Hauptregion der Seite anspringen

KDO-Newsportal

Datenschutz & Informationssicherheit (DIS)

Hier veröffentlichen wir für Sie regelmäßig Neuigkeiten rund um die Themen Datenschutz und Informationssicherheit mit praktischem Bezug einschließlich Terminankündigungen,
Hinweise aus den Facharbeitsgruppen oder Wissenswertes aus dem Risikobereich „Mitarbeiterfehlverhalten“.

Aktuelles

11.12.2025: KI-Symposium Niedersachsen: 150 Fachleute diskutieren über sichere KI

Rund 150 Teilnehmende aus Verwaltung, Wirtschaft, Wissenschaft und Justiz kamen beim KI-Symposium des Landesbeauftragten für den Datenschutz (LfD) Niedersachsen zusammen. Unter der Schirmherrschaft von Landtagspräsidentin Hanna Naber standen Fragen zur verantwortungsvollen, datenschutzkonformen Nutzung von Künstlicher Intelligenz im Mittelpunkt.

LfD Denis Lehmkemper erklärte, dass Künstliche Intelligenz und Datenschutz sich miteinander vereinbaren lassen, wenn man die Grundrechte schon bei der Entwicklung von KI berücksichtigt. In Vorträgen von Fachleuten ging es unter anderem um aktuelle Probleme beim Trainieren von KI-Systemen, um den Einsatz von KI in der Justiz (z.B. Das Projekt MAKI) und um technische sowie rechtliche Fragen in Unternehmen und Behörden. Ein Aspekt, der sich durch sämtliche Themen zog und explizit betont werden sollte, war die Notwendigkeit klarer Gesetze und Regeln für KI.  

In der letzten Diskussionsrunde betonten Vertreter der Landesregierung und der Industrie, dass KI viele Chancen bietet, zum Beispiel um Prozesse schneller und einfacher zu machen. Gleichzeitig warnten sie davor, KI ohne gründliche Prüfung voreilig einzusetzen. Alle waren sich einig, dass KI-Lösungen gezielt und nur dort genutzt werden sollten, wo sie wirklich nötig sind. Und dass Veranstaltungen wie diese wichtig für den weiteren Austausch bleiben.

11.12.2025: Eingeschränkte Erreichbarkeit aufgrund eines Inhouse-Workshops am 15./16.12.25

Aufgrund eines internen Team-Workshops zu den Themenfeldern Datenschutz und Künstliche Intelligenz sind wir am 15. und 16. Dezember nur eingeschränkt erreichbar. Bei dringlichen Angelegenheiten erreichen Sie uns über die Telefonnummer der KDO-Zentrale (0441/97140) oder ggf. per E-Mail (datenschutz@kdo.de bzw. it-sicherheit@kdo.de). Wir werden eingehende E-Mails zeitnah bearbeiten bzw. uns umgehend bei Ihnen zurückmelden. Wir danken für Ihr Verständnis!

25.11.2025: Arbeitskreis Datenschutz und Informationssicherheit der Landkreise u. a. am 02.12.2025 (online)

Die Arbeitskreissitzung Datenschutz und Informationssicherheit der Landkreise u. a. findet am 2.12.2025 planmäßig in Online-Form statt:

  • 10:00 – 12:00 Uhr: Themengebiet Datenschutz
  • 13:00 – 15:00 Uhr: Themengebiet Informationssicherheit

Die Teilnehmenden erwarten praxisnahe und interessante Themen aus den Bereichen Datenschutz und Informationssicherheit, die bereits vorab kommuniziert wurden.
Sofern Sie sich noch anmelden möchten, schicken Sie gerne eine Nachricht an:

Anja.Orth@kdo.de

17.11.2025: Lieferketten in der Informationssicherheit – das unterschätzte Risiko

Die größten Gefahren für die Informationssicherheit liegen längst nicht mehr nur innerhalb der eigenen IT-Infrastruktur. Immer häufiger werden Verwaltungen Opfer von Sicherheitsvorfällen, die ihren Ursprung bei externen Dienstleistern haben. Fachverfahren, Hosting-Anbieter oder Wartungsfirmen sind längst fester Bestandteil der kommunalen IT-Landschaft – und damit auch Teil der Sicherheitskette.

Ein Beispiel: Wird bei einem Softwaredienstleister Schadcode eingeschleust oder eine Sicherheitslücke nicht zeitnah geschlossen, kann dies direkt Auswirkungen auf die angeschlossenen Verwaltungen haben. Selbst wenn intern alles „nach Lehrbuch“ umgesetzt ist, kann ein externer Fehler den Betrieb empfindlich stören. Die jüngsten Fälle zeigen, dass Cyberangriffe zunehmend dort ansetzen, wo Schnittstellen zwischen Organisationen bestehen – also in der Lieferkette.

Gerade Kommunalverwaltungen sind hier besonders verwundbar. Einerseits, weil sie in hohem Maß auf externe Lösungen angewiesen sind, andererseits, weil personelle und finanzielle Ressourcen für umfassende Sicherheitsprüfungen oft begrenzt sind. Dennoch bleibt die Verantwortung für den Schutz der eigenen Daten bei der Verwaltung selbst.

Deshalb gilt: Informationssicherheit endet nicht an der Verwaltungstür. Sie muss die gesamte Lieferkette umfassen. Schon bei der Auswahl neuer Dienstleister sollte geprüft werden, welche Sicherheitsstandards dort gelten und ob Nachweise wie Zertifizierungen, Penetrationstests oder Auditberichte vorliegen. In bestehenden Verträgen sollten klare Regelungen enthalten sein – etwa zu Meldepflichten bei Sicherheitsvorfällen, zu Lösch- und Übergabeverpflichtungen sowie zu Prüf- und Kontrollrechten der Verwaltung.

Auch regelmäßige Überprüfungen sind entscheidend. Ändert sich beim Anbieter etwas – beispielsweise durch Fusionen, neue Subdienstleister oder Infrastrukturwechsel – sollte die Verwaltung ihre Bewertung anpassen. In sensiblen Bereichen wie Rechenzentrums- oder Cloud-Dienstleistungen empfiehlt sich ein standardisiertes Verfahren zur Lieferantenbewertung, das technische und organisatorische Aspekte gleichermaßen berücksichtigt.

Langfristig führt kein Weg daran vorbei, die Sicherheitsanforderungen an externe Partner auf ein ähnliches Niveau zu bringen wie im eigenen Haus. Denn eine Kette ist nur so stark wie ihr schwächstes Glied.

04.11.2025: Geplante Wartungsarbeiten im KDO-Rechenzentrum am 23. November 2025

Am Sonntag, den 23. November 2025, finden im Rechenzentrum der KDO umfangreiche Wartungsarbeiten an zentralen Infrastrukturkomponenten statt. Hintergrund sind Verbesserungsmaßnahmen am Netzwerk sowie die Erweiterung zentraler Systeme, um Stabilität und Leistungsfähigkeit langfristig zu erhöhen.

Der Wartungszeitraum ist von 10:00 Uhr bis voraussichtlich 15:00 Uhr angesetzt. In dieser Zeit kann es zu temporären Unterbrechungen verschiedener KDO-Webservices kommen.

Ggf. sind unsere Produkte pmDSR, verinice.PRO und IS-FOX während dieser Zeit zeitweise nicht oder nur eingeschränkt erreichbar. Nach Abschluss der Wartungsarbeiten stehen alle Dienste wieder wie gewohnt zur Verfügung.

Wir bitten alle Anwenderinnen und Anwender, dies bei der Planung ihrer Arbeiten zu berücksichtigen, und danken für das Verständnis.

Bei Rückfragen steht Ihnen wie gewohnt die KDO-ServiceLine unter 0800 5364357 oder serviceline@kdo.de zur Verfügung.

29.10.2025: Veranstaltungshinweis: KDO-Thementag Informationssicherheit am 11.11.2025 (online)

Am Dienstag, 11.11.2025, findet der nächste KDO-Thementag Informationssicherheit online statt.
U. a. werden Themen wie IT-Grundschutz: Weg in der Basisabsicherung (WiBA), Business Continuity Management (BCM), Umgang mit Ransomware und Zwei-Faktor-Authentifizierung behandelt.

Die Teilnahme an der etwa dreistündigen Veranstaltung ist kostenfrei.

