Prävention Organisations- und Führungskonzepte

IT-Incident-Management – Was tun bei einem Angriff auf die IT einer Kommunalverwaltung?

11. März 2026
von Prof. Dr. Volkmar Mrass
Person mit Kapuze, deren Gesicht dadurch nicht zu erkennen ist, die an einer Tastatur sitzt. Im Vordergrund des Bildes befindet sich eine blaue Zahlenmatrix. Der Hintergrund ist schwarz gehalten.
© Thaut Images - stock.adobe.com

Angriffe auf die IT einer Stadt, einer Gemeinde oder eines Landkreises sind keine Seltenheit mehr. Für deren technische Behebung fehlt Kommunalverwaltungen oft das nötige Know-how, hier erscheint das Einschalten eines spezialisierten IT-Dienstleisters zweckmäßig. Es gibt aber auch einige Maßnahmen im kommunikativ-organisatorischen Bereich, die Kommunalverwaltungen für den Fall des Eintretens eines Angriffes auf ihre IT bereits im Vorfeld vorbereiten können.[1]

Eine bekannte und oft zitierte Aussage von IT-Experten lautet in etwa: „Es ist nicht die Frage, ob es einen Angriff auf die IT (einer Institution wie einem Unternehmen oder einer öffentlichen Verwaltung) geben wird, sondern lediglich wann“. Auch wenn diese Aussage in ihrer Absolutheit hoffentlich nicht immer zutrifft, so haben die letzten Jahre dennoch gezeigt, dass auch Kommunalverwaltungen von Angriffen auf ihre IT vermehrt betroffen sind. Nicht selten, weil sie potenziellen Angreifern als ,einfaches Ziel‘ erscheinen.

Maßnahmen vorbereiten, Pläne erstellen

Da vielen Kommunalverwaltungen das notwendige technische IT-Know-how fehlt, um solche Angriffe abwehren beziehungsweise deren Schäden schnell beheben zu können, ist eine sofortige Einschaltung eines spezialisierten IT-Dienstleisters und die Zusammenarbeit mit staatlichen Institutionen wie der Cybersicherheitsagentur Baden-Württemberg (CSBW) empfehlenswert.

Dennoch sollten auch Kommunalverwaltungen für solche Angriffe auf ihre IT intern vorbereitet sein und bereits im Vorfeld Maßnahmen ergreifen und Notfall-Pläne erstellen, wie sie einen solchen ,IT-Incident‘ (Vorfall) bei dessen Eintreten bestmöglich ,handeln‘ können.

Stakeholder-Gruppen definieren und informieren

Bei einem IT-Incident sind durch Kommunalverwaltungen und deren Verantwortliche eine Vielzahl von Stakeholder-Gruppen zu berücksichtigen, die dann im Ernstfall auch kontinuierlich mit Informationen versorgt und auf dem Laufenden gehalten werden sollten. Einige wichtige davon sind:

  • Der jeweilige Repräsentant an der Spitze der jeweiligen Kommunalverwaltung wie Bürgermeister(in), Oberbürgermeister(in) oder Landrat/Landrätin, da diese Person bei solchen Krisen oft im Fokus steht und sich die Medien zwecks Auskunftserteilung und Stellungnahme oft direkt an die Spitze einer Organisation wenden.
  • Die Polizei, beispielsweise um Anzeige zu erstatten und um bei Angriffen auf die IT und Erpressungsversuchen wie im Zuge von Ransomware-Attacken Anweisungen zur Vorgehensweise einzuholen.
  • Sofern vorhanden eine spezialisierte Institution eines Bundeslandes, in Baden-Württemberg beispielsweise die Cybersicherheitsagentur Baden-Württemberg (CSBW), die eventuell auch für die Übernahme der IT-Koordination denkbar ist.
  • Die bestehenden eigenen externen IT-Dienstleister einer Kommunalverwaltung, da deren Mithilfe, beispielsweise zur Schadensbehebung, in der Regel benötigt wird.
  • Die eigenen Verwaltungs-Mitarbeiter um ihnen Anweisungen, wie nun zu verfahren ist (welche Systeme dürfen und können jetzt noch benutzt werden?), zu geben.
  • Die Bürgerinnen und Bürger einer Stadt, Gemeinde oder eines Landkreises, um darüber zu informieren, welche Services wann (wieder) verfügbar sind.
  • Andere öffentliche Verwaltungen wie Landratsamt, Regierungspräsidium oder Innenministerium, damit der Vorfall dort bekannt ist und eventuell auch von deren Seite entsprechende Maßnahmen eingeleitet werden können.
  • Der oder die relevante Datenschutzbeauftragte, insbesondere (aber nicht nur), wenn es den Verdacht gibt, dass es zu Datenabflüssen gekommen ist.
  • Und ,last but not least‘ empfiehlt es sich, bei solchen Angriffen – jedenfalls sofern sie eine gewisse Dimension erreichen und mit Beeinträchtigungen des Services einer Kommunalverwaltung zu rechnen ist – die allgemeine Öffentlichkeit und die Medien proaktiv zu informieren. Auch um für Verständnis dafür zu werben, dass die jeweilige Verwaltung vorübergehend nicht wie gewohnt ,funktionieren‘ wird.
Abläufe und Strukturen vorab festlegen

