Im Visier und unter Beschuss von Cyberkriminellen

Die Meldung kam per Pressemitteilung, knapp und nüchtern: Das interne Netzwerk der Gemeinde sei „nicht verfügbar“, der Parteienverkehr bis auf Weiteres ausgesetzt. Was dahintersteckte, war ein Ransomware-Angriff — einer von vielen, die österreichische Gemeinden in letzter Zeit getroffen haben.

Langenzersdorf erlebte es am 27. Februar 2026, Krieglach schon wenige Wochen zuvor. Das interne Netzwerk war jeweils nicht mehr verfügbar, der Parteienverkehr musste ausgesetzt werden. Bürgermeister Andreas Arbesser schrieb danach selbst: „Cyberangriffe auf Gemeinden sind leider kein Einzelfall.“

Laut Medienberichten traf es in den vergangenen Monaten allein in Niederösterreich neben Langenzersdorf auch Maria Enzersdorf, Tulln und Korneuburg. Die Botschaft dahinter ist klar: Wer glaubt, als kleine Gemeinde unter dem Radar der Cyberkriminellen zu fliegen, irrt. KOMMUNAL hat deshalb mit Philipp Blauensteiner gesprochen — er leitet die NIS-­Abteilung im Bundesministerium für Inneres (BMI) und ist damit einer der führenden staatlichen Experten für Cybersicherheit in Österreich.

Die Bedrohungslage: Real und unterschiedslos

Blauensteiners Einschätzung ist ernüchternd, aber klar: „Wir leben in einem Umfeld, in dem Cyberangriffe jederzeit passieren können. Das kann natürlich jeden treffen — auch kleine Gemeinden und große Gemeinden, Firmen und Private.“ 

Hinter den meisten Angriffen auf Gemeinden steckt organisierte Kriminalität. Das Ziel ist meist dasselbe: Daten verschlüsseln, Lösegeld fordern, Druck aufbauen. Dabei nutzen die Angreifer laut Blauensteiner vor allem zwei Wege: zum einen das sogenannte Social Engineering — also die gezielte Ausnutzung menschlicher Gutgläubigkeit, etwa durch täuschend echte Phishing-E-Mails. Zum anderen den direkten Zugriff auf veraltete oder schlecht gewartete Systeme. „Wir wissen, alle Systeme haben Schwachstellen“, erklärt der Experte. „Und es gibt genug alte Systeme, die nicht mehr auf Stand gehalten werden — die laden quasi dazu ein, dass man in sie eindringt.“

Drei Säulen der Sicherheit: Technik, Organisation, Mensch

• Technische Maßnahmen: Geräte und Software, die noch aktiv gewartet und regelmäßig aktualisiert werden — auch Netzwerkgeräte und Firewalls.
• Organisatorische Maßnahmen: klare IT-Richtlinien, Verträge mit externen Dienstleistern, die Cybersicherheit explizit abdecken, sowie Krisen- und Notfallpläne.
• Der Faktor Mensch: Mitarbeiterinnen und Mitarbeiter, die Phishing-Mails erkennen. Blauensteiner bezeichnet sie ausdrücklich nicht als „Schwachstelle“, sondern als „First Line of Defense“ — als erste Verteidigungslinie.

Gerade bei kleinen Gemeinden ohne eigene IT-Abteilung liegt die Verantwortung im richtigen Definieren des Auftrags an externe Dienstleister. Multifaktor-Authentifizierung, sichere Konfiguration aller Anwendungen und klare Erreichbarkeitsvereinbarungen im Notfall seien dabei keine optionalen Extras, sondern Mindestanforderungen. Und: „Ich kann die Verantwortung nicht auslagern“, stellt Blauensteiner unmissverständlich fest. „Wenn es einen Vorfall gibt, wird der Bürger nicht zum Dienstleister gehen — sondern zum Bürgermeister.“

Im Ernstfall zählt jede Minute

Besonders bei Ransomware-Angriffen ist Zeit der entscheidende Faktor: Je länger die Verschlüsselung unbemerkt läuft, desto größer der Schaden. Blauensteiner empfiehlt deshalb, dass Gemeinden nicht nur Back-ups anlegen, sondern auch regelmäßig üben, wie diese wiederhergestellt werden können. „Wir wissen alle, Back-ups sind wichtig, aber: Wenn ich nie geübt habe, wie ich Daten wiederherstelle, könnte es sein, dass ich massive Lücken entdecke, wenn es wirklich darauf ankommt.“

Ebenso kritisch: die Notfallkommunikation. Wer hat alle wichtigen Telefonnummern und E-Mail-Adressen ausgedruckt und griffbereit — für den Fall, dass das gesamte IT-System nicht mehr verfügbar ist? Wie erreicht die Gemeinde ihre Bevölkerung, wenn E-Mail und Website ausgefallen sind? Diese Fragen müssen vor dem Ernstfall beantwortet werden, nicht währenddessen. Blauensteiner: „Das Schlimmste, was man machen kann: versuchen, den Vorfall zu ignorieren. Denn er wird nicht von alleine weggehen.“

GovCERT Austria: Der staatliche Ansprechpartner

GovCERT ist als nationales CERT (Computer Emergency Response Team) zuständig für verfassungsmäßige Einrichtungen — und damit auch für Gemeinden. Über das Meldeportal nis.govcert.gv.at können Vorfälle und Sicherheitsrisiken gemeldet werden, bei dringenden Fällen ist auch ein direktes E-Mail an reports@govcert.gv.at möglich. Das Team gibt rund um die Uhr Erstauskunft, vermittelt nächste Schritte und kann als Sparring-Partner in der Krisensituation dienen.

