Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Branche: Öffentlicher Sektor

Cybersicherheit für
Behörden & Verwaltung

19 % aller Cyberangriffe in der EU treffen den öffentlichen Sektor - mehr als jede andere Branche. Wir schützen Ihre digitalen Bürgerdienste mit Penetrationstests, BSI IT-Grundschutz-Beratung und Security-Awareness-Schulungen. Alle Daten bleiben in Deutschland.

Kostenlose Erstberatung vereinbaren Leistungen entdecken
ISO 27001 zertifiziert Erfahrene IT-Grundschutz-Berater Daten in Deutschland
Bedrohungslage Öffentlicher Sektor
Erhöhtes Risiko

ENISA - Anteil Angriffe öffentlicher Sektor

19 %

Meistattackierter Sektor in der EU

Ransomware-Vorfälle Kommunen

~2 / Monat

Durchschnitt Deutschland

Unbesetzte IT-Stellen

39.000

Bis 2030: prognostiziert 140.000

Kommunen in Deutschland

10.754

Heterogene IT-Landschaft

Quellen: ENISA Threat Landscape 2024, BSI Lagebericht 2024, Destatis

Vertrauen von Behörden und öffentlichen Institutionen

Kommunen durch einen Angriff lahmgelegt
EUR Schaden - erster Cyber-Katastrophenfall
Monate Wiederherstellungszeit nach Ransomware
aller EU-Cyberangriffe auf den öffentlichen Sektor

Warum Öffentlicher Sektor

Warum Behörden & Kommunen besonders gefährdet sind

Die Kombination aus Digitalisierungsdruck, Fachkräftemangel und veralteter IT-Infrastruktur macht den öffentlichen Sektor zum bevorzugten Ziel von Cyberkriminellen und staatlichen Akteuren.

Daseinsvorsorge als Angriffsziel

Meldewesen, Sozialhilfe, Baugenehmigungen, Standesamt - wenn kommunale IT ausfällt, steht die Grundversorgung für Hunderttausende Bürger still. Angreifer wissen: Der Druck zur schnellen Zahlung ist bei Behörden besonders hoch.

Fachkräftemangel & IT-Schulden

39.000 unbesetzte IT-Stellen in der öffentlichen Verwaltung heute - bis 2030 prognostiziert: 140.000. Gleichzeitig wachsen Legacy-Systeme, unpatched Software und Shadow IT. Externe Expertise ist kein Luxus, sondern Notwendigkeit.

OZG 2.0 vergrößert die Angriffsfläche

Jeder neue digitale Bürgerdienst, jede E-Akte, jedes Verwaltungsportal erweitert die Angriffsfläche. Security-by-Design ist im OZG 2.0 gefordert - aber nur mit regelmäßigen Penetrationstests und Sicherheitskonzepten umsetzbar.

Cyberangriffe auf die öffentliche Verwaltung - eine Chronologie

Reale Vorfälle zeigen: Kein IT-System in Behörden ist sicher - von Bundestag bis Kreisverwaltung.

Mai 2015

Bundestag-Hack - APT28 (Fancy Bear)

Die russische Hackergruppe APT28 infiltriert das Netzwerk des Deutschen Bundestags. 16 GB Daten werden exfiltriert, darunter E-Mails von Abgeordneten. Das gesamte IT-System muss ausgetauscht werden - Kosten: geschätzt über 1 Million Euro.

Februar 2018

IVBB-Netzwerk - Angriff auf das Regierungsnetz

APT28 kompromittiert den Informationsverbund Berlin-Bonn (IVBB), das interne Kommunikationsnetz der Bundesregierung. Betroffen sind das Auswärtige Amt und weitere Ministerien. Der Angriff wird erst nach Monaten entdeckt.

Juli 2021

Anhalt-Bitterfeld - erster Cyber-Katastrophenfall

Ransomware legt die gesamte IT-Infrastruktur des Landkreises lahm. Erstmals in Deutschland wird der Cyber-Katastrophenfall ausgerufen. Bürgerdienste fallen monatelang aus. Kosten: über 2,5 Millionen Euro. Die Bundeswehr unterstützt bei der Wiederherstellung.

