{"id":9423,"date":"2026-06-22T12:13:22","date_gmt":"2026-06-22T10:13:22","guid":{"rendered":"https:\/\/infosilo.info\/dekom\/?p=9423"},"modified":"2026-06-22T12:13:22","modified_gmt":"2026-06-22T10:13:22","slug":"unsichtbare-helden-warum-it-sicherheit-in-der-kommune-kein-spielplatz-ist","status":"publish","type":"post","link":"https:\/\/infosilo.info\/dekom\/unsichtbare-helden-warum-it-sicherheit-in-der-kommune-kein-spielplatz-ist\/","title":{"rendered":"Unsichtbare Helden: Warum IT-Sicherheit in der Kommune kein Spielplatz ist"},"content":{"rendered":"\n<p>Ein neuer Abenteuerspielplatz garantiert strahlende Kinderaugen, medienwirksame Bilder und sicheren Applaus im Gemeinderat. Investitionen in die kommunale IT-Sicherheit hingegen gewinnen im politischen Alltag selten Beliebtheitswettbewerbe. Ihr Nutzen offenbart sich erst dann, wenn absolut nichts passiert \u2013 wenn der digitale Ernstfall ausbleibt, kein Erpressungstrojaner die Rechner sperrt und die Verwaltung ger\u00e4uschlos weiterarbeitet. Genau diese oftmals unbemerkte, aber essenzielle Pr\u00e4ventionsarbeit stand am <a href=\"https:\/\/www.public-it-security.de\/\">16. und 17. Juni auf der PITS 2026 in Berlin<\/a> im Fokus. Unter dem Motto \u201eUnsichtbare Helden\u201c diskutierten Fachleute auf der Public IT Security \u00fcber den verborgenen Schutz \u00f6ffentlicher Infrastrukturen. Zu den Impulsgebern der Fachkonferenz z\u00e4hlte auch der IT-Security-Hersteller Enginsight. In seinem Vortrag r\u00fcckte Michael Rainer, Business Manager Public der Enginsight GmbH, ein Thema in den Mittelpunkt, das weit \u00fcber technische Parameter hinausgeht: die digitale Souver\u00e4nit\u00e4t als st\u00e4rkste Verteidigungslinie. Im folgenden Interview erkl\u00e4rt er, warum Vertrauen in der IT-Sicherheit keine verl\u00e4ssliche W\u00e4hrung ist, wie sich ein \u201eReturn on Security Invest\u201c f\u00fcr Kommunen berechnen l\u00e4sst und wo Verwaltungen jetzt konkret ansetzen m\u00fcssen.<\/p>\n\n\n\n<p><strong><em>Sie nennen digitale Souver\u00e4nit\u00e4t die st\u00e4rkste Verteidigungslinie f\u00fcr Bund und L\u00e4nder. Warum?<\/em><\/strong><em><\/em><\/p>\n\n\n\n<p><strong>Michael Rainer:<\/strong> Weil ich die Hoheit \u00fcber meine Daten behalten und selbst entscheiden k\u00f6nnen muss, wer als Dritter Zugriff bekommt. Das ist keine reine Vertrauensfrage, sondern in erster Linie eine Sicherheitsfrage. Wem ich heute vertraue, der kann durch einen Angriff oder durch Gesetze morgen in einen Zwang geraten, und genau dann n\u00fctzt mir das Vertrauen wenig. Entscheidend ist deshalb nicht der Hersteller als solcher, sondern der Rechtsraum, aus dem er stammt. Ob ein Rechenzentrum auf europ\u00e4ischem Boden steht oder nicht, \u00e4ndert nichts daran, dass amerikanische Software amerikanischem Recht unterliegt. Dieses M\u00e4rchen glauben heute zum Gl\u00fcck immer weniger Verantwortliche.<\/p>\n\n\n\n<p><strong><em>Ein K\u00e4mmerer entgegnet Ihnen, eine in Deutschland entwickelte L\u00f6sung sei schlicht zu teuer im Vergleich zum eingespielten US-Produkt. Was sagen Sie ihm?