Von der Pflicht zur Kultur: Informations-sicherheit bei den kvw

Das Gebäude der kvw in Münster.

Kurzüberblick

  • Kunde: kvw - Kommunale Versorgungskassen Westfalen-Lippe

  • Branche: öffentliche Verwaltung, kommunale Versorgung

  • Projektzeitraum: 2021 - heute

  • Unsere Rolle: Beratung, Konzeption und Unterstützung beim Aufbau eines kundenspezifischen Informationssicherheitsmanagementsystems (ISMS), Entwicklung von Richtlinien, Sicherheitskonzepten, Awareness-Maßnahmen und Schulungen

  • Zentrale Herausforderung: Heterogene, dezentral gepflegte, teilweise veraltete IT-Sicherheitskonzepte und Richtlinien sowie eine noch nicht ausreichend verankerte Sicherheitskultur in IT und Fachbereichen

  • Kernlösung: Entwicklung und Umsetzung eines harmonisierten ISMS sowie Etablierung einer gelebten IT-Sicherheitskultur durch verständliche Richtlinien, Mitarbeitersensibilisierung und offene Kommunikation zu Sicherheitsthemen

  • Erzieltes Ergebnis: Die kvw verfügen heute über eine strukturierte, nachvollziehbare und wartbare Informationssicherheitsdokumentation. Gleichzeitig wurde Informationssicherheit stärker im Arbeitsalltag verankert – durch Schulungen, Phishing-Simulationen und einen sichtbaren Ansprechpartner für Sicherheitsfragen.

Die kvw standen vor der Aufgabe, ein historisch gewachsenes und fragmentiertes IT-Sicherheitsumfeld in ein kohärentes, gelebtes Informationssicherheitsmanagementsystem zu überführen. Gemeinsam wurden die drei zentralen Säulen der Informationssicherheit – Organisation, Mensch und Technik – systematisch weiterentwickelt: von der übergeordneten Leitlinie über konkrete Richtlinien bis hin zu praxisnahen Schulungsmaßnahmen. Entscheidend war dabei ein pragmatischer Ansatz: Sicherheitsvorgaben sollten nicht nur formal korrekt sein, sondern im Alltag verstanden, akzeptiert und angewendet werden. So entstand eine Sicherheitskultur, die nicht allein über Vorgaben funktioniert, sondern durch Verständnis und Beteiligung wächst.

Ihre Ansprechpartner:

Weiterführende Links:

Wir sensibilisieren Ihre Mitarbeitenden durch Schulung und Spear-Phishing-Simulationen für das Thema Phishing.

Anwendungen und IT-Systeme analysieren, um IT-Sicherheitsmaßnahmen gezielt und präzise einzusetzen.

Lernen Sie in unserem Seminar, Sicherheitsrisiken im Softwareentwicklungs- und Betriebsprozess zu identifizieren und diesen entgegenzuwirken.

Kunde & Ausgangssituation

Einordnung für potenzielle Kunden mit ähnlichem Kontext

Die kvw – Kommunale Versorgungskassen Westfalen-Lippe – sind eine bedeutende Institution der kommunalen Daseinsvorsorge in Nordrhein-Westfalen. Mit rund 310 Mitarbeitenden erbringen die kvw Dienstleistungen in den Bereichen Beamtenversorgung, Beihilfe und Zusatzversorgung für 1.200 Kommunen und kommunale Organisationen aus Westfalen-Lippe. Von diesen Leistungen profitieren direkt 627.000 Beschäftigte der Mitgliedskommunen.

Die IT-Landschaft der kvw ist historisch gewachsen. Sie umfasst eine heterogene Mischung aus Windows- und Linux-Systemen, Servern und Clients sowie Fachanwendungen, die teils selbst entwickelt, teils von Kooperationspartnern bezogen oder zugekauft wurden. Organisatorisch sind die kvw in fachlich ausgerichtete Referate gegliedert. Das Thema Informationssicherheit ist im Referat Informationstechnologie, konkret im IT-Stab, angesiedelt.

kvw Logo

Rahmenbedingungen: Als kommunale Versorgungskassen bewegen sich die kvw in einem regulatorisch anspruchsvollen Umfeld: Gesetzliche Vorgaben müssen eingehalten, jährliche Prüfzyklen durch interne Kontrollsysteme und Wirtschaftsprüfer bestanden werden. Gleichzeitig entwickelt sich das Thema Informationssicherheit stetig weiter: neue Bedrohungslagen, neue Technologien und neue Anforderungen erhöhen den Handlungsdruck. Das erfordert sowohl strategische Weitsicht als auch operative Agilität: Maßnahmen müssen nicht nur konzeptionell solide, sondern im Alltag praktikabel sein. Hinzu kommt die Herausforderung, IT-Sicherheit als festen Bestandteil von Projekten und Fachprozessen zu verankern – in einer Organisation, in der das Tagesgeschäft der Referate naturgemäß im Vordergrund steht.

Problemstellung

Die Ausgangslage bei den kvw war kein Einzelfall, sondern ein in vielen Organisationen bekanntes Bild: IT-Sicherheit war zwar formal vorhanden, aber noch nicht ausreichend systematisch und kulturell verankert.
Die vorhandenen IT-Sicherheitskonzepte waren heterogen, dezentral gepflegt und nicht durchgängig aufeinander abgestimmt. Teilweise bildeten Dokumente nicht mehr den aktuellen Stand ab. Dadurch entstanden Widersprüche, Redundanzen und Lücken. Eine konsistente Sicherheitsarchitektur war nur schwer erkennbar.

Auch die Kommunikation und Vermittlung der übergreifenden IT-Sicherheitskonzeption war nicht ausreichend ausgeprägt. Für viele Mitarbeitende blieb unklar, was Informationssicherheit konkret für den eigenen Arbeitsalltag bedeutet. Vorgaben waren häufig zu abstrakt oder nicht in klare Handlungsanweisungen übersetzt.

Konkrete Herausforderungen waren unter anderem:

  • Sicherheitsmängel wurden oft erst reaktiv sichtbar. Schwachstellen traten beispielsweise im Nachgang von Projekten auf, etwa wenn Penetrationstests Sicherheitslücken aufdeckten, die bei frühzeitiger Berücksichtigung von Sicherheitsanforderungen hätten vermieden werden können.

  • Richtlinien waren nicht immer praxistauglich. Ziele und Vorgaben aus der Informationssicherheit waren teilweise unklar formuliert oder nicht ausreichend auf konkrete Rollen und Alltagssituationen bezogen.

  • Bedrohungen blieben abstrakt. Themen wie Phishing, Social Engineering oder Datenverlust waren zwar bekannt, aber für viele Mitarbeitende nicht unmittelbar mit der eigenen Arbeit verknüpft.

  • Dokumentation wurde eher als Pflichtübung wahrgenommen. Sicherheitskonzepte dienten vor allem dazu, Prüfanforderungen zu erfüllen. Ihr praktischer Nutzen für Projekte, Betrieb und Fachbereiche war nicht immer erkennbar.

Die Folge: Informationssicherheit wurde primär als Aufgabe der IT verstanden – nicht als gemeinsame Verantwortung der gesamten Organisation. Mitarbeitende kannten häufig das „Warum“ hinter bestimmten Regeln nicht. Ohne dieses Verständnis fehlte die Grundlage, Sicherheitsaspekte eigenständig mitzudenken und aktiv anzusprechen.

Für die kvw hatte das direkte Auswirkungen. Nachträgliche Sicherheitsmaßnahmen in Projekten verursachten deutlich höhere Kosten als eine frühzeitige Integration. Gleichzeitig erhöhte die nicht ausreichend gelebte Informationssicherheit die Wahrscheinlichkeit und das mögliche Schadensausmaß von Sicherheitsvorfällen – mit Folgen für Betrieb, Reputation und Ressourcen.

Hinzu kam: Informationssicherheit und ein nachvollziehbares ISMS sind heute wichtige Kriterien in der Zusammenarbeit mit Kommunen und anderen öffentlichen Einrichtungen. Für die kvw war es daher strategisch notwendig, das Thema strukturiert weiterzuentwickeln.

Zielsetzung

Aus der Ausgangssituation ergaben sich klare Ziele. Die kvw wollten ein strukturiertes, nachhaltiges System zum Management von Informationssicherheit etablieren – verständlich, prüffähig und im Alltag wirksam.

Im Mittelpunkt standen drei Ziele:

  1. Aufbau eines harmonisierten Informationssicherheitsmanagementsystems
    Bestehende Dokumente sollten neu geordnet, aktualisiert und in eine konsistente Systematik überführt werden.

  2. Steigerung des Sicherheitsbewusstseins in der gesamten Organisation
    Mitarbeitende sollten verstehen, warum Informationssicherheit relevant ist und was sie selbst konkret beitragen können – unabhängig von Rolle, Funktion oder Fachbereich.

  3. Verankerung einer gelebten Sicherheitskultur
    IT-Sicherheit sollte nicht als zusätzliche Pflicht oder reine Kontrollinstanz wahrgenommen werden, sondern als selbstverständlicher Bestandteil von Projekten, Prozessen und täglicher Arbeit.

Neben diesen übergeordneten Zielen spielten auch konkrete Erfolgsindikatoren eine Rolle. Dazu gehörten deutlich sinkende Klickraten bei simulierten Phishing-Angriffen, eine stärkere Einbindung des IT-Stabs Informationssicherheit in Projekte und Entscheidungsprozesse sowie mehr Rückfragen und Meldungen aus der Belegschaft – als Zeichen dafür, dass Sicherheitsthemen aktiver wahrgenommen und angesprochen werden.

Auch die Informationssicherheitsdokumentation sollte so weiterentwickelt werden, dass interne Kontrollen und Wirtschaftsprüfungen ohne Beanstandungen durchlaufen werden können. Gleichzeitig sollten Schulungen nicht als lästige Pflicht wahrgenommen werden, sondern als hilfreiches Format, das Orientierung für den Arbeitsalltag gibt.

Nicht zuletzt war Zukunftsfähigkeit ein wichtiges Ziel: Das ISMS sollte mit neuen technischen, organisatorischen und regulatorischen Anforderungen mitwachsen können.

Awareness am Arbeitsplatz als Zielsetzung.

Lösungsansatz

Unser Ansatz folgte einem klaren Prinzip: vom Strategischen zum Operativen – und immer nah an der Organisation und am Alltag der kvw.

Zu Beginn stand eine Analyse der vorhandenen Dokumente, Prozesse und technischen Maßnahmen. Dabei ging es nicht nur darum, formale Lücken zu identifizieren. Entscheidend war auch die Frage, ob die bestehenden Inhalte für die jeweiligen Zielgruppen verständlich, aktuell und handlungsleitend waren.

Ergänzend wurden Stakeholder-Interviews mit IT-Sicherheit, IT-Betrieb und Fachabteilungen geführt. So konnten fachliche Anforderungen ebenso aufgenommen werden wie kulturelle Hürden: Wie wird in der Organisation gearbeitet? Wo entstehen Reibungen? Welche Maßnahmen sind realistisch umsetzbar? Und welche Form der Kommunikation erreicht die Mitarbeitenden tatsächlich?

Als fachlicher Orientierungsrahmen diente insbesondere der BSI IT-Grundschutz. Das Framework wurde jedoch nicht schematisch übertragen, sondern auf die Anforderungen und Rahmenbedingungen der kvw angewendet.

Die Umsetzung erfolgte in drei zentralen Schritten:

  1. Informationssicherheitsleitlinie als strategisches Fundament
    Die Leitlinie definiert Rahmen, Ziele und Verantwortlichkeiten des ISMS der kvw. Sie bildet die Grundlage für alle nachgelagerten Richtlinien, Konzepte und Maßnahmen.

  2. Zielgruppenspezifische Richtlinien und Konzepte
    Aus der Leitlinie wurden konkrete, praxisnahe Dokumente abgeleitet. Der Fokus lag auf Verständlichkeit und Anwendbarkeit: Jede Richtlinie sollte die Frage beantworten, was die jeweilige Vorgabe konkret für die Arbeit von Administratoren, Projektverantwortlichen, Fachbereichen oder anderen Rollen bedeutet.

  3. Awareness-Kampagnen und Schulungen
    Aufbauend auf dem ISMS wurden jährliche, interaktive Schulungen entwickelt. Sie machten Informationssicherheit anhand konkreter Alltagssituationen greifbar – etwa beim Erkennen von Phishing-Mails, beim Umgang mit Sicherheitsvorfällen oder bei der sicheren Nutzung von Passwörtern. Regelmäßige Phishing-Simulationen ergänzten die Maßnahmen und machten Fortschritte messbar.

Ein wichtiger Baustein war außerdem die kontinuierliche Weiterentwicklung. Regelmäßige Feedback-Schleifen mit dem IT-Stab Informationssicherheit stellten sicher, dass die Maßnahmen nicht als einmaliges Projekt verstanden wurden, sondern dauerhaft an die Bedürfnisse der kvw angepasst werden konnten.

Zudem wurde der Informationssicherheitsbeauftragte als zentraler und niedrigschwelliger Ansprechpartner für Sicherheitsfragen etabliert. Informationssicherheit bekam damit intern ein Gesicht: sichtbar, erreichbar und aktiv kommunizierend.

Umsetzung & Projektverlauf

Im Projektverlauf zeigte sich, dass der Erfolg nicht allein von der fachlichen Qualität der Konzepte abhing. Entscheidend war, ob die Maßnahmen im Alltag akzeptiert und genutzt wurden.

Eine zentrale Herausforderung bestand darin, Akzeptanz für Sicherheitsdokumentation zu schaffen. Sicherheitskonzepte wurden historisch häufig als bürokratische Pflichtübung wahrgenommen. Deshalb wurden die neuen Dokumente konsequent aus Nutzerperspektive geschrieben: kurz, verständlich und direkt handlungsleitend. Statt abstrakter Anforderungen standen konkrete Antworten im Vordergrund: Was muss ich als Administrator, Projektverantwortlicher oder Fachreferent tun? Dieser spürbare Unterschied zu früheren Dokumenten half, Akzeptanz aufzubauen.

Auch bei den Schulungen war Praxistauglichkeit entscheidend. Klassische Pflichtschulungen mit langen Folien und reinen Wissensabfragen erzeugen oft wenig nachhaltige Wirkung. Stattdessen wurden interaktive, zielgruppengerechte Formate entwickelt, die typische Situationen aus dem Arbeitsalltag aufgriffen. Die Mitarbeitenden lernten nicht nur Regeln kennen, sondern verstanden, warum diese Regeln relevant sind und wie sie im konkreten Fall handeln können.

Eine weitere Herausforderung waren Phishing-Simulationen. Solche Kampagnen können schnell als Kontrolle oder Überwachung missverstanden werden. Deshalb wurde großer Wert auf transparente Kommunikation gelegt: Zweck, Ablauf und Auswertung wurden klar erklärt. Die Botschaft lautete: Wir testen gemeinsam, nicht gegeneinander. Die Auswertung erfolgte konstruktiv und ohne Bloßstellung einzelner Personen. Dadurch konnten die Klickraten messbar gesenkt werden, ohne Vertrauen zu verlieren.

Ergebnis & Mehrwert für den Kunden

Durch die gemeinsame Arbeit konnten die kvw ihr Informationssicherheitsmanagement strukturiert, nachvollziehbar und praxisnah weiterentwickeln.

Die wichtigsten Ergebnisse:

  • Harmonisierte Sicherheitsdokumentation: Bestehende IT-Sicherheitsdokumente wurden neu verfasst, aktualisiert und in eine konsistente Systematik überführt.

  • Klare organisatorische Grundlage: Eine übergeordnete Informationssicherheitsleitlinie schafft Orientierung für Verantwortlichkeiten, Ziele und Maßnahmen.

  • Bessere Wartbarkeit: Die Dokumente sind verständlicher aufgebaut und können dauerhaft aktueller gehalten werden.

  • Mehr Sicherheit im Alltag: Mitarbeitende wurden durch Schulungen und Sensibilisierungsmaßnahmen befähigt, Sicherheitsrisiken besser zu erkennen und angemessen zu reagieren.

  • Messbare Awareness-Effekte: Simulierte Phishing-Angriffe führten zu sinkenden Klickraten und stärkten den bewussten Umgang mit verdächtigen Nachrichten.

  • Mehr Offenheit für Sicherheitsthemen: Sicherheitsfragen werden aktiver angesprochen. Rückmeldungen und Anfragen an den Informationssicherheitsbeauftragten nahmen zu.

  • Stärkere Einbindung in Projekte: Informationssicherheit wird früher in Projekte und Entscheidungsprozesse einbezogen, statt erst nachträglich geprüft zu werden.

  • Prüffähige Dokumentation: Interne Kontrollen und Wirtschaftsprüfungen konnten ohne Beanstandungen gegenüber der Informationssicherheitsdokumentation durchlaufen werden.

Der Mehrwert zeigt sich auf mehreren Ebenen. Die IT profitiert von klareren Vorgaben und einer besseren Einbindung in Projekte. Die Fachbereiche erhalten verständliche Orientierung für sicheres Verhalten im Alltag. Das Management gewinnt Transparenz über Verantwortlichkeiten, Risiken und Maßnahmen. Und die kvw insgesamt stärkten ihre Widerstandsfähigkeit gegenüber Sicherheitsvorfällen sowie ihre Zukunftsfähigkeit in einem zunehmend anspruchsvollen regulatorischen Umfeld.

Stimme aus dem Projekt

Entscheidend war, Informationssicherheit nicht nur formal sauber aufzusetzen, sondern sie für die Organisation verständlich und nutzbar zu machen. Richtlinien müssen im Alltag funktionieren, Schulungen müssen konkrete Situationen aufgreifen und Sicherheitsfragen brauchen eine erreichbare Anlaufstelle. Genau dadurch wird aus einem ISMS mehr als Dokumentation – nämlich eine Sicherheitskultur, die Schritt für Schritt wächst.
Nicklas Baier, IT-Sicherheitsbeauftragter der kvw

Pragmatismus trifft Fachtiefe: Informationssicherheit, die zur Organisation passt

Was die Zusammenarbeit in diesem Projekt besonders geprägt hat, war die Verbindung aus fachlicher Tiefe und pragmatischer Umsetzung. In der Art, wie wir beraten haben, bedeutet das konkret:

  • Pragmatismus statt Perfektionismus: Informationssicherheitsberatung kann schnell sehr theoretisch werden: umfassende Dokumente, vollständige Frameworks, viele Anforderungen – aber wenig Wirkung im Alltag. Im Projekt mit den kvw stand deshalb immer die Frage im Mittelpunkt: Was ist fachlich sinnvoll, für die kvw realistisch umsetzbar und für die Mitarbeitenden verständlich?
  • Nähe zur Organisation: Dazu gehörte auch, die Organisation genau zu berücksichtigen. Durch die langfristige Zusammenarbeit und die enge Vernetzung mit verschiedenen Ansprechpartnern entstand ein gutes Verständnis dafür, wie Entscheidungen getroffen werden, wo Widerstände entstehen können und welche Kommunikationswege funktionieren.
  • Sicherheit als Enabler, nicht als Bremse: Ein weiterer Erfolgsfaktor war die Haltung, Informationssicherheit nicht als Bremse zu positionieren. Ziel war nicht, Projekte zu erschweren, sondern sie sicherer und verlässlicher zu machen. Sicherheit sollte als Unterstützung erlebt werden – nicht als zusätzliche Hürde.
  • Was andere vielleicht anders gemacht hätten: Ein anderer Ansatz hätte möglicherweise auf fertige Frameworks gesetzt, diese durchgestülpt und auf Vollständigkeit gepocht. Wir haben stattdessen das BSI IT-Grundschutz-Framework als Orientierung genutzt, aber immer gefragt: Was davon passt zu den kvw? Was muss angepasst werden? Was kann zunächst zurückgestellt werden, um erst die wichtigsten Grundlagen zu legen? Diese Priorisierung hat dazu beigetragen, dass Ergebnisse früh sichtbar waren – und das Vertrauen in die Zusammenarbeit von Beginn an gestärkt wurde.

Fazit

Die kvw haben ihr Informationssicherheitsmanagement von einer gewachsenen, teilweise fragmentierten Ausgangslage hin zu einem strukturierten und gelebten System weiterentwickelt. Entscheidend war dabei die Kombination aus klarer Dokumentation, praxisnaher Sensibilisierung und kontinuierlicher Kommunikation.

So entstand ein ISMS, das nicht nur Prüfanforderungen erfüllt, sondern im Arbeitsalltag Wirkung entfaltet. Informationssicherheit wird stärker mitgedacht, früher in Projekte eingebunden und offener in der Organisation besprochen. Damit haben die kvw eine belastbare Grundlage geschaffen, um aktuellen und zukünftigen Sicherheitsanforderungen wirksam zu begegnen.

Haben wir Ihr Interesse geweckt?

Lassen Sie uns sprechen!