Ein Tag im Krisenstab: Wie die Stadt Lavenheim mit einem Cyberangriff umgeht

07:45 Uhr - Auffälligkeiten im Bürgerbüro

Die Sachbearbeiter im Bürgerbüro stellen fest, dass keine Verbindung zum Dokumentenmanagement-System aufgebaut werden kann. Auch E-Mails funktionieren nicht.

Kurze Rückfragen in anderen Fachbereichen ergeben: Das Problem betrifft alle Abteilungen. Die IT ist bereits informiert, doch noch gibt es keine Erklärung.

Erste Phase: Unklare Lage

• Systeme reagieren verzögert oder gar nicht
• Drucker und Zeiterfassung sind offline
• Kommunikation läuft nur noch über Mobiltelefone
• Bürger warten, ohne Information

▶︎ Mehr lesen: Cyberangriff auf Behörden: 7 häufige Fragen

08:30 Uhr - Der Krisenstab wird aktiviert

Im Rathaus von Lavenheim wird der Krisenstab Cyberangriff zusammengerufen. Die Stadt hat in ihrem IT-Notfallplan genau dafür einen Ablauf definiert, allerdings wurde dieser zuletzt vor drei Jahren geprobt.

Teilnehmende im Krisenstab:

• Amtsleitung und Bürgermeisterin
• IT-Leitung und Datenschutzbeauftragter
• Kommunikation, Rechtsabteilung, Personal
• Eine Vertretung der örtlichen Polizei

Herausforderungen beim Start:

• Kein Zugriff auf die zentrale Telefonanlage
• Die organisationseigene Alarmierungssoftware funktioniert nicht. Sie ist serverbasiert.
• Ad-hoc-Koordination über private Mobilgeräte
• Informationslage: Lückenhaft, technisch komplex

▶︎ Mehr lesen: Cyberangriffe: 5 reale Bedrohungsszenarien für Behörden

09:20 Uhr - Technische Einschätzung & erste Entscheidungen

Die IT-Abteilung informiert den Krisenstab: Es gibt Hinweise auf einen Ransomware-Angriff. Erste Systemprotokolle zeigen verdächtigen Datenverkehr über das Verwaltungsnetz.

Die Entscheidung fällt: Die Systeme werden vorsorglich abgeschaltet. Das Ziel: Schaden begrenzen, potenzielle Ausbreitung stoppen.

Akute Maßnahmen:

• Netzwerkverbindungen werden gekappt
• IT-Dienstleister und CERT kontaktiert
• Der Krisenstab legt Eskalationsstufen fest

▶︎ Mehr lesen: Bei Cyberangriffen in 5 Minuten wissen, wer handelt

10:00 Uhr - Kommunikationschaos mit Bürgern und Presse

Bürger stehen vor geschlossenen Schaltern. Auf der Website der Stadt steht keine Information – sie ist ebenfalls nicht erreichbar. Erste Anrufe erreichen die Pressestelle und die lokale Zeitung.

Problem: Es gibt keine Freigabestruktur für externe Kommunikation in solchen Lagen. Die Zuständigkeit ist unklar, niemand will „falsch“ kommunizieren.

Fehlende Strukturen führen zu:

• Verzögerter Information an die Öffentlichkeit
• Interner Unsicherheit über Sprachregelungen
• Gefahr von Spekulationen in sozialen Medien

Lavenheim hätte profitiert von:

• Vorab definierten Pressestatements
• Klaren Freigabewegen in der Kommunikation
• Extern gehosteter Krisen-Landingpage

▶︎ Mehr lesen: Was ist Cyberresilienz

11:45 Uhr - Wer muss was melden?

Spätestens jetzt stellt sich die Frage nach der rechtlichen Meldepflicht.

Der Datenschutzbeauftragte weist darauf hin, dass möglicherweise personenbezogene Daten betroffen sind, wenn auch nicht sicher.

Diskussionen im Krisenstab:

• Muss das BSI informiert werden?
• Ist die Datenschutzaufsicht bereits meldepflichtig?
• Welche Informationen dürfen wir weitergeben und wann?

Punktuelle Unsicherheit lähmt Entscheidungen.
Ein standardisierter Meldeplan mit automatisierter Dokumentation hätte geholfen.

▶︎ Mehr lesen: Compliance Definition

14:30 Uhr - Die Systeme sind offline, der Druck steigt

Bis zum Nachmittag ist klar: Die vollständige Wiederherstellung wird mehrere Tage dauern. Manche Fachbereiche beginnen manuell zu arbeiten. Die Unsicherheit ist spürbar, auch unter den Mitarbeitenden.

In einem kurzen Austausch sagt die Personalreferentin:
„Die Technik ist das eine, aber wir wissen nicht, wer was tun soll, wenn das System versagt.“

▶︎ Mehr lesen: Hackerangriffe: Ämter & Behörden beliebte Opfer

16:00 Uhr - Nachbesprechung: Was hat funktioniert, was nicht?

Der Krisenstab beendet den Tag mit einer ersten Bewertung. Man ist sich einig: Die Reaktion war engagiert, aber nicht strukturiert genug. Vieles lief über persönliche Kontakte und spontane Entscheidungen.

Wichtige Learnings aus Lavenheim:

• Interne Kommunikation war zu abhängig von der IT
• Zuständigkeiten für Krisenkommunikation waren nicht klar
• Alarmierungswege waren nicht ausfallsicher
• Die schnelle Abschaltung verhinderte größeren Schaden
• Das Engagement des Personals kompensierte viele Lücken

▶︎ Mehr lesen: Stiller Kollaps: Was ein IT-Ausfall für Behörden wirklich bedeutet