabhängige Wirtschaftsprüfer kontrolliert werden. Auch auf kommunaler Ebene sollten sich IT-Entscheider daher an dieser Vorgabe orientieren, um Sicherheit und Compliance zu stärken sowie perspektivische Änderungen in den Vorgaben direkt einzuhalten. Denn grundsätzlich ist C5 für alle Behörden und Unternehmen relevant, die sensible Daten schützen und einen sicheren Cloud-Einsatz gewährleisten möchten. Insbesondere öffentliche Verwaltungen und Anbieter kommunaler kritischer Infrastruktur wie Verkehrsbetriebe, Energie- oder Wasserversorger oder die Abfallwirtschaft sollten auf ein C5-Testat achten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auf eine C5-testierte Sicherheitslösung in der Cloud zu setzen, ist der Schlüssel hin zu mehr Cyberresilienz im öffentlichen Sektor: eine C5-testierte Lösung geht über reine Abwehrmaßnahmen hinaus. Denn in der heutigen Bedrohungslandschaft, steht nicht mehr zur Debatte, ob oder wann ein Angriff erfolgreich sein wird, sondern wie oft. Der Fokus muss sich daher auf Resilienz verschieben: Wie schnell können Systeme nach einem Angriff wiederhergestellt werden, und wie lassen sich die Auswirkungen minimieren? Gerade hier gibt das C5-Testat sinnvolle Richtlinien vor, die sicherstellen, dass Geschäftskontinuität gewährleistet ist und hoheitliche Dienste auch im Ernstfall verfügbar bleiben.
Dabei kommt Backup- und Recovery-Systemen eine entscheidende Rolle im „Assumed Breach“-Ansatz zu. Sie sorgen im Ernstfall dafür, dass öffentliche Einrichtungen schnellstmöglich den Betrieb wiederherstellen können, nachdem alle anderen Sicherheitsmechanismen versagt haben. Es bietet sich für den Public-Bereich an, auf Sicherheitslösungen zu setzen, die über ein umfassendes Back-Up-System verfügen und somit Business Continuity Management (BCM), wie im C5-Katalog gefordert, gewährleisten. Dazu sollten Entscheider sich an folgenden Funktionen orientieren:
1. Unveränderliche Backups: Daten werden in einem unveränderlichen Zustand unabhängig vom operativen System gespeichert. Ein logischer Air Gap kann dafür sorgen, dass Backups auch bei Kompromittierung des Systems nicht manipuliert werden können.
2. Forensische Funktionen: Nach einem Angriff können betroffene Daten analysiert und Angriffspfade nachvollzogen werden. Das stellt die schnelle Wiederherstellung aus sauberen Backup-Beständen sicher.
3. Proaktive Bedrohungserkennung: Sicherheitslösungen scannen kontinuierlich nach Ransomware-Indikatoren. Wichtig ist, dass diese Scans auf den Backups stattfinden und daher unbemerkt bleiben und die laufenden Systeme nicht belasten.
4. Schnelle Wiederherstellung: Im Ernstfall sorgen automatisierte Wiederherstellungspläne für eine schnelle Verfügbarkeit der Systeme, Applikationen und Daten, ohne dass zusätzliche physische Infrastruktur notwendig ist. Dies reduziert die Ausfallzeiten erheblich.
Digitalisierung und Sicherheit in Einklang bringen
Die Digitalisierung der öffentlichen Hand ist ein notwendiger Schritt, um Prozesse zu optimieren und bürgernahe Dienstleistungen effizient bereitzustellen. Gleichzeitig birgt sie neue Herausforderungen. Denn bei der Nutzung der innovativen Vorteile, die Cloud-Nutzung mit sich bringen kann – die Sicherung sensibler Daten und die Gewährleistung von Compliance stehen immer im Vordergrund und müssen den höchsten Sicherheitsstandards gerecht werden.
Das C5-Testat stellt für die öffentliche Hand daher eine wichtige Orientierung dar, um Cloud-Dienste sicher und rechtskonform einzusetzen. Durch den Einsatz zertifizierter Lösungen können IT-Teams nicht nur die Sicherheit erhöhen, sondern auch Komplexität reduzieren und von automatisierten Prozessen profitieren. Angesichts knapper personeller und finanzieller Ressourcen ist dies ein echter Vorteil.
Über den Autor: Frank Schwaak ist Field CTO EMEA bei Rubrik.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ab/fc/abfc6e4b520008770bbc135893385059/0122030163v1.jpeg "Viele Unternehmen nennen insbesondere die höhere IT-Sicherheit als Grund, souveräne Clouds zu verwenden. (Bild: tete_escape - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9d/799d8894266def74cbc52fd9b9450b28/0114867907.jpeg "Ein hoher Regulierungsgrad inklusive anspruchsvoller Compliance-Vorgaben sollte für Anwender der Sovereign Cloud nicht zwangsläufig zu höheren Kosten der Cloud-Nutzung führen. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/3b/7f3be4a29ed3e2d3bf6ed85aba60ac03/0122681943v1.jpeg "Europa muss seine digitale Zukunft unabhängiger gestalten: Das EU-Förderprogramm „8ra“ (ehemals IPCEI-CIS) bietet einen vielversprechenden Ansatz für eine souveräne europäische Edge-Cloud. (Bild: Kanisorn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/6a/f56a8dc563be39d4430039d1a931f114/0124922822v1.jpeg "Cisco stärkt das Vertrauen in seine Cloud-Dienste: Meraki Cloud und Secure Access erfüllen jetzt den BSI-C5-Standard. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/b5/41/b5417ede52200d9f7b8a8c81fc544b7b/0123787872v1.jpeg "Die Cloud ist entscheidend für die Digitalisierung in deutschen Kommunen. Eine robuste Datensicherheitsplattform ist wichtig, um Risiken in Bezug auf Cybersecurity und Datenschutz zu reduzieren und im Falle eines Angriffs widerstandsfähig zu bleiben. (Bild: Jesse Bettencourt/peopleimages.com - stock.adobe.com)")