RESI2 für kommunale DDoS-Krisen

Im Herbst 2024 war es so weit: Die Arbeitsgruppe RESI hat im Rahmen des Dialogs für Cybersicherheit das erste Cyberresilience-Framework veröffentlicht – das Ransomware-Szenario für Kommunen. Was danach passierte, hat die Arbeitsgruppe positiv überrascht. Die Handreichung, das Szenario, die Vorlagen und Checklisten für die Krisenkommunikation landeten auf Schreibtischen, in Serverräumen und Schulungsunterlagen quer durch die Republik. „Das kommt super an", sagte Kollege Franz Lantenhammer damals – und das war noch untertrieben.

Warum? Weil das Material eine echte Lücke geschlossen hat. Kommunen wollen und brauchen praxisnahes Material, das unmittelbar eingesetzt werden kann – etwas, das Verantwortungsträgerinnen und Verantwortungsträger aufschlagen können und das ihnen im Ernstfall wirklich hilft. Diese Erfahrung war Ansporn genug, um weiterzumachen.

Das Ergebnis liegt seit April 2026 vor. RESI2 ist eine Handreichung zum kommunalen DDoS-Szenario. Sie wurde zeitgleich mit der IT-Sicherheitskonferenz des BSI vorgestellt und von denselben engagierten Menschen erarbeitet, die schon beim ersten Durchgang mit Herzblut dabei waren. Das 30-seitige Dokument beschreibt vier Phasen, enthält zahlreiche Checklisten und stellt ein Framework vor, das die Besonderheiten kommunaler IT-Infrastruktur wirklich versteht. Ein weiterer Meilenstein für die kommunale Cyberresilienz in Deutschland.

DDoS-Angriffe: Mehr als nur eine überlastete Website

Ein Distributed-Denial-of-Service-Angriff (DDoS) funktioniert nach einem einfachen, aber wirkungsvollen Prinzip: Angreifer überfluten Internetserver, Webhoster oder andere netzbasierte Dienste mit einer massenhaften Anzahl von Anfragen. Klassischerweise geschieht das über sogenannte Botnets, also Netzwerke aus Tausenden kompromittierten Geräten, die koordiniert auf ein Ziel einschlagen. Während des Angriffs sind Websites und Online-Dienste nicht erreichbar.
Das klingt technisch überschaubar, doch die Konsequenzen sind es nicht. DDoS-Angriffe treten in verschiedenen Formen auf, die unterschiedliche Teile der Infrastruktur treffen. Volumetrische Angriffe überfluten die Bandbreite. Protokollangriffe erschöpfen die Verarbeitungskapazität von Netzwerkgeräten. Angriffe auf Anwendungsebene zielen wiederum auf spezifische Dienste wie das Bürgerportal oder die E-Mail-Infrastruktur ab. Für Kommunen besonders relevant: Auch DNS-Dienste, über die alle digitalen Verwaltungsleistungen erreichbar sind, können direkt angegriffen werden.

Der entscheidende Unterschied zu Ransomware liegt im Schadensprofil. Ransomware verschlüsselt Daten, legt interne Systeme lahm und dringt tief in die IT-Infrastruktur ein. DDoS-Angriffe hingegen treffen die Außenwirkung, also die digitale Schnittstelle zwischen Verwaltung und Öffentlichkeit. Es gibt keine Datenverschlüsselung und keine dauerhaft kompromittierten Systeme, aber Bürgerinnen und Bürger bekommen keine Auskunft. Online-Dienste fallen aus. Verwaltungsprozesse geraten ins Stocken. Ein Vertrauensverlust in die digitale Verwaltung ist schwer wieder gutzumachen. Genau deshalb braucht es für DDoS ein eigenes Framework mit eigener Logik, eigenen Kommunikationswegen und eigenen Gegenmaßnahmen.

Die aktuellen Lageberichte der deutschen Sicherheitsbehörden BSI, BKA und BfV sprechen eine unmissverständliche Sprache und machen deutlich, warum eine dedizierte DDoS-Handreichung für Kommunen nicht nur sinnvoll, sondern dringend notwendig ist.

In seinem Lagebericht 2025 (Berichtszeitraum Juli 2024 bis Juni 2025) stellt das BSI fest, dass sich jeder zweite Cyberangriff gegen den öffentlichen Sektor richtet. Kommunen gehören dabei zu den am häufigsten betroffenen Zielgruppen. Neben Ransomware stehen DDoS-Angriffe ganz oben auf der Bedrohungsliste für öffentliche Einrichtungen. Bundesinnenminister Alexander Dobrindt brachte es bei der Vorstellung des Berichts auf den Punkt: „Deutschland ist nach den USA, Indien und Japan eines der Topziele für Cyberangriffe.“ Das ist kein Anlass zur Panik, aber ein sehr guter Grund, vorbereitet zu sein.

