Organisationsversagen

Organisationsversagen vs. Technikpanne

Wenn aus Organisationsversagen eine „Technikpanne" wird.

Sabine Griebsch

Sabine Griebsch

9 Min. Lesezeit
Teilen
Organisationsversagen vs. Technikpanne

Ein Satz wiederholt sich in der medialen Aufarbeitung von Verwaltungsversagen mit beunruhigender Regelmäßigkeit: „Es war eine Technikpanne." Er klingt harmlos. Eine Panne ist ein Defekt, etwas, das man repariert und das niemand zu verantworten hat. Genau darin liegt das Problem. Denn was als Technikpanne erscheint, ist in den hier betrachteten Fällen etwas anderes: das sichtbare Symptom eines tieferliegenden Steuerungs-, Personal- und Verantwortungsdefizits. Die Technik hat in beiden Fällen getan, wofür sie gebaut wurde - sie ist lediglich der Ort, an dem ein organisatorisches Versäumnis sichtbar wird. Resilienz entsteht weder in der Technik noch in der Organisation allein, sondern erst in ihrem präzisen Zusammenspiel.

Zwei aktuelle Vorgänge aus Sachsen-Anhalt zeigen das mit erschreckender Klarheit. Im einen Fall geht es um Leben und Tod, im anderen um die digitale Erreichbarkeit eines Landkreises. Beide eint eine fehlerhafte Zuschreibung - und beide zeigen, wie schnell die IT zum Sündenbock einer Verantwortung wird, die organisatorisch und personell zu verorten wäre.

Fall 1: Tod von Alicia und das verschollene Fax

Am Sonntag, dem 7. Juni 2026, wurde im Osternienburger Land (Landkreis Anhalt-Bitterfeld) ein sechsjähriges Mädchen mit schweren Kopfverletzungen in eine Spezialklinik geflogen; Rechtsmediziner stellten Verletzungen fest, die nicht zu einem geschilderten Unfall passten (Mitteldeutsche Zeitung). Zwei Tage später starb das Kind. Der 27-jährige Lebensgefährte der Mutter sitzt in Untersuchungshaft. Nach dem Tod wurde bekannt, dass sowohl die Kita als auch die Mutter zuvor beim Dessau-Roßlauer Jugendamt auf eine mögliche Kindeswohlgefährdung hingewiesen beziehungsweise um Hilfe gebeten hatten - ohne dass darauf reagiert wurde (RTL).

Der entscheidende Vorgang: Die Kita sandte im März 2026 ein Fax mit Hinweis auf eine mögliche Kindeswohlgefährdung. Es wurde automatisiert in eine E-Mail umgewandelt und an das Postfach eines Mitarbeiters zugestellt, der dort nicht mehr arbeitete. Die Nachricht blieb ungelesen. Nach dem Tod des Kindes fanden sich in diesem verwaisten Postfach über 470 ungelesene Mails, darunter weitere Gefährdungshinweise (Mitteldeutsche Zeitung; RTL). Bereits im Februar hatte die Mutter Hilfen zur Erziehung beantragt; auch dieser Antrag verschwand „spurlos". Eine Insiderin berichtet von massiver Personalunterbesetzung - nur gut die Hälfte der Stellen sei besetzt (RTL). Die Stadt kündigte eine „lückenlose Aufklärung", eine interne Untersuchung und personalrechtliche Konsequenzen an (Stadtverwaltung Dessau-Roßlau); mehrere Fraktionen erzwangen einen Sonderstadtrat.

Warum die Technik hier explizit nicht versagt hat

RTL und die öffentliche Wahrnehmung sprachen von einer „schwer zu fassenden Technikpanne". Die Vokabel ist nicht halb richtig, sondern grundlegend irreführend. Eingehende Faxe werden in einer modernen Verwaltung über ein Fax-to-Mail-Gateway verarbeitet: serverseitig empfangen, in ein PDF konvertiert, als E-Mail an eine hinterlegte Adresse zugestellt. Jeder Schritt dieser Kette hat funktioniert - das Fax wurde empfangen, korrekt umgewandelt, zugestellt und im Postfach abgelegt, vollständig und lesbar. Es lag dort und wartete.

