Notfallmanagement: Richtig reagieren bei Cyberattacken
Am Tag X gilt es, besonnen, zügig und zielgenau zu handeln. Damit das klappt, muss bei Hackerangriffen das Notfallmanagement der Verwaltung greifen – gut geplant und eingeübt. Ebenso unerlässlich sind Incident Response Teams zur Gefahrenabwehr. Denn dank professioneller Unterstützung werden Kommunen rasch wieder handlungsfähig.
Ein Klick auf eine täuschend echt aussehende Phishing-Mail und schon ist es passiert. Was ist jetzt zu tun? Wer gut vorbereitet ist,
kann rasch und richtig reagieren. An dieser Stelle setzt das Notfallmanagement einer Verwaltung ein. Vorab festgelegte Informationsketten werden aktiviert, Aktionen umgesetzt. Die Ziele sind klar definiert: Die Sicherheit der IT-Infrastruktur und die Handlungsfähigkeit der Kommune müssen wiederhergestellt werden. Ebenso soll ein Schaden verhindert oder, falls das nicht mehr gänzlich möglich ist, minimiert werden.
Ein Standard der Cybersicherheit
Das kann jedoch nur ein leistungsstarkes Notfallmanagement erreichen. Ein Handbuch, das irgendwo im Regal steht und vielleicht erst noch gesucht werden muss, bringt nichts. Für die IT-Sicherheit öffentlicher Verwaltungen ist ein Notfallmanagement erforderlich, das von Minute eins an einsatzbereit ist. Es wäre gefährlich, zu denken, „uns passiert schon nichts“ und keinen Plan an der Hand zu haben. Der aktuelle Lagebericht zur IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik BSI spricht hier eine deutliche Sprache: Die Angriffe auf den Public Sector nehmen zu und sie werden zunehmend professioneller. Auch kleine Kommunen sind betroffen. Denn für Cyberkriminelle sind alle Behörden potenzielle Ziele. So kommt es beispielsweise bei Ransomware-Attacken per Mail, deren Ziel das Erpressen von Lösegeld ist, zu regelrechten Angriffswellen.
Mit klaren Rollen und eingespielter Routine
Was also braucht es, um ein funktionierendes Notfallmanagement aufzustellen? Im Ernstfall muss klar sein, wer was wann innerhalb der Verwaltung tun muss und mit welchen exter nen Stellen wie zusammengearbeitet wird. Das setzt eindeutige Rollendefinitionen und einen eingeübten Ablauf voraus. Nur so können Mitarbeiterinnen und Mitarbeiter ruhig und richtig handeln. Festgelegte Informationsketten geben Orientierung. Die Komm.ONE stellt ihren Kunden und Mitgliedern beispielsweise einen Notfall-Leitfaden für Sicherheitsvorfälle zur Verfügung, der den grundlegenden Ablauf aufzeigt.
Dieser hat eine einfache Struktur. Zuerst müssen die IT-Verantwortlichen der Kommune schnellstmöglich benachrichtigt werden. Sie informieren dann sofort alle zuständigen Behörden in Baden-Württemberg beispielsweise die Cybersicherheitsagentur BW und das Landeskriminalamt, sowie Partner und IT-Dienstleister. Hierbei müssen Meldepflichten für Sicherheitsvorfälle und Verdachtsfälle beachtet werden. Das sind zum Beispiel Fälle von Datenverschlüsselungen, Identitätsdiebstahl, Manipulation von Daten, Diebstahl oder Verlust von Endgeräten und erfolgreiche Phishing-Angriffe.
24/7 mobil und flexibel im Einsatz
Externe Profis können dann von der ersten Stunde an unterstützen. Ideal ist ein Cyber Security Incident Response Team – kurz CSIRT – mit einer 24/7-Bereitschaft. Ein CSIRT nimmt in enger Zusammenarbeit mit den Behörden eine Einschätzung der Situation vor und ergreift erste Sofortmaßnahmen, wie beispielsweise die Abtrennung betroffener Computer von der IT-Infrastruktur. Es kann auch bei der Aufklärung, Rekonstruk
tion und Dokumentation, also der gesamten Forensik, mitwirken. Während das CSIRT vorwiegend im virtuellen Raum tätig ist, unterstützt das Mobile Incident Response Team, MIRT abgekürzt, direkt vor Ort. Es baut eine neue rechtssichere, datenschutzkonforme IT-Umgebung auf und stellt Hardware, also beispielsweise Notfall-Laptops und Headsets sowie Software zur Verfügung. So bringt das MIRT die wichtigsten Fachverfahren und
kommunalen Dienstleistungen erneut zum Laufen, die Kommune wird wieder handlungsfähig. Beide Incident Response Teams arbeiten eng zusammen.
Prioritäten in der Praxis
Vorrausetzung für eine effiziente Unterstützung durch externe Profis ist, dass in der Kommune eine Prioritätenliste vorliegt, die idealweise auch mit Fristen hinterlegt ist. Konkret geht es da rum, dass im Vorfeld eine Rangliste erstellt wird, die festlegt, welche Dienste und Fachverfahren nach einem Sicherheitsvorfall am schnellsten wieder zur Verfügung stehen müssen. Das kann beispielsweise die Auszahlung von Sozialleistungen an
Bürgerinnen und Bürger sein. Die Fristen geben an, wie lange die Dienstleistung ausgesetzt werden kann, ohne dass sich schwerwiegende Folgen ergeben. „Diese Planung und Priorisierung spart im Notfall viel wertvolle Zeit. Sie ist daher ein essenzieller Teil Ihrer Vorbereitung“, sagt Tom Kasper, Teamleiter Fachservice Informationssicherheit der Komm.ONE.
Ebenso gilt es, vorab den Bedarf an Hardware für den Notfall zu ermitteln. Der Wunsch nach einer optimalen Ausstattung sollte hier nicht den Blick auf das Mögliche verstellen. „Gehen Sie mit Pragmatismus an die Planung. Hundert oder mehr Laptops für Notfälle vorzuhalten, ist in der Regel nicht machbar. Das ist aber auch nicht erforderlich, denn Ihre Handlungsfähigkeit beginnt mit dem ersten Laptop, mit dem Sie in einer neuen sicheren Umgebung wieder Ihre wichtigsten Dienstleistungen anbieten können“, sagt Komm.ONE-Experte Tom Kasper.
Erfolgreich dank klarer Qualitätkriterien
Plan einmal erstellt und für immer auf der sicheren Seite - das trifft nicht auf das Notfallmanagement zu. Es muss fortlaufend geprüft werden. Drei Kriterien helfen bei der Qualitäts-Kontrolle. Zum einen sollte das Notfallmanagement auf die eigene Kommune abgestimmt sein. Ein guter Plan zeichnet sich dadurch aus, dass Rollen und deren Inhaber, Übergangspunkte und Informationsketten klar definiert und bekannt sind. Der zweite
Aspekt ist die Awareness der Mitarbeiterinnen und Mitarbeiter. Je höher die Aufmerksamkeit, desto eher und schneller werden Angriffe entdeckt. Denn Cyberattacken beginnen häufig mit Phishing-Versuchen, deren Ziel es ist, an persönliche Zugangsdaten zu gelangen. Regelmäßige Sensibilisierungsmaßnahmen sind daher sinnvoll. Das dritte Qualitätsmerkmal schließlich ist das Training. „Üben, üben, üben“ lautet die Devise. Im Ernstfall muss jeder sofort wissen, was zu tun ist. Erfüllt das Notfallmanagement diese Kriterien, ist eine Kommune gut gewappnet. Check für die Cybersicherheit.
Gemeinsam stark für Cybersicherheit
Mehr zum Thema erfahren Sie beim Cybersecurity-Tag der Komm.ONE am 25.06.2026 in Nürtingen.