Hier geht es weiter zur Anmeldung: https://termine.kdo.de/termin/3147

13.10.2025: Wenn das Backup versagt – warum Kommunen Rücksicherungsübungen brauchen

In Kommunalverwaltungen gehört die regelmäßige Datensicherung natürlich längst zum Alltag. Doch was passiert, wenn diese Sicherungen im Ernstfall nicht funktionieren? Wenn die Wiederherstellung scheitert, wichtige Fachverfahren ausfallen oder Dokumente unwiederbringlich verloren sind? Solche Szenarien sind kein theoretisches Risiko – sie kommen in der Praxis häufiger vor, als man denkt.

Ein ungetestetes Backup ist wie ein unbenutzter Fallschirm: Man weiß erst im Ernstfall, ob er funktioniert. Technische Defekte, menschliche Fehler oder Schadsoftware wie Ransomware können innerhalb von Sekunden ganze Systeme lahmlegen. Wenn dann die Rücksicherung nicht geübt wurde, vergeht wertvolle Zeit – und die Handlungsfähigkeit der Verwaltung steht auf dem Spiel.

Denn eine erfolgreiche Wiederherstellung hängt nicht nur von funktionierenden Datensicherungen ab, sondern auch von klaren Abläufen, geschultem Personal und getesteten Verfahren. Nur wer regelmäßig übt, weiß, wo Fallstricke lauern: Sind alle Daten vollständig? Sind die Sicherungen aktuell und kompatibel? Können Fachverfahren tatsächlich wieder gestartet werden? Solche Fragen lassen sich nur im praktischen Test beantworten.

Für Kommunalverwaltungen ist die Übung von Rücksicherungen daher ein zentraler Bestandteil der Informationssicherheit. Sie schafft die Grundlage für den Wiederanlauf nach IT-Störungen und erfüllt zugleich gesetzliche Anforderungen, etwa aus der DSGVO oder dem BSI IT-Grundschutz.

Empfehlenswert ist ein systematisches Vorgehen: Zunächst sollte festgelegt werden, welche Systeme und Daten im Notfall als Erstes wiederhergestellt werden müssen. Darauf aufbauend können Rücksicherungsübungen geplant, durchgeführt und dokumentiert werden – zum Beispiel im Rahmen des Notfallmanagements oder der regelmäßigen IT-Prüfungen. Die Ergebnisse helfen, Prozesse zu verbessern und Verantwortlichkeiten zu schärfen.

Wer seine Rücksicherung nicht testet, verlässt sich letztlich auf sein Glück – und das ist keine Strategie. Nur regelmäßige und dokumentierte Übungen stellen sicher, dass eine Kommune auch im Krisenfall handlungsfähig bleibt.

26.09.2025: Arbeitskreis Datenschutz und Informationssicherheit der Städte/Gemeinden sowie sonstigen Stellen im November

Unseren Kunden aus den Städten/Gemeinden sowie sonstigen Stellen bieten wir in diesem Jahr unseren Arbeitskreis Datenschutz und Informationssicherheit erneut in virtueller Form an. Sie haben die Wahl zwischen 3 Terminen in denen inhaltsgleich u. a. auf folgende Themen eingegangen wird:

  • Aktuelles
  • Videoüberwachung von Containerplätzen
  • KI in der Verwaltung
  • BSI-konforme Dokumentation
  • Praxisfälle

Für die Anmeldung klicken Sie bitte auf Ihren favorisierten Termin, Sie werden automatisch auf das Anmeldeportal der KDO geleitet.

22.09.2025: Kostenfreie Online-Veranstaltung „Social Engineering“

Die KDO lädt zu einer kostenfreien Online-Veranstaltung am 25. September 2025 (9:00 – 10:00 Uhr) zum Thema Social Engineering ein. Social Engineering bezeichnet eine Methode, bei der Angreifer das Vertrauen von Mitarbeitenden gezielt ausnutzen, um an sensible Informationen oder den Zugang zu IT-Systemen zu gelangen. Statt technischer Tricks setzen die Täter auf Manipulation, Täuschung und psychologische Kniffe – sei es per Telefon, E-Mail oder im direkten Gespräch.

In der Präsentation erfahren Sie, wie Mitarbeitende effektiv sensibilisiert und geschult werden können, damit Angreifern möglichst keine Chance bleibt.

Die Anmeldung zur Veranstaltung ist unter folgendem Link möglich: https://termine.kdo.de/termin/3096

20.08.2025: Neues IT-Grundschutz-Profil für N.SIS veröffentlicht

Am 16. Mai 2025 hat das Bundeskriminalamt (BKA) gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutz-Profil für das Nationale Schengener Informationssystem (N.SIS) in Version 1.0.1 veröffentlicht.

Die neuen EU-Verordnungen zum SIS haben den Kreis der zugriffsberechtigten Stellen erheblich erweitert. Neben Bundes- und Landesbehörden sind nun auch zahlreiche kommunale Einrichtungen wie Ausländerbehörden und Kfz-Zulassungsstellen unmittelbar an das N.SIS angebunden. Damit wächst die Verantwortung, ein hohes IT-Sicherheitsniveau zu gewährleisten – insbesondere beim Umgang mit personenbezogenen Daten aus Fahndungen.

Das Grundschutz-Profil bietet dabei Kommunalverwaltungen eine konkrete Orientierung:

  • Verantwortlichkeiten: Während das BKA die Themenverantwortung trägt, liegt die Umsetzungspflicht bei jeder angebundenen Stelle – also auch bei den
    Kommunalverwaltungen.
  • Schutzbedarf: Für alle relevanten Datenkategorien, insbesondere Personenausschreibungen, gilt ein sehr hoher Schutzbedarf.
  • Referenzarchitektur: Das Profil enthält Muster-Netzpläne und Zielobjekte, die Kommunen für ihre eigene Situation anpassen können.
  • Vorgehensmodell: Klare Handlungsanleitungen zur Erstellung eines Informationssicherheitskonzepts nach IT-Grundschutz inklusive IT-Grundschutz-Check und Risikomanagement.

Kommunalverwaltungen sind zentrale Akteure im N.SIS-Verbund. Ein Sicherheitsvorfall in einer Kommune kann nicht nur die betroffene Behörde, sondern den gesamten Informationsverbund beeinträchtigen. Mit dem neuen Grundschutz-Profil liegt nun eine verbindliche und praxisnahe Vorlage vor, die Kommunen bei der Umsetzung der gesetzlichen Anforderungen unterstützt.

Für Kommunalverwaltungen bedeutet die Veröffentlichung:

  • Rechtssicherheit durch einheitliche Vorgaben,
  • konkrete Unterstützung beim Aufbau oder der Anpassung des eigenen ITSicherheitskonzepts,
  • und Stärkung der Resilienz gegenüber zunehmenden Cyberangriffen.

Das Profil ist damit ein zentraler Baustein für die sichere Nutzung des Schengener Informationssystems auf kommunaler Ebene.

12.08.2025: KI-generierte Phishing-Mails

Ein derzeit besonders aktuelles Thema in der Informationssicherheit ist der zunehmende Einsatz von Künstlicher Intelligenz bei Phishing-Angriffen. Während herkömmliche Phishing-Mails oft an grammatikalischen Fehlern oder schlechtem Deutsch zu erkennen waren, erstellen moderne KI-Modelle mittlerweile täuschend echte E-Mails in perfekter Sprache. Das macht es für viele Menschen schwieriger, eine betrügerische Nachricht von einer echten zu unterscheiden.

Dabei können diese KI-Phishing-Mails nicht nur täuschend echt aussehen, sondern sie lassen sich auch individuell auf bestimmte Empfänger zuschneiden. Eine KI kann zum Beispiel Informationen aus öffentlichen Quellen über eine Person sammeln und daraus eine personalisierte E-Mail erstellen, die so wirkt, als käme sie von einer vertrauten Kontaktperson oder Organisation. Das erhöht die Wahrscheinlichkeit, dass der Empfänger einen Link klickt oder sensible Daten preisgibt.

Besonders gefährlich ist diese Entwicklung im beruflichen Umfeld, wo Mitarbeitende täglich viele E-Mails erhalten und oft unter Zeitdruck arbeiten. Eine kurze Unachtsamkeit reicht aus, und schon kann ein einziger Klick auf einen manipulierten Link ausreichen, um Schadsoftware zu installieren oder Zugangsdaten zu stehlen. Dadurch entsteht ein hohes Risiko für Behörden und Organisationen aller Größen.

