Erfolgreiche Cyberattacken auf Städte und kommunale Dienstleister zeigen, dass die Bedrohungslage immens hoch ist. Altbewährte Sicherheitslösungen bieten bei den heutigen komplexeren und raffinierteren Angriffsmethoden aber nur begrenzt Schutz.
Städtische IT-Teams sind mit ihren Aufgaben rund um den Betrieb der kommunalen Services oft bereits vollkommen ausgelastet.
(Bild: G DATA)
Die Ausgangslage bei Kommunen für eine effektive Cyberabwehr ist denkbar schlecht: Es fehlt an allen Ecken und Enden an Fachpersonal – insbesondere im Bereich IT und Security. In Deutschland waren allein im Jahr 2023 fast 105.000 Stellen für Spezialistinnen und Spezialisten für IT-Sicherheit vakant (Quelle: Cybersicherheit in Zahlen von G DATA CyberDefense, Statista und brand eins). Eine Änderung dieses Trends ist nicht in Sicht.
Der Branchenverband Bitkom geht vielmehr davon aus, dass bis 2040 mehr als 660.000 Cybersecurity-Stellen unbesetzt bleiben. Dabei zeigen erfolgreiche Attacken auf kommunale Dienstleister wie die Südwestfalen-IT und verschiedene Städte, dass dringender Handlungsbedarf besteht und IT-Sicherheit neu gedacht werden muss.
Hinzu kommt, dass der oftmals und früher bewährte Virenschutz heutzutage nur begrenzt wirksam gegen Cyberattacken ist. Der Grund: Die Attacken sind oft dateilos. Die Angriffsvektoren basieren auf ungeschlossenen Sicherheitslücken in Anwendungen, die in Kommunen zum Einsatz kommen. So gelangen die Angreifergruppen in städtische IT-Systeme. Häufig existieren zwar entsprechende Updates, diese werden aufgrund von Zeitmangel aber nur verzögert eingespielt.
Eine andere Angriffsoption bietet Social Engineering in Form spezieller Phishing-Kampagnen, um Zugangsinformationen zu internen IT-Systemen zu erhalten.
Eine weitere Möglichkeit: Kriminelle nutzen eigentlich legitime Systemfunktionen und kombinieren diese mit ihren Tools zu einer Attacke. Nötig ist daher eine kontinuierliche und lückenlose Überwachung der oft sehr komplexen IT-Landschaft in Städten und kommunalen Einrichtungen. Ein Virenschutzprogramm erkennt einen Angriff häufig erst in einem fortgeschrittenen Stadium, wenn schon Schaden entstanden ist.
Für städtische IT-Verantwortliche macht es daher Sinn, auf gemanagte Security – genauer gesagt auf ein Managed Security Operations Center – zu setzen. Cyberkriminelle sind rund um die Uhr aktiv – auch an Wochenenden, nachts und an Feiertagen. Daher ist IT-Sicherheit nur dann effektiv, wenn sie lückenlos gewährleistet ist. Die Aufgabe einer 24/7-Überwachung lässt sich durch einen klassischen Virenschutz nicht bewerkstelligen. Sie wird bei einem gemanagten Security Operations Center von einem Analystenteam übernommen, das immer – also 24 Stunden an sieben Tagen in der Woche – ein wachsames Auge auf alle Vorgänge im Netzwerk wirft. Alle sicherheitsrelevanten Informationen werden zentral gesammelt, ausgewertet und beurteilt.
Verdächtige Aktivitäten, die ein Anzeichen für eine Attacke sein könnten, lassen sich so schnell aufdecken und durch die passende Reaktion beenden. Die SOC-Spezialistinnen und -Spezialisten greifen dazu auf breit aufgestellte Sensorik-Systeme zu. Sie bewerten die Ereignisse in Echtzeit. Kommen sie zum Schluss, dass es sich um einen Cyberangriff handelt, reagieren sie sofort und leiten Gegenmaßnahmen ein. Dadurch sind Angriffe in der Frühphase gestoppt, bevor sie großen Schaden verursachen und beispielsweise wichtige Bürger-Services nicht mehr verfügbar sind. Die Möglichkeit, direkt reagieren zu können, ist ein weiterer wichtiger Unterschied zum klassischen Virenschutz.
Die kontinuierliche Überwachung der IT-Infrastruktur sowie das rechtzeitige Abwehren von Angriffen stellen hohe Anforderungen an Technologie und Fachpersonal. Diese Anforderungen überfordern viele Städte und kommunale Unternehmen, da sie – wie eingangs erläutert – die dafür nötigen Ressourcen intern nicht zur Verfügung stehen. Es ist daher keine Option, selbst ein Security Operations Center aufzubauen und zu betreiben. Hierfür wären mindestens acht Spezialistinnen und Spezialisten nötig. Ansonsten wäre der obligatorische Schichtbetrieb nicht sichergestellt.
Wichtig ist auch der folgende Aspekt: Das städtische IT-Team ist oft mit den Aufgaben rund um den Betrieb der kommunalen Services vollkommen ausgelastet. Zudem ist IT nicht gleich IT-Sicherheit. Daher bringt nicht jede IT-Fachkraft automatisch auch das spezielle, aber zur Absicherung vor Cyberangriffen nötige Security-Wissen mit. In einem SOC arbeiten speziell geschulte Analystinnen und Analysten, die ihr „Handwerk“ genauestens beherrschen und über tiefgreifende, oft jahrelange Erfahrung verfügen.
Ohne diese Grundlage ist eine sichere Identifikation und Überprüfung von Vorgängen nicht möglich, und die Basis für die passende Reaktion fehlt. Entgeht nur ein Vorzeichen einer Cyberattacke, kann im schlimmsten Fall das gesamte Netzwerk und damit die Verwaltung lahmgelegt sein. Termine im Bürgercenter für neue Ausweisdokumente fallen zwangsweise aus und auch Wohngeldzahlungen oder andere kommunale Aufgaben sind nicht mehr möglich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die SOC-Fachleute sind zudem Teil internationaler Fachkreise und im ständigen Austausch mit Kolleginnen und Kollegen auf der ganzen Welt. So sind sie immer auf dem neuesten Stand in Bezug auf neue Cybercrime-Trends und Angriffsmethoden. Hiervon profitieren kommunale Einrichtungen und Städte unmittelbar: Einerseits werden Bedrohungen frühzeitig erkannt, andererseits erhalten sie klare Empfehlungen zur Verbesserung ihrer Sicherheitsstruktur. Genau das ist ein zentrales Merkmal vieler Managed-SOC-Angebote – sie wirken nicht nur reaktiv, sondern stärken präventiv die Widerstandsfähigkeit der IT.
Nach der Entscheidung für ein Managed SOC stellt sich die Frage nach dem geeigneten Anbieter. Der Markt ist unübersichtlich und es gibt viele Angebote. Neben technischen Aspekten spielt das Thema digitale Souveränität eine zentrale Rolle – vor allem hinsichtlich des Firmensitzes eines SOC-Dienstleisters. Stammt dieser aus Deutschland, gilt die strenge deutsche Gesetzgebung – auch hinsichtlich des Datenschutzes. Das bedeutet: Nur die Daten werden eingesehen, die für die Überwachung, Analyse und die Reaktion nötig sind. Alle anderen Informationen bleiben unangetastet.
Deutsche Anbieter sind zur Datensparsamkeit verpflichtet. Dies ist für Kommunen und städtische Unternehmen besonders wichtig, da ein SOC-Dienstleister zwangsläufig tiefe Einblicke in die Daten erhält. Sonst wäre eine Überwachung nicht möglich. Daher sollten IT-Verantwortliche bei den zur Auswahl stehenden Unternehmen kritisch fragen, wo die Server stehen. Ebenso relevant bei der Wahl des passenden Anbieters ist die Anpassungsfähigkeit an spezifische kommunale Anforderungen, zum Beispiel bei der Reaktion auf sicherheitsrelevante Vorfälle.
Ein extern betriebenes Security Operations Center ist für viele Kommunen eine strategisch kluge Wahl zur nachhaltigen Stärkung der IT-Sicherheit. Es ermöglicht nicht nur die frühzeitige Erkennung und Abwehr von Angriffen, sondern gleicht auch den Mangel an spezialisierten Sicherheitsexperten aus. Potenzielle Schäden werden so verhindert, bevor sie entstehen. Die Investitionskosten sind planbar und stehen häufig in einem klaren Verhältnis zu den potenziellen finanziellen Folgen eines erfolgreichen Angriffs. Der Nutzen zeigt sich somit rasch in einem positiven Return on Investment. Dennoch ist die Wahl des richtigen Anbieters sorgfältig zu treffen.
Die Autorin Kathrin Beckert-Plewka, G DATA CyberDefense
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/cb/e0/cbe0430603d3fbff5150346e06797145/0127038123v2.jpeg "Es kann jede Kommune treffen. Daher muss besondere Aufmerksamkeit auf IT-Sicherheit liegen. (Bild: © Johannes – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/43/ec43df4852a8729dce70830946f5cea5/0127004380v2.jpeg "Arctic Wolf zufolge bleiben viele Security Operations Center außerhalb der gängigen Öffnungszeiten unbesetzt – doch genau dann schlagen Cyberkriminelle zu. (Bild: kjekol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/f4/c1f4dca7acde2a5a30430579aff9d491/0116143825v2.jpeg "Eine Compliance-Überwachung zur Einhaltung von Datensicherheitsrichtlinien umfasst regelmäßige Scans von Systemen, Geräten und Infrastruktur. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/c4/17c43058b98005d7ed80f91dd8e1c4c6/0124811701v2.jpeg "Wer externe Security-Spezialisten mit ins Boot holt, kann so die eigenen Mitarbeitenden entlasten. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/41/84415dc50174293018ca20d33619e3ed/0126432915v2.jpeg "Cyberangriffe nehmen zu und interne Ressourcen stoßen an Grenzen. Managed SOCs bieten 24/7-Schutz und klare Vorteile. Diese fünf Fragen führen zur richtigen Entscheidung. (Bild: © Gold - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/ad/d6ad92d26fb0cbb63373ef6ab8f0d5dc/0124726936v2.jpeg "Dateilose Angriffe, ungeschlossene Schwachstellen und gezieltes Social Engineering hebeln traditionellen Virenschutz aus. Ein Managed SOC bietet permanente Überwachung durch Security-Analysten und stoppt Cyberattacken sofort, noch bevor großer Schaden entsteht – trotz Fachkräftemangel und steigender Compliance-Anforderungen. (Bild: © Dinara - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/e0/cbe0430603d3fbff5150346e06797145/0127038123v2.jpeg "Es kann jede Kommune treffen. Daher muss besondere Aufmerksamkeit auf IT-Sicherheit liegen. (Bild: © Johannes – stock.adobe.com)")