Oktober 2023

Südwestfalen-IT (SIT) - 72 Kommunen offline

Ransomware-Angriff auf den kommunalen IT-Dienstleister SIT legt 72 Kommunen in Nordrhein-Westfalen und Niedersachsen lahm. 1,7 Millionen Bürger sind betroffen. Kfz-Zulassungen, Personalausweise und Sozialleistungen können wochenlang nicht bearbeitet werden. Volle Wiederherstellung dauert Monate.

2022 - 2024

Weitere Vorfälle - Rhein-Pfalz-Kreis, Potsdam, HAW Hamburg

Der Rhein-Pfalz-Kreis wird im Oktober 2022 durch Vice Society attackiert, persönliche Daten von Bürgern landen im Darknet. Potsdam schaltet im Dezember 2022 seine Systeme wochenlang ab. Die HAW Hamburg verliert Ende 2022 ihr gesamtes Active Directory. Die Angriffsserie zeigt: Jede Verwaltungsebene ist gefährdet.

Regulatorische Anforderungen

Regulatorischer Rahmen - Compliance im öffentlichen Sektor

Behörden unterliegen einem komplexen Geflecht aus Vorgaben. Drei Säulen bilden das Fundament der IT-Sicherheit im öffentlichen Sektor.

BSI IT-Grundschutz

Pflicht für Bundesbehörden

  • Standards 200-1 bis 200-4 (ISMS, Methodik, Risiko, BCM)
  • IT-Grundschutz-Kompendium mit Bausteinen (jährlich aktualisiert)
  • Drei Absicherungsniveaus: Basis, Standard, Kern
  • Zertifizierung: ISO 27001 auf Basis von IT-Grundschutz

AWARE7 unterstützt bei der vollständigen Umsetzung - von der Bestandsaufnahme bis zur Zertifizierung.

Mindeststandards & Datenschutz

BSI Mindeststandards + DSGVO/BDSG

  • BSI Mindeststandards (verbindlich für Bundesverwaltung)
  • DSGVO Art. 32: Technische und organisatorische Maßnahmen
  • BDSG: Nationales Datenschutzgesetz ergänzt DSGVO
  • VS-NfD-Anforderungen für Verschlusssachen

Wir prüfen Ihre Systeme auf Datenschutzkonformität und beraten bei der Umsetzung der Mindeststandards.

OZG 2.0 & Digitalisierung

Security-by-Design für Bürgerdienste

  • OZG 2.0: IT-Sicherheit als Pflichtanforderung
  • E-Government-Gesetze der Länder
  • Digitale Identitäten (eID, BundID) absichern
  • EVB-IT-konforme Beschaffung von Security-Dienstleistungen

Penetrationstests und Sicherheitskonzepte für OZG-Dienste - bevor sie live gehen.

Sicherheitskonzept nach IT-Grundschutz benötigt?

Unsere erfahrenen Berater unterstützen Sie von der Schutzbedarfsfeststellung bis zur Zertifizierung. Kostenlose Erstberatung in 48 Stunden.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Unsere Leistungen für den öffentlichen Sektor

Von technischen Sicherheitsprüfungen über IT-Grundschutz-Beratung bis hin zu Awareness-Kampagnen - alles aus einer Hand.

Penetrationstests für Verwaltungsportale

Wir testen Ihre OZG-Dienste, Fachverfahren und Verwaltungsportale auf Schwachstellen - bevor Angreifer es tun. OWASP-konform, BSI-orientiert, mit praxisnahen Empfehlungen.

Pentest anfragen

BSI IT-Grundschutz-Beratung

Von der Schutzbedarfsfeststellung über die Modellierung mit Bausteinen bis zur Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz. Praxisnah, effizient, zertifiziert.

BSI-Beratung anfragen

Phishing-Simulationen

Maßgeschneiderte Phishing-Kampagnen für Behördenmitarbeiter. Realistische Szenarien (gefälschte Dienstanweisungen, IT-Helpdesk-Mails, OZG-Benachrichtigungen) mit detaillierter Auswertung und Nachschulung.