Blauensteiner räumt aber offen ein: „GovCERT ist nicht die Truppe, die ausrückt und alle Probleme behebt.“ Die Einheit unterstützt, berät und koordiniert — aber die eigentlichen Wiederherstellungsarbeiten obliegen den beauftragten IT-Dienstleistern der Gemeinde selbst. Umso wichtiger sei es, im Vorfeld zu klären, wer im Notfall erreichbar ist und welche Leistungen vertraglich abgesichert sind.

NIS-2: Wann werden Gemeinden rechtlich verpflichtet? 

Eine Frage treibt viele Gemeindeverantwortliche um: Greift das neue europäische Cybersicherheitsrecht — die NIS-2-Richtlinie — auch für sie? Die Antwort ist differenziert, aber für manche Gemeinden durchaus relevant.

Betreibt eine Gemeinde etwa eine Kläranlage, ein Wasserwerk oder eine Abfallentsorgung als Regiebetrieb, so gelten diese für die Zwecke des NIS-2-Rechts als „Unternehmen“ und unterliegen den entsprechenden Pflichten — sofern die Größenschwellen überschritten werden: ab 50 Mitarbeiterinnen und Mitarbeitern oder einem Umsatz von über zehn Millionen Euro. In diesen Fällen müssen Gemeinden unter anderem:

• sich bei der NIS-Behörde registrieren,
• ihre gesamte IT umfassend auch gegen physische Gefahren (Diebstahl, Brand, Stromausfall) schützen,
• Leitungsorgane und Mitarbeiter schulen sowie
• bei Sicherheitsvorfällen fristgerecht Meldung erstatten.

Blauensteiner weist ergänzend darauf hin, dass für „normale“ Gemeinden — also solche, die derzeit nicht unter das aktuelle NIS-Gesetz bzw. ab Oktober nicht unter das neue NISG 2026 fallen — aktuell keine bundesgesetzliche Meldepflicht nach einem Cyberangriff besteht. Ausnahme: Wurden personenbezogene Daten abgegriffen oder ist dies zu befürchten, greift die Meldepflicht nach der DSGVO. Eine freiwillige Meldung an GovCERT ist jedoch stets möglich und ausdrücklich empfohlen.

Das Bundesamt für Cybersicherheit: Hilfe in Planung

Mit der NIS-2-Umsetzung entsteht in Österreich derzeit ein neues Bundesamt für Cybersicherheit, das mit 1. Oktober 2026 voll operativ sein soll. Blauensteiner macht keine großen Versprechen, sieht aber in der neuen Behörde Potenzial für mehr: mehr Ressourcen für Aware­ness-Programme, mehr Unterstützung auch für kleinere Einrichtungen wie Gemeinden, vielleicht auch standardisierte Notfallplan-Vorlagen zum Download.

Auf die Frage, ob das BMI einen einheitlichen Cybernotfallplan für Gemeinden erstellen könnte — so wie es für Hochwasser bereits entsprechende Muster gibt —, antwortet Blauen­steiner diplomatisch: Die heterogene IT-Landschaft mache ein „One size fits all“ schwierig. Aber: „Derartigen Bedarf zu kennen ist etwas, was für die neue Leitung des Bundesamts sicher gut wäre.“ Eine klare Einladung an Gemeinden und ihre Interessenvertretungen, genau solche Bedarfe zu deponieren.

Rat an Bürgermeisterinnen und Bürgermeister

Am Ende des Gesprächs bittet KOMMUNAL um einen konkreten Rat für die kommunale Praxis. Blauensteiners Antwort ist ebenso klar wie umsetzbar:

1. Cybersicherheit zur Chefsache machen. Wer als Bürgermeisterin oder Bürgermeister das Thema ernst nimmt, sendet ein Signal in die gesamte Verwaltung.
2. Mit dem IT-Dienstleister zusammensetzen und gemeinsam den Status quo erheben: Was ist bereits vorhanden? Wer macht die Back-ups wirklich? Gibt es überhaupt eine Erreichbarkeitsvereinbarung für den Notfall?
3. Öfter mal ein kleines Planspiel durchführen: Was wäre, wenn heute Nacht alle Systeme ausfallen? Welche Schritte würden folgen? Wer wird zuerst kontaktiert? Wie erreicht die Gemeinde ihre Bevölkerung?

„Wichtig ist, nicht zu glauben, dass schon alles passen wird. Und sich dann als Ausgangspunkt die nächsten Schritte zu überlegen: Verträge durchschauen, Mitarbeiter schulen, eine Übung machen“, erklärt Philipp Blauensteiner auf die Frage nach seinem wichtigsten Rat.

Langenzersdorf und Krieglach werden nicht die letzten österreichischen Gemeinden sein, die Opfer eines Cyberangriffs werden. Aber sie können der Anstoß sein, dass andere Gemeinden jetzt handeln — bevor es sie trifft.