Kommunikation der Kommunen im Krisenfall

Auch im Falle eines Cyberangriffs muss informiert werden

Cyberattacken auf Kommunen haben keinen Seltenheitswert mehr. Im Gegenteil: Sie gelten als attraktives Ziel für Internet-Kriminelle. Grund dafür ist, dass Angreifer annehmen, dass die Systeme weniger professionell und umfassend geschützt sind, als jene von kommerziellen Unternehmen. Mit einer erfolgreichen Attacke auf Bürgerservices wird zudem das Unsicherheitsgefühl der Bevölkerung verstärkt, weshalb oft politische Akteure als Hintermänner vermutet werden.

Finanziell ist ein Cyberangriff auf eine Kommune weniger interessant, denn Behörden wird kaum erlaubt, Lösegeld für verschlüsselte Systeme zu bezahlen. Die Schäden sind aber oft erheblich, dafür reicht ein kurzer Blick ins Jahr 2024: Cyberkriminelle haben im Oktober digitale Systeme von mehr als 70 Kommunen in NRW lahmgelegt; das CyberCompetenceCenter Hessen registrierte 21 Angriffe auf die IT ihrer Kommunen. Das Landratsamt in Kehlheim (Bayern) war infiltriert, die Anwesenheit von Kriminellen im System wurde im Februar erst durch das Bundesamt für Sicherheit in der Informationstechnik aufgedeckt.

Technische Lösungen, Angriffe zu verhindern oder rechtzeitig zu entdecken und abzuwehren, gibt es mittlerweile viele. Auch die Angebote von Incident Response Teams zur Wiederherstellung der Betriebsfähigkeit nehmen zu, allerdings mit stark schwankender Expertise. Hier lohnt es, genau hinzusehen, welche Erfahrung und Kenntnisse spezialisierte Firmen und ihre Mitarbeiter mitbringen.
Wer informiert jedoch im Falle eines erfolgreiche Cyberangriffs Behördenmitarbeiter, Bürger und Unternehmen? Antworten auf diese Frage sollten vorbereitet werden und Teil von Notfallkonzepten sein. Daher ist es ratsam, ein Krisenkommunikationshandbuch zu erstellen, um für Krisenfälle – nicht nur, aber auch der IT-Versorgung – gerüstet zu sein.

Das Notfallhandbuch deckt alle Aspekte der Krisenbewältigung ab, es kann für jede potenziell von einer Krise betroffene Fachabteilung, etwa der IT-Abteilung, mit einem entsprechenden Kapitel ergänzt werden. Zusätzlich sollte das Notfallhandbuch weitere Unterlagen umfassen, die eher dem allgemeinen Krisenmanagement einer Organisation zuzuordnen sind.

Das Krisenkommunikationshandbuch umfasst zum Beispiel folgende Elemente:

• Definition einer Krise
• Definition von Zuständigkeiten
• Mitgliedslisten der Krisenkommunikationsstäbe mit allen Kontaktdaten (inkl. privater E-Mail-Adressen und privater Telefonnummern)
• Beschreibung der Aufgaben der Gremien
• Definition der Prozesse
• Definition aller in der Krise genutzten Kommunikationskanäle (mit Zielgruppenzuordnung)
• Definition aller Kommunikationsinstrumente in der Krise
• Definition der Sprecher*innen-Rollen
• Ablaufdiagramme (vom Feststellen der Krise bis zur Beendigung der Krise)
• Beschreibung der Kommunikationskultur
• Vorformulierte Dokumente

Hilfreich ist der „Leitfaden Krisenkommunikation“, den das Bundesministerium des Innern herausgegeben hat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Erstellung eines „Notfallhandbuchs“ und gibt konkrete Tipps, was so ein Handbuch alles enthalten sollte. Es beinhaltet vor allem technische Vorkehrungen zum Schutz der IT-Infrastruktur. Aber auch die Krisenkommunikation sollte immer ein Teil eines Notfallhandbuchs sein, denn das Vertrauen der Bürger in funktionierende Behörden darf nicht beschädigt oder muss gegebenenfalls schnell wiederhergestellt werden. Erfahrungsgemäß muss ein Notfallhandbuch immer in einem Prozess mit Behördenleitung, Pressestelle, IT-Abteilung, Sicherheits-Experten und betroffenen Fachabteilungen einer Organisation erarbeitet werden.

Alle Jahre wieder – der Praxistest

Als Lackmustest muss die Krisensituation simuliert werden: von der Ausrufung der Krise durch die Leitung des Krisenkommunikations-Notfallstabs bis zu dessen erster Konferenz. Dort werden dann die ersten Maßnahmen beschlossen. Damit wird überprüft, ob die Maßnahmen funktionieren, Gremien arbeitsfähig sind, die Prozesse wie gewünscht ablaufen und die Vorlagen tauglich sind.
Im Idealfall werden solche Krisenreaktionstests jährlich, wie eine Brandschutzübung, durchgeführt. Dies ist dann auch ein guter Anlass, um alle Dokumente, vor allem zu Ansprechpartnern und Kontaktdaten, zu aktualisieren und die definierten Prozesse neuen Gegebenheiten anzupassen. Ein Krisenreaktionsplan ist nie fertig. Die Cyberkriminellen sind es mit ihren Planungen ja auch nicht.

Michael Kausch