Im Bundeslagebild Cybercrime 2024 liefert das BKA ein präzises Bild der Angriffsmotive: Die Bedrohung ist geprägt von hacktivistischen DDoS-Kampagnen mit klar politischer Stoßrichtung – pro-russisch oder anti-israelisch. Primäre Ziele sind öffentliche Einrichtungen und Bundesbehörden. Was sich dahinter verbirgt, ist mehr als Vandalismus: DDoS-Angriffe werden gezielt als Instrument der psychologischen Kriegsführung eingesetzt, um Handlungsunfähigkeit zu demonstrieren, Vertrauen zu untergraben und politische Botschaften zu senden. BKA-Präsident Holger Münch ergänzt: „Wir beobachten eine zunehmende Ausweitung geopolitischer Konflikte in den digitalen Raum.“ Was in der Geopolitik beginnt, landet mitunter auf dem Server einer mittelgroßen Kreisstadt.

Das BfV schärft den Blick noch weiter. BfV-Präsident Sinan Selen stellte Anfang 2026 fest, dass bei ausländischen Angreifern „mehr Risikoappetit” und „variable Methoden” zu beobachten seien. Deutschland werde von Russland demnach als „Feind Nummer eins” wahrgenommen. Im April 2026 folgte eine gemeinsame internationale Warnung vor Angriffen der russischen Gruppe APT28 auf Internetrouter in Deutschland. Dies ist kein abstraktes Szenario mehr: Es geht um konkrete Infrastruktur, konkrete Verwaltungen und konkrete Ausfallzeiten.

In diesem Kontext erscheint RESI2. Und er zeigt: Das Timing hätte kaum besser sein können.

Was RESI2 bietet: Das Framework im Detail

„Unser Ziel ist es, dass sich Kommunen nicht erst in der Krise mit DDoS-Angriffen beschäftigen, sondern sich im Vorfeld damit auseinandersetzen, wo die Knackpunkte liegen“, sagt Franz Lantenhammer. Er hat viele Jahre das CERT Bw geleitet und gehört zu den Hauptautoren der neuen Handreichung. „Wen rufe ich an? Wer ist zuständig? Welche Gegenmaßnahmen gibt es? All das sind Fragen, die man gut vorbereiten kann, bevor der Ernstfall eintritt.“

Ein zentrales Element der Handreichung ist die klare Trennung zwischen technischen und organisatorischen Gegenmaßnahmen – und die Erkenntnis, dass beide gleichzeitig anlaufen müssen. Die IT-Seite – Analyse der Netzwerklast, Kontakt zum ISP, Aktivierung von Scrubbing-Diensten oder CDN-basierten Schutzmaßnahmen – ist nur die eine Hälfte der Gleichung. Die andere Hälfte betrifft die Führungsstruktur: Wer hat Entscheidungsbefugnis? Wer informiert wen? Wer kommuniziert nach außen – und mit welcher Botschaft?

Das Framework für das DDoS-Szenario gliedert sich in vier aufeinander aufbauende Phasen:

Phase 1 – Angriff feststellen und erkennen: Der Beginn eines DDoS-Angriffs ist selten eindeutig. Verlangsamte Dienste, erhöhte Fehlerraten, ungewöhnliche Traffic-Muster – das alles kann auch technische Ursachen haben. Die erste Aufgabe ist deshalb die Einschätzung: Handelt es sich um eine Störung oder um einen gezielten Angriff? Diese Unterscheidung hat unmittelbare Konsequenzen für Eskalationsstufe, Kommunikation und Gegenmaßnahmen. Das Framework gibt hierfür konkrete Indikatoren und Entscheidungshilfen an die Hand.

Phase 2 – Angriff eindämmen und bewältigen: Hier laufen mehrere Handlungsstränge parallel. Technisch: Netzwerklast analysieren, Internetdienstleister kontaktieren, DDoS-Mitigation aktivieren, gegebenenfalls auf Notbetriebsseiten umschalten. Organisatorisch: Krisenstab einberufen, Lagebild erstellen, Zuständigkeiten klären. Kommunikativ: Interne Stellen informieren, externe Kommunikation vorbereiten – nach Möglichkeit proaktiv, bevor Medienanfragen eingehen. Die Handreichung zeigt, wie diese Stränge koordiniert werden, ohne dass eine Seite auf die andere warten muss.

Phase 3 – Stabilisierung und Rückkehr zum Normalbetrieb: Sobald der Angriff abgewehrt ist, beginnt die strukturierte Wiederherstellung. Systeme prüfen, Dienste schrittweise hochfahren, Status kommunizieren. Besonders wichtig: Die Abschlusskommunikation gegenüber Bürgerinnen und Bürgern sowie Medien. Sie ist kein nachgelagertes Detail – sie ist aktives Resilienz-Management. Wer transparent kommuniziert, stärkt das Vertrauen in die Handlungsfähigkeit der Verwaltung.

