#stadtrat51702: Datensicherheit / Datenschutzprävention bei der Stadt Bergneustadt – Vorhandene Sicherheitsprobleme
UWG-Antrag bzgl. AG-Datenschutz, DNS-Einstellungen, Anpassung Sicherheitsstandards, Datenschutz-Niveau, Datenschutz-Folgeabschätzung
Liebe Bürger und liebe Freunde,
die Fraktion der UWG Bergneustadt stellt zur nächsten Stadtratssitzung am 18. März 2026 einen wichtigen Antrag zur Datensicherheit und Datenschutzprävention der Stadt Bergneustadt, da hier einiges im Argen liegt.
Herbst 2024: UWG Bergneustadt übergibt 80 DIN A4 Seiten Datenschutzbericht an Bürgermeister Thul – Nichts ist passiert, die Probleme existieren immer noch!!!
Im Herbst 2024 überreichte die UWG-Fraktion im Stadtrat Bürgermeister Matthias Thul einen Datenschutzbericht der CyDas UG aus Lüdenscheid. Dieser war über 80 DIN A4 Seiten lang und zeigte schlimme Datenschutzfehler bei den Einstellungen der sogenannten DNS Einstellungen der Domain „bergneustadt.de“. Von Seiten der Stadt wurde damals lediglich auf die Verantwortlichkeit des kommunalen Zweckverbands „Civitec“ hingewiesen. Durch deren Untätigkeit sind Phishing Attacken möglich, die im schlimmsten Fall zu ähnlichen EDV Ausfällen führen können, wie es seinerzeit bei der „Südwestfalen IT“ passiert ist, als zahlreiche Kommunen und Kreisverwaltungen Monatelang nicht mehr arbeiten konnten.
Anfang Dezember 2025: Gespräch zwischen UWG Bergneustadt und Bürgermeister Thul, unter anderem zur Datensicherheit und zum Datenschutz!!!
Anfang Dezember 2025 gab es ein persönliches Gespräch zwischen der UWG-Fraktion und Bürgermeister Thul. In diesem Gespräch teilte die UWG-Fraktion dem Bürgermeister mit, dass es die Sicherheitsprobleme nach gut 14 Monaten immer noch gibt. Im Kommunalwahlkampf 2025 wurde das Problem unsererseits bewusst nicht thematisiert, um uns nicht vorwerfen zu lassen, dass wir den Bürgermeisterkandidaten Thul ins falsche Licht stellen wollten, um einen Vorteil für unseren BM-Kandidaten zu erlangen.
März 2026: Probleme immer noch nicht behoben!!!
Heute, am 4. März 2025, weitere drei Monate nach unserem letzten Gespräch mit Bürgermeister Thul, bestehen diese Probleme leider immer noch. Es ist nur eine Frage der Zeit, wann es zu einem Cybersecurity-Vorfall bei der Stadt Bergneustadt bzw. von der Stadt Bergneustadt bei einem Bürger bzw. Unternehmen kommen wird und dann ggf. Regressansprüche auf die Stadt Bergneustadt und deren Bürger zukommen werden.
Folgerichtig: UWG Bergneustadt stellt Antrag zu diesem wichtigen Thema zur Stadtratssitzung am 18. März 2026!!!
Entsprechend stellen wir heute nachfolgenden Antrag und bitten alle Fraktionen dieses Mal – aufgrund der Dringlichkeit – auf die „Brandmauer-Spielchen“ im Sinne der Bürgerschaft und Unternehmerschaft zu verzichten.
Die UWG-Fraktion beantragt zur nächsten Stadtratssitzung am 18. März 2026:
- Die sofortige Einberufung einer „Arbeitsgruppe Datenschutz“, die zeitnah zusammen mit der „Civitec“ die DNS-Einstellungen der Domain „bergneustadt.de“ den entsprechenden Sicherheitsstandards anpasst.
- Das generelle Datenschutz-Niveau der Stadt Bergneustadt zu hinterfragen und festzustellen, ob alles Nötige tatsächlich umgesetzt wird.
- Eine Datenschutz-Folgeabschätzung zu erstellen und zeitnah den Stadtrat zu informieren.
Begründung:
Dieser Antrag soll vor allem für den Bürgermeister eine wichtige Hilfe sein, immerhin ist er der Verantwortliche für die Datenverarbeitung der Stadt Bergneustadt und seit Ende Januar sogar Verbandsvorsteher des o.g. kommunalen Zweckverbands „Civitec“. Ganz unabhängig von den Bergneustädter Auffälligkeiten wurde uns bei weiterer Recherche klar, dass die DNS Problematik bei allen Civitec betreuten Kommunen besteht. Auch beim Oberbergischen Kreis! Wir wollen mit unserem Antrag unserem Bürgermeister die absolute Dringlichkeit aufzeigen. Die bisherigen „Hinterzimmergespräche“ haben leider bis zum heutigen Tag keinen Erfolg gezeigt. Die Sicherheitslücken sind immer noch vorhanden und können jederzeit ausgenutzt werden.
Hinweis:
Die monierten Sicherheitsprobleme bei der Mailserverkonfiguration können von jedem Stadtverordneten im Internet in Echtzeit kontrolliert werden. Nutzt hierzu einfach das kostenlose Tool „mxtoolbox.com“ und geht dort auf den Reiter „eMail Health“. Dort kann dann gerne die Mailadresse „m.thul@bergneustadt.de“ (exemplarisch für alle „bergneustadt.de“-Adressen) auf Falschkonfigurationen überprüft werden.
Bis auf Bündnis90/Grüne und UWG Bergneustadt haben alle anderen Fraktionen dieselben Probleme wie die Stadt Bergneustadt – Sven Oliver Rüsche bietet kostenfreie Hilfe an!!!
In diesem Zusammenhang sei aufgezeigt: Bis auf Bündnis90/Grüne und die UWG Bergneustadt haben alle anderen Fraktionen dieselben Probleme und sollten sich im eigenen Interesse der „Arbeitsgruppe Datenschutz“ anschließen, sodass auch deren DNS Einstellungen dann datenschutzrechtlich angepasst werden. Hierzu bietet sich Sven Oliver Rüsche in der Rolle als Stadtverordneter kostenfrei an. Sven Oliver Rüsche betreut seit Jahren über 40 mittelständische Unternehmen als externer Datenschutzbeauftragter und ist auch am Lüdenscheider Startup „CyDas.eu“ als Gesellschafter beteiligt.
Nachfolgend zwei Zitate:
Wenn selbst grundlegende DNS-Einstellungen nicht datenschutzkonform sind, ist das kein Versehen, sondern schlampige Nachlässigkeit. Ich sehe in den letzten Wochen immer mehr Firmen, deren Produktionsstätten still stehen, weil grundlegendes IT-Wissen nicht vorhanden ist. Dabei ist „Datenschutz Chefsache!“, so der stellvertretende UWG-Fraktionsvorsitzende Sven Oliver Rüsche.
Datenschutz ist keine freiwillige Sache, sondern gesetzliche Pflicht – und wer diese Pflicht weiter ignoriert, handelt fahrlässig gegenüber Bürgerschaft, Wirtschaft und der eigenen Glaubwürdigkeit. Der Bürgermeister muss Verantwortung übernehmen und seiner Führungs- und Kontrollpflicht endlich nachkommen, so der UWG-Fraktionsvorsitzende Jens-Holger Pütz.
Nachfolgend unser Antrag, der im Stadtrat von unserem Datenschutzexperten und stellvertretenden Fraktionsvorsitzenden Sven Oliver Rüsche eingehend erläutert wird:
Euer Lokalpatriot Jens-Holger Pütz
Kurze technische Einordnung zur IT-Sicherheit der Domain bergneustadt.de
Da ich beruflich aus dem IT-Bereich komme, habe ich mir die öffentlich sichtbare Mail- und DNS-Konfiguration der städtischen Domain bergneustadt.de einmal selbst angesehen (z. B. über Tools wie MxToolbox, internet.nl). Dabei sind mir ein paar Punkte aufgefallen, die man technisch relativ einfach verbessern könnte.
1. Kein DMARC-Eintrag vorhanden
DMARC ist ein Mechanismus zur Absicherung von E-Mails. Damit kann festgelegt werden, wie Mailserver mit Nachrichten umgehen sollen, die zwar als Absender die Domain verwenden, aber nicht korrekt authentifiziert sind.
Fehlt dieser Eintrag, wird es deutlich einfacher, eine E-Mail mit gefälschtem Absender @bergneustadt.de zu versenden.
Ein möglicher Eintrag könnte z. B. so aussehen:
DMARC Beispiel
v=DMARC1; p=quarantine; rua=mailto:dmarc@bergneustadt.de
Damit würden verdächtige Mails zumindest automatisch in Quarantäne landen.
2. SPF-Konfiguration nicht konsequent umgesetzt
SPF legt im DNS fest, welche Server überhaupt berechtigt sind, E-Mails im Namen einer Domain zu versenden.
Ist dieser Eintrag nicht eindeutig genug definiert, können fremde Server leichter versuchen, Mails mit dieser Absenderdomain zu verschicken.
Ein sauberer SPF-Eintrag könnte z. B. so aussehen:
SPF Beispiel
v=spf1 include:civitec.de -all
Damit wären nur autorisierte Mailserver zum Versand berechtigt.
3. Teilweise nicht erreichbare Mailserver
Bei der Prüfung tauchen Mailserver auf, die zeitweise nicht erreichbar sind oder nur verzögert reagieren.
Das ist kein unmittelbares Sicherheitsproblem, kann aber zu Zustellproblemen führen oder darauf hinweisen, dass alte oder nicht mehr genutzte Einträge noch im DNS vorhanden sind.
4. DNS-Parameter nicht optimal gesetzt
Außerdem weist der Check auf einen SOA-Expire-Wert außerhalb der üblichen Empfehlungen hin.
Dieser Wert bestimmt, wie lange sekundäre DNS-Server Daten zwischenspeichern dürfen, bevor sie erneut aktualisiert werden. Kritisch ist das nicht, zeigt aber, dass die DNS-Konfiguration vermutlich schon länger nicht grundlegend überprüft wurde.
Einordnung
Wichtig ist: Diese Punkte bedeuten keinen akuten Sicherheitsvorfall.
Sie zeigen aber, dass einige heute übliche Schutzmechanismen moderner E-Mail-Infrastruktur offenbar noch nicht vollständig umgesetzt sind. Gerade bei öffentlichen Einrichtungen sollte man solche Dinge regelmäßig prüfen und bei Bedarf anpassen.
Aus den DNS-Einträgen lässt sich außerdem erkennen, dass die Mail-Infrastruktur der Stadt über den kommunalen IT-Dienstleister Civitec betrieben wird. Änderungen müssten daher vermutlich gemeinsam mit diesem Zweckverband umgesetzt werden.
IT-Sicherheit ist letztlich kein politisches Thema, sondern eine laufende technische Aufgabe, die regelmäßig überprüft und verbessert werden sollte.
Hallo lieber Sven,
vielen Dank für Deine ausführliche Ausarbeitung. Damit sollte es auch für „Nicht-Nerds“ halbwegs verständlich sein.
Folgenden Satz kann ich so leider nicht stehen lassen und muss es relativieren: „Diese Punkte bedeuten keinen akuten Sicherheitsvorfall.“
Du hast Recht: Die fehlerhafte Einrichtung der DNS-Einstellungen ist selber kein Sicherheitsvorfall.
Meine Einschätzung: Ich sehe tagtäglich, wie SPAM, Viren und Phishing-Mails zu 99% aufgrund fehlender SPF-Einträge über bekannte Domains im Umlauf gebracht werden. Wenn eine Einladung vom Bürgermeister an die Ratsmitglieder rausgeht, dann klickt man vielleicht schneller auf einen (verseuchten-) Link, als bei irgendwelchen unbekannten Absendern. Ebenso Unternehmen, die kaum IT-Budget für gute Spam/Virenfilter ausgeben. Und diese gibt es leider in Bergneustadt und dem ländlichen Umfeld noch sehr viele. Aber es können auch Rathaus Intern vielleicht durch den falschen Klick Türen geöffnet werden, die am Ende im Deasaster enden … Für mich ist es sehr wohl ein (vermeidbarer) Sicherheitsvorfall, weil man scheinbar den Datenschutz nicht ernst nimmt.