IT-Security im öffentlichen Sektor: 5 Schwachstellen, die jede Behörde kennen sollte
Warum der öffentliche Sektor besonders anfällig für Cyberangriffe ist – und welche 5 Maßnahmen Kommunen, Länder und Bundesbehörden jetzt priorisieren sollten.
Warum der öffentliche Sektor ein Hochrisiko-Ziel ist
Die Bedrohungslage ist ernst: Kommunen, Landkreise und Bundesbehörden verarbeiten hochsensible Bürgerdaten – und sind gleichzeitig oft schlechter geschützt als Unternehmen vergleichbarer Größe. Der Angriff auf die Südwestfalen-IT im Oktober 2023, der 72 Kommunen wochenlang lahmlegte, hat das eindrucksvoll gezeigt. Und er war kein Einzelfall – die Zahl der Ransomware-Angriffe auf öffentliche Einrichtungen steigt seit Jahren.
Der Grund ist strukturell: Dezentrale IT-Landschaften, historisch gewachsene Systeme, Fachkräftemangel und lange Beschaffungszyklen machen den öffentlichen Sektor zu einem attraktiven Ziel für Angreifer.
Mit der NIS2-Richtlinie und dem deutschen Umsetzungsgesetz steigt der regulatorische Druck zusätzlich. Behörden, die zur kritischen Infrastruktur zählen, müssen bis Ende 2026 nachweisbare Sicherheitsmaßnahmen implementiert haben.
Die 5 häufigsten Schwachstellen
1. Kein zentrales Schwachstellen-Management
Viele Behörden betreiben dutzende Fachverfahren – oft ohne zu wissen, welche Softwareversionen im Einsatz sind. Ohne ein zentrales Vulnerability-Management bleiben bekannte Sicherheitslücken wochen- oder monatelang offen.
Was Sie tun sollten: Implementieren Sie ein automatisiertes Schwachstellen-Scanning für alle Systeme. Tools wie OpenVAS oder Qualys können auch in komplexen Behördenlandschaften eingesetzt werden. Priorisieren Sie nach CVSS-Score und Erreichbarkeit.
2. NIS2 noch nicht umgesetzt
Die NIS2-Richtlinie gilt seit Oktober 2024 – doch die nationale Umsetzung verzögert sich. Viele Behörden warten auf das finale Gesetz, statt proaktiv zu handeln. Das ist riskant: Die Anforderungen sind klar, die Haftung ist real.
Was Sie tun sollten: Starten Sie jetzt mit einer Gap-Analyse. Identifizieren Sie, welche NIS2-Anforderungen Sie bereits erfüllen und wo Handlungsbedarf besteht. Die NIS2-Checkliste für die Geschäftsführung bietet einen strukturierten Einstieg.
3. KI-Systeme ohne Audit-Trail
Immer mehr Behörden setzen KI ein – für Antragsbearbeitung, Chatbots oder Dokumentenanalyse. Doch die wenigsten haben Audit-Trails implementiert, die nachvollziehbar machen, welche Entscheidungen die KI getroffen hat und warum.
Mit dem EU AI Act (ab August 2026 für Hochrisiko-Systeme) wird das zur Pflicht. Behörden, die KI in der Sachbearbeitung einsetzen, fallen fast immer in die Hochrisiko-Kategorie.
Was Sie tun sollten: Definieren Sie für jedes KI-System: Was wird geloggt? Wer hat Zugriff auf die Logs? Wie lange werden sie aufbewahrt? Der EU AI Act Leitfaden für Unternehmen erklärt die Anforderungen im Detail.
4. Dezentrale Shadow-IT ohne Kontrolle
In vielen Behörden nutzen Fachabteilungen eigenständig Cloud-Dienste, Messenger oder KI-Tools – ohne Abstimmung mit der IT-Abteilung. Diese Shadow-IT ist ein blinder Fleck für die Sicherheitsarchitektur.
Was Sie tun sollten: Führen Sie ein IT-Asset-Inventar ein, das auch Cloud-Dienste und SaaS-Anwendungen erfasst. Definieren Sie klare Richtlinien, welche Tools erlaubt sind. Und bieten Sie Alternativen an, die den Sicherheitsanforderungen entsprechen – sonst finden Mitarbeiter eigene Wege.
5. Lieferketten-Risiken ungeprüft
Behörden sind stark von IT-Dienstleistern abhängig – von Rechenzentren über Fachanwendungen bis zu Cloud-Services. Ein Angriff auf einen Dienstleister kann die gesamte Behörde lahmlegen, wie der Angriff auf Südwestfalen-IT 2023 gezeigt hat.
Was Sie tun sollten: Fordern Sie von Ihren Dienstleistern Sicherheitsnachweise (ISO 27001, BSI-Grundschutz). Prüfen Sie die Vertragsbedingungen: Sind Meldepflichten bei Sicherheitsvorfällen definiert? Gibt es Exit-Strategien?
Der Weg nach vorn: Drei Sofortmaßnahmen
Wenn Sie nur drei Dinge diese Woche tun können:
- Bestandsaufnahme: Erstellen Sie eine Liste aller IT-Systeme, Cloud-Dienste und Dienstleister. Was Sie nicht kennen, können Sie nicht schützen.
- NIS2 Gap-Analyse: Prüfen Sie anhand der NIS2-Checkliste, wo Sie stehen. Die Anforderungen sind klar – auch ohne finales Gesetz.
- KI-Governance: Wenn Sie KI einsetzen oder planen: Definieren Sie jetzt die Governance-Strukturen. Der EU AI Act kommt schneller als die meisten denken.
Wie Nexus unterstützt
Nexus Management Consulting begleitet Behörden und IT-Dienstleister des öffentlichen Sektors bei der Umsetzung von NIS2 und EU AI Act – von der Gap-Analyse über die Maßnahmenplanung bis zur Implementierung. Unser Ansatz: Compliant by Design, nicht Compliance als Nachgedanke.
→ NIS2-Readiness-Assessment anfragen – strukturierte Bewertung Ihrer Sicherheitslage in 2 Wochen.