<\/em><\/strong><em><\/em><\/p>\n\n\n\n<p><strong>Michael Rainer: <\/strong>Dann bringe ich den Return on Security Invest ins Spiel, also die Rechnung \u00fcber den Schaden, der gar nicht erst eintritt. Am Beispiel Hochsauerlandkreis l\u00e4sst sich das gut zeigen. Der Kreis konnte selbst nichts daf\u00fcr und hat den Angriff nur als Dritter abbekommen, blieb am Ende aber wegen Haftungsfragen auf rund 2,7 Millionen Euro sitzen. Wir haben das bewusst ung\u00fcnstig f\u00fcr uns gerechnet, also praktisch mit Umsetzungs- und Betriebskosten statt rein theoretisch. Heraus kam eine Amortisationszeit von 0,22 Jahren, also knapp drei Monaten. Dann sprechen die Zahlen f\u00fcr sich. Wo am Ende nicht nur Daten, sondern auch Gelder und Ressourcen hinflie\u00dfen, geh\u00f6rt eben zur ehrlichen Rechnung dazu. Dabei geht es uns ausdr\u00fccklich nicht um Hersteller-Bashing.<\/p>\n\n\n\n<p><em>[Anmerkung der Redaktion: Die Schadenssumme von 2,7 Mio. Euro und die Amortisationszeit von 0,22 Jahren stammen aus einer RoSI-Berechnung der Enginsight GmbH auf Basis \u00f6ffentlich verf\u00fcgbarer Informationen zum Vorfall im Hochsauerlandkreis.]<\/em><\/p>\n\n\n\n<p><strong><em>Was genau macht Enginsight an dieser Stelle?<\/em><\/strong><em><\/em><\/p>\n\n\n\n<p><strong>Michael Rainer: <\/strong>Wir sind ein deutscher Hersteller aus Jena. Unsere Plattform erg\u00e4nzt die vorhandene Grundausstattung \u2014 also Firewall und Virenschutz \u2014 um alles, was dar\u00fcber hinaus n\u00f6tig ist: von der Inventarisierung \u00fcber das Schwachstellenmanagement bis zur Angriffserkennung, einschlie\u00dflich eines vollst\u00e4ndig integrierten SIEM, also einer zentralen Stelle, an der alle sicherheitsrelevanten Ereignisse zusammenlaufen und ausgewertet werden. So lassen sich Vorf\u00e4lle bereits im Entstehen erkennen, rechtzeitig abwehren und der Betrieb aufrechterhalten, ohne dass man einen ganzen Zoo an Einzelwerkzeugen pflegen muss. Dabei l\u00e4sst sich die Plattform flexibel an den tats\u00e4chlichen Bedarf anpassen \u2014 eine Kommune kann mit einzelnen Bausteinen starten und den Umfang schrittweise erweitern, je nachdem, wie die eigene IT aufgestellt ist und welche regulatorischen Anforderungen greifen. Wer im eigenen Haus nicht die Kapazit\u00e4t hat, rund um die Uhr auf Vorf\u00e4lle zu reagieren, kann unseren Managed-Detection-and-Response-Dienst dazubuchen \u2014 ein deutschsprachiges Analystenteam, das direkt auf der Plattform arbeitet und im Ernstfall sofort eingreift. Die gesamte Entwicklung passiert in Jena, die Daten bleiben unter deutscher Rechtshoheit. Ein Allheilmittel ist das nicht, das w\u00e4re unseri\u00f6s. Gerade mit Blick auf Normen und Regulatorik ist die L\u00f6sung aber breit genug aufgestellt, um die konkreten Anforderungen abzudecken.<\/p>\n\n\n\n<p><strong><em>Eine Verwaltung kann nicht \u00fcber Nacht umstellen. Wo f\u00e4ngt man an?