Es lohnt sich zudem, für solche IT-Incidents bereits vorab Abläufe und Strukturen zu definieren und zu etablieren und einen solchen Incident sowie die daraus resultierenden notwendigen Maßnahmen auch mal zu „üben“. Das kann beim Eintreten eines Angriffes auf die kommunale IT einen wertvollen Zeitgewinn bedeuten und ist besser, als in einer ohnehin krisenhaften und ungewohnten Situation damit erst beginnen zu müssen, darüber nachzudenken.

Folgende denkbare Maßnahmen sollten hierbei im Vorfeld abgewägt und – sofern als passend und sinnvoll erachtet – umgesetzt werden:

  • Etablierung und Festlegung eines „Krisenreaktionsteams“, das die in einer Verwaltung für die Bewältigung dieses Incidents notwendigen Führungskräfte und Mitarbeiter beinhaltet und sicherstellt, dass diese sofort einsatzfähig und startbereit sind.
  • Festlegung im Vorfeld, wer in diesem Team im Krisenfall welche Aufgabe und Rolle innehat und Etablierung eines gemeinsamen „Krisen-Raumes“, in dem dann alle Verantwortlichen zusammenkommen.
  • Festlegung eines regelmäßigen „Jour-Fixes“ (z. B. morgens 8 Uhr) für die offizielle Tagung dieses Teams gemeinsam mit beispielsweise der Stadt- oder Landkreisspitze (ein solcher Krisenfall kann sich über mehrere Wochen hinziehen), um vor allem angesichts der knappen Zeit unnötige Kommunikation dafür zu vermeiden.
  • Austausch der Notfall-Kontaktdaten (beispielsweise Mobilfunknummern) der wichtigsten Verantwortlichen einer Kommunalverwaltung, um diese bei Bedarf auch kurzfristig und bei erfolgter Kompromittierung der sonst üblichen Kommunikationswege wie E-Mail dennoch kurzfristig informieren und zusammenrufen zu können. Festlegung auch eines compliance- und datenschutzkonformen schriftlichen Back-up-Mediums, welches in dieser Zeit bei Bedarf und zu Dokumentationszwecken für die Beweggründe kurzfristiger Entscheidungen genutzt werden kann.
  • Maßnahmen, die sicherstellen, dass die Mitglieder des Krisenreaktionsteams in dieser Zeit vom Tagesgeschäft entlastet werden. Wichtig ist auch das Festlegen von eventuell notwendigen Sonderbefugnissen für das Krisenreaktionsteam für die Zeit des IT-Incidents, da die Einhaltung der sonst üblichen Berichts- und Entscheidungswege oft viel zu langsam wäre. Das kann im Einzelfall auch bedeuten, dass mit IT-befasste Mitarbeiter einer Kommunalverwaltung von den üblichen Hierarchiewegen abweichen können (beispielsweise eine direkte Kommunikation mit dem Oberbürgermeister oder der Landrätin stattfindet).
  • Festlegung, wer (beispielsweise bei Ransomware-Angriffen) mit den Tätern (zum Schein) „verhandelt“ und wie hier die direkte Rückkoppelung mit anderen relevanten Behörden und staatlichen Stellen (beispielsweise der Polizei) erfolgt.

Diese Abläufe und Strukturen gelten zusätzlich zu denjenigen, die bezogen auf den reinen IT-Bereich im Vorfeld notwendig sind (z.B. IT-Back-up-Maßnahmen u. v. m.).

(…)

Den vollständigen Beitrag lesen Sie in der Fundstelle Hessen 03/2026, Rn. 22.

[1] Der Autor ist Professor für Digitales Verwaltungsmanagement (DVM) und Direktor des Instituts für Digitale Plattformen in Verwaltung und Gesellschaft (DPVG), HVF Ludwigsburg.

Das könnte Sie auch interessieren