Eine echte Technikpanne wäre etwas anderes: ein ausgefallener Faxempfänger, eine fehlgeschlagene Konvertierung, ein Mailserver, der Nachrichten verwirft. Nichts davon geschah. Das Problem ist nicht, dass die Zustellung fehlschlug, sondern dass am Ende der Kette kein Mensch und kein definierter Prozess stand, der die Nachricht aufnimmt. Die Technik kann transportieren und ablegen; sie kann nicht entscheiden, dass eine Nachricht sicherheitskritisch ist, bei Nichtbearbeitung eskaliert werden muss und ein verwaistes Postfach umzuleiten ist - es sei denn, man hat ihr genau das als Regel vorgegeben.

Eine Präzisierung, die in der öffentlichen Darstellung verloren geht: Es geht nicht darum, dass „das Postfach nicht nachbesetzt" wurde - Postfächer besetzt man nicht nach. Was möglicherweise nicht oder nicht rechtzeitig nachbesetzt wurde, ist die Stelle beziehungsweise die fachliche Funktion. Solange sie vakant ist, fühlt sich niemand für das zugehörige Postfach zuständig, und das personengebundene Postfach läuft als „digitales Schwarzes Loch" weiter. Das ist eine personalwirtschaftliche und organisatorische Frage, keine technische.

Das Versagen liegt also in der Organisation, die die Technik steuert:

  • Eine Stelle bzw. Funktion war - nach derzeitigem Stand - vakant oder im Übergang, ohne dass die zugehörige Eingangsverarbeitung organisatorisch übernommen wurde.
  • Ein sicherheitskritischer Eingangskanal war an eine personengebundene Adresse geknüpft statt an ein Funktionspostfach. Damit die IT ihn als kritisch behandelt, umleitet und mit Vertretung und Eskalation versieht, muss sie zunächst wissen, dass er kritisch ist - diese fachliche Einstufung muss aus dem Jugendamt kommen. Ohne sie behandelt die IT das Postfach wie jedes andere: technisch korrekt, fachlich blind.
  • Über 470 unbearbeitete Meldungen häuften sich an, ohne dass Wiedervorlage, Monitoring oder Vier-Augen-Prinzip Alarm schlugen - auch das kann die IT nur einrichten, wenn ihr die Anforderung übergeben wurde.

Die über 470 ungelesenen Mails sind nicht die Ursache, sondern der digitale Niederschlag eines Steuerungs- und Personalversagens. Sie zeigen sich auf der technischen Ebene, weil sich dort zählen lässt, was anderswo versäumt wurde - und genau diese Zählbarkeit verführt zur Fehlinterpretation. Eine Zahl auf dem Bildschirm wirkt wie ein technischer Befund, obwohl sie ein organisatorischer ist.

Fall 2: DDoS-Angriff auf Anhalt-Bitterfeld und die falsche Schuldzuschreibung

Kurzzusammenfassung. Ende Juli 2025 legte eine Serie von DDoS-Angriffen rund 30 kommunale Internetportale in Sachsen-Anhalt und Thüringen vorübergehend lahm (Security-Insider). Auch Anhalt-Bitterfeld war betroffen: Terminvergaben, Antragstellungen, Formulardownloads und Bewerberportal waren nicht nutzbar, die gesamte Webseite nicht erreichbar - weil der Landkreis sie bei derselben betroffenen Softwarefirma hostete. Bei der Wittenberger Kreisverwaltung blieb die Seite erreichbar, nur die Antragsdienste waren eingeschränkt. Ein Abfluss personenbezogener Daten wurde ausgeschlossen; es handelte sich ausschließlich um Überlastung (Behörden Spiegel; kommunaler-notbetrieb.de). Ziel war nicht die Kommune, sondern das zentrale Serviceportal eines externen IT-Dienstleisters; hinter der Angriffsserie werden pro-russische Akteure vermutet.