Phase 4 – Erkenntnisse und Optimierung: Die Nachbearbeitung ist mehr als ein Pflichttermin. Was hat funktioniert, was nicht? Wo gab es Lücken in den Zuständigkeiten, in der Technik, in der Kommunikation? Die Antworten auf diese Fragen fließen direkt in die Aktualisierung des Notfallplans ein – und machen die nächste Vorbereitung gezielter und wirksamer.

Was das Besondere an diesem Framework ist

Die RESI-Materialien sollen wirklich genutzt werden – nicht im Regal verstauben. Die Handreichung ist so gestaltet, dass sie im Ernstfall unmittelbar greift: klare Sprache, visuelle Orientierung, Checklisten die analog funktionieren. Denn wenn die Systeme ausgefallen sind, nützt das beste digitale Dokument herzlich wenig. Analoges Denken für digitale Krisen – das ist kein Widerspruch, das ist gute Krisenplanung.

Das DDoS-Szenario berücksichtigt konsequent die behördeninternen Besonderheiten: Kommunale IT-Infrastruktur ist oft heterogen, dezentral organisiert und eng mit externen Dienstleistern verknüpft. Fachverfahren laufen auf eigenen Systemen. DNS-Dienste werden häufig ausgelagert. Websitehosting liegt beim kommunalen IT-Dienstleister, der erste Ansprechpartner bei einem Angriff aber ist der ISP. Das Framework bildet genau diese verzweigte Realität ab – mit konkreten Hinweisen zu Kommunikationswegen, Eskalationsstufen und Ansprechpartnern auf jeder Ebene.

Ein weiterer Aspekt, der das Framework auszeichnet: die explizite Auseinandersetzung mit Kommunikation unter Druck. Welche Botschaft sendet die Verwaltung nach außen, wenn die Website ausfällt? Wann sagt man aktiv etwas – und wann wartet man ab? Diese Fragen lassen sich nicht im Moment des Angriffs zum ersten Mal stellen. Die Handreichung gibt hierfür Formulierungshilfen, Kommunikationsvorlagen und klare Empfehlungen.

Gemeinschaftsarbeit, die sich auszahlt

Was RESI so stark macht, ist das Gemeinschaftsprojekt dahinter. Die Arbeitsgruppe arbeitet ehrenamtlich im Rahmen des Dialogs für Cybersicherheit des BSI – Menschen, die dieses Thema nicht als Job, sondern als Verantwortung begreifen. Zivilgesellschaft, Wissenschaft und Wirtschaft bringen gemeinsam ihr Wissen ein. Dieses Wissen aus der Praxis ist der eigentliche Kern des Frameworks. Kein Lehrbuch, keine Theorieübung – sondern destillierte Erfahrung aus echten Vorfällen, echten Verwaltungen, echten Krisen.

Und es geht weiter: Ein drittes Projekt läuft bereits. Dieses Mal geht es um die unterschiedlichen Aufgaben und Rollen, die in einem Cyberangriffs-Szenario übernommen werden müssen – ein Thema, das direkt an die Erkenntnisse aus den ersten beiden Frameworks anknüpft. Wer eigenes Know-how und Erfahrung einbringen möchte, ist herzlich willkommen.

Handlungsempfehlungen: Jetzt ist der richtige Zeitpunkt
BSI, BKA und BfV kommen in ihren aktuellen Berichten unabhängig voneinander zu demselben Schluss: Die Bedrohungslage ist real, sie ist anhaltend – und sie erfordert vorbereitete Strukturen, keine improvisierten Reaktionen. Die gute Nachricht: Die Werkzeuge dafür liegen jetzt vor. Konkret empfiehlt die AG RESI folgende erste Schritte:

1. Handreichung herunterladen und lesen – dreißig Seiten, die sich in einer Stunde durcharbeiten lassen und die unmittelbar weiterhelfen.
2. DDoS-Szenario ausdrucken und an einem zentralen Ort hinterlegen – im Serverraum, im Krisenstabsraum, im Büro der IT-Leitung.
3. Checklisten für eine Standortbestimmung nutzen – welche Vorbereitungen sind bereits getroffen, wo gibt es noch Lücken?
4. Austausch suchen – mit Nachbarkommunen, dem IT-Dienstleister, dem Landes-CERT und dem BSI-Lagedienst.
5. Eine Übung einplanen – das Framework eignet sich als Grundlage für ein einfaches Planspiel, bei dem Zuständigkeiten und Kommunikationswege einmal durchgespielt werden, bevor der Ernstfall kommt.

Ist eine Kommune auf einen DDoS-Angriff vorbereitet, können die Einschränkungen in der Regel schnell beseitigt werden, sodass der Schaden eher gering bleibt. Vorbereitung ist die beste Verteidigung. Das war schon die Botschaft hinter RESI1.

Die Handreichung sowie alle Checklisten und Materialien sind kostenlos verfügbar unter: https://www.dialog-cybersicherheit.de/media/

Kontakt zur AG RESI: resi@dialog-cybersicherheit.de