<\/em><\/strong><em><\/em><\/p>\n\n\n\n<p><strong>Michael Rainer: <\/strong>Am Anfang steht die Frage nach dem Ist- und dem Soll-Zustand und vor allem nach dem tats\u00e4chlichen Bedarf. Dazu braucht es ein ehrliches, holistisches Lagebild, und genau das fehlt vielerorts bewusst. Etwas provokant gesagt sorgen wir daf\u00fcr, dass ein ehrliches Bild auf den Tisch kommt \u2014 denn wer den Zustand seiner IT nicht kennt, muss auch nichts beheben. Ein guter Einstieg ist ein automatisierter Penetrationstest auf einige Server und Clients, mit einem verst\u00e4ndlichen Report auf Deutsch und einer Management-\u00dcbersicht im Ampelprinzip. Steht dort eine rote Markierung mit einer Zahl daneben, muss man kein Techniker sein, um zu erkennen, dass gehandelt werden muss. Und sobald ich es wei\u00df, bin ich auch in der Haftung.<\/p>\n\n\n\n<p><strong><em>Was raten Sie einem B\u00fcrgermeister, der den Sicherheitsstand seines Hauses gar nicht kennt?<\/em><\/strong><em><\/em><\/p>\n\n\n\n<p><strong>Michael Rainer: <\/strong>Schon, dass er sich diese Frage \u00fcberhaupt stellt, verdient Anerkennung, denn das ist l\u00e4ngst nicht die Regel. Die Verwaltungsebene wurde nach langer Diskussion aus NIS2 herausgenommen \u2014 das hatte am Ende vor allem mit der Finanzierung zu tun. Vom Anforderungsprofil her bin ich allerdings \u00fcberzeugt, dass man sie h\u00e4tte drin lassen sollen und m\u00fcssen. Bei Stadtwerken bewegen wir uns ohnehin im Bereich kritischer Infrastruktur, dort sollte man schon aus Eigeninteresse aktiv werden. Entscheidend ist dabei die Frage der Haftung: Viele Kommunen f\u00fchren ihre Stadtwerke, IT-Zweckverb\u00e4nde oder Eigenbetriebe als GmbH \u2014 und dort greift die pers\u00f6nliche Gesch\u00e4ftsf\u00fchrerhaftung, nicht die Amtshaftung der Beh\u00f6rde. Das ist ein Unterschied, den man als B\u00fcrgermeister kennen muss. Mein Rat bleibt in jedem Fall derselbe: Verschaffen Sie sich zuerst ein Lagebild, steigen Sie \u00fcber einen Test ein und holen Sie Datenschutz, IT und K\u00e4mmerei fr\u00fch an einen Tisch, damit am Ende alle in dieselbe Richtung rudern. Wer bei der Plattformentscheidung darauf achtet, dass Anforderungen aus NIS2, BSI-Grundschutz, KRITIS und ISO 27001 sich \u00fcberschneiden und gemeinsam abdecken lassen, spart nicht nur Aufwand, sondern schafft eine Grundlage, auf der sich perspektivisch auch eigene KI-Modelle in die Sicherheitsarchitektur integrieren lassen \u2014 und das ist f\u00fcr eine Kommune ein Innovationssignal, das weit \u00fcber den obligatorischen Chatbot hinausgeht. (DEKOM, 22.06.2026) <a href=\"https:\/\/enginsight.com\/de\/\">Mehr Infos zu Enginsight hier\u2026<\/a><\/p>\n\n\n\n<p><strong><u><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/Enginsight-Schulpromo-2025-1.pdf\">Enginsight Schulpromo: Schulen sch\u00fctzen \u2014 eine Frage der Verantwortung<\/a><\/u><\/strong><\/p>\n\n\n\n<p><strong><em>Im Rahmen einer Sonderaktion der Enginsight GmbH zur Absicherung von Bildungsinfrastrukturen k\u00f6nnen kommunale Schultr\u00e4ger, die die Sicherheitsplattform des Unternehmens fl\u00e4chendeckend f\u00fcr ihre eigene Verwaltung lizenzieren, s\u00e4mtliche angeschlossene Schulen ohne zus\u00e4tzliche Lizenzkosten in das System integrieren. Die Bereitstellung der Software f\u00fcr die Lehrst\u00e4tten erfolgt dabei kostenfrei und parallel zur Vertragslaufzeit der Hauptverwaltung.