Cyberangriffe auf Kommunen: Wenn der Ernstfall Realität wird

Cyberangriffe treffen Kommunen nicht theoretisch, sondern konkret – mitten im Verwaltungsalltag. Die Fälle von Untereisesheim und Mössingen zeigen, was im Ernstfall zählt: funktionierende Backups, klare Entscheidungsstrukturen, transparente Kommunikation – und die Bereitschaft, aus dem Vorfall strukturelle Lehren zu ziehen.

Als Mitte Oktober ein Cyberangriff die Gemeindeverwaltung Untereisesheim im Landkreis Heilbronn trifft, geht zunächst kaum noch etwas. Die IT-Systeme werden verschlüsselt, Server abgeschaltet, die Verwaltung ist weitgehend handlungsunfähig. „Bis auf die Telefone war alles lahmgelegt“, heißt es später aus dem Rathaus. Zwei Wochen dauert es, bis die Systeme wieder vollständig einsatzfähig sind. Ein Lösegeld zahlt die Gemeinde nicht. Stattdessen arbeitet sie eng mit der Cybersicherheitsagentur Baden-Württemberg (CSBW) und dem Landeskriminalamt (LKA) zusammen.

Doch der eigentliche Angriff ist nur die erste Phase. Wochen später tauchen Teile der entwendeten Daten im Darknet auf. Nach Angaben der Gemeinde mit rund 4.400 Einwohnerinnen und Einwohnern handelt es sich unter anderem um ältere Personalakten, Home-Laufwerke von Mitarbeitenden sowie interne Daten- und Bildverzeichnisse. Hochsensible Meldedaten aus dem Einwohnermeldewesen seien nicht betroffen. Die betroffenen Mitarbeitenden werden informiert, die Auswertung der Daten läuft weiter.

Für Bürgermeister Christian Tretow steht rückblickend weniger die technische Dimension im Vordergrund als die organisatorische Bewährungsprobe. „Die wichtigste Erkenntnis ist, dass man vorbereitet sein muss – und dass man sich Hilfe holt“, sagt er. Bereits am Morgen des Angriffs werden neben dem IT-Dienstleister und der externen Datenschutzbeauftragten auch die CSBW und das LKA eingeschaltet. Noch vor Mittag sind Teams vor Ort. Die enge Begleitung durch die Landesbehörden habe die Verwaltung „hervorragend durch den Prozess gelotst“.

Im Vergleich zu anderen Fällen, bei denen Kommunen über Monate hinweg nur eingeschränkt arbeiten konnten, war das eine kurze Phase. Tretow spricht deshalb von einer guten Ausgangslage – auch weil ein neuer Server ohnehin bereits geplant und bestellt war. Technische Nachrüstungen konnten dadurch schnell umgesetzt werden. Organisatorisch griff der bestehende IT-Notfallplan. Gleichzeitig übernahm eine externe Datenschutzbeauftragte die Kommunikation mit dem Landesdatenschutzbeauftragten und begleitete die laufenden Verfahren. Für Tretow ist diese Investition in dauerhafte externe Expertise „gut investiertes Geld“.

Neben der Technik hebt er einen weiteren Punkt hervor: die Erfahrung selbst. Das gesamte Personal habe eine echte Krisensituation durchlebt. „Nach jeder Katastrophe oder jedem Zwischenfall geht ein Team gestärkt hervor“, sagt er. Die Verwaltung habe gesehen, was sie im Notfall leisten könne – eine Erfahrung, die auch für andere Krisenszenarien wertvoll sei.

In der internen Kommunikation setzte die Gemeinde von Beginn an auf Transparenz. Mitarbeitende wurden täglich persönlich über den Stand informiert. Auch nach außen wurde früh kommuniziert – zunächst über das Landratsamt, da die eigene Website nicht erreichbar war. Die spätere Information betroffener Bürgerinnen und Bürger über veröffentlichte Datensätze erfolgte strukturiert und schriftlich.

Gleichzeitig formuliert Tretow einen grundsätzlichen Appell: Kleine Kommunen könnten Informationssicherheit nicht dauerhaft allein schultern. Fachkräftemangel und steigende Anforderungen machten deutlich, dass Unterstützung durch Land und Bund dauerhaft notwendig sei. Eine vollständige Absicherung rein kommunal sei strukturell kaum leistbar.

Maßnahmen in Mössingen: Wie die Kommune den Cyberangriff bewältigte

Auch in Mössingen war der erste Schritt eindeutig: Die betroffene Infrastruktur wurde konsequent abgeschaltet. Die IT vom Netz getrennt. Der Krisenstab aktiviert.