Warum die Technik des Landkreises auch hier nicht versagt hat

Ein DDoS-Angriff (Distributed Denial of Service) ist kein Einbruch und keine Kompromittierung, sondern ein Überlastungsangriff: Eine sehr große Zahl gleichzeitiger Anfragen - im Juli 2025 mit Spitzen von mehreren Millionen pro Stunde (Security-Insider) - überflutet einen Server, bis er legitime Anfragen nicht mehr beantwortet. Die Systeme bleiben intakt, nur vorübergehend nicht erreichbar.

Entscheidend ist, wessen Server überlastet wurde: nicht die Infrastruktur des Landkreises, sondern das Serviceportal eines externen, gemeinsam genutzten Dienstleisters. Dass in Anhalt-Bitterfeld sogar die gesamte Webseite ausfiel, legt eine organisatorische Entscheidung offen - Webseite und Antragsportal lagen beim selben Anbieter, ein Konzentrationsrisiko. In Wittenberg, wo die Webseite anderswo lag, blieb sie erreichbar. Das Ausmaß der Betroffenheit war also keine Frage der technischen Kompetenz der IT, sondern der Architektur- und Beschaffungsentscheidung. Die operative IT konnte einen DDoS auf Server eines Dritten weder verhindern noch abwehren; die Abwehr (temporäre Sperren, Filterung, Geoblocking) lag beim Dienstleister. In der Verantwortung des Landkreises lag nur das Vorgelagerte: Auswahl des Dienstleisters, vertragliche Schutzvereinbarungen und die Entscheidung, kritische Dienste nicht zu bündeln.

Mediale Fehlbezeichnung

Die Überschrift „Landkreis von Cyberattacke betroffen - Alle digitalen Dienste lahmgelegt" rückt den Landkreis ins Zentrum der Schuldzuschreibung. Bei vielen Bürgern bleibt hängen: „Der Landkreis wurde gehackt." Tatsächlich war er Opfer eines Angriffs auf einen Dritten. „Gehackt" ist zudem technisch unzutreffend - ein Überlastungsangriff ist keine Kompromittierung. Die Unterscheidung zwischen „vorübergehend nicht erreichbar" und „eingedrungen und ausgelesen" geht in der Verkürzung verloren, mit Folgen für das Vertrauen der Bürger.

Verschärft wird das durch den Rückbezug auf den Ransomware-Angriff von 2021, bei dem Anhalt-Bitterfeld als erste deutsche Kommune den Cyber-Katastrophenfall ausrief. Faktisch korrekt, aber framing-wirksam: Er suggeriert Kontinuität eines vermeintlichen Versagens, obwohl beide Vorfälle kaum verschiedener sein könnten - 2021 ein erfolgreicher Einbruch mit Verschlüsselung und Datenabfluss, 2025 eine externe Überlastung ohne jede Kompromittierung. Die Nebeneinanderstellung erzeugt eine Schuld, die der Landkreis hier nicht trägt, und verwischt, dass beide Fälle völlig unterschiedliche Lehren erfordern.

Sichtbarkeit verwechselt mit Ursächlichkeit

Beide Fälle teilen denselben Denkfehler: Das Versagen zeigt sich technisch - 470 Mails, eine tote Webseite - und wird deshalb der IT zugeschrieben. Doch die technische Sichtbarkeit eines Problems ist nicht seine Ursache. Im Fall Alicia liegt sie in Aufbau- und Ablauforganisation (fehlende Vertretung, fehlende Eskalation, fehlendes Monitoring, Personalunterbesetzung), im Fall Anhalt-Bitterfeld bei einem externen Dienstleister und einer Architekturentscheidung. In beiden Fällen wählt die Presse mit „Technikpanne" und „Landkreis gehackt" die bequeme Vokabel - und verlagert die Verantwortung dorthin, wo sie am wenigsten hingehört.