Die wichtigste Maßnahme bleibt deshalb die kontinuierliche Sensibilisierung. Wer weiß, wie moderne Phishing-Mails funktionieren und worauf man achten muss, kann sich besser schützen. Auch technische Schutzmaßnahmen wie ein aktueller E-Mail-Filter oder Mehr-Faktor-Authentifizierung tragen dazu bei, das Risiko zu verringern. Dennoch bleibt der Mensch die letzte Verteidigungslinie – und genau deshalb ist Aufklärung heute wichtiger denn je.

04.08.2025: EU-Alternativen zu US-Anbietern – Link Tipp

Aufgrund der Rechtslage in den USA, insb. durch Cloud Act und FISA, steigt die Nachfrage nach europäischen Alternativen immer weiter an.

Einen ersten Überblick über mögliche Alternativen bietet die folgende Website:

https://european-alternatives.eu/

24.07.2025: Upgrade für die E-Mail-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Pressemeldung zum o.g. Thema veröffentlicht. Darin heißt es auszugsweise:

„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cyber-Sicherheitsempfehlung „Upgrade für die E-Mail-Sicherheit“ veröffentlicht. Diese richtet sich an alle Unternehmen, die E-Mails mit einer eigenen Domain senden und empfangen. Anhand von konkreten Beispielen aus der Praxis, wie Microsoft Exchange Online und Google Workspace mit Gmail, wird gezeigt, wie die Cyber-Sicherheit der E-Mail-Kommunikation mit Kundinnen und Kunden sowie anderen Unternehmen oder Dritten verbessert werden kann. Oft sind hierzu nur wenige Schritte, wie die Anpassung der Konfiguration der vom Unternehmen eingesetzten Groupware oder eine sorgfältigere Umsetzung der Standards
SPF, DKIM und DMARC, erforderlich.

[…]

Auf einen Blick können Unternehmen so erfahren, mit welchen Schritten sie die Sicherheit ihrer E-Mail-Kommunikation in Zukunft verbessern können.“

Die vollständige Meldung (inkl. des PDF-Dokuments) kann hier abgerufen werden:

http://bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Upgrade-E-Mail-Sicherheit_250526.html

08.07.2025: Warum Informationssicherheit für Kommunen heute wichtiger ist denn je

Digitale Verwaltungsleistungen sind längst fester Bestandteil des kommunalen Alltags. Bürgerinnen und Bürger erwarten, Anliegen schnell und unkompliziert online erledigen zu können – sei es die Beantragung eines Wohnberechtigungsscheins, die Einsicht ins Ratsinformationssystem oder die Nutzung eines Mängelmelders per App. Doch mit der wachsenden Digitalisierung steigt auch die Angriffsfläche für Cyberbedrohungen – und damit die Bedeutung der Informationssicherheit in Kommunen.

Vor zehn Jahren wurde das Thema in vielen Verwaltungen noch als „IT-Angelegenheit“ betrachtet – wichtig, aber nicht zwingend strategisch. Heute ist klar: Informationssicherheit ist eine zentrale Führungsaufgabe. Angriffe auf Landkreise, Städte und Gemeinden sind keine Einzelfälle mehr. Ransomware-Vorfälle, Datendiebstahl oder Ausfälle zentraler Systeme führen nicht nur zu langen Betriebsunterbrechungen, sondern gefährden auch das Vertrauen der Bevölkerung in die kommunale Handlungsfähigkeit.

Hinzu kommen verschärfte gesetzliche Vorgaben. Mit dem OZG, dem IT-Sicherheitsgesetz 2.0, dem NIS2-Umsetzungsgesetz und landesspezifischen Anforderungen ist ein regelrechter Rechtsrahmen entstanden, der konkrete Maßnahmen zur Absicherung von Daten und Prozessen verlangt. Informationssicherheit ist somit nicht mehr freiwillig, sondern Pflicht – und wird zunehmend auch von Aufsichtsbehörden geprüft.

Gleichzeitig hat sich die technologische Abhängigkeit von IT-Systemen stark erhöht. Viele Fachverfahren und Abläufe in der Verwaltung sind heute ohne funktionierende IT-Infrastruktur schlicht nicht mehr durchführbar. Ein Ausfall bedeutet nicht nur Stillstand, sondern kann im Einzelfall sogar Bürger gefährden – etwa in der Jugendhilfe, im Katastrophenschutz oder bei Sozialleistungen.

Kommunen stehen damit vor der Aufgabe, Informationssicherheit als ganzheitliche Herausforderung zu begreifen: organisatorisch, technisch und kulturell. Das erfordert Ressourcen, Know-how und ein langfristiges Engagement – doch es lohnt sich. Denn wer heute vorausschauend handelt, schützt nicht nur Daten und Systeme, sondern sichert auch die eigene Handlungsfähigkeit in einer zunehmend digitalisierten Welt.

Verwaltungsleitungen sind daher jetzt gefordert, Informationssicherheit zur Chefsache zu machen. Ein guter erster Schritt ist der „Weg in die Basis-Absicherung“ des BSI. Dieses Programm bietet einen praxisorientierten, systematischen Einstieg in die Informationssicherheit, ohne dabei viele Ressourcen zu binden und hilft dabei, gesetzliche Anforderungen zu erfüllen und gleichzeitig die Widerstandsfähigkeit der Verwaltung zu stärken. Denn eines ist sicher: Informationssicherheit ist kein Projekt, das man einmal abschließt – sondern eine Daueraufgabe, die Führung, Klarheit und Priorisierung braucht.

23.06.2025: Passkeys – Das Ende des Passworts?

In der Welt der Informationssicherheit erleben wir derzeit eine spannende Entwicklung: Passkeys könnten langfristig das klassische Passwort ablösen. Große Technologieunternehmen wie Google, Apple und Microsoft setzen verstärkt auf diese neue Methode der Authentifizierung, die nicht nur sicherer, sondern auch benutzerfreundlicher sein soll.

Ein Passkey ist ein digitaler Schlüssel, der lokal auf einem Gerät gespeichert wird. Im Gegensatz zu einem Passwort muss er nicht vom Nutzer eingegeben werden. Stattdessen nutzt das Gerät biometrische Merkmale wie den Fingerabdruck oder Gesichtserkennung, um die Identität zu bestätigen. Dadurch entfällt das Risiko von Phishing-Angriffen, bei denen Nutzer auf gefälschten Webseiten zur Eingabe ihrer Zugangsdaten verleitet werden. Selbst Datenlecks bei Unternehmen und Behörden verlieren an Schrecken, weil keine Passwörter gespeichert werden, die in falsche Hände geraten könnten.

Technisch basiert der Passkey auf kryptografischen Verfahren. Für jede Website wird ein individuelles Schlüsselpaar erstellt: Ein öffentlicher Schlüssel, der beim Anbieter gespeichert wird, und ein privater Schlüssel, der sicher auf dem Gerät verbleibt. Nur wenn beide Schlüssel zusammenpassen und die biometrische Prüfung erfolgreich ist, wird der Zugang gewährt.

Der Übergang von Passwörtern zu Passkeys wird Zeit brauchen. Viele Plattformen bieten bisher nur beides parallel an. Dennoch deutet alles darauf hin, dass Passkeys die Authentifizierung der Zukunft darstellen. Sie machen Schluss mit dem Passwortchaos, reduzieren Sicherheitsrisiken und erleichtern den Zugang zu digitalen Diensten erheblich.

Für Nutzer bedeutet das vor allem eines: mehr Sicherheit bei weniger Aufwand. Und für Verwaltungen und Unternehmen eine neue Chance, den Schutz sensibler Daten zu verbessern – ganz ohne zusätzliche Hürden für ihre Kunden oder Mitarbeitenden.

19.06.2025: Update-Hinweis: KomBox (19.06.2025)

Am Donnerstag, 19.6.2025, steht die KomBox-Anwendung aufgrund eines geplanten Updates in der Zeit von 16:00 bis ca. 17:00 Uhr nicht zur Verfügung.

19.06.2025: Wartungsarbeiten im KDO-Rechenzentrum am 29.06.2025

Im Zuge von Verbesserungsmaßnahmen am Netzwerk des KDO-Rechenzentrums werden zentrale Systeme erneuert und erweitert. In diesem Zusammenhang sind Wartungsarbeiten an wesentlichen Infrastrukturkomponenten der KDO-Webservices erforderlich.

Wartungszeitraum:
Sonntag, 29. Juni 2025, von 10:00 Uhr bis voraussichtlich 15:00 Uhr
Während der genannten Zeit kann es zu temporären Unterbrechungen folgender Dienste kommen:

  • Internetzugang und Internetservices
  • KDO Cloud Arbeitsplatz
  • Webservices der KDO
  • VPN
  • Verbindungen zur KDO
  • Zugang zum Netz des Bundes und des Landes Niedersachsen

Selbstverständlich bemühen wir uns, die Ausfallzeiten so gering wie möglich zu halten.

