Cyberangriff auf Behörden: 7 häufige Fragen

Inhaltsverzeichnis

1. Wie lange dauert es in der Regel, bis IT-Systeme nach einem Angriff wiederhergestellt sind?
2. Wer muss im Falle eines Cyberangriffs informiert werden – und wann?
3. Was tun, wenn E-Mail, Intranet und Telefonie durch den Angriff nicht mehr funktionieren?
4. Wie können wir sicherstellen, dass alle Maßnahmen dokumentiert und revisionssicher nachvollziehbar sind?
5. Was sind typische Fehler bei der internen Kommunikation im Ernstfall?
6. Wann und wie sollen Bürger:innen oder Medien informiert werden?
7. Wie können wir uns effektiv auf einen Cyberangriff vorbereiten – bevor es passiert?
8. Fazit

1. Wie lange dauert es in der Regel, bis IT-Systeme nach einem Angriff wiederhergestellt sind?

Das hängt stark von der Art des Angriffs und dem Vorbereitungsgrad der Behörde ab. Während kleinere Vorfälle innerhalb weniger Stunden behoben sein können, dauert die Wiederherstellung nach einem Ransomware-Angriff häufig mehrere Tage oder sogar Wochen – vor allem dann, wenn keine sauberen Offline-Backups vorhanden sind oder Netzwerksegmente rekonstruiert werden müssen.

Besonders kritisch: die sogenannte „silent phase“, in der Angreifer sich unbemerkt im System bewegen. Je länger diese Phase dauert, desto komplexer die Wiederherstellung. Behörden, die über einen klaren IT-Notfallplan und getestete Wiederanlaufverfahren verfügen, sind hier klar im Vorteil.

▶︎ Mehr lesen: 677.000 Euro Schaden durch Cyberangriff

2. Wer muss im Falle eines Cyberangriffs informiert werden – und wann?

Neben der internen Alarmierung ist insbesondere die Einhaltung gesetzlicher Meldepflichten entscheidend. So muss z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei KRITIS-relevanten Vorfällen schnellstmöglich informiert werden. Auch die Datenschutzaufsicht erwartet bei personenbezogenen Datenverlusten eine Meldung innerhalb von 72 Stunden.

Darüber hinaus gilt: IT-Dienstleister, Leitungsebenen, Rechtsabteilung und gegebenenfalls Polizei oder CERT sollten nach definierten Eskalationsstufen eingebunden werden. Wer hier auf automatisierte Meldeketten setzt, spart nicht nur Zeit, sondern verhindert auch teure Versäumnisse.

▶︎ Mehr lesen: Cyberangriff: In 5 Minuten wissen, wer handelt

3. Was tun, wenn E-Mail, Intranet und Telefonie durch den Angriff nicht mehr funktionieren?

Gerade bei Ransomware- oder DDoS-Angriffen kommt es häufig zum Totalausfall interner Kommunikationssysteme. In vielen Verwaltungen ist dann keine strukturierte Abstimmung mehr möglich – ein Worst-Case-Szenario für Krisenteams.

Die Lösung: eine Alarmierungs- und Kommunikationslösung, die unabhängig vom internen Netzwerk funktioniert. Cloudbasierte Systeme mit App-, SMS- oder Sprachanruf-Funktion bieten hier einen entscheidenden Vorteil. So können auch im Fall eines Komplettausfalls alle Schlüsselpersonen sicher und nachweisbar erreicht werden.

▶︎ Mehr lesen: Cyberangriffe: 5 reale Bedrohungsszenarien für Behörden

4. Wie können wir sicherstellen, dass alle Maßnahmen dokumentiert und revisionssicher nachvollziehbar sind?

Gerade in Behörden spielt die Nachvollziehbarkeit aller Entscheidungen eine zentrale Rolle – nicht zuletzt aufgrund von Datenschutz- und Rechnungsprüfungspflichten.

Im Ernstfall jedoch ist eine manuelle Dokumentation kaum realistisch. Deshalb setzen viele Organisationen auf Systeme, die jede Maßnahme – von der ersten Alarmierung über Reaktionen bis zu Kommunikationsinhalten – automatisch protokollieren. So entsteht eine lückenlose Dokumentation, die im Nachgang rechtssicher ausgewertet werden kann.

▶︎ Mehr lesen: Stiller Kollaps: Was ein IT-Ausfall für Behörden wirklich bedeutet

5. Was sind typische Fehler bei der internen Kommunikation im Ernstfall?

Ein häufiger Fehler ist die Nutzung von nicht abgesprochenen Kommunikationswegen – etwa privaten Messengern oder persönlichen E-Mail-Adressen. Auch unklare Verantwortlichkeiten und nicht getestete Meldeketten führen schnell zu Chaos, Dopplungen oder Informationsverlust.

Wer vorbereitet sein will, sollte regelmäßig trainieren: mit definierten Alarmgruppen, klaren Rollenbeschreibungen und Textbausteinen für typische Lagen. Nur so kann auch in Stresssituationen effizient und datenschutzkonform kommuniziert werden.

▶︎ Mehr lesen: Cyberangriff auf Behörden: Wie groß ist das Risiko wirklich?

6. Wann und wie sollen Bürger oder Medien informiert werden?

Sobald klar ist, dass zentrale Services oder Daten betroffen sind, erwarten Bürger und Öffentlichkeit eine Einordnung. Die Schwierigkeit besteht darin, frühzeitig zu kommunizieren – ohne Spekulationen zu befeuern oder rechtlich heikle Aussagen zu treffen.

Ein strukturierter Krisenkommunikationsplan mit vordefinierten Freigabeprozessen und abgestimmten Textbausteinen hilft dabei, schnell und einheitlich zu reagieren – ob über die Website, Pressemitteilungen oder soziale Medien. Wichtig: Die externe Kommunikation muss genauso vorbereitet sein wie die interne.

▶︎ Mehr lesen: Zwei Beispiele für gelungene Krisenkommunikation

7. Wie können wir uns effektiv auf einen Cyberangriff vorbereiten – bevor es passiert?

Die meisten Behörden wissen um die Risiken – aber es fehlt oft an konkreten Vorbereitungsmaßnahmen. Dabei kann schon eine einfache Analyse der aktuellen Kommunikations- und Alarmierungsstruktur wichtige Schwächen aufdecken.

Empfohlen wird: ein getesteter IT-Notfallplan, regelmäßig durchgeführte Szenarien-Übungen, klare Eskalationsregeln und ein Alarmierungssystem, das auch im Blackout funktioniert. Denn im Ernstfall zählt vor allem eines: handlungsfähig bleiben, auch wenn Systeme versagen.

▶︎ Mehr lesen: Ist Ihre Behörde auf Cyberangriffe vorbereitet?