Was die IT gebraucht hätte - und was sie hätte tun können

Die zentrale Frage lautet nicht „Warum hat die Technik versagt?", sondern „Welche organisatorische Information hätte der IT vorliegen müssen, um den Vorgang technisch-administrativ korrekt zu bearbeiten?" Die IT kann nur absichern, was ihr als Anforderung bekannt ist.

Im Fall Alicia hätte sie gebraucht:

  • Personalmeldung (Off-Boarding): die verbindliche Information, dass der Mitarbeiter ausscheidet. Off-Boarding ist ein organisatorischer Prozess, der die IT auslösen muss - ohne ihn weiß sie nicht, dass ein Postfach verwaist.
  • Kritikalitätseinstufung des Eingangskanals: die Information, dass hier Kindeswohlgefährdungsmeldungen eingehen. Auch das muss man der IT ausdrücklich sagen - sie sieht einem Postfach nicht an, ob darin Newsletter oder Gefahrenmeldungen liegen. Die Einstufung muss aus dem Jugendamt kommen.
  • Vertretungs- und Weiterleitungsregel: an wen das Postfach bei Abwesenheit oder Ausscheiden umgeleitet wird. Die technische Umsetzung ist trivial, die Festlegung des Empfängers eine Organisationsentscheidung.
  • Funktionspostfach statt Personenpostfach: kritische Meldungen an ein rollengebundenes Postfach (z. B. kinderschutz@…), das unabhängig von Personen besteht und mehreren Bearbeitern zugänglich ist.
  • Monitoring und Wiedervorlage: die Vorgabe, dass unbearbeitete Eingänge nach Frist eskaliert werden.

Mit diesen Informationen wäre die Bearbeitung trivial gewesen: umleiten, Funktionspostfach einrichten, Eskalation konfigurieren. Dass es nicht geschah, ist kein technisches, sondern ein organisatorisches Versäumnis - die IT wurde nicht in die Lage versetzt, das Richtige zu tun.

Im Fall Anhalt-Bitterfeld hätte die organisatorische Vorsorge gebraucht:

  • Klarheit über Verantwortungsgrenzen: Wer betreibt welchen Dienst, und wo endet die Verantwortung der Kommune? Grundlage jeder belastbaren Krisenkommunikation.
  • Vertragliche Schutz- und SLA-Anforderungen: DDoS-Schutz, Reaktionszeiten, Eskalationswege - eine Beschaffungs- und Steuerungsaufgabe.
  • Architekturentscheidung mit Risikobewusstsein: ob Webseite und Antragsportal beim selben Anbieter liegen (Konzentrationsrisiko) - eine strategische Entscheidung mit IT-Relevanz.

In beiden Fällen gilt: Die IT setzt um, was die Organisation vorgibt - und die Organisation ist auf funktionierende Technik angewiesen, damit ihre Vorgaben wirken. Wo die Vorgabe fehlt, fehlt die Absicherung; wo die Umsetzung fehlt, nützt die beste Vorgabe nichts. Resilienz ist genau dieses Ineinandergreifen. Reißt es, trägt die IT die mediale Last für eine Entscheidung, die nie bei ihr lag.

Hintergrund mangelhafter Pressearbeit

Warum greifen Medien und mitunter die Behörden selbst so verlässlich zur falschen Vokabel?

Die Technik ist der bequeme Schuldige. Eine „Panne" beschämt vermeintlich niemanden persönlich und entlastet Leitungsebene, Personalplanung und Politik. Ein System kann keine Verantwortung tragen - genau das macht es als Erklärung attraktiv. Wer „Technikpanne" sagt, muss nicht über unbesetzte Stellen, fehlende Vertretungsregeln und Leitungsversagen sprechen - er macht die IT zum Prügelknaben und generell zum "Lieblingsschuldigen" in Zeiten zunehmender Digitalisierung.