Phishing-Simulation kennenlernen

Security-Awareness-Schulungen

AZAV-zertifizierte Schulungen für den öffentlichen Dienst - förderfähig und auf die spezifischen Risiken in Behörden zugeschnitten. Vom BSI IT-Grundschutz-Praktiker bis zur Basisschulung für alle Mitarbeiter.

Schulungskalender ansehen

Netzwerk- & Infrastruktur-Audits

Prüfung Ihrer Verwaltungsnetzwerke, Active-Directory-Umgebungen und Segmentierung. Identifikation von Lateral-Movement-Pfaden und Privilege-Escalation-Risiken - entscheidend bei kommunalen Multi-Mandanten-Umgebungen.

Pentest anfragen

Incident Response & Notfallplanung

Notfallkonzepte nach BSI 200-4 für den Ernstfall. Wir entwickeln Incident-Response-Pläne, schulen Ihr CERT-Team und führen Tabletop-Übungen durch - damit Ihre Verwaltung im Krisenfall handlungsfähig bleibt.

Anfrage stellen

Kommunale IT-Dienstleister - das unterschätzte Risiko

Der SIT-Angriff 2023 hat gezeigt: Ein kompromittierter kommunaler IT-Dienstleister kann Dutzende Kommunen gleichzeitig lahmlegen. Die Konsolidierung auf wenige Anbieter wie Dataport, ITDZ Berlin oder regio iT schafft Effizienz - aber auch Single Points of Failure.

Supply-Chain-Risiko

Ein Angriff auf den Dienstleister betrifft alle angeschlossenen Kommunen. SIT bedient 72 Kommunen mit 1,7 Mio. Bürgern - ein einziger Ransomware-Angriff legte alle lahm.

Shared-Service-Architektur

Multi-Mandanten-Umgebungen erfordern strikte Netzwerksegmentierung und Zugriffskontrolle. Oft fehlen diese - Lateral Movement über Mandantengrenzen hinweg ist dann möglich.

AWARE7-Lösung

Wir testen die Sicherheit Ihrer IT-Dienstleister-Anbindung: Mandantentrennung, VPN-Konfigurationen, Remote-Zugriffe und Backup-Strategien - inklusive Vertragsempfehlungen für SLAs und Sicherheitsanforderungen.

72

Kommunen durch SIT-Angriff gleichzeitig offline

1,7 Mio.

Bürger von einem einzigen Angriff betroffen

6+ Monate

Durchschnittliche Wiederherstellungszeit

~24

Kommunen pro Jahr Ransomware-Opfer

39.000

Unbesetzte IT-Stellen in der öffentlichen Verwaltung - externer Support ist keine Option, sondern Pflicht

Warum AWARE7 für Ihre Behörde

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Referenzen im öffentlichen Sektor

Live Hacking & Awareness

Landkreis Dachau - Wirtschaftsförderung

Spontaner Einsatz zur Durchführung einer Live Hacking Show

Live Hacking & Awareness

Stadt Königsbrunn

Live Hacking Show für die Stadt Königsbrunn

90

Minuten Live Hacking

Live Hacking & Awareness

IT-Netzwerk e.V. · IHK Kassel-Marburg

Individuelle Live Hacking Event Show am IT Security Day 2022 in Kassel

60

Minuten Live Hacking

Zertifizierungen & digitale Souveränität

Für den öffentlichen Sektor zählt nicht nur Kompetenz - sondern auch Vertrauen, Nachweisbarkeit und Datensouveränität.

ISO 27001

Zertifiziertes ISMS - wir leben, was wir beraten

BSI-qualifiziert

IT-Grundschutz-Praktiker und -Berater im Team

AZAV-zertifiziert

Förderfähige Schulungen für den öffentlichen Dienst

Daten in Deutschland

Deutsche Rechenzentren, keine Cloud-Abhängigkeit

Kostenloser Download

IT-Grundschutz-Startpaket für Kommunen

Unsere praxisnahe Checkliste für den Einstieg in den BSI IT-Grundschutz - speziell für Kommunalverwaltungen. Enthält: Schutzbedarfskategorien, Priorisierung der wichtigsten Bausteine, Muster-Sicherheitskonzept und Checkliste für die ersten 90 Tage.