„Richtig war vor allem das konsequente Abschalten der betroffenen Infrastruktur“, sagt Sven Dickreuter, Teamleiter IT & Digitalisierung in der Kommune. Dadurch konnte nachweislich weiterer Schaden verhindert werden. Parallel musste der Verwaltungsbetrieb kurzfristig neu organisiert werden. Digitale Systeme standen vorübergehend nicht zur Verfügung, Arbeitsabläufe mussten analog oder provisorisch strukturiert werden. Gleichzeitig bestand die Herausforderung darin, Mitarbeitende, Öffentlichkeit und politische Gremien transparent zu informieren – ohne die kriminaltechnischen Analysen zu beeinträchtigen.

Ein Vorteil in Mössingen: Intranet und Website blieben funktionsfähig. Dadurch konnte die Kommunikation kontinuierlich aufrechterhalten werden. Für den Wiederaufbau entschied sich die Stadt bewusst für einen vollständigen Neuaufbau der Systeme. Kein schrittweises Reparieren, sondern ein sicherheitsorientierter Neustart. Die enge Zusammenarbeit mit der Cybersicherheitsagentur Baden-Württemberg, dem Landeskriminalamt, Komm.ONE und dem IT-Dienstleister ermöglichte eine strukturierte Lagebewertung und eine nachhaltige Wiederherstellung der IT-Infrastruktur.

Maßnahmen für Kommunen: Was Cyberangriffe über Technik, Struktur und Führung lehren

„Prävention wirkt, wenn sie konkret umgesetzt wird“, lautet laut Dickreuter eine zentrale Lehre aus Mössingen. Cybersicherheit müsse Chefsache sein. Notfallpläne, definierte Informationsketten und klare Verantwortlichkeiten seien im Ernstfall entscheidend. Besonders betont er die Bedeutung klarer Meldewege und Entscheidungsstrukturen. Sobald ein Angriff offiziell untersucht werde, steige die Komplexität der Abstimmung erheblich. Eine saubere Rollenverteilung zwischen IT, Krisenstab und Verwaltungsspitze erleichtere diese Phase deutlich. Auch die Nachbereitung sei zentral: Abläufe überprüfen, Pläne weiterentwickeln, Schulungen fortführen. Resilienz sei kein Zustand, sondern ein Prozess.

Die beiden Beispiele zeigen, dass Cyberangriffe keine isolierten IT-Probleme sind. Sie betreffen die gesamte Organisation. Neben technischen Maßnahmen entscheiden Führung, Kommunikation und Entscheidungsfähigkeit über den Verlauf. Beide Kommunen bestätigen: Backups sind essenziell. Notfallpläne müssen vorhanden sein – und bekannt. Mitarbeitende müssen sensibilisiert sein. Gleichzeitig gibt es keine hundertprozentige Sicherheit.

Beide Fälle zeigen zudem, dass Cybersicherheit kein reines IT-Thema ist. „Der Faktor Mensch ist ein zentrales Sicherheitstor“, sagt Daniel Krötz, Referent für Digitalisierung und Cybersicherheit beim Gemeindetag. Ob ein Link angeklickt wird oder nicht, ob ein Vorfall gemeldet oder verschwiegen wird – solche Entscheidungen fallen auf Arbeitsebene. Deshalb müsse Sensibilisierung kontinuierlich erfolgen, nicht punktuell. Und noch eine dritte Parallele zeigt sich bei näherer Betrachtung: Die Bedeutung von Transparenz. „Das Wichtigste ist, nichts zu vertuschen“, sagt Krötz. Wer in den ersten Minuten offen kommuniziere und externe Unterstützung einbinde, schaffe die Grundlage für einen strukturierten Umgang mit dem Vorfall.

„Man kann das maximal Mögliche tun“, betont Bürgermeister Tretow. Aber absolute Sicherheit existiere nicht. Gerade deshalb gewinnt strukturelle Vorsorge an Bedeutung. Die Kombination aus funktionierenden Backups, klar definierten Verantwortlichkeiten, externer Unterstützung und geübten Abläufen kann darüber entscheiden, ob eine Kommune wochenlang handlungsunfähig bleibt – oder nach kurzer Zeit wieder arbeitsfähig ist. Die Erfahrungen aus Untereisesheim und Mössingen zeigen: Vorbereitung reduziert nicht jedes Risiko. Aber sie bestimmt, wie schwer ein Angriff wiegt – und wie schnell eine Verwaltung wieder ins Arbeiten kommt.

Dieser Artikel erschien zuerst in der Ausgabe 3/2026 des die:gemeinde-Magazins