Ein Tag im Krisenstab – wie die Stadt Lavenheim mit einem Cyberangriff umgeht

07:45 Uhr – Auffälligkeiten im Bürgerbüro

Die Sachbearbeiter im Bürgerbüro stellen fest, dass keine Verbindung zum Dokumentenmanagement-System aufgebaut werden kann. Auch E-Mails funktionieren nicht.

Kurze Rückfragen in anderen Fachbereichen ergeben: Das Problem betrifft alle Abteilungen. Die IT ist bereits informiert – doch noch gibt es keine Erklärung.

Erste Phase: Unklare Lage

• Systeme reagieren verzögert oder gar nicht
• Drucker und Zeiterfassung sind offline
• Kommunikation läuft nur noch über Mobiltelefone
• Bürger warten – ohne Information

▶︎ Mehr lesen: Cyberangriff auf Behörden: 7 häufige Fragen

08:30 Uhr – Der Krisenstab wird aktiviert

Im Rathaus von Lavenheim wird der Krisenstab Cyberangriff zusammengerufen. Die Stadt hat in ihrem IT-Notfallplan genau dafür einen Ablauf definiert – allerdings wurde dieser zuletzt vor drei Jahren geprobt.

Teilnehmende im Krisenstab:

• Amtsleitung und Bürgermeisterin
• IT-Leitung und Datenschutzbeauftragter
• Kommunikation, Rechtsabteilung, Personal
• Eine Vertretung der örtlichen Polizei

Herausforderungen beim Start:

• Kein Zugriff auf die zentrale Telefonanlage
• Die interne Alarmierungssoftware funktioniert nicht – sie ist serverbasiert
• Ad-hoc-Koordination über private Mobilgeräte
• Informationslage: Lückenhaft, technisch komplex

▶︎ Mehr lesen: Cyberangriffe: 5 reale Bedrohungsszenarien für Behörden

09:20 Uhr – Technische Einschätzung & erste Entscheidungen

Die IT-Abteilung informiert den Krisenstab: Es gibt Hinweise auf einen Ransomware-Angriff. Erste Systemprotokolle zeigen verdächtigen Datenverkehr über das Verwaltungsnetz.

Die Entscheidung fällt: Die Systeme werden vorsorglich abgeschaltet. Das Ziel: Schaden begrenzen, potenzielle Ausbreitung stoppen.

Akute Maßnahmen:

• Netzwerkverbindungen werden gekappt
• IT-Dienstleister und CERT kontaktiert
• Der Krisenstab legt Eskalationsstufen fest

▶︎ Mehr lesen: Bei Cyberangriffen in 5 Minuten wissen, wer handelt

10:00 Uhr – Kommunikationschaos mit Bürgern und Presse

Bürger stehen vor geschlossenen Schaltern. Auf der Website der Stadt steht keine Information – sie ist ebenfalls nicht erreichbar. Erste Anrufe erreichen die Pressestelle und die lokale Zeitung.

Problem: Es gibt keine Freigabestruktur für externe Kommunikation in solchen Lagen. Die Zuständigkeit ist unklar, niemand will „falsch“ kommunizieren.

Fehlende Strukturen führen zu:

• Verzögerter Information an die Öffentlichkeit
• Interner Unsicherheit über Sprachregelungen
• Gefahr von Spekulationen in sozialen Medien

Lavenheim hätte profitiert von:

• Vorab definierten Pressestatements
• Klaren Freigabewegen in der Kommunikation
• Extern gehosteter Krisen-Landingpage

▶︎ Mehr lesen: Was ist Cyberresilienz

11:45 Uhr – Wer muss was melden?

Spätestens jetzt stellt sich die Frage nach der rechtlichen Meldepflicht.

Der Datenschutzbeauftragte weist darauf hin, dass möglicherweise personenbezogene Daten betroffen sind – wenn auch nicht sicher.

Diskussionen im Krisenstab:

• Muss das BSI informiert werden?
• Ist die Datenschutzaufsicht bereits meldepflichtig?
• Welche Informationen dürfen wir weitergeben – und wann?

Punktuelle Unsicherheit lähmt Entscheidungen.
Ein standardisierter Meldeplan mit automatisierter Dokumentation hätte geholfen.

▶︎ Mehr lesen: Compliance Definition

14:30 Uhr – Die Systeme sind offline, der Druck steigt

Bis zum Nachmittag ist klar: Die vollständige Wiederherstellung wird mehrere Tage dauern. Manche Fachbereiche beginnen manuell zu arbeiten. Die Unsicherheit ist spürbar – auch unter den Mitarbeitenden.

In einem kurzen Austausch sagt die Personalreferentin:
„Die Technik ist das eine – aber wir wissen nicht, wer was tun soll, wenn das System versagt.“

▶︎ Mehr lesen: Hackerangriffe: Ämter & Behörden beliebte Opfer

16:00 Uhr – Nachbesprechung: Was hat funktioniert, was nicht?

Der Krisenstab beendet den Tag mit einer ersten Bewertung. Man ist sich einig: Die Reaktion war engagiert, aber nicht strukturiert genug. Vieles lief über persönliche Kontakte und spontane Entscheidungen.

Wichtige Learnings aus Lavenheim:

• Interne Kommunikation war zu abhängig von der IT
• Zuständigkeiten für Krisenkommunikation waren nicht klar
• Alarmierungswege waren nicht ausfallsicher
• Die schnelle Abschaltung verhinderte größeren Schaden
• Das Engagement des Personals kompensierte viele Lücken

▶︎ Mehr lesen: Stiller Kollaps: Was ein IT-Ausfall für Behörden wirklich bedeutet