<\/em><\/strong><\/p>\n\n\n\n<p>Schulen geh\u00f6ren zu den am wenigsten gesch\u00fctzten Einrichtungen im \u00f6ffentlichen Raum. Sie verarbeiten hochsensible Daten \u2014 von Sch\u00fclern, Eltern, Lehrkr\u00e4ften \u2014 und arbeiten fast \u00fcberall mit einer IT-Infrastruktur, die weder inventarisiert noch \u00fcberwacht wird. Gleichzeitig tragen kommunale Schultr\u00e4ger die Verantwortung f\u00fcr genau diese Infrastruktur. Das ist kein Randthema, sondern eine der offensten Flanken, die wir im \u00f6ffentlichen Sektor haben.<\/p>\n\n\n\n<p>Deshalb sich das Unternehmen entschieden, hier einen konkreten Beitrag zu leisten: Kommunale Schultr\u00e4ger, die die Enginsight &#8211; Plattform f\u00fcr ihre Verwaltung lizenzieren, k\u00f6nnen s\u00e4mtliche Schulen in ihrem Zust\u00e4ndigkeitsbereich ohne Mehrkosten mitsch\u00fctzen \u2014 f\u00fcr die gesamte Vertragslaufzeit. Das ist kein zeitlich begrenztes Marketingangebot, sondern eine bewusste Entscheidung, die sich aus der Haltung als deutscher Hersteller ergibt, betont Enginsight. Wer als Kommune auf eine souver\u00e4ne, in Deutschland entwickelte L\u00f6sung setzt, trifft damit nicht nur eine Sicherheitsentscheidung, sondern auch eine nachhaltige. Daten bleiben unter deutscher Rechtshoheit, Wertsch\u00f6pfung bleibt in der Region, und die Abh\u00e4ngigkeit von Drittstaaten-Infrastruktur sinkt. Das sind Argumente, die weit \u00fcber IT-Sicherheit hinausreichen \u2014 sie ber\u00fchren digitale Souver\u00e4nit\u00e4t, den Schutz der Daten Minderj\u00e4hriger, regionale Wirtschaftsf\u00f6rderung und die Frage, welche Werte wir in unserer \u00f6ffentlichen Infrastruktur verankern wollen. Schulen zu sch\u00fctzen ist keine K\u00fcr, sondern eine gesellschaftliche Pflicht. Und wenn ein deutscher Hersteller dazu beitragen kann, dass dieser Schutz nicht an der Finanzierung scheitert, dann sollte er genau das tun. &nbsp;<a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/Enginsight-Schulpromo-2025-1.pdf\">Mehr Infos zur Enginsight Schulpromo hier\u2026<\/a> &nbsp;<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein neuer Abenteuerspielplatz garantiert strahlende Kinderaugen, medienwirksame Bilder und sicheren Applaus im Gemeinderat. Investitionen in die kommunale IT-Sicherheit hingegen gewinnen im politischen Alltag selten Beliebtheitswettbewerbe. Ihr Nutzen offenbart sich erst dann, wenn absolut nichts passiert \u2013 wenn der digitale Ernstfall ausbleibt, kein Erpressungstrojaner die Rechner sperrt und die Verwaltung ger\u00e4uschlos weiterarbeitet. Genau diese oftmals unbemerkte, [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9423","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/9423","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/comments?post=9423"}],"version-history":[{"count":1,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/9423\/revisions"}],"predecessor-version":[{"id":9424,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/9423\/revisions\/9424"}],"wp:attachment":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/media?parent=9423"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/categories?post=9423"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/tags?post=9423"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}