Bei Fragen steht Ihnen unsere ServiceLine unter 0800 5364357 oder serviceline@kdo.de gerne zur Verfügung.


19.06.2025: Neuer Tätigkeitsbericht des LfD Niedersachsen: Fokus auf Künstliche Intelligenz und andere praktische Themen

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Im Mittelpunkt des aktuellen Berichts steht das Thema Künstliche Intelligenz (KI) und deren Auswirkungen auf den Datenschutz. Darüber hinaus werden zahlreiche praxisnahe Fragestellungen behandelt, wie etwa der Einsatz von Drohnen mit Videokameras oder die datenschutzrechtliche Überprüfung von Bürgerbüros im kommunalen Bereich.

Der Bericht bietet einen umfassenden Überblick über aktuelle Entwicklungen und Herausforderungen im Datenschutz. Für Unternehmen und öffentliche Stellen ist er eine wertvolle Informationsquelle, um sich über neue rechtliche Anforderungen und bewährte Vorgehensweisen zu informieren.

Den vollständigen Tätigkeitsbericht finden Sie hier:
https://www.lfd.niedersachsen.de/2024/tatigkeitsbericht-2024-242456.html


11.06.2025: Neues vom LfD Niedersachsen: Pressemitteilung: Urteil zu manipulativem Cookie-Banner

Im Rahmen der Pressemitteilung Nr. 08/2025 berichtet der Landesbeauftragte für den Datenschutz Niedersachsen von einem Urteil zu einem manipulativen Cookie- Banner: „Alles ablehnen“ – Schaltfläche ist ein Muss:

https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/urteil-zumanipulativem-cookie-banner-alles-ablehnen-schaltflache-ist-ein-muss-241960.html

Auf fast jeder Webseite würden Nutzer und Nutzerinnen mit Einwilligungsbannern konfrontiert werden.
Eine „Alle akzeptieren“- Schaltfläche ist hierbei nahezu immer aufzufinden. Eine „Alles ablehnen“- Schaltfläche hingegen nicht.

Im Urteil des Verwaltungsgerichtes Hannover sei nun festgehalten worden, dass Cookie- Banner, welche eine „Alle akzeptieren“- Schaltfläche auf der ersten Ebene vorweisen, auf der gleichen Ebene auch ein eine gut sichtbare „Alles ablehnen“- Schaltfläche anbieten müssen.

So dürften Einwilligungsbanner nicht gezielt zur Abgabe der Einwilligung hinlenken. Würde dies nicht eingehalten werden, so sind die abgegebenen Einwilligungen unwirksam.

Im Rahmen des Urteils ist zudem unter anderem kritisiert worden, dass durch eine ständige Banner-Wiederholung zur Einwilligung gedrängt wird, die Zahl der eingebundenen Partner und Drittdienste nicht ersichtlich war und Hinweise auf das Recht zum Widerruf und eine Datenverarbeitung in Drittstaaten erst nach scrollen sichtbar gewesen ist.


02.06.2025: Windows 10 am Ende des Lebenszyklus: Ein unterschätztes Sicherheitsrisiko

Ein besonders aktuelles Beispiel für die Gefahr veralteter Software ist das Betriebssystem Windows 10. Microsoft hat angekündigt, den erweiterten Support für Windows 10 am 14. Oktober 2025 zu beenden. Ab diesem Zeitpunkt wird es keine Sicherheitsupdates mehr für das System geben – es sei denn, Unternehmen zahlen hohe Summen für spezielle Verlängerungen. Für viele Behörden, Unternehmen und auch Privatanwender stellt das eine Herausforderung dar.

Noch immer läuft ein großer Teil aller PCs weltweit mit Windows 10. Viele dieser Systeme sind im täglichen Einsatz, oft auch in sicherheitskritischen Bereichen. Nach dem offiziellen Support-Ende wird jede noch nicht behobene Schwachstelle dauerhaft bestehen bleiben. Das heißt: Angreifer müssen nur warten, bis der Tag gekommen ist – und haben danach freie Bahn.

Das Problem ist nicht neu, aber der Handlungsdruck wächst. Denn ein Umstieg auf Windows 11 ist nicht immer einfach möglich. Viele ältere Rechner erfüllen die hohen Hardwareanforderungen nicht und müssten komplett ersetzt werden. Das bedeutet für IT-Abteilungen zusätzlichen Aufwand, sowohl organisatorisch als auch finanziell. Doch wer diese Umstellung aufschiebt, geht ein wachsendes Risiko ein.

Aus sicherheitstechnischer Sicht ist es entscheidend, jetzt zu handeln. Systeme sollten frühzeitig auf ihre Kompatibilität mit Windows 11 oder anderen Systemen geprüft und Migrationspläne erstellt werden. Gleichzeitig muss geprüft werden, wo besonders sensible Daten verarbeitet werden – denn hier darf nach dem Support-Ende kein Windows 10 mehr eingesetzt werden.

Windows 10 ist noch nicht tot – aber es läuft auf Zeit. Und in der Informationssicherheit ist jede vergessene Frist ein potenzielles Einfallstor.


15.05.2025: Widerspruch gegen Meta AI bis zum 26. Mai erforderlich

Meta hat angekündigt, dass sämtliche öffentliche Informationen ab dem 27. Mai für das Training der Meta AI genutzt werden sollen. Hiervon betroffen sind sämtliche auf den Facebook- und InstagramPages der jeweiligen Organisation oder Verwaltung veröffentlichten personenbezogenen Daten (Namen, Kontaktdaten, Fotos, Zitate usw.) verschiedenster betroffener Personen (Behördenleitung, Geschäftsführung, Beschäftigte, Bürgerinnen und Bürger, Kunden und Kundinnen usw.). Für die Veröffentlichung dieser Daten, sowie für die Bereitstellung dieser Daten zur Verbesserung der Meta AI ist die jeweilige Organisation oder Verwaltung datenschutzrechtlich verantwortlich. Nach dem Grundsatz der Rechtmäßigkeit des Art. 5 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO) ist für jede Verarbeitung der personenbezogenen Daten eine entsprechende Rechtsgrundlage erforderlich. Für die Bereitstellung der personenbezogenen Daten zur Verbesserung der Meta AI besteht allerdings keine solche Rechtsgrundlage. Organisationen oder Verwaltungen, die einen Account auf den Meta-Plattformen betreiben, sollten daher der Nutzung der veröffentlichten Informationen unbedingt bis zum 26. Mai widersprechen. Ohne entsprechenden Widerspruch wird gegen die Bestimmungen der DSGVO verstoßen.

Für den Widerspruch bestehen mehrere Optionen. Zum einen hat Meta jeden Account per E-Mail über die Verwendung der Informationen informiert. In dieser E-Mail kann über die Verlinkung "Du kannst der Verwendung deiner Informationen zu diesen Zwecken widersprechen" widersprochen werden. Zum anderen kann der Widerspruch direkt in den Facebook- oder Instagram-Konten erfolgen:


- https://www.facebook.com/help/contact/712876720715583
- https://help.instagram.com/contact/767264225370182

14.05.2025: Update-Hinweis: verinice.PRO (19.5.2025)

Am Montag, 19.5.2025, steht die ISMS-Anwendung verinice.PRO aufgrund eines geplanten Updates in der Zeit von 8:30 bis 9:00 Uhr nicht zur Verfügung.


12.05.2025: Cybersicherheitsübungen in Kommunalverwaltungen: Vorbereitung auf den Ernstfall

In einer zunehmend digitalisierten Welt sind Kommunalverwaltungen vermehrt Ziel von Cyberangriffen. Ob Ransomware, Phishing oder Datenlecks – die Bedrohungen sind vielfältig und können den Verwaltungsbetrieb erheblich beeinträchtigen. Umso wichtiger ist es, dass Kommunen nicht nur technische Schutzmaßnahmen ergreifen, sondern auch organisatorisch auf Sicherheitsvorfälle vorbereitet sind.

Ein effektives Mittel zur Stärkung der Resilienz sind Cybersicherheitsübungen, insbesondere sogenannte Tabletop-Übungen. Diese diskussionsbasierten Szenarien ermöglichen es, in einem geschützten Rahmen den Ernstfall durchzuspielen und dabei Schwachstellen im Notfallmanagement aufzudecken. Teilnehmende aus verschiedenen Fachbereichen – von der IT über das Personalwesen bis hin zur Verwaltungsspitze – diskutieren gemeinsam ihre Rollen und Verantwortlichkeiten im Falle eines Cyberangriffs.