Komplexität wird auf das Sichtbare reduziert. Organisationsversagen ist abstrakt und schwer zu erzählen; eine Zahl wie „470 ungelesene Mails" ist greifbar und zitierfähig. Das Symptom ist technisch, also wird die Geschichte technisch erzählt. Im Fall Anhalt-Bitterfeld kommt das Bedürfnis nach Kontinuität hinzu: „Schon wieder Anhalt-Bitterfeld" bedient ein vorhandenes Narrativ statt der tatsächlichen Verantwortungsstruktur.

Fachlich falsch wird die Verkürzung, wo sie Kategorien vermengt. Die Presse unterscheidet selten zwischen den vier grundverschiedenen Ebenen eines IT-Vorfalls: technische Störung (ein System fällt aus), Kompromittierung (jemand dringt ein und liest oder verschlüsselt), Überlastung von außen (DDoS, System bleibt intakt) und Organisationsversagen (die Technik funktioniert, niemand handelt). Jede erfordert andere Einordnungen, Verantwortlichkeiten und Konsequenzen. Unter Sammelbegriffen wie „Technikpanne" oder „gehackt" werden Sachverhalte verharmlost und in Anhalt-Bitterfeld eine externe Überlastung zum Eigenverschulden umgedeutet - in beiden Fällen wandert die Verantwortung an die falsche Stelle, und die IT trägt die Last.

Das ist nicht folgenlos: Die falsche Vokabel produziert die falsche Reparatur. Wer glaubt, im Fall Alicia habe „die Technik versagt", schaut auf das technische System - und die fehlende Stellennachbesetzung, Vertretungsregelung und Einstufung kritischer Eingänge bleibt bestehen. Wer glaubt, der Landkreis habe sich „schon wieder" gehackt, zieht Konsequenzen über die operative IT, statt Beschaffung und Architektur zu hinterfragen.

Das eigentliche Unvermögen liegt oft nicht nur bei der Presse, sondern in der Kommunikation der betroffenen Stellen. Wer im Krisenfall nicht präzise erklärt, was technisch, organisatorisch und extern verursacht ist, überlässt die Deutungshoheit anderen. Schweigen mit Verweis auf „ermittlungstaktische Gründe" oder ein knapper Ausfallhinweis über soziale Medien füllen die Lücke nicht - die einfachste verfügbare Erzählung tut es, und die heißt „Technikpanne" oder „Landkreis gehackt". Die Presse verkürzt auch deshalb so verlässlich falsch, weil ihr niemand die richtige Einordnung anbietet. Schlechte Krisenkommunikation ist nicht das Fehlen von Worten, sondern das Fehlen der richtigen Einordnung. So verliert die Bevölkerung das Vertrauen in die Leistungsfähigkeit der Verwaltung.

Verantwortung und organisatorische Reife

Kommunen sind die Verwaltungsebene, die den Menschen am nächsten steht. Hier werden keine abstrakten Politiken verwaltet, sondern konkrete Lebenslagen: Sozialleistungen, Bauanträge, Jugendhilfe, Kinderschutz. Im Fall Alicia ging es buchstäblich um Leben und Tod. Diese Nähe macht organisatorische Reife nicht zur Frage der Effizienz, sondern zur Frage der Verantwortung gegenüber Menschen. Daraus folgt eine klare Haltung:

Erstens - die richtige Vokabel ist eine Frage der Redlichkeit. Wer Organisationsversagen „Technikpanne" nennt, verschiebt Verantwortung und verhindert die richtige Lehre. Die ehrliche Benennung ist kein Schuldzuweisungs-, sondern ein Erkenntnisinstrument: Nur wer das Problem korrekt benennt, kann es beheben.

