Keine Panik: Wer bei einem Cybersicherheitsvorfall die vorgesehenen Schritte befolgt, trägt wesentlich zur effektiven Bewältigung der Situation bei.

Cyberangriff auf die Kommune: Was tun? Strukturiert reagieren!

Ein Klick, eine verschlüsselte Datei – und plötzlich steht die Verwaltung still. Cyberangriffe treffen Kommunen oft unerwartet und mit voller Wucht. Entscheidend sind die ersten Minuten: Wer schnell handelt und klare Zuständigkeiten kennt, begrenzt den Schaden.

Cyberangriffe sind längst kein abstraktes Szenario mehr. Sie treffen Verwaltungen oft mitten im laufenden Betrieb. Für Daniel Krötz vom Gemeindetag Baden-Württemberg beginnt professionelle Krisenbewältigung mit einem einfachen, aber zentralen Grundsatz: nichts verschweigen. „Ganz wichtig ist, dass man den vermeintlichen Angriff nicht verschweigt, sondern dass man proaktiv kommuniziert“, sagt er. Das gelte für einzelne Mitarbeitende ebenso wie für die Verwaltungsspitze.

Auch das Landeskriminalamt (LKA) Baden-Württemberg betont die Bedeutung schneller Reaktion. „Wenn ein Cyberangriff oder ein IT-Sicherheitsvorfall festgestellt wird, raten wir dringend dazu, so schnell wie möglich eine Anzeige bei der Polizei zu erstatten“, heißt es aus der Behörde. Mit der Zentralen Ansprechstelle Cybercrime steht Kommunen eine 24/7-Erreichbarkeit zur Verfügung. Bereits im ersten Kontakt könne „in der Regel eine fundierte Einschätzung des Vorfalls vorgenommen und Hinweise auf die notwendigen ersten Schritte gegeben werden“, so eine Sprecherin.

Für Krötz ist klar: Hilfe holen – und zwar sofort. Komm.ONE, die Cybersicherheitsagentur Baden-Württemberg, das LKA oder die örtliche Polizei – entscheidend sei, dass niemand versuche, den Vorfall intern „irgendwie zu lösen“, ohne Expertise einzubinden. „Aktionismus ist fehl am Platz“, betont Krötz. Wer hektisch versuche, Systeme eigenständig zu bereinigen oder Spuren zu löschen, riskiere zusätzlichen Schaden. In der Regel seien Verwaltungen auf externe Unterstützung angewiesen – entscheidend sei deshalb, frühzeitig Profis einzubeziehen.

Cyberangriff auf die Kommune: Technische Sofortmaßnahmen und klare Rollen

Welche konkreten Schritte eingeleitet werden müssen, hängt von Art und Schwere des Angriffs ab. Dennoch lassen sich grundlegende Maßnahmen benennen.

In vielen Fällen empfiehlt die Behörde, das Netzwerk unverzüglich vom Internet zu trennen, um eine weitere Ausbreitung des Angriffs zu verhindern. Gleichzeitig sollten betroffene Systeme nicht vorschnell abgeschaltet werden, da sonst wertvolle digitale Spuren verloren gehen könnten. Zu sichern seien unter anderem Firewall-Protokolle, Server-Logs, verdächtige Dateien oder sogenannte „Snapshots“ von Systemen.

Auch Krötz rät zu klaren, einfachen Erstmaßnahmen: Ist ein Angriff plausibel, sollte das betroffene Gerät möglichst umgehend vom Netz getrennt werden – also Netzwerkkabel ziehen oder WLAN deaktivieren. Ein Neustart hingegen löse das Problem nicht automatisch. „Durch einen Neustart bekomme ich niemanden mehr aus meinem System“, sagt er. Wichtig sei vielmehr, die Ausbreitung zu stoppen und dann strukturiert vorzugehen.

Dabei ist die Rollenverteilung eindeutig. „Die Polizei ist primär Strafverfolgungsbehörde“, stellt das Landeskriminalamt klar. Ziel sei es, Beweise zu sichern und Täter zu ermitteln. Zugleich betont die Behörde: „Die Polizei ist jedoch nicht erster Ansprechpartner für die technische Bewältigung des Vorfalls und die Härtung oder Sicherung der Systeme.“ Die Wiederherstellung der IT-Infrastruktur falle nicht in ihr Aufgabenportfolio.