Der Ablauf einer solchen Übung gliedert sich typischerweise in vier Phasen:

  1. Planung: Auswahl oder Erstellung eines realitätsnahen Szenarios, das auf die spezifischen Gegebenheiten der Kommune zugeschnitten ist.
  2. Durchführung: Moderierte Diskussion, in der die Teilnehmenden ihre Reaktionen und Entscheidungswege im Szenario erörtern.
  3. Analyse: Identifikation von Handlungsfeldern und Schwachstellen im bestehenden Notfallmanagement.
  4. Nachbereitung: Dokumentation der Erkenntnisse und Ableitung konkreter Maßnahmen zur Verbesserung der Sicherheitsprozesse.


Das bayrische Landesamt für Sicherheit in der Informationstechnik (LSI) bietet hierzu ein umfassendes Übungspaket an, das Kommunen bei der eigenständigen Durchführung solcher Übungen unterstützt. Weitere Informationen sind auf der Website des LSI verfügbar.

https://www.lsi.bayern.de/kommunen/tabletop-uebungen/index.html

Cybersicherheitsübungen sind mehr als nur theoretische Planspiele – sie fördern das Bewusstsein für Informationssicherheit, stärken die Zusammenarbeit zwischen Abteilungen und tragen maßgeblich zur Krisenfestigkeit der Verwaltung bei. In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, sollten sie ein fester Bestandteil des Sicherheitskonzepts jeder Kommune sein.


07.05.2025: Update-Hinweis: verinice.PRO (11.5.2025)

Am Sonntag, 11.5.2025, steht die ISMS-Anwendung verinice.PRO aufgrund eines geplanten Datenbank-Updates in der Zeit von 10:00 bis 16:00 Uhr nicht zur Verfügung. Der Zugriff auf das System sollte spätestens am darauffolgenden Tag (Montag, 12.5.2025) wieder möglich sein.


06.05.2025: 35. Arbeitskreissitzung Datenschutz und Informationssicherheit (Landkreisverwaltungen) am 22.5.25

Am 22.05.2025 findet die 35. Arbeitskreissitzung "Datenschutz und Informationssicherheit" für unsere Landkreiskunden statt.

An diesem Tag begrüßen wir unsere Teilnehmer in Präsenzform im Haupthaus der KDO in Oldenburg und gehen mit folgenden Themen in den Austausch:

  • Aktuelles
  • Muster „Verzeichnis der Verarbeitungstätigkeiten“
  • Awareness-Kampagne/-Pakete
  • MS 365 / Data Privacy Framework
  • Präsentation einer Software-Lösung zur Löschung von Daten
  • ISMS-Tool: Stand der Produktpräsentationen (Arbeitsgruppe)
  • Entwicklung und Zusammenarbeit „Neues BSI-Kompendium“
  • Vorstellung eines Tools für die AD-Protokollierung


Wir freuen uns auf anregende Gespräche und einen interessanten Arbeitskreis. Die Präsentationsfolien werden im Anschluss über die KomBox zur Verfügung gestellt.

28.04.2025: Online-Veranstaltung „Einführung in das Aufgabengebiet der Datenschutzkoordination“ (12. Mai 2025)

Sie sind neu in der Rolle als Datenschutzkoordinator/in?

In dieser Online-Veranstaltung sollen die Aufgaben des Datenschutzkoordinators skizziert, unsere Erwartungshaltung in Bezug auf die Umsetzung des Datenschutzes dargestellt und Ihre evtl. bestehenden Fragen diskutiert werden. Die Teilnahme an dieser Veranstaltung möchten wir Ihnen besonders ans Herz legen, da Sie in komprimierter Form auf die zukünftigen Aufgaben- bzw. Fragestellungen vorbereitet werden.
Die nächste Veranstaltung findet statt am:

Datum:    12. Mai 2025
Uhrzeit:    14.00 – 15.30 Uhr
Anmeldeschluss:     5. Mai 2025
Anmeldung:    Anja.Orth@kdo.de

Die Veranstaltung wird per Videokonferenz stattfinden. Die Zugangsdaten werden wir rechtzeitig allen Teilnehmenden vor Veranstaltungsbeginn zukommen lassen.

14.04.2025: Rechtsgrundlage – Einwilligung

Eine Verarbeitung personenbezogener Daten ist nur zulässig soweit eine Rechtsgrundlage gem. Art. 6 DSGVO vorliegt.

Hierzu zählt unter anderem die Rechtsgrundlage der Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.

Wenn eine andere Rechtsgrundlage die Verarbeitung der personenbezogenen Daten zu dem gewünschten Zweck erlaubt, so ist diese vorrangig zu nutzen.

Die Bedingungen für eine Einwilligung sind in Art. 7 DSGVO nachzulesen. Beachtet werden muss bei der Rechtsgrundlage der Einwilligung insb. Folgendes:

Die Einwilligung muss freiwillig sein (insb. wenn es sich bei dem Verantwortlichen um eine Behörde handelt ist eine tatsächliche Freiwilligkeit nicht immer gegeben, ErwG. 43), in informierter Weise stattfinden und darf nur für einen bestimmten Fall gelten. Es gibt zudem ein Kopplungsverbot. Soll die Einwilligung für mehrere Zwecke sein, so muss jedem Zweck der Verarbeitung einzeln zugestimmt werden können, was durch einzelne Fragen und ja/nein Kästchen zu den verschiedenen Zwecken gewährleistet werden kann. Es muss sich zudem um eine aktive, unmissverständliche Erklärung handeln. Vorangekreuzte Kästchen sind demnach nicht in Ordnung. Aber auch durch eine eindeutig bestätigende Handlung kann eine Einwilligung erfolgen. Ein Beispiel hierfür ist eine interne Geburtstagsliste in der sich alle Mitarbeitenden freiwillig selbst eintragen können.

Bedacht werden muss zudem, dass eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Auf diese Widerrufsmöglichkeit, Art. 7 Abs. 3 S. 3 DSGVO muss im Rahmen der Einwilligung hingewiesen werden.


02.04.2025: Datenschutz und Informationssicherheit – zwei Seiten derselben Medaille?

In der täglichen Arbeit einer Kommunalverwaltung begegnen uns die Begriffe Datenschutz und Informationssicherheit immer wieder. Oft werden sie in einem Atemzug
genannt – zu Recht, denn sie hängen eng zusammen. Dennoch handelt es sich um zwei unterschiedliche Disziplinen mit klaren Schwerpunkten.

Datenschutz bezieht sich auf den Schutz personenbezogener Daten. Ziel ist es, die Rechte und Freiheiten der Bürgerinnen und Bürger zu wahren. Die rechtliche Grundlage bildet vor allem die Datenschutz-Grundverordnung (DSGVO). Sie regelt, ob und wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Datenschutz ist also in erster Linie eine juristische Aufgabe mit starkem Fokus auf dem „Was darf ich überhaupt?“.

Informationssicherheit hingegen geht weiter. Sie schützt sämtliche Informationen – unabhängig davon, ob sie personenbezogen sind oder nicht. Der Schwerpunkt liegt hier auf der Verfügbarkeit, Vertraulichkeit und Integrität von Daten. Es geht darum, dass Informationen nicht verloren gehen, nicht verfälscht werden und nur denjenigen zugänglich sind, die sie wirklich benötigen. Dabei schützt Informationssicherheit nicht nur die personenbezogenen Daten der Bürgerinnen und Bürger, sondern auch verwaltungsinterne Informationen – etwa Haushaltszahlen, interne Strategiepapiere oder Zugangsdaten zu Fachverfahren.

Gerade in Kommunen, wo sensible Bürgerdaten, interne Verwaltungsinformationen und politische Entscheidungen zusammenkommen, müssen beide Aspekte ineinandergreifen.
Informationssicherheit schafft die technische und organisatorische Grundlage dafür, dass Datenschutz überhaupt wirksam umgesetzt werden kann. Kurz gesagt: Datenschutz ist ohne Informationssicherheit nicht praktikabel – und Informationssicherheit ohne Datenschutz nicht vollständig. Nur wenn beides zusammengedacht wird, entsteht ein belastbares Fundament für modernes Verwaltungshandeln.


