Lessons learned aus Petersberg

Risiken der Digitalisierung

Dr. Ulrich Keilmann

Dr. Ulrich Keilmann
Foto: BS/privat

Dr. Keilmann leitet die Abteilung Überörtliche Prüfung kommunaler Körperschaften beim Hessischen Rechnungshof in Darmstadt.

Digitalisierung ist kein Selbstläufer. Sie macht Verwaltungen schneller, bürgerfreundlicher und effizienter. Sie schafft aber zugleich neue Verletzlichkeiten. Wie real diese Risiken sind, zeigte der Cyberangriff auf die Gemeinde Petersberg (Hessen) am 7. Februar 2024 mit eindrucksvoller Klarheit.

Von einem Moment auf den anderen war die komplette Verwaltung arbeitsunfähig. Bildschirme blieben dunkel, Außenstellen standen still, Bürgerdienste (vom Einwohnermeldeamt bis zur Bücherei) waren nicht nutzbar. Während einige Bereiche im März wieder anliefen, blieben besonders sensible Prozesse wie Zahlungsverkehr oder Gebühreneinzug deutlich länger gestört. Erst Ende April konnte die Verwaltung wieder auf einen einigermaßen regulären Betrieb zurückschalten.

Petersberg hatte Glück im Unglück. Die Datensicherung war kurz vor dem Angriff aktualisiert worden und die Täter hatten keinen Zugriff darauf. Dadurch konnten nahezu alle Daten wiederhergestellt werden. Ohne diese Sicherung wäre der Schaden ungleich größer gewesen, möglicherweise irreversibel.

Die Gemeinde reagierte entschlossen. IT-Forensiker wurden hinzugezogen, um die Schwachstelle zu identifizieren und zu schließen. Gleichzeitig nutzte Petersberg die Krise als Modernisierungsschub. Veraltete Anwendungen wurden durch sicherere Produktgenerationen ersetzt, interne Abläufe wurden überprüft, Sicherheitsmechanismen verstärkt. Der Angriff war damit Auslöser für ein „Change-Management“ und Ausgangspunkt für einen sichereren, moderneren IT-Betrieb.

Der Fall macht aber auch deutlich, wie groß die strukturellen Herausforderungen für Kommunen sind. Viele Verwaltungen arbeiten mit komplexen, historisch gewachsenen Systemlandschaften. Fachverfahren stammen von unterschiedlichen Anbietern, Schnittstellen sind teilweise jahrelang unverändert und Sicherheitsupdates werden nicht immer zeitnah eingespielt. Gleichzeitig nimmt die Zahl der Angriffe auf kommunale IT stetig zu. Zudem werden sie immer professioneller, automatisierter und oft mit hoher krimineller Energie ausgeführt.

Lessons learned…

  1. Cybervorfälle sind keine Seltenheit mehr. Sie sind Teil der digitalen Realität kommunaler Arbeit.
  2. Digitale Sicherheit ist keine technische Nebensache, sondern ein strategischer Bestandteil kommunaler Leistungsfähigkeit vergleichbar mit Brandschutz, Notfallplanung oder Haushaltssteuerung.

… und sechs zentrale Empfehlungen:

  1. Nehmen Sie Datensicherungen ernst
    Backups sind die Rückfallebene, ohne die digitale Verwaltung nicht überlebensfähig ist.
  2. Halten Sie die Systeme aktuell
    Veraltete Software ist das bevorzugte Einfallstor für Angriffe. Updates und Patches sind kein lästiger Mehraufwand, sondern ein Sicherheitsfaktor.
  3. Üben Sie die Krise
    Notfallhandbücher helfen nur, wenn sie gelebt werden. Nur reale Tests zeigen, ob Wiederanlaufpläne funktionieren und welche Abläufe nachgeschärft werden müssen.
  4. Sensibilisieren Sie die Mitarbeitenden
    Viele Angriffe beginnen mit einer einzigen fehlerhaften Entscheidung, den Inhalt einer E-Mail zu öffnen. Bewusstsein ist einer der wirksamsten Schutzmechanismen.
  5. Nutzen Sie moderne Technologien
    Sicherheit ist immer auch eine Frage von Standards. Nicht nur Ihre Fachsysteme sollten aktuell und sicher sein. Nutzen Sie z.B. auch sichere Authentifizierungsverfahren.
  6. Bündeln Sie Fachwissen, Reaktionsfähigkeit und Kosten in einer IKZ
    Gemeinsame Standards und Abwehrzentren, kooperative Vergabe und geteilte Notfallkonzepte professionalisieren den Support und die Widerstandsfähigkeit.

Der Cyberangriff auf Petersberg war ein Weckruf. Er zeigt, wie verwundbar Verwaltungen sein können. Er zeigt aber auch, wie viel möglich ist, wenn eine Kommune entschlossen reagiert. Digitalisierung ist die große Chance und kann der „Game-Changer“ sein. Doch sie wird nur dann zum Erfolg, wenn wir ihre Risiken ernst nehmen und konsequent begrenzen.

Lesen Sie mehr zu diesem Thema im Kommunalbericht 2025, Hessischer Landtag, Drucksache 21/2980 vom 21. November 2025, S. 73 ff. Der vollständige Bericht ist kostenfrei unter https://rechnungshof.hessen.de abrufbar.