Cyberangriff auf Bremer Behörden: CDU fragt nach Botnet-Attacke vom 17. Dezember 2024

Wenn die Verwaltung lahmliegt: Was zeigt der Cyberangriff über Bremens Sicherheitsarchitektur?

Am 17. Dezember 2024 wurden mehrere Bremer Behörden Opfer eines groß angelegten Cyberangriffs. Betroffen waren laut Presseberichten das Gesundheitsressort, das Sozialressort, das Bauressort und die Polizei. Ein Botnet — ein Zusammenschluss autonom tätiger Programme auf vernetzten Rechnern — flutete die Behördenpostfächer über interaktive Kontaktformulare mit Spammails. Allein im Gesundheitsressort gingen innerhalb kürzester Zeit 2.000 E-Mails ein. Als Sofortmaßnahme wurden die Kontaktformulare deaktiviert; auch der Polizeinotruf war zeitweise nicht erreichbar.

Die bundesweite Bedrohungslage im Cyber-Raum ist unverändert hoch — daran wird sich auch nichts ändern. Hundertprozentige Sicherheit gegen Cyberangriffe gibt es nicht. Aber wer ein Kontaktformular einer Landesbehörde betreibt, muss es so absichern, dass es nicht in wenigen Stunden zur Eintrittspforte für eine Lähmung mehrerer Ressorts wird. Genau hier setzt diese Kleine Anfrage an: Sie fragt nach Sicherheitslücken, Reaktionsketten und nach den strukturellen Lehren — und damit nach einer möglichen Neuordnung der bremischen Cyber-Sicherheitsarchitektur.

Die 30 Fragen sind in acht Themenblöcke gegliedert:

• Kenntnisstand und Ablauf: Wann genau wurden Dataport und Senat erstmals informiert? Über welche Indikatoren wurde der Angriff entdeckt? Welche Ressorts und Funktionen waren konkret betroffen — und wie lange dauerten Angriff und Schadensbehebung?
• Schadensausmaß: Welche Auswirkungen hatte der Angriff auf den Betriebsablauf? Mussten weitere Systeme heruntergefahren werden? Kam es zu Datenverlust oder Diebstahl personenbezogener Daten? Wer wurde wann informiert?
• IT-Sicherheitsmaßnahmen: Welche präventiven Vorkehrungen waren in Kraft — und warum konnten die Botnets die Kontaktformulare so massiv ausnutzen? Gab es bekannte Schwachstellen bei Captcha oder Rate Limits? Welche Sofortmaßnahmen wurden danach umgesetzt?
• Koordinierung und Krisenkommunikation: Wer war intern zuständig? Wie lief die externe Kommunikation? Wurden BKA, BSI oder das Nationale Cyberabwehrzentrum eingebunden? Existiert eine einheitliche Notfallkommunikation für Cyber-Attacken auf bremische IT?
• Aufklärung und Ermittlung: Was ist über Hintermänner und Motive bekannt? Welche Sicherheitsbehörden ermitteln? Sind bereits Strafverfahren eingeleitet?
• Langfristige Strategie: Welche Lehren zieht der Senat? Welche Modernisierungspläne gibt es für die IT-Infrastruktur — mit welchem Budget und Zeithorizont? Welche Rolle spielen die NIS-2-Verwaltungsvorschrift vom 14. Januar 2025 und das in Aussicht gestellte Cyber-