27.03.2025: Die KDO bringt Praxisexpertise in die Überarbeitung des BSI IT-Grundschutzes ein

Die KDO ist an der Überarbeitung des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI) beteiligt. Unser Kollege Nils Körner, Informationssicherheitsbeauftragter bei der KDO, wird in der BSI-Arbeitsgruppe „IT-Grundschutzprofile++“ mitwirken.

Als externer Informationssicherheitsbeauftragter (ISB) für zahlreiche Kommunalverwaltungen bringt die KDO wertvolle Praxiserfahrung in den Prozess ein. Das Ziel der insgesamt zehn Arbeitsgruppen ist es, den IT-Grundschutz weiterzuentwickeln und noch besser an die realen Anforderungen von Unternehmen, Behörden und öffentlichen Einrichtungen anzupassen.

Der IT-Grundschutz gilt bundesweit als maßgeblicher Standard für die Informationssicherheit in der öffentlichen Verwaltung. Dass wir als KDO unsere Erfahrungen aus der täglichen Arbeit in kommunalen Strukturen einbringen können, ist für uns eine wertvolle Gelegenheit, die Standards von morgen aktiv mitzugestalten. Wir freuen uns auf die Zusammenarbeit mit dem BSI und den weiteren Mitgliedern der Arbeitsgruppe.

14.03.2025: Austausch Module KDO E-Learning April 2025

Zu April dieses Jahres werden wir in unserem KDO E-Learning einzelne Kapitel austauschen. Nutzen Sie deshalb die Chance, die Bearbeitung des E-Learnings abzuschließen und geben Sie auch gerne intern noch einmal einen Hinweis hierzu.

Sobald die neuen Inhalte eingepflegt sind, melden wir uns erneut bei Ihnen. Ihrerseits ist nichts weiter zu beachten und Sie können ohne Einschränkungen das E-Learning weiterhin nutzen. Ansprechpartner*innen innerhalb Ihrer Organisation haben wir bereits zusätzlich zu Beginn dieses Monats über die geplante Umstellung informiert.

Wir wünschen weiterhin viel Spaß und vor allem Erfolg bei der Nutzung unseres E-Learnings!


10.03.2025: KDO-Kunden- und Partnertage: Wir sind dabei!

Am 01. und 02. April 2025 veranstalten wir wieder unsere KDO-Kunden- und Partnertage in digitaler Form. Während am ersten Tag ausschließlich strategische Themen behandelt werden, finden am Tag darauf die Fachforen statt, bei der sowohl KDO-Partner als auch interne KDO-Produkte über Neuheiten & Wissenswertes berichten. Neben den Fachforen Innovation, kommunale Fachverfahren, digitales Rathaus und zukunftsweisende Cloudlösungen wird es auch ein Fachforum Cybersicherheit geben. Dort werden interessante Vorträge zur 2-Faktor-Authentifizierung, zu Cybercrime, zum Notfall-Arbeitsplatz mit openDesk oder zur Lösung Appterix zu hören sein. Selbstverständlich sind wir in diesem Fachforum auch vertreten und informieren Sie gerne zu den nachfolgenden Themen.

Sie finden uns hier: 02.04.2025 - Fachforum Cybersicherheit

  • Aktuelles aus dem Datenschutz für Kommunen
  • Anatomie einer Ransomware-Attacke
  • BCM und Notfallmanagement - Bereit für die kommunale Krise?
  • WiBA: Einstieg in den IT-Grundschutz für Kommunen

Wir freuen uns auf Ihren Besuch und Ihre Teilnahme, die wie bisher kostenfrei ist. Melden Sie sich gerne hier
an: https://kupata.kdo.de/


26.02.2025: Rechnungsbetrug als Cyberattacke: Social Engineering im digitalen Zeitalter

Im Zuge der zunehmenden Digitalisierung gewinnen Cyberangriffe immer mehr an Raffinesse. Eine besonders heimtückische Methode stellt der Rechnungsbetrug dar, der häufig im Rahmen von Social-Engineering-Angriffen ausgeführt wird. Dabei werden nicht technische Schwachstellen, sondern vor allem die menschliche Vertrauensbasis ausgenutzt, um Unternehmen und Behörden finanziell zu schädigen.

Was ist Rechnungsbetrug?

Rechnungsbetrug bezeichnet die Manipulation von Zahlungsanweisungen und - prozessen, bei der Angreifer gefälschte oder abgeänderte Rechnungen an Unternehmen/Behörden versenden. Ziel ist es, Zahlungen auf Konten der Täter umzuleiten. Häufig wird dabei der Prozess der Rechnungseingangsprüfung ausgenutzt – etwa durch gefälschte E-Mails, die scheinbar von bekannten Lieferanten oder Dienstleistern stammen. Durch das Vortäuschen legitimer Geschäftsvorgänge und den Einsatz manipulativer Social-Engineering-Taktiken gelingt es den Angreifern, die Kontrolle über Zahlungsprozesse zu erlangen und erhebliche Summen zu entwenden.

Social-Engineering als Angriffsgrundlage

Social-Engineering ist eine Methode, bei der Cyberkriminelle gezielt menschliche Schwächen ausnutzen, um an vertrauliche Informationen zu gelangen oder Handlungen zu provozieren, die ihnen nützen. Typische Techniken sind etwa:

  • Phishing und Spear-Phishing: Angreifer senden gefälschte E-Mails, die vertrauenswürdig wirken. Oft enthalten diese E-Mails Links zu gefälschten Webseiten oder fordern zur Überprüfung von Zahlungsinformationen auf.
  • Pretexting: Hierbei geben sich die Täter als Mitarbeiter oder externe Dienstleister aus und bauen mithilfe vorgetäuschter Szenarien ein Vertrauensverhältnis auf.
  • Business Email Compromise (BEC): Insbesondere im Rechnungsbetrug ist BEC eine weit verbreitete Methode. Dabei wird das E-Mail-Konto eines Mitarbeiters kompromittiert oder gefälscht, um Zahlungsanweisungen zu ändern und betrügerische Rechnungen zu versenden. Solche Taktiken nutzen die typischen Geschäftsprozesse und interne Kommunikationsstrukturen aus, was sie besonders gefährlich macht.

Typischer Ablauf eines Angriffs

Ein klassisches Szenario beginnt oft damit, dass sich der Angreifer als bekannter Lieferant oder Dienstleister ausgibt. Mit präparierten E-Mails, die scheinbar von einer verlässlichen Quelle stammen, wird der Rechnungseingang manipuliert:

  1. Vorbereitung und Recherche: Der Täter sammelt gezielt Informationen über das Zielunternehmen/die Behörde, die relevanten Ansprechpartner in der Buchhaltung und übliche Zahlungsprozesse. Diese Recherche ermöglicht es ihm, seine Nachrichten authentisch wirken zu lassen.
  2. Versand der gefälschten Rechnung: Mit einer gefälschten oder abgeänderten Rechnung wird eine Zahlungsanweisung versendet, oft mit einem Hinweis auf eine dringende Aktualisierung der Bankverbindung.
  3. Ausnutzung des Vertrauens: Mitarbeiter in der Finanzabteilung, die routinemäßig Rechnungen prüfen, werden durch den vermeintlich legitimen Absender getäuscht und veranlassen die Überweisung – häufig ohne zusätzliche Rückfragen.
  4. Verlagerung der Gelder: Das Geld wird auf ein vom Angreifer kontrolliertes Konto überwiesen, sodass ein späteres Auffinden oder die Rückverfolgung schwierig wird.

Folgen und Risiken

Die finanziellen Schäden durch solchen Rechnungsbetrug können erheblich sein. Neben dem direkten Verlust von Geldmitteln entstehen oft auch Folgeschäden wie:

  • Reputationsverlust: Ein bekannt gewordener Betrugsfall kann das Vertrauen in das Unternehmen/der Behörde beeinträchtigen.
  • Interne Umstrukturierungen: Um künftige Angriffe zu verhindern, sind oft kostspielige Prozessanpassungen und Schulungen notwendig.
  • Rechtliche Konsequenzen: Unternehmen/Behörden müssen im Ernstfall oft umfangreiche Untersuchungen durchführen und gegebenenfalls Strafanzeigen einleiten.

Präventions- und Schutzmaßnahmen

Um sich gegen Rechnungsbetrug im Rahmen von Social Engineering zu schützen, empfiehlt sich ein mehrschichtiger Sicherheitsansatz:

  • Schulung und Sensibilisierung: Regelmäßige Awareness-Trainings für Mitarbeiter, insbesondere in der Finanz- und Buchhaltungsabteilung, helfen dabei, typische Betrugsversuche frühzeitig zu erkennen.
  • Technische Maßnahmen: Der Einsatz von Mehr-Faktor-Authentifizierung (MFA) und modernen E-Mail-Filterlösungen (z.B. DMARC, SPF, DKIM) kann die Manipulation von E-Mail-Kommunikation erschweren.
  • Prozessoptimierung: Interne Kontrollmechanismen, wie doppelte Freigabeprozesse bei Zahlungsanweisungen, reduzieren das Risiko von Fehlüberweisungen.
  • Verifizierungsprozesse: Bei Änderungen der Bankverbindung oder bei unerwarteten Rechnungen sollte immer eine telefonische Rücksprache mit dem vermeintlichen Absender erfolgen.

Fazit

Rechnungsbetrug als Cyberattacke zeigt eindrücklich, wie sehr Unternehmen und Behörden heute durch Social-Engineering gefährdet sind. Während technische Sicherheitslösungen unverzichtbar sind, bleibt der Mensch häufig die schwächste Stelle in der Sicherheitskette. Nur durch ein Zusammenspiel aus gezielter Mitarbeiterschulung, robusten technischen Maßnahmen und optimierten

Geschäftsprozessen können Unternehmen diesem heimtückischen Angriff wirksam begegnen. Unternehmen und Behörden sollten ihre internen Abläufe regelmäßig überprüfen und sensibilisieren, um im digitalen Zeitalter den wachsenden Bedrohungen durch Social-Engineering und gezielten Rechnungsbetrug gewachsen zu sein.

17.02.2025: KI-Kompetenz und verbotene Praktiken – das gilt ab Februar 2025 (KI-Verordnung)

Die KI-Verordnung (KI-VO) trat im August 2024 in Kraft. Für die Regelungen zur KI-Kompetenz und zu den verbotenen Praktiken endetet am 02. Februar 2025 die Umsetzungsfrist.

KI-Kompetenz (Art. 4 KI-VO)

Durch die Regelungen zur KI-Kompetenz müssen Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um bestmöglich sicherzustellen, dass ihr Personal und alle Personen, die durch sie mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Zu berücksichtigen bei der Beurteilung von KI-Kompetenz sind:

  • Technische Kenntnisse
  • Erfahrung
  • Ausbildung und Schulung
  • Der Kontext, in welchem KI-Systeme eingesetzt werden

Anbieter, Betreiber und betroffene Personen sollen mithilfe der KI-Kompetenz informierte Entscheidungen über KI- Systeme treffen können. So soll betroffenen Personen vermittelt werden, wie sich mithilfe von KI getroffene Entscheidungen auf sie auswirken können.

Verbotene Praktiken (Art. 5 KI-VO)

Die zweite Regelung für die am 02. Februar die Umsetzungsfrist endete, ist die Regelung zu verbotenen Praktiken im KI-Bereich (Art. 5 KI-VO).

Die wichtigsten verbotenen Praktiken im Bereich KI sind:

  • Das Einsetzen von manipulativen und täuschenden Techniken

    Wenn diese das Ziel oder die Wirkung haben, dass Verhalten so beeinflusst wird, dass Entscheidungen getroffen werden, welche dieser oder einer anderen Person erheblichen
    Schaden zufügt oder wahrscheinlich zufügen wird.

  • Ausnutzen von Vulnerabilität oder von Schutzbedürftigen

    aufgrund von verschiedenen Merkmalen. Auch hier sind das Ziel oder die Wirkung des Beeinflussens von Verhalten in einer Weise, dass der Person oder anderen Schaden zugefügt wird oder werden könnte von Bedeutung.

  • Bewertung und Einstufung von natürlichen Personen oder Gruppen von Personen (Social Scoring)

    über einen bestimmten Zeitraum auf Grundlage ihres sozialen Verhaltens, persönlicher Eigenschaften (auch vorhergesagter) oder Persönlichkeitsmerkmale, die zu einer
    Schlechterstellung führen.

  • Risikobewertungen in Bezug auf das Risiko, dass eine natürliche Person eine Straftat begeht

    auf Grundlage von Profiling oder persönlicher Merkmale oder Eigenschaften.

  • Erstellen oder Erweitern von Datenbanken zur Gesichtserkennung

    durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet.

  • Ableitung von Emotionen

    am Arbeitsplatz oder in Bildungseinrichtungen.

  • Kategorisierung von Personen aufgrund von biometrischen Merkmalen

    insoweit ethnische Herkunft, politischen Einstellungen, Gewerkschaftszugehörigkeit, religiösen oder weltanschaulichen Überzeugungen, ihr Sexualleben oder Ausrichtungen erschlossen oder abgeleitet werden.

  • Verwendung biometrischer Echtzeit-Fernidentifizierungssystemen

    in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken.


Ausnahmen zu dem Einsatz von verbotenen Praktiken und genauere Bestimmungen sind in Art. 5 KIVO nachzulesen.
Art. 5 KI-VO - Verbotene Praktiken im KI-Bereich - KI-Verordnung

03.02.2025: KI-gestützte Angriffe: Eine wachsende Bedrohung für Kommunalverwaltungen

Künstliche Intelligenz (KI) spielt eine immer bedeutendere Rolle in der Cybersicherheitslandschaft. Während sie auf der einen Seite zur Abwehr von Bedrohungen eingesetzt wird, nutzen Cyberkriminelle KI zunehmend für Angriffe auf Kommunalverwaltungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Untersuchung hervorgehoben, dass generative KI, insbesondere große Sprachmodelle, die Einstiegshürden für Cyberangriffe senkt und die Effizienz schädlicher Aktivitäten erhöht. So können Angreifer mit minimalen Sprachkenntnissen qualitativ hochwertige Phishing-Nachrichten erstellen, wodurch traditionelle Erkennungsmethoden, wie das Prüfen auf Rechtschreibfehler, an Wirksamkeit verlieren. Zudem ist es bereits möglich, dass KI einfachen Schadcode generiert und mutiert, was die Entwicklung und Verbreitung von Malware erleichtert. (https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240430_Paper_Einfluss_KI_Cyberbedrohungslage.html)

Auch die Manipulation von Videos oder das Imitieren fremder Stimmen, beispielsweise am Telefon, ist inzwischen möglich.

Deutsche Kommunen stehen dabei zunehmend im Fokus von Cyberangriffen. Insbesondere KI-gestützte Angriffe auf kritische Infrastrukturen wie Energie- oder Wasserversorgung bergen ein erhebliches Risiko. Durch die Automatisierung und Anpassungsfähigkeit von KI wird es für Angreifer einfacher, spezifische Schwachstellen in IT-Systemen auszunutzen.

Um sich gegen KI-gestützte Angriffe zu wappnen, sollten Kommunalverwaltungen folgende Maßnahmen ergreifen:

  1. Sensibilisierung und Schulung: Mitarbeitende regelmäßig über aktuelle Bedrohungen informieren und im Erkennen von Phishing-E-Mails und Social-Engineering-Techniken schulen.
  2. Technische Schutzmaßnahmen: Aktuelle Sicherheitssoftware einsetzen, die KI-basierte Angriffe erkennen kann. Regelmäßige Updates und Patches sind essenziell, um Sicherheitslücken zu schließen.
  3. Überwachung und Analyse: Netzwerke kontinuierlich überwachen und verdächtige Aktivitäten analysieren, um frühzeitig auf Angriffe reagieren zu können.
  4. Notfallpläne entwickeln: Krisenmanagementpläne erstellen, die klare Zuständigkeiten und Abläufe im Falle eines Cyberangriffs definieren.

Durch die Implementierung dieser Maßnahmen können Kommunalverwaltungen ihre Widerstandsfähigkeit gegenüber KI-gestützten Cyberangriffen stärken und die Sicherheit sensibler Daten gewährleisten. Angesichts der rasanten technologischen Entwicklung ist es entscheidend, dass Kommunen proaktiv handeln und sich kontinuierlich an neue Bedrohungen anpassen.

03.02.2025: Update-Hinweis: verinice.PRO (9.2.2025)

Am Sonntag, 9.2.2025, steht die ISMS-Anwendung verinice.PRO aufgrund eines geplanten Datenbank-Updates vorübergehend nicht zur Verfügung. Der Zugriff auf das System sollte spätestens am darauffolgenden Tag (Montag, 10.2.2025) wieder möglich sein.

14.01.2025: Business Continuity Management-Beratung der KDO

Cyberbedrohungen im Netz, Blackouts oder elementare Gefahren wie Hochwasser: In einer zunehmend komplexen Welt häufen sich die Szenarien potenzieller Krisen. Um auch im Ernstfall handlungsfähig zu bleiben, ist eine umfassende Vorbereitung sowie die Entwicklung maßgeschneiderter Strategien unerlässlich. Dabei unterstützt die neue Dienstleitung der KDO, die Business Continuity Management-Beratung, künftig Kommunen.

Von einer Bedarfsanalyse Ihrer Verwaltung, über die Erstellung neuer Notfallstrategien bis hin zur Umsetzung entsprechender Sicherheitskonzepte: Die Business Continuity Management-Beratung der KDO unterstützt beim gesamten Prozess.

Fortlaufende Resilienz
Eine praxisorientierte Prüfung der Bedarfe Ihrer Kommune bildet die Grundlage der Entwicklung individueller Notfallstrategien. Diese werden in regelmäßigen BCM-Checks auf ihre Wirksamkeit überprüft und falls notwendig entsprechend angepasst. Mit einem detaillierten Bericht und Unterstützung bei der Dokumentation bietet die BCM-Beratung der KDO zu jederzeit Transparenz. Unsere Expert*innen stehen Ihrer Verwaltung dabei nicht nur beratend kontinuierlich zur Seite: Auf Wunsch sorgen regelmäßige Schulungen und Übungen dafür, dass Ihre Mitarbeitenden optimal auf Notfälle vorbereitet sind und die erarbeiteten Pläne im Krisenfall schnell umgesetzt werden können.

Mit Sicherheit in Richtung Zukunft
Mit einem individuellen, effektiven Business Continuity Management (BCM) ist Ihre Kommune für die Zukunft gewappnet und potenziellen Risiken einen Schritt voraus. Bürger*innen können sich darauf verlassen, dass ihre Verwaltung auf Notfälle vorbereitet ist und auch in Krisensituationen handlungsfähig bleibt. Der Austausch in Arbeitskreisen sowie die Zusammenarbeit in einem weitreichenden Netzwerk von Expert*innen und BCM-Verantwortlichen anderer Kommunen schafft nicht nur wertvolle Synergien, sondern ermöglicht es auch, vom Fachwissen anderer zu profitieren. Im Rahmen dieser vernetzten Zusammenarbeit können so Aufgaben gemeinsam gelöst und Erfahrungen geteilt werden. Die Koordination des Netzwerkes übernimmt die KDO.

„Wir freuen uns darauf, mit Ihnen gemeinsam den Weg in eine sicherere Zukunft einzuschlagen. Melden Sie gerne jederzeit bei uns, um mehr über die Business Continuity Management- Beratung der KDO zu erfahren“, erklärt Thorsten Roßkamp, Leiter der Abteilung Datenschutz und Informationssicherheit bei der KDO.

13.01.2025: Online-Veranstaltung „Einführung in das Aufgabengebiet der Datenschutzkoordination“ (17. Feb. 2025)

Sie sind neu in der Rolle als Datenschutzkoordinator/in?

In dieser Online-Veranstaltung sollen die Aufgaben des Datenschutzkoordinators skizziert, unsere Erwartungshaltung in Bezug auf die Umsetzung des Datenschutzes dargestellt und Ihre evtl. bestehenden Fragen diskutiert werden. Die Teilnahme an dieser Veranstaltung möchten wir Ihnen besonders ans Herz legen, da Sie in komprimierter Form auf die zukünftigen Aufgaben- bzw. Fragestellungen vorbereitet werden.
Die nächste Veranstaltung findet statt am:

  • Datum:    17. Feb. 2025
  • Uhrzeit:    14.00 – 15.30 Uhr
  • Anmeldeschluss:     14. Feb. 2025
  • Anmeldung:    Anja.Orth@kdo.de

Die Veranstaltung wird per Videokonferenz stattfinden. Die Zugangsdaten werden wir rechtzeitig allen Teilnehmenden vor Veranstaltungsbeginn zukommen lassen.

17.12.2024: Leitfaden zum Thema „Kommunale IT-Krisen: Handlungsfähigkeit sichern“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) haben gemeinsam einen Leitfaden zum Thema „Kommunale IT-Krisen: Handlungsfähigkeit sichern“ veröffentlicht. Dieser enthält u. a. Hinweise für die Bewältigung eines Cyberangriffs auf kommunale Informationssysteme sowie für die Wiederherstellung der IT-Infrastruktur. Der Leitfaden kann bei Bedarf auch in Printform seitens des BBK bereitgestellt werden

Link: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Sicherheitsberatung/Laender-und-Kommunen/Handreichung_Kommunale_IT-Krisen/handreichung_kommunale_it-krisen_node.html

17.12.2024: Zweckverband KDO: Leistungen für Gebietskörperschaft weiterhin - bis zum 31.12.2026 - mehrwertsteuerfrei!

Im Rahmen des Gesetzgebungsverfahrens zum Jahressteuergesetz 2024 wurde erneut die Verlängerung der Optionsfrist zum § 2b Umsatzsteuergesetz (UStG) diskutiert. Diese wurde nunmehr am 22.11.2024 vom Bundesrat beschlossen und im Bundesgesetzblatt amtlich verkündet. Nach eingehender Prüfung der Handlungsspielräume und Konsequenzen haben die Gremien des Zweckverbandes KDO entschieden, zwei weitere Jahre - bis zum 31. Dezember 2026 - zu optieren. Das bedeutet, dass der Zweckverband KDO seine Leistungen für Gebietskörperschaften weiterhin, bis zum 31.12.2026, ohne Mehrwertsteuer erbringen wird.

03.12.2024: Gästebeiträge nicht mehr über Meldeschein für Beherbergungsstätten abrechenbar

Ab dem 01.01.2025 gilt die Änderung des Bundesmeldegesetzes. Damit entfällt die Meldepflicht nach den §§29, 30 BMG für Gäste mit deutscher Staatsangehörigkeit.
Falls Sie die Berechnung der Gästebeiträge anhand der Angaben auf den Meldescheinen in Ihrer Satzung vorgesehen haben, ist dies in Zukunft nicht mehr möglich.
Unsere Empfehlung: Führen Sie anstatt des Meldescheins einen Gästebeitragsschein ein und passen Sie Ihre Satzung entsprechend an.


03.12.2024: Auftragsverarbeitungsketten – Sind Sie verantwortlich für die Auftragsverarbeiter Ihrer Auftragsverarbeiter? – Stellungnahme der EDSA

Wenn Sie Auftragsverarbeiter beauftragt haben, ist es in vielen Fällen wahrscheinlich, dass diese Auftragsverarbeiter ebenfalls Auftragsverarbeiter beauftragt haben, Ihre Daten gemäß Vertragszweck zu verarbeiten. Die Bedingungen hierzu müssen Sie in Ihrem Auftragsverarbeitungsvertrag (AVV) festhalten. Wichtig für Sie zu wissen: Für alle Stufen der Auftragsverarbeitung sind SIE verantwortlich i. S. d. DSGVO und müssen für alle ein gleich hohes Datenschutzniveau garantieren. Dieses müssen Sie im Rahmen Ihrer Rechenschaftspflicht auch nachweisen können.
Sie dürfen jedoch grundsätzlich auf die Informationen Ihres direkten Auftragsverarbeiters vertrauen, es sei denn diese sind nicht vollständig oder unklar oder es bestehen berechtigte Zweifel an der Seriosität der Unterauftragsverarbeiter. In diesem Fall müssen Sie selbst prüfen, ob ausreichende Garantien nach Art. 28 DSGVO vorliegen. Verträge zwischen den Auftragsverarbeitern müssen Sie jedoch nur bei berechtigten Zweifeln einsehen, ein Recht darauf haben Sie jedoch jederzeit.
Achten Sie insbesondere darauf, dass Sie über jede Datenübermittlung in ein Drittland informiert sind, um die Vorgaben des Art. 44 DSGVO sicherzustellen. Eine vertragliche Regelung im Rahmen Ihres AVV zur Offenlegung von Übermittlungen in Drittländer ist dringend empfohlen."

Ihr/e Ansprechpartner/in

Datenschutz- und Informationssicherheit
Telefon: +49 441 9714-158
+49 1520 8988558
Newsletter
Newsletter Anmelden
KDO-ServiceLine
KDO-ServiceLine Ticket Self Service Ticketformular
Veranstaltungen
Veranstaltungen Alle Veranstaltungen
Geschäftszeiten
Geschäftszeiten

Montags bis donnerstags:
08:00 bis 16:30 Uhr

Freitags:
08:00 bis 12:30 Uhr