Münster. Der nordrhein-westfälische Verfassungsschutz warnt Kommunen vor einer neuen Welle gezielter Cyberangriffe. Laut einem Bericht des WDR sollen russische Geheimdienste versuchen, über Social-Engineering-Tricks Zugriff auf Verwaltungsnetzwerke zu erhalten. Die Empfehlung der Sicherheitsbehörden lautet, personenbezogene Daten wie Namen und Fotos von Mitarbeitenden auf kommunalen Webseiten möglichst zu reduzieren.
Ein aktueller Blick nach Münster zeigt: Auf den Internetseiten der Stadtverwaltung sind weiterhin zahlreiche Mitarbeitende mit vollständigem Namen, Durchwahl und dienstlicher E-Mail-Adresse aufgeführt. Eine sichtbare Änderung dieser Praxis ist bislang nicht erkennbar.
Im WDR-Beitrag, der am Sonntag ausgestrahlt wurde, beschreiben Sicherheitsexperten des Verfassungsschutzes ein einfaches, aber wirkungsvolles Angriffsszenario: Hacker durchforsten öffentliche Verwaltungsseiten nach Klarnamen und gleichen diese mit sozialen Netzwerken ab. Wird ein Profil gefunden, folgen fingierte Nachrichten – etwa ein scheinbar harmloser „Urlaubsgruß“ mit der Bitte, ein Passwort oder eine Datei zu schicken.
Im WDR-Interview betonte Verfassungsschutzpräsident Jürgen Kayser, Social-Engineering-Angriffe seien ein erprobtes Mittel gegen Kommunen. Man habe bereits vor dem russischen Angriff auf die Ukraine entsprechende Cyberaktivitäten beobachtet; regelmäßig werde zunächst digitale Infrastruktur gestört, bevor weitere Eskalationsstufen denkbar seien (WDR, 5.10.2025).
Die Sicherheitsbehörden empfehlen den Kommunen, auf ihren Webseiten nur noch Funktionspostfächer und zentrale Telefonnummern zu veröffentlichen. So soll verhindert werden, dass Hacker gezielt einzelne Mitarbeitende ins Visier nehmen können.
Du liest unsere Nachrichten kostenlos und unabhängig. Hilf mit einem Beitrag deiner Wahl.
Laut WDR-Umfrage planen jedoch die meisten Städte in NRW derzeit keine Änderungen. Viele Kommunen verweisen auf das Spannungsfeld zwischen Transparenz und Bürgernähe auf der einen und Cyberschutz auf der anderen Seite. Nur wenige Verwaltungen haben angekündigt, künftig auf eine anonymisierte Kontaktstruktur umzusteigen.
In Münster ist derzeit keine Umstellung erkennbar. Auf den städtischen Internetseiten finden sich nach wie vor Ansprechpartnerinnen und Ansprechpartner in nahezu allen Fachbereichen – darunter das Stadtplanungsamt, das Amt für Grünflächen, Umwelt und Nachhaltigkeit, das Ordnungsamt oder das Amt für Kommunikation.
Viele Einträge enthalten nicht nur Namen, sondern auch direkte E-Mail-Adressen und Telefonnummern. Teilweise werden diese Daten über Suchmaschinen auffindbar angezeigt, was Angreifern die Recherche erleichtert.
In einigen Bereichen – etwa bei der Bußgeldstelle oder in bestimmten Verwaltungsabteilungen – nutzt die Stadt bereits zentrale Kontaktformulare oder Sammelpostfächer. Diese Vorgehensweise ist jedoch bislang die Ausnahme und nicht flächendeckend umgesetzt.
Die digitale Infrastruktur der Stadt Münster wird vom kommunalen IT-Dienstleister citeq betrieben. Das Unternehmen betreut neben der Stadt Münster auch mehrere Umlandkommunen und gilt als gut aufgestellt in Sachen Cybersicherheit.
Die citeq ist nach den IT-Grundschutzstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert und bietet regelmäßig interne Schulungen, Notfallübungen und Sicherheitsüberprüfungen an.
Auch Fachveranstaltungen wie die „SecCon“ in Münster widmen sich regelmäßig Themen wie Datenschutz, IT-Sicherheit und Angriffserkennung im kommunalen Umfeld.
Trotz dieser professionellen Strukturen zeigt der aktuelle Blick ins Netz: Eine unmittelbare Reaktion auf die neue Empfehlung des Verfassungsschutzes – etwa durch Anpassung der Webseitenstruktur oder Ankündigung entsprechender Maßnahmen – ist bislang nicht dokumentiert.
Die aktuelle Diskussion stellt viele Städte vor eine schwierige Abwägung.
Die Veröffentlichung von Kontaktdaten ist fester Bestandteil bürgerfreundlicher Verwaltung und sorgt für Transparenz und Erreichbarkeit. Gleichzeitig können solche Informationen im digitalen Raum zu einem Risiko werden, wenn sie gezielt für Phishing- oder Social-Engineering-Attacken missbraucht werden.