Zweitens - Verantwortung ist organisatorisch und personell zu verorten. Off-Boarding, Vertretungsregelungen, Funktionspostfächer, Eskalationspfade, Stellenbesetzung, Dienstleistersteuerung - das sind Führungsaufgaben der Leitungsebene, nicht der operativen IT. Wo die Organisation versagt, darf nicht „auf die Mitarbeiter heruntergetreten" werden, wie es ein Stadtrat im Fall Alicia formulierte.

Drittens - die IT braucht Anforderungen, keine Schuldzuweisungen. Die Fachbereiche müssen ihre kritischen Prozesse benennen, die Leitung Ressourcen bereitstellen, die IT setzt um. Reißt diese Kette, fällt das Ergebnis zu Unrecht auf die IT zurück.

Viertens - Krisenkommunikation beginnt vor der Krise. Wer im Ernstfall präzise erklären kann, was technisch, organisatorisch und extern verursacht ist, behält die Deutungshoheit.

Die Lehre aus beiden Fällen: Resilienz entsteht im Zusammenspiel zwischen Technik und Organisation - nicht in einer der beiden allein. Die beste Technik nützt nichts ohne Anforderungen, benannte Prozesse, besetzte Stellen und geklärte Verantwortlichkeiten; die beste Organisation bleibt wirkungslos, wenn ihre Vorgaben technisch nicht sauber umgesetzt und im Ernstfall belastbar sind. Funktionspostfach, Vertretung, Eskalation, Monitoring, DDoS-Schutz, redundante Architektur entstehen erst, wo die Organisation die richtige Anforderung formuliert und die Technik sie korrekt realisiert. Reißt diese Kopplung, entsteht die Lücke, in der Vorfälle wie diese möglich werden.

Die technische Ebene ist der Ort, an dem Versagen sichtbar wird - verantwortet wird es im Zusammenspiel, mit klarem Schwerpunkt bei Organisation, Personal und Leitung. Wer das verwechselt und allein der Technik zuschreibt, repariert das Symptom und lässt die Ursache bestehen. In einer Verwaltung, die den Menschen so nah ist wie die kommunale - wo es um Leben und Tod gehen kann -, ist das ein Risiko, das niemand verantworten kann.

Weiterlesen

„Sicheres Deutschland 2030“ entscheidet sich in den Kommunen

„Sicheres Deutschland 2030“ entscheidet sich in den Kommunen

Auf der Public IT Security in Berlin stand am Ende eine Diskussion, die das Zielbild der Nationalen Sicherheitsstrategie auf vier Prinzipien verdichtete: Governance statt Heldentum, gesamtstaatliche statt rein militärischer Verteidigung, Souveränität ohne Autarkie, Resilienz der Bevölkerung als strategisches Zentrum. Das Panel war hochkarätig besetzt - Streitkräfte, Wissenschaft, Sicherheitsbehörden. Es spiegelte damit
TLP: Informationsaustausch in kommunalen Cyberlagen

TLP: Informationsaustausch in kommunalen Cyberlagen

In einer entstehenden oder eingetretenen Ransomware-Lage entscheidet die Disziplin des Informationsaustauschs zwischen Kommune, Sicherheitsbehörden, Aufsichtsstellen und Dienstleistern maßgeblich über den weiteren Verlauf. Eine unbedachte Weitergabe kann Ermittlungen gefährden, die Taktung des Angreifers beschleunigen oder rechtlich geschützte Belange verletzen. Das Traffic Light Protocol (TLP) ist das im deutschen Behördenumfeld etablierte
Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Cyber Range für Kommunen womöglich im Entwurf des InfSG LSA

Eine Cyber Range ist die einzige Lernform, die einem realen Cyberangriff annähernd standhält. Sie ist eine virtualisierte, mandantenfähige Übungs- und Erprobungsumgebung mit definierten Rollenmodellen: Sie simuliert Angriffsszenarien, prüft Detektionslogiken, erprobt Incident-Response, trainiert Krisenkommunikation. In der erweiterten Form ist sie zugleich Reallabor für neue Detektions- und Reaktionsverfahren. Der Mehrwert für