01 Schutzbedarf-Matrix für kommunale Fachverfahren
02 Top-20-Bausteine für den Einstieg (priorisiert)
03 90-Tage-Umsetzungsplan mit Quick Wins
04 Muster-Sicherheitskonzept (28 Seiten)

Startpaket anfordern

Praxisnaher Einstieg in den BSI IT-Grundschutz - speziell für Kommunalverwaltungen und öffentliche Einrichtungen.

Kein Spam. Ihre Daten werden gemäß unserer Datenschutzerklärung verarbeitet.

In drei Schritten zur sicheren Verwaltungs-IT

1

Bestandsaufnahme & Schutzbedarf

Wir analysieren Ihre IT-Landschaft, Fachverfahren und bestehenden Sicherheitsmaßnahmen. Ergebnis: ein klares Bild des Ist-Zustands und der Schutzbedarfskategorien nach BSI-Methodik.

2

Technische Prüfung & Beratung

Penetrationstests, Phishing-Simulationen und IT-Grundschutz-Modellierung laufen parallel. Unsere erfahrenen Berater liefern konkrete Handlungsempfehlungen - priorisiert nach Risiko und Umsetzbarkeit.

3

Umsetzung & Schulung

Wir begleiten die Umsetzung, schulen Ihre Mitarbeiter und etablieren einen kontinuierlichen Verbesserungsprozess. Optional: Vorbereitung auf die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz.

Häufige Fragen zur IT-Sicherheit im öffentlichen Sektor

Bundesbehörden müssen die BSI-Mindeststandards und den BSI IT-Grundschutz (Standards 200-1 bis 200-4) verpflichtend umsetzen. Die IT-Grundschutz-Standards definieren ein Informationssicherheitsmanagementsystem (ISMS), eine Risikoanalyse-Methodik und Notfallmanagement. Landesbehörden orientieren sich je nach Landesgesetzgebung ebenfalls am IT-Grundschutz. Kommunen sind zwar nicht direkt durch NIS-2 reguliert, unterliegen aber den Datenschutzanforderungen der DSGVO und des BDSG sowie länderspezifischen E-Government-Gesetzen.
Kommunen sind explizit vom Anwendungsbereich des NIS2UmsuCG (seit 6. Dezember 2025 in Kraft) ausgenommen. Dennoch empfiehlt das BSI die Umsetzung der NIS-2-Anforderungen als Best Practice - insbesondere weil kommunale IT-Dienstleister wie die Südwestfalen-IT (SIT) kritische Dienste für Hunderttausende Bürger bereitstellen. Einige Bundesländer arbeiten zudem an eigenen Cybersicherheitsgesetzen, die kommunale Anforderungen definieren.
Der BSI IT-Grundschutz ist ein Rahmenwerk für Informationssicherheit mit vier Standards: 200-1 (ISMS-Anforderungen), 200-2 (IT-Grundschutz-Methodik mit Basis-, Standard- und Kernabsicherung), 200-3 (Risikoanalyse) und 200-4 (Business Continuity Management). Die Umsetzung erfolgt über Bausteine aus dem IT-Grundschutz-Kompendium, das jährlich aktualisiert wird. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist möglich und wird vom BSI vergeben.
Laut ENISA entfielen 2023 rund 19% aller Cybervorfälle in der EU auf den öffentlichen Sektor - der am häufigsten attackierte Bereich. Ransomware ist die dominante Bedrohung: Durchschnittlich werden in Deutschland zwei Kommunen pro Monat Opfer von Ransomware-Angriffen. Hinzu kommen gezielte APT-Angriffe staatlicher Akteure (wie der Bundestag-Hack 2015 durch APT28) und Supply-Chain-Angriffe über IT-Dienstleister.
Die Kosten sind enorm und gehen weit über die reine IT-Wiederherstellung hinaus. Der Angriff auf den Landkreis Anhalt-Bitterfeld im Juli 2021 - Deutschlands erster Cyber-Katastrophenfall - verursachte Kosten von über 2,5 Millionen Euro und monatelange Einschränkungen der Bürgerdienste. Der SIT-Angriff im Oktober 2023 legte 72 Kommunen mit über 1,7 Millionen betroffenen Bürgern lahm. Wiederherstellungszeiten von 6 bis 12 Monaten sind keine Seltenheit.
VS-NfD (Verschlusssache - Nur für den Dienstgebrauch) ist die niedrigste Geheimhaltungsstufe für amtliche Dokumente. IT-Systeme, die VS-NfD-Daten verarbeiten, müssen vom BSI zugelassene oder freigegebene Produkte verwenden, verschlüsselte Kommunikation einsetzen und den Zugang auf sicherheitsüberprüftes Personal beschränken. Die VS-NfD-Anforderungen umfassen Verschlüsselung, Zugangskontrollen, Protokollierung und physische Sicherheitsmaßnahmen gemäß der Verschlusssachenanweisung (VSA).
Wir begleiten Behörden von der initialen Bestandsaufnahme über die Schutzbedarfsfeststellung und Modellierung mit IT-Grundschutz-Bausteinen bis zur Umsetzung und Auditierung. Unsere IT-Grundschutz-Praktiker und -Berater unterstützen bei der Erstellung von Sicherheitskonzepten, der Durchführung von Risikoanalysen (BSI 200-3) und der Vorbereitung auf eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz. Ergänzend führen wir Penetrationstests und Phishing-Simulationen durch, um die technische Wirksamkeit der umgesetzten Maßnahmen zu validieren.
Das Onlinezugangsgesetz 2.0 (OZG 2.0) verpflichtet Bund, Länder und Kommunen zur Digitalisierung von Verwaltungsleistungen. Jeder neue digitale Bürgerdienst - ob Online-Anträge, digitale Identitäten oder Verwaltungsportale - vergrößert die Angriffsfläche und erfordert Security-by-Design. Das OZG 2.0 schreibt explizit die Einhaltung von IT-Sicherheitsstandards vor. AWARE7 unterstützt durch Sicherheitsprüfungen neuer digitaler Dienste, Penetrationstests von Verwaltungsportalen und Schulungen für Entwicklungsteams.
Öffentliche Auftraggeber beschaffen IT-Sicherheitsdienstleistungen in der Regel über EVB-IT-Verträge (Ergänzende Vertragsbedingungen für IT) und vergaberechtliche Verfahren. AWARE7 ist erfahren in der Zusammenarbeit mit öffentlichen Auftraggebern und kennt die Anforderungen an Leistungsbeschreibungen, Eignungskriterien und Vertragsbedingungen. Wir unterstützen bei der Erstellung von Leistungsverzeichnissen und bieten Rahmenvertragsmodelle für wiederkehrende Prüfungen an.
AWARE7 kombiniert offensive Sicherheitsexpertise (Penetrationstests, Red Teaming) mit BSI IT-Grundschutz-Beratung und Security-Awareness-Schulungen. Anders als reine Beratungshäuser führen wir selbst technische Prüfungen durch - anders als reine Pentest-Boutiquen verstehen wir die regulatorischen Anforderungen des öffentlichen Sektors. Alle Daten verbleiben in Deutschland, alle Berater sind sicherheitsüberprüft, und wir arbeiten ausschließlich mit deutschen Rechenzentren. Unsere AZAV-zertifizierten Schulungen können zudem über Fördermittel finanziert werden.

Regulierung & Wissen

Regulatorischer Rahmen für den Öffentlichen Sektor

Behörden, Kommunen und öffentliche IT unterliegen besonderen Sicherheitspflichten — AWARE7 unterstützt bei der Umsetzung.

Regulierung

NIS-2 Richtlinie

Öffentliche Verwaltung als wesentliche Einrichtung
Regulierung

IT-Grundschutz

BSI-Methodik als Standard für Behörden
Regulierung

KRITIS

Bundesbehörden als kritische Infrastruktur
Regulierung

DSGVO

Datenschutz in der öffentlichen Verwaltung
Regulierung

ISO 27001

ISMS-Zertifizierung für den öffentlichen Sektor

Ihre Verwaltung verdient modernen Schutz

39.000 unbesetzte IT-Stellen, zwei Ransomware-Angriffe pro Monat, OZG 2.0-Pflichten - die Herausforderungen wachsen. Lassen Sie uns gemeinsam Ihre Sicherheitsstrategie entwickeln.

Kostenlose Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung