Sicher ist, dass nichts sicher ist. Selbst das nicht.
Joachim Ringelnatz
Wie sicher ist mein Haus gegenüber Cyberangriffen?
Bauliche, mechanische, elektronische und personelle Maßnahmen sind das eine, um Kulturbetriebe gegen Diebstahl und Raub zu schützen. Wie aber steht es um die Sicherheit der hauseigenen IT-Systeme vor unerlaubtem Zugriff? Erfolgreiche Cyberangriffe können Betriebsabläufe stören, Informationen abfließen lassen, Zugänge verweigern sowie zu Manipulation, Beschädigung oder Zerstörung von Hardware, Daten, Netzwerken oder technischen Systemen führen. Je nach Schadensumfang kann die Behebung solcher Attacken mitunter Jahre dauern.
Die kriminellen Angriffsmethoden und Taktiken sind vielfältig, darunter Malware, Social Engineering, Phishing, Passwortdiebstahl oder Ransomware. (Anm. 1) Darüber hinaus gibt es weitere Einfallstore, zum Beispiel via Cloud (Staatstheater Stuttgart) oder via Dienstleister: So waren 2023 weltweit zahlreiche Kulturbetriebe durch eine Attacke auf das Unternehmen Gallery Systems betroffen, das Museumssoftware anbietet. 2024 wurden weltweit rund 560 Millionen Kunden indirekte Opfer eines Angriffes auf den Konzertkartenverkäufer Ticketmaster.
Ungemach kann auch von Unternehmen rühren, die die Gebäudeleittechnik oder die IT-Systeme eines Kulturbetriebes warten. Sind die Notebooks dieser Firmen wirklich frei von schädlicher Software? Manche Kulturbetriebe sind dazu übergegangen, den Dienstleistern beim Betreten des Gebäudes eigene Rechner auszuhändigen, die nur in dem betreffenden Haus genutzt werden dürfen. Um per Fernwartung effizienter zu arbeiten, sollen Dienstleister technische Geräte in Kulturbetrieben installiert haben – ohne Wissen und Zustimmung der betroffenen Häuser. Die Wachsamkeit aller Mitarbeiter/innen einer Einrichtung ist also auch in dieser Hinsicht gefragt, d.h. alle Mitarbeiter/innen sollten auch für solche Risiken sensibilisiert werden.
Was ist ein Penetrationstest und was ist zu beachten?
Um herauszufinden, wo die Schwachstellen der eigenen IT-Struktur liegen, kann ein sog. Penetrationstest (Pen-Test) ein geeignetes Instrument sein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert einen solchen Pen-Test wie folgt: „Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Hierzu werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System eingeschätzt und daraus notwendige ergänzende Sicherheitsmaßnahmen abgeleitet beziehungsweise die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen überprüft.“ (Anm. 2)
Ziele eines Penetrationstests sind es, Schwachstellen zu identifizieren, potenzielle Fehler aufzudecken, die Sicherheit auf technischer und organisatorischer Ebene zu erhöhen und die IT-Sicherheit durch einen externen Dritten bestätigen zu lassen. In einem simulierten Verfahren wird getestet, wie gut die „digitalen Mauern“ einer Organisation einem echten Angriff standhalten würden.
Um aussagekräftige Ergebnisse zu erzielen, werden in der Praxis meist mehrstufige Tests durchgeführt, die nach Kriterien wie Informationsbasis, Aggressivität, Umfang oder Technik ausgelegt sind. Entsprechend gibt es verschiedene Arten solcher Tests, die vom Black-Box-Pentest (Tester bekommt im Vorfeld keinerlei Informationen) über White-Box-Pentest (Tester erhält umfassende Informationen) bis hin zu Red Team Assessment (Reaktion einer angegriffenen Organisation als Ganzes) oder Social-Engineering-Penetrationstest reichen können. Faustformel: Je aufwändiger der Test, desto höher die Kosten.
Im Vorfeld der Beauftragung eines Pen-Testes sind mindestens zwei Dinge zu beachten. Erstens: Lohnt es überhaupt, einen solchen Test durchzuführen? Wenn im Vorhinein feststeht, dass die eigene IT-Struktur veraltet und daher höchst anfällig ist für eine Cyberattacke, investiert man klüger in ein neues System, das bereits qua Grundausstattung besser gegen Angriffe gewappnet ist. Haltung: Dem schlechten Geld kein gutes hinterherwerfen!
Zweitens: Der unbefugte Zugang zu einem Computersystem gilt nach Artikel 2 des Übereinkommens über Computerkriminalität als Straftat. Auftraggeber eines Pen-Testes sind daher gut beraten, mit dem durchführenden Tester eine vertragliche Vereinbarung über die rechtliche Zulässigkeit der Penetration zu schließen.
Die Frage ist nicht ob, sondern wann man Opfer einer Cyberattacke wird
Croatian Railway Museum, Zagreb (2017), Stiftung Brandenburgische Gedenkstätten (2021), Museum für Naturkunde, Berlin (2023), Museum of Fine Arts, Boston, und Rubin Museum of Art, New York (beide 2023), Ozeaneum – Deutsches Meeresmuseum, Stralsund (2024), Grand Palais und 40 weitere Museen, Paris (2024), British Museum, London (2025), Muséum national d´histoire naturelle, Paris (2025), Staatliche Kunstsammlungen Dresden (2026).
Die Liste von Cyberangriffen auf kulturelle Einrichtungen wächst. Und da war von Attacken auf Konzerthallen und Theater (z.B. Metropolitan Opera, Philadelphia Orchestra, Staatstheater Stuttgart) sowie Bibliotheken (British Library, London, Seattle Public Library) oder Universitätsbibliotheken wie Duisburg, Köln, Leipzig und Siegen noch gar keine Rede. Von Angriffen auf Eisenbahnen, Krankenhäuser, Parlamente, Behörden oder kommunale Verwaltungen ganz zu schweigen.
Kulturbetriebe hierzulande überdurchschnittlich oft betroffen
Cyberangriffe – ob automatisiert oder KI-gesteuert – nehmen weltweit rasant zu. Allein in Deutschland verzeichneten Firmen 2025 durchschnittlich 1.223 Angriffe pro Woche – ein Anstieg von 14 Prozent im Vergleich zum Vorjahr. Was erstaunt: „Innerhalb Deutschlands ist der Bildungsbereich am stärksten betroffen: Jede Einrichtung erlebte durchschnittlich 2.885 Angriffe pro Woche – mehr als doppelt so viele wie der nationale Durchschnitt. Grund dafür sind umfangreiche Nutzerdaten und oft veraltete IT-Infrastrukturen.“ (Anm. 3) Auf weiteren Plätzen folgen Gesundheitswesen, Telekommunikation und Energieversorger.
Auf was sind die Täter aus?
Die Motive für die Angriffe sind zumeist finanzieller Natur in Form von Lösegeldforderungen für das Entschlüsseln von Daten (Staatstheater Stuttgart, Museum für Naturkunde Berlin, 40 Museen in Paris). Ein weiteres Motiv kann der sog. Hacktivismus sein, bei dem Cyber-Kriminalität als Protestmittel genutzt wird. So hat im Juli 2023 ein Kunstkollektiv namens KKKK eine Ausstellung von Werken der Bührle-Sammlung im Zürcher Kunsthaus gehackt und QR-Codes zu einigen der Exponate manipuliert. (Anm. 4)
Aber auch Spionage, persönliche Neugier oder Zerstörungswut können Antrieb für eine Attacke sein. In Kulturbetrieben geht es mitunter auch um den Diebstahl von Artefakten; so zum Beispiel nach Sabotage der Sicherheitsanlage im Museum für Naturkunde in Paris, wo im August 2025 historische Nuggets im Wert von 600.000 Euro verschwunden sind. Aktuell wird geprüft, ob auch die Cyberattacke auf die Staatlichen Kunstsammlungen Dresden im Januar 2026 der Vorbereitung eines Diebstahls einzigartiger Stücke aus der Porzellansammlung im Zwinger gedient haben könnte. (Anm. 5)
Neben möglichen materiellen Schäden, die aus dem Verlust von Sammlungsstücken oder den Kosten für Lösegeld sowie der Wiederherstellung der IT-Infrastruktur erwachsen können, sind die mitunter langfristigen Folgen für die Wiederaufnahme des Betriebs nicht zu unterschätzen. So funktionierten die IT-Systeme des Berliner Naturkundemuseums auch zwei Jahre nach der Cyberattacke noch nicht wieder vollumfänglich. (Anm. 6)
Fazit: IT-Sicherheit ist nur so gut wie die Menschen, die mit den Systemen arbeiten, und die Qualität der Cybersicherheit hängt daher von gut ausgebildeten Mitarbeiterinnen und Mitarbeitern ab.
Berthold Schmitt, Herausgeber der Fachzeitschrift KulturBetrieb
Anm. 1: Vgl. B. Schmitt, Was macht eigentlich Ihr Business Continuity Management? Kulturbetriebe sollten sich wappnen, bevor sie gehackt werden, in: KulturBetrieb, eins 2024, S. 56-58; bzw. ders., Was ist eigentlich … Social Engineering? Kriminelle Angreifer schöpfen „en passant“ Insiderwissen ab, in vorliegender Ausgabe von KulturBetrieb.
Anm. 2: Praxis-Leitfaden: IT-Sicherheits-Penetrationstest, Bonn 2016, S. 5; Quelle: www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.html; Abfrage: 20.02.2026 (kostenfreier Download)
Anm. 3: Cyberangriffe 2025: Deutschland besonders betroffen, in: it-daily.net, 30.01.2026; Quelle: www.it-daily.net/it-sicherheit/cybercrime/cyberangriffe-2025-deutschland; Abfrage: 19.02.2026
Anm. 4: Hacker sprechen Klartext zu Werken der Bührle-Sammlung, in: Blick, 11.07.2023; Quelle: www.blick.ch/schweiz/zuerich/angriff-auf-zuercher-kunsthaus-hacker-sprechen-klartext-zu-werken-der-buehrle-sammlung-id18741630.html; Abfrage: 20.02.2026
Anm. 5: Nach Hackerattacke: Warnung vor Diebstahl wertvoller Porzellanstücke aus dem Zwinger, in: MDR, 19.02.2026; Quelle: www.mdr.de/nachrichten/sachsen/dresden/dresden-radebeul/polizei-zwinger-einbruch-versuch-cyberangriff-porzellansammlung-100.html; Abfrage: 20.02.2026
Anm. 6: Vgl. Jan Dams, Wie Russen-Hacker per „Brute-Force-Angriff“ eine Berliner Institution lahmlegen – auf Jahre, in: Welt, 11.12.2025; Quelle: www.welt.de/politik/deutschland/article6931abe3314590772f945ea4/naturkundemuseum-berlin-wie-russische-hacker-eine-berliner-institution-lahmlegen-auf-jahre.html; Abfrage: 20.02.2026
Dieser Beitrag wurde erstmals publiziert in KulturBetrieb, 2026, S. 56-57.
