Regelmäßig geraten bei Cyberangriffen auch Bremer Behörden ins Visier der Täter. So wurden und werden Websites, auf denen die Ämter Informationen für die Bürgerinnen und Bürger zur Verfügung stellen, Opfer von Attacken. Claudia Bollmann ist stellvertretende Leiterin des beim Senator für Finanzen angesiedelten Referats IT-Basis-, Portal- und Plattformdienste. Zugleich ist sie Mitglied der dreiköpfigen Kompetenzstelle CMS und Internet, die für die Sicherheit der Bremer Behörden-Websites zuständig ist. Sie erklärt, wie Angriff und Abwehr funktionieren – und warum die Täter Internetseiten angreifen.
"In den meisten Fällen sind es Ddos-Angriffe, die durchgeführt werden", sagt Bollmann. Bei diesen "Distributed Denial of Service"-Attacken sollen die angegriffenen Server mit einer Flut von Anfragen lahmgelegt werden. "Im Cyberbereich befindet man sich ja schon in einer Art Kriegszustand", sagt sie. Seit dem russischen Angriffskrieg auf die Ukraine habe die Zahl solcher Attacken zugenommen. Bollmann sagt: "Es ist das Ziel, Unsicherheit zu schaffen, das Vertrauen soll bröckeln."
Knapp 170 Webauftritte der zwölf Senatsressorts, ein gutes Dutzend Intranetseiten und noch einmal knapp 100 Webseiten aus dem Bildungsbereich auf eigenen Servern fallen in den Zuständigkeitsbereich der Kompetenzstelle CMS und Internet. CMS steht für Content-Management-System und bezeichnet das System, mit dem die Anwender die Seiten verwalten. In Bremen ist dies eine Eigenkreation namens Kogis, die vor Jahren auf einem bestehenden System aufgebaut wurde.
Der Großteil der Webseiten biete Informationen für die Öffentlichkeit. Wenn dort mal etwas nicht funktioniere, sei das zwar ärgerlich, da der Bürger oder die Bürgerin in dem Moment zum Beispiel nicht an die Öffnungszeiten von Ämtern gelange, sagt Bollmann. Aber es drohten keine gravierenden Konsequenzen. Sie rät daher zur Gelassenheit: "Wir müssen uns klarmachen: Es ist zwar ärgerlich, wenn eine Website mal nicht erreichbar ist." Doch man müsse sich vor Augen führen, dass dies geschehe, um für Verunsicherung zu sorgen.
Behörden arbeiten weiter
Zuletzt gab es im Februar 2025 in Bremen einen Angriff, bei dem eine prorussische Hackergruppe die Website der Polizei mit Tausenden Anfragen für mehr als eine Stunde zum Erliegen gebracht hatte. "Die Seiten, auf denen 'Polizei' oder 'Police' drüber steht, werden am meisten angegriffen", sagt Bollmann. Hier sei für die Täter sofort erkennbar, dass es sich um eine staatliche Seite handelt. Zwar würden die Webseiten der Bremer Polizei inhaltlich von der Polizei selbst betreut, doch für die Server, auf denen sie liegen, sind nach ihrer Angabe ebenfalls Bollmann und ihre beiden Kolleginnen von der Kompetenzstelle zuständig.
"Wenn Webseiten ausfallen, heißt es oft: 'Die Behörden wurden lahmgelegt'". Doch das sei nicht der Fall, sagt Bollmann: "Selbst wenn unsere Webseiten bei Cyberangriffen ausfallen, was schon passiert ist, heißt das nicht, dass alles stillsteht." Die betroffene Behörde arbeite trotzdem weiter. Der Kontakt sei weiterhin möglich, etwa durch das Bürgertelefon. "Es muss auch niemand Angst haben, dass durch einen solchen Angriff sein Steuerbescheid ausgelesen wird." Grundsätzlich gelte: Je sensibler die Informationen seien, desto stärker seien diese Bereiche vom Internet abgeschottet.
Insgesamt habe es in diesem Jahr bis Ende Juli vier größere Angriffe gegeben, bei denen ihr Team handelnd eingreifen musste, sagt Bollmann. Wie viele Angriffe insgesamt, also auch erfolglose, es auf die Seiten der Bremer Behörden gibt, könne sie nicht beziffern, weil das jeden Tag passiere. "Es ist ein stetiges Rauschen, permanent laufen irgendwelche Aktionen." Der bislang letzte erfolgreiche Angriff habe Anfang Juli stattgefunden und sei durch den Hinweis einer anderen Behörde aufgefallen. Weil nach der erfolgreichen Attacke im Februar bei der Abwehr noch einmal nachgebessert worden sei, sei der Angriff im Sommer ohne jegliche Ausfälle oder längere Ladezeiten erfolgt.
Beim Schutz von Webseiten sei es wie beim Einbruchschutz, sagt Bollmann: "An den Stellen, an denen eingebrochen wurde, muss man nachjustieren, beim Haus zum Beispiel an den Fenstern und Türen. Bei uns sind es oft die Stellen, wo es die Möglichkeit gibt, etwas einzugeben, ein Suchfeld oder ein Kontaktformular." Wenn das System einen Angriff erkenne, würden Maßnahmen ergriffen, um diesen abzublocken. Das System deaktiviere sich oder fahre herunter, damit die bedrohliche Anfrage nicht mehr ausgeführt werden könne. Auch IP-Adressen könnten blockiert werden. Doch man müsse immer wieder nachjustieren, sagt Bollmann. "Wie beim Einbruchschutz ist es eine Art Wettrüsten." Viele Angriffe erfolgten automatisiert mit Bots. Oft stecke kein konkreter Plan dahinter, gezielt eine bestimmte Behörde anzugreifen, sondern es sei ein Massenphänomen, das auch in anderen Bundesländern akut sei.
Kompetenz für Kommunen?
Manuel Atug, Künstlername ‚Honkhase‘, ist Gründer und Sprecher der unabhängigen AG Kritis. Dieser ehrenamtliche Zusammenschluss von Experten setzt sich unabhängig mit der kritischen Infrastruktur in Deutschland auseinander. Zur Sicherheit von Behörden-Internetseiten sagt er: "Es sind Systeme am Internet, die häufig durch Formulare und Webdienste angegriffen werden." Um dem Problem angemessen begegnen zu können, lautet seine Forderung: "Die Behörden brauchen Know-how im eigenen Haus."
Experte Manuel Atug setzt sich für eine stärkere Digitalkompetenz in den Behörden ein.
Oftmals jedoch hätten die Kommunen, die vielfach mit Dienstleistern arbeiten, keine ausreichende Expertise. "Die Kommunen müssen die Dienstleister steuern, sonst steuern die sie", ist er überzeugt. Für ihren Bereich sieht Bollmann das gegeben. "Wir haben Technik- und Informatikexpertise im Team und in unserem Referat. Wir könnten es hinterfragen, wenn von einem Dienstleister Vorschläge kommen, die nicht geeignet sind." Künftig, ist auch sie überzeugt, werde es die Digitalisierung mit sich bringen, dass man noch stärker eigene Digitalexpertise in der Verwaltung haben müsse. Daran werde bereits gearbeitet, etwa durch Studiengänge wie Verwaltungsinformatik.