Diese Klarheit ist wichtig für das Erwartungsmanagement. Während IT-Dienstleister und spezialisierte Forensik-Teams sich um Analyse und Wiederaufbau kümmern, konzentriert sich die Polizei auf die strafrechtliche Dimension. Gleichwohl können sich aus Ermittlungen Hinweise ergeben, die für die technische Bewältigung relevant sind. Deshalb empfiehlt die Behörde eine enge Abstimmung zwischen Kommune, IT-Dienstleistern und Ermittlungsbehörden.

Ein Cyberangriff ist kein reines IT-Problem. Er betrifft Organisation, Kommunikation und Führung gleichermaßen. Gerade im Ernstfall sei es entscheidend, dass Zuständigkeiten klar definiert sind und ein Krisenstab – sofern dieser eingerichtet wird – arbeitsfähig ist.

Auch das Landeskriminalamt rät Kommunen, noch vor einem möglichen Angriff einen konkreten Krisenplan zu entwickeln. „Wir raten Kommunen – wie jedem Unternehmen – vorsorglich, also noch bevor ein Cyberangriff geschieht, einen konkreten Krisenplan zu erarbeiten“, so die Behörde. Darin sollten Verantwortlichkeiten, Erreichbarkeiten – auch bei ausgefallener IT – sowie abgestufte Maßnahmen klar beschrieben sein.

Transparente Kommunikation spielt dabei eine zentrale Rolle. Wer spricht mit dem Gemeinderat? Wer informiert die Öffentlichkeit? Welche Informationen dürfen aufgrund laufender Ermittlungen noch nicht veröffentlicht werden? Solche Fragen sollten idealerweise nicht erst im Krisenmoment geklärt werden. Krötz empfiehlt zudem, Pressemitteilungen frühzeitig mit der Cybersicherheitsagentur (CSBW) und den Ermittlungsbehörden abzustimmen. So lasse sich vermeiden, dass durch unbedachte Formulierungen laufende Ermittlungen beeinträchtigt werden oder Unsicherheit entsteht. Unterstützung bei der Krisenkommunikation sei hier ausdrücklich vorgesehen.

Krötz sieht in den vergangenen Jahren eine deutliche Professionalisierung. Durch die Einrichtung der Cybersicherheitsagentur und die intensive Kommunikation der beteiligten Akteure sei das Bewusstsein für Zuständigkeiten gewachsen.

Was tun nach einem Cyberangriff? Vorbereitung entscheidet über den Verlauf

So unterschiedlich Cyberangriffe verlaufen – eines bleibt konstant: Gute Vorbereitung entscheidet maßgeblich über den weiteren Verlauf. Ein funktionierendes Backup-Konzept, klare Meldeketten und sensibilisierte Mitarbeitende verhindern keinen Angriff. Aber sie erhöhen die Wahrscheinlichkeit, handlungsfähig zu bleiben. Wer weiß, wen er anrufen muss, wer Verantwortlichkeiten definiert hat und wer technische Grundlagen geschaffen hat, verliert im Ernstfall weniger Zeit.

Krötz formuliert es nüchtern: „Man ist definitiv nicht chancenlos.“ Mit durchdachten, auch kostengünstigen Maßnahmen lasse sich viel erreichen. Gleichzeitig bleibe eine hundertprozentige Sicherheit illusorisch. Oder wie es eine Sprecherin des Landeskriminalamts zusammenfasst: „Schnelle Anzeige, strukturierte Zusammenarbeit und konsequente Beweissicherung sind entscheidend – die technische Wiederherstellung jedoch liegt in der Verantwortung der Kommune.“ Im Ernstfall zähle nicht Perfektion, sondern Reaktionsfähigkeit. Wer vorbereitet ist, reagiert schneller. Und wer schneller reagiert, begrenzt den Schaden.

Dieser Artikel erschien zuerst in der Ausgabe 3/2026 des die:gemeinde-Magazins