Krisenmanagement für Kommunen

Jun 12
IT-Vorfälle, ob durch böswillige Cyberangriffe oder technische Ausfälle verursacht, stellen für Kommunen eine ernsthafte Bedrohung dar. Das gesamte Spektrum digitaler Infrastruktur - von Bürgerservices über interne Kommunikationskanäle und Arbeitsabläufe bis hin zu Telefonsystemen - kann ins Visier geraten und außer Kraft gesetzt werden. Im schlimmsten Fall führt dies zur vollständigen digitalen Paralyse der Kommunalverwaltung. Diese Seite bietet Ihnen eine Zusammenstellung essentieller Werkzeuge, praxisnaher Formulierungshilfen und zentraler Anlaufstellen, die Sie sowohl bei der Prävention als auch während des Krisenmanagements unterstützen.

1. Vor der Cyber-Krise

Gute Vorbereitung ist essenziell

Sich gegen IT-Vorfälle zu wappnen, ist keine Frage der finanziellen Mittel, sondern der umsichtigen Planung. Auch Kommunen mit vergleichsweise begrenztem Budget können durch sorgfältige Vorbereitung und den Einsatz cleverer Tools sicherstellen, dass sie im Ernstfall handlungs- und kommunikationsfähig bleiben. Denn je nach Schweregrad des Vorfalls droht ein Totalausfall aller elektronischen Systeme - selbst moderne VoIP-Telefonie ist dann lahmgelegt.

Im Folgenden finden Sie eine Auflistung wichtiger Schritte, die Sie bei der Vorbereitung Ihrer Krisenkommunikation für den Fall eines IT-Vorfalls berücksichtigen sollten. Eine umfassende Vorbereitung erfolgt idealerweise im Rahmen eines Business-Continuity-Management-Systems.  Jedes Bundesland unterstützt im Notfall mit zentralen Anlaufstellen bei Cyber-Vofällen.

⚠️ Achtung: Eine sorgfältige Vorbereitung auf einen Cyber-Notfall ist von höchster Bedeutung. ⚠️

Je besser eine Kommune auf potenzielle Bedrohungen eingestellt ist, desto schneller kann sie im Ernstfall zur Normalität zurückkehren. Die Notfallnummern der Anlaufstellen der Polizei ist zweifelsohne eine wertvolle Ressource, aber sie ersetzt keinesfalls eine gründliche Vorarbeit. Betrachten Sie die Nummer als zusätzliches Sicherheitsnetz, nicht als Allheilmittel. Die Verantwortung für eine robuste Cybersicherheitsstrategie liegt in erster Linie bei der Kommune selbst. Investieren Sie daher die nötige Zeit und Energie in die Entwicklung eines umfassenden Notfallplans - Ihre Bemühungen werden sich im Krisenfall bezahlt machen.

Benennung einer kommunikationsverantwortlichen Person

Ob die Leitung selbst oder eine eng mit ihr kooperierende Vertrauensperson: Die Benennung eines kommunikationsverantwortlichen Mitglieds des Krisenstabs ist essenziell.

  • Aufgabe: Zentrale Koordination der Krisenkommunikation.
  • Im Vorfeld sollte die benannte Person ein professionelles Medientraining absolvieren.
  • Grundregeln der Kommunikation und des Umgangs mit der Presse verinnerlichen – Sicherheit im Kontakt mit Medien ist entscheidend.

Erstellung eines alternativen Kontaktverteilers

  • Sammeln Sie alternative Mailadressen, Telefonnummern und sonstige Kontaktmöglichkeiten wichtiger interner und externer Ansprechpartner der Kommune, um auch bei einem Totalausfall die Erreichbarkeit zu gewährleisten.
  • Achten Sie darauf, die Listen stets auf dem aktuellen Stand zu halten und deren Verfügbarkeit auch bei einem IT-Ausfall sicherzustellen, z. B. durch Ausdrucke.

Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für den Fall eines Cyberangriffs

  • Schulen Sie die Belegschaft hinsichtlich des Kommunikationsverhaltens: Einheitliche Kommunikation erfolgt ausschließlich durch die verantwortliche Person, Gerüchte und Spekulationen sind zu unterlassen.
  • Ermutigen Sie Mitarbeiterinnen und Mitarbeiter, Auffälligkeiten umgehend an die kommunikationsverantwortliche Person zu melden.
  • Informieren Sie die Belegschaft über alternative Kommunikationskanäle, damit im Krisenfall jeder weiß, wo er Informationen erhält.

Einrichtung von Monitoring-Diensten

Nutzen Sie für Ihre eigenen digitalen Dienste oder die Benachrichtigungsfunktionen Ihrer Webseite, die Sie alarmieren, sobald eine Nichterreichbarkeit vorliegt – so erfahren Sie frühzeitig von einer möglichen Krise.

Einrichtung von Social-Media-Kanälen

  • Richten Sie Social-Media-Präsenzen als alternative Kommunikationskanäle nach außen ein.
  • Nutzen Sie diese Kanäle gleichzeitig zur Beobachtung relevanter Themen und Stimmungen.
  • Positionieren Sie Ihre Social-Media-Auftritte als zentrale Anlaufstelle für Fragen, insbesondere von externen Verantwortlichen.

Einrichtung von Software-Alternativen

Etablieren Sie in Absprache mit Ihrem IT-Dienstleister alternative Softwarelösungen, die im Krisenfall genutzt werden können, wie z.B. Notfall-Laptops (Mäuse und Tastaturen nicht vergessen).

Erstellung einer Fallback-Seite/Darksite

Lassen Sie für die kommunale Website eine Fallback-Seite bzw. Darksite einrichten.

2. Sicherheit im Kontakt mit Medien

Grundregeln der Kommunikation

  1. Unterscheiden Sie nicht zwischen interner und externer Kommunikation. Bedenken Sie stets: Jede interne Äußerung, die in größerem Kreis getätigt wird, hat das Potenzial, an die Öffentlichkeit zu gelangen.

  2. Erreichbarkeit der Verantwortlichen.In Krisenzeiten ist die zeitnahe Erreichbarkeit des gesamten Krisenstabs von höchster Priorität.

  3. Halten Sie sich an die festgelegten Kernbotschaften.Ein einheitlicher, klarer Kommunikationsstil schafft Vertrauen; widersprüchliche Aussagen hingegen führen zu Verwirrung.

  4. Mitarbeiterinnen und Mitarbeiter zuerst.
    Im Falle eines Cyberangriffs auf die IT-Infrastruktur der Kommune gebührt den eigenen Mitarbeitenden oberste Priorität bei der Information über den aktuellen Stand. Es schadet dem Ansehen der Führung, wenn die Belegschaft erst über externe Quellen wie Medien oder soziale Netzwerke von der Krise erfährt.

  5. Kein »Kein Kommentar« bei Gerüchten und Spekulationen.
    Sehen Sie sich mit Gerüchten und Spekulationen konfrontiert, gilt es zunächst, deren Wahrheitsgehalt zu überprüfen, bevor Sie an die Öffentlichkeit treten. Wägen Sie sorgfältig ab, welche Informationen für die Allgemeinheit bestimmt sind und stimmen Sie diese gegebenenfalls mit den zuständigen Stellen ab. Die Devise lautet: Erst informieren, dann kommunizieren.

  6. Gesprächspartnerinnen und -partner prüfen.
    Seien Sie achtsam, wem Sie Informationen anvertrauen und mit wem Sie diese teilen. Lassen Sie sich nicht auf »Hintergrundgespräche« oder »vertrauliche Statements« im kleinen Kreis ein. Der wachsende Konkurrenzdruck in den Medien führt dazu, dass alles publik gemacht wird. Selbst Aussagen, die explizit nicht für die Öffentlichkeit gedacht sind, könnten ihren Weg in die Presse finden. Wägen Sie daher in jedem Einzelfall die möglichen Konsequenzen sorgfältig ab.

  7. Klare, einfache Sprache.
    (Verwaltungs-)Experten tendieren dazu, sich in ihrer Fachsprache auszudrücken. In der Krisenkommunikation ist es jedoch entscheidend, Informationen möglichst einfach und verständlich zu vermitteln - in der Sprache von Journalisten und ihrer Leserschaft. Platzieren Sie die wichtigsten Botschaften am Anfang und am Ende Ihrer Statements. Verzichten Sie auf wortreiche Rechtfertigungen und konzentrieren Sie sich stattdessen auf die zentralen Fakten.

  8. Online-Kommunikation.
    In Krisenzeiten zahlt sich der Dialog über soziale Medien aus. Die Reaktion muss auch außerhalb der regulären Geschäftszeiten relativ zügig erfolgen (innerhalb von 2 Stunden) und auf die verschiedenen Kanäle zugeschnitten sein. Auch die eigene Darksite stellt eine mögliche Plattform dar.

3. Checkliste interne und externe Kontakte

Aktuell und jederzeit griffbereit vorhalten

Für die effektive Bewältigung einer Krise ist es unerlässlich, dass die Kommunalleitung über eine stets aktuelle Liste interner Ansprechpartner und Ansprechpartnerinnen verfügt. Diese Liste ermöglicht es, unverzüglich die wichtigsten Kontakte innerhalb der Stadt- oder Kommunalverwaltung zu informieren und erste Erkenntnisse über die Art und das Ausmaß des Vorfalls einzuholen. Parallel dazu sollte eine Liste mit den aktuellen Kontaktdaten aller relevanten externen Stakeholder bereitgehalten werden.

⚠️ Diese Listen müssen auch verfügbar sein, wenn aufgrund des IT-Vorfalls kein Online-Zugriff möglich ist.⚠️

Die Liste mit internen Ansprechpartnerinnen und Ansprechpartnern sollte folgende Personen und Funktionen umfassen:

  • Beauftragte für Arbeits- und IT-Sicherheit sowie Datenschutz
  • Verwaltungsleitung und Mitglieder des Krisenstabs (falls vorhanden)
  • Pressestelle bzw. Kommunikationsbeauftragte und Ansprechpersonen für Presseanfragen und Medienkontakte
  • Mitarbeiterinnen und Mitarbeiter

Die Liste mit externen Ansprechpartnerinnen und Ansprechpartnern sollte folgende Stellen und Institutionen enthalten:

  • Ermittlungsbehörden: örtliche Polizei und das LKA ZAC (Zentrale Ansprechstelle Cybercrime) - unverzichtbare Partner bei der Aufklärung und Strafverfolgung von Cybervorfällen.
  • Datenschutzaufsichtsbehörde (Beauftragter für Datenschutz und/oder Informationsfreiheit): Bei Vorfällen mit Bezug zum Datenschutz besteht eine Meldepflicht gegenüber den Behörden.
  • Politik und Parteien: Eine frühzeitige Information der politischen Entscheidungsträger ist von großer Bedeutung, um Vertrauen zu schaffen und Unterstützung zu sichern.
  • Lokale und regionale Medien: Der proaktive Kontakt zu Medienvertretern ermöglicht es, die Kommunikationshoheit zu behalten und Spekulationen vorzubeugen.
  • Nachbarkommunen und Landkreise: Ein Austausch mit angrenzenden Gebietskörperschaften kann wertvolle Erkenntnisse liefern und Synergien bei der Krisenbewältigung schaffen.
  • Möglicherweise betroffene kommunale Unternehmen: Falls städtische Betriebe oder Beteiligungen von dem Vorfall betroffen sind, müssen diese schnellstmöglich in die Kommunikation eingebunden werden.
  • IT-Dienstleister: Externe IT-Dienstleister, die für die Kommune tätig sind, spielen eine Schlüsselrolle bei der Wiederherstellung der Systeme und der Aufklärung des Vorfalls.
  • Falls vorhanden: die eigene Cyber-Versicherung. Der Versicherer kann nicht nur finanziell unterstützen, sondern oft auch mit Experten und Dienstleistern dazu beitragen, den Schaden zu begrenzen und die Krise zu bewältigen.

4. Proaktiv informieren: Haltestatements

Spekulationen vorbeugen, Zeit gewinnen

Haltestatements sollen proaktiv eine Position einleiten und eine kurze, allgemeine Stellungnahme zum Sachverhalt geben. Damit beugen Sie Spekulationen vor und gewinnen Zeit, bis alle relevanten Fakten recherchiert sind und eine vollständige Stellungnahme abgegeben werden kann.


Für die Anfangsphase

Ein Haltestatement sollte demnach nur in der Anfangsphase bzw. während der Recherchephase in einer Krisensituation eingesetzt werden.

Haltestatements sollten, wie alle Krisenkommunikationsmittel, immer mit den betroffenen Stellen (Presseabteilungen, Verwaltungsleitung, ggf. Fachleute für IT-Sicherheit und Datenschutz, ggf. Aufsichts- und Ermittlungsbehörden) abgestimmt werden, bevor sie verwendet werden können.

W-Fragen abarbeiten

  • Was ist passiert?
  • Wo ist es passiert?
  • Wer ist involviert?
  • Wie lange dauert der Vorfall noch an?
  • Evtl. Wann ist es passiert? (vorsichtig nutzen, kein Täterwissen verbreiten)
  • Ggf. Wie ist es passiert? (vorsichtig, meist Spekulation)

Interesse und Wunsch nach Aufklärung respektieren

Nicht zu Details äußern, die Spekulationen zulassen

Das Statement kann sowohl an Presse als auch intern an Mitarbeiterinnen und Mitarbeiter, an Aushänge in den Gemeinden, Newsletter, auf der Darksite etc. herausgegeben werden. Im PDF, das zum Download auf dieser Seite bereitsteht, finden Sie auch Musterformulierungen. 

5. Recherchepläne

Fragenkatalog für die interne Bestandsaufnahme

Dieser Fragenkatalog dient zunächst nur der internen Aufklärung in akuten Krisenfällen und als Grundlage für erste Überlegungen sowie als Einstufungshilfe für kommunale Cybersicherheitsvorfälle. Die Fragen müssen fallspezifisch angepasst werden.

Es sind jedoch auch typische Fragen, wie sie in Krisenfällen von Presse und interessierter Öffentlichkeit gestellt werden können. Viele dieser Informationen sollten jedoch nicht zur Kommunikation nach außen gegeben werden, vor allem, solange die Untersuchungen noch laufen.

In einem zweiten Schritt kann deshalb auf Grundlage Ihrer Vorarbeiten ein Fragen-/Antworten-Katalog zur Vorbereitung auf Interviews und Pressekonferenzen erstellt werden, bzw. auch eine Pressemitteilung formuliert werden.
Geplante Veröffentlichungen zum Vorfall immer vorab mit der involvierten Polizeibehörde und/oder Datenschutzaufsichtsbehörde abstimmen.

Fragenkatalog

Allgemeine Angaben
  • Wichtigste Daten zur Einrichtung: Anschrift, Zahl der Mitarbeiterinnen und Mitarbeiter

Angaben zu Vorfall:
  • Was ist geschehen? (Handelt es sich z.B. um eine IT-Störung, die bspw. durch einen technischen Defekt oder einen Stromausfall verursacht wurde, um einen Datenschutzvorfall oder einen Cyberangriff durch externe Akteure?)
  • Wann ist der Vorfall/die Störung (vermutlich) eingetreten?
  • Wann wurde der Vorfall entdeckt und gemeldet?
  • Ist der Vorfall andauernd oder bereits behoben?
  • Mit welchen Einrichtungen/Behörden wird bei der Behebung zusammengearbeitet? (Polizei, Datenschutzaufsichtsbehörde, BSI, LandesCERT, IT-Dienstleister, andere Kommunen)

Zur Strukturierung der Herangehensweise bei der Einordnung des Vorfalls und dessen Auswirkungen sowie daraus resultierende Datenschutzverletzungen kann es hilfreich sein, entlang der Cybersicherheits-Schutzziele der Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Systemen zu arbeiten.


Verfügbarkeit

  • Technisch: Welche Systeme oder Daten sind nicht verfügbar (bestimmte Datenbanken, Webseite, E-Mail-Server etc.)?
  • Organisatorisch: Welche Leistungen und Funktionsbereiche sind durch die Nicht-Verfügbarkeit eingeschränkt/nicht möglich? Welche konkreten Dienste, Verfahren oder Handlungen können nicht oder nur eingeschränkt durch Mitarbeiterinnen und Mitarbeiter der Kommune oder Bürgerinnen und Bürger durchgeführt werden?
  • Örtlich: Welcher Standort ist von der Nicht-Verfügbarkeit betroffen?

Vertraulichkeit

Welche Arten von Daten sind von der Störung der Vertraulichkeit potenziell betroffen?
  • Personenbezogene Daten (Personaldaten von Mitarbeiterinnen und Mitarbeitern oder Abgeordneten, Daten von Bürgerinnen und Bürgern -> wenn möglich Eingrenzung aus welchem Bereich)
  • Verschlusssachen
  • andere Arten von Daten


Welche Bereiche sind von der Verletzung der Vertraulichkeit betroffen?
  • Technisch: welche Systeme, IT-Anwendungen oder Datenbanken?
  • Organisatorisch: welche Fachbereiche oder Ämter?
  • Örtlich: welche Standorte


  • Durch wen war ein unbefugter Zugriff möglich (Mitarbeiterinnen und Mitarbeiter innerhalb der Organisation, die zu weitgehende Berechtigungen hatten, Angreifer im Rahmen eines Cyberangriffs, ggf. sogar Veröffentlichung erbeuteter Daten im Darknet)?
  • War ein unbefugter Zugriff nur grundsätzlich möglich, oder gibt es Hinweise, dass der Zugriff auch tatsächlich stattgefunden hat?

Integrität

(Vollständigkeit und Korrektheit von Daten und die korrekte Funktionsweise eines Systems)

  • Welche Systeme oder Daten sind von der Verletzung der Integrität betroffen (technisch, organisatorisch, örtlich)?
  • Um welche Form bzw. Art der Störung der Integrität handelt es sich?

Auswirkungen und Abhilfemaßnahmen aus der internen Perspektive

  • Hat das Ereignis Auswirkungen auf die Umgebung, wie bspw. Landkreise?

  • Was wird von wem gegen den Vorfall / die Störung unternommen (Maßnahmen)?

  • Welche Auswirkungen hat der Vorfall auf Bürgerinnen und Bürger bzw. ortsansässige Betriebe?Liegt eine meldepflichtige Datenschutzverletzung vor?

  • Liegt eine Datenschutzverletzung vor, bei der auch betroffene Personen benachrichtigt werden müssen?

  • Welche Risiken entstehen ggf. für betroffene Personen infolge der Verletzung des Schutzes von personenbezogenen Daten? (bspw. durch missbräuchliche Verwendung der Daten wie Identitätsdiebstahl, Phishing)

  • Liegen aktuell bereits Hinweise auf eine missbräuchliche Verwendung vor?

  • Welche Abhilfe- bzw. Schutzmaßnahmen wurden für betroffene Personen eingeleitet?

  • Welche Abhilfemaßnahmen bzw. Vorkehrungen können betroffene Personen selbst treffen, um sich vor Auswirkungen zu schützen?

  • Wie lange ist die erwartete Dauer der Störung bzw. wie lange ist der Dienst voraussichtlich nicht erreichbar?

  • Wenn Dienste erst nach und nach wiederhergestellt werden: Wie werden diese priorisiert? Was wird schnell wiederhergestellt, wo wird es länger dauern?

  • Gibt es Alternativen oder Ausweichmöglichkeiten für betroffene Dienste/Standorte?

  • Muss die Arbeit eingestellt werden?

  • Ganz/teilweise/bis wann?

  • Ist mit Schadensersatzansprüchen zu rechnen?

  • Wodurch ist das Schadensereignis eingetreten? VORSICHT! Keine vorschnelle Schuldübernahme, bevor nicht alle Fakten geklärt sind
Klosterstr. 10, 38889 Blankenburg
Telefon: 0160 950 18984
Mail: info@staysafe-academy.com
AGB   |   Impressum   |   Datenschutzerklärung   |   Privacy (US)
Copyright © 2025