Neue Technologien und die entsprechenden Geräte werden von Menschen genutzt. Insbesondere dort, wo mit sensiblen und vertraulichen Datensätzen gearbeitet wird, wie etwa in Behörden, muss der Schutz der Daten gewährleistet sein.
Das Wissen um die korrekte Anwendung von IT und Software im Arbeitsalltag ist hierfür Voraussetzung. Vor dem Hintergrund des steigenden Einsatzes von eGovernment-Anwendungen in Behörden gewinnt diese digitale Souveränität zusätzlich an Bedeutung, denn mit ihr steigt auch die Verantwortung jedes einzelnen Mitarbeiters im Umgang damit.
Führungskräfte und Mitarbeiter müssen die notwendigen Kompetenzen im Umgang mit den IT-Lösungen und Technologien mitbringen. Die Sicherheit der Anwendungen und damit der Daten hängt nämlich entscheidend von der korrekten Bedienung und Nutzung der Technologien und IT-Lösungen ab.
Hier sehen sich die Behörden noch mit einigen Herausforderungen konfrontiert, wie die Daten des Zukunftspanels belegen: 71 Prozent der Befragten geben die Qualifizierung von Führungskräften und Mitarbeitern in digitalen Kompetenzen als relevante Herausforderung an. Für 60 Prozent stellt der Fachkräftemangel im IT-Bereich und für 58 Prozent die technische Umsetzung eine weitere relevante Hürde dar.
Drei Säulen der Sicherheit
Für einen umfassenden Schutz vor den potenziellen Fallstricken bei digitalisierten Arbeitsabläufen sowie vor den Gefahren durch Cyberattacken ist eine durchgängige Sicherheitsarchitektur zwingend notwendig. Wir sehen drei Säulen einer klugen Sicherheitsarchitektur:
Mensch,
Technologie und
Prozess.
Welchen Einfluss der Mensch hat, zeigt eine IDC-Studie aus dem Jahr 2015. Demnach wird die Hälfte der Sicherheitsvorfälle durch Mitarbeiter verursacht. Zwar leisten technische Sicherheitsvorkehrungen einen entscheidenden Beitrag zum Schutz vor Angriffen aus dem Cyberraum, dennoch kann nicht jeder Angriff dadurch verhindert werden.
Die Behördenleitungen müssen dafür Sorge tragen, dass den Mitarbeitern die notwendigen Kompetenzen vermittelt werden. Mitarbeiter müssen sich als tragende Säule der Sicherheitsarchitektur begreifen und ihre Verantwortung im Umgang mit IT erkennen. Bei der Nutzung von Software und IT-Anwendungen sollten sie ein Grundmisstrauen, kein Grundvertrauen mitbringen. Über Prozesse in den Behörden müssen die Mitarbeiter im Umgang mit sicherheitsrelevanten Daten sensibilisiert werden.
Zielgruppenspezifische Schulungsmaßnahmen vermitteln den Mitarbeitern die notwendigen Kompetenzen. Dazu gehören Basics wie etwa die Sorgfalt bei der Nutzung von mobilen Endgeräten, USB-Sticks und die Achtsamkeit, an welchen Orten auf Daten zugegriffen wird (Sicherheit des Netzes, Sichtbarkeit für Dritte). Die Vermittlung von Kompetenzen durch Schulungen darf nicht als einmaliger Aufwand verstanden werden.
Was ist zu tun?
Ein regelmäßiges Training ist nötig, da sich die Formen der Gefahr durch Missbrauch und die Gefahrenpotenziale im Cyberraum ständig ändern. Accenture beispielsweise versendet regelmäßig Phishing-eMails an die eigenen Mitarbeiter, um den sorgsamen Umgang im elektronischen Datenverkehr stets zu gewährleisten.
Behörden benötigen eine fundierte Sicherheitsstrategie und eine langfristige Ressourcenplanung. Die Ressourcenplanung hinsichtlich des Personals ist dabei mindestens so entscheidend, wie die Planungen im Bereich der Finanzmittel für IT-Lösungen.
IT-Systeme und Anwendungen müssen sich einem ständigen Sicherheitscheck unterziehen. Ein zentrales Logging und Monitoring muss vorhanden sein, sonst wird die Erkennung von Angriffen durch den Einsatz einer technischen Lösung (z. B. SIEM) scheitern.
Neben einem Leitfaden für die Durchführung von Cyber-Sicherheitschecks, den das BSI bereits zur Verfügung stellt, benötigen die Behörden auch einen Leitfaden für die Implementierung von Prozessen und Strukturen. Dieser muss auch den einzelnen Mitarbeiter und seine Verantwortung fest im Blick haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kompetenzvermittlung, regelmäßige Schulungen und Sicherheitstrainings sowie Beratungsangebote für den sicheren und richtigen Umgang mit IT müssen Teil der Sicherheitsstrategie von Behörden sein.
* Catrin Hinkel, Geschäftsführerin für den Bereich Gesundheitswesen und Öffentliche Verwaltung bei Accenture
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d5/85/d58509e91d3a486ec245715de37c947d/0129399841v2.jpeg "Viele Handwerksbetriebe fühlen sich auf Cybervorfälle gut vorbereitet. Möglicherweise auch, weil ein Großteil Unterstützung von externen Dienstleistern in Anspruch nimmt. (Bild: WavebreakmediaMicro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/6d/346d2bf387bf6e611f8392810a17bbf6/0129601265v2.jpeg "Mit VirtualBox können Nutzer mehrer VMs auf einem Computer betreiben. Derzeit steht die Open-Source-Lösung unter Beschuss, da die ZDI sieben Zero-Day-Schwachstellen darin entdeckt hat. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/93/0a/930aee73685ba4d3e334566a589bccd1/0129574764v2.jpeg "Das 6. europäische Direktorentreffen fand im Rahmen der Munich Cyber Security Conference am am 13. Februar 2026 in München statt. (Bild: BSI)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/7c/c2/7cc2c38d63b706138cfa268402e4d615/0129578852v1.jpeg "One Identity prognostiziert den ersten großen Sicherheitsvorfall durch unkontrollierte Rechteausweitung von KI-Agenten schon für 2026. (Bild: © Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/77/1f776e33a8b7268ea99a5ef15848b1db/0129545820v2.jpeg "Confidential Computing schließt die letzte Sicherheitslücke der Cloud: Daten bleiben durch Hardware-Enklaven auch während der Verarbeitung verschlüsselt – selbst vor Cloud-Providern und Administratoren. (Bild: © diowcnx - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/7f/0c7fe474a726f4f5516fa7cfcd6fb699/0124411560v1.jpeg "Messdaten von Cloudflare zeigen, wie stark Kabelschäden, Stromausfälle und Extremereignisse die Internetverfügbarkeit weiterhin beeinträchtigen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6f/1f/6f1f76285f80f8046e8469e426a17c24/0126287616v2.jpeg "Verschlüsseln Unternehmen ihre Daten selbst, behalten sie Hoheit über ihre Daten. Dann können auch Cloud-Anbieter oder staatliche Stellen die Daten nicht ohne weiteres lesen. (Bild: ITK Engineering)")
:quality(80)/p7i.vogel.de/wcms/a0/83/a08383dc34d23d3f456b1cd2bca63cbf/0124981650v2.jpeg "Indem Unternehmen ihre Sicherheitsarchitektur rationalisieren, Security by Design konsequent umsetzen und Automatisierung sowie CSaaS gezielt einsetzen, schaffen sie eine widerstandsfähige IT-Landschaft, die Innovation und Sicherheit vereint. (Bild: © Limitless Visions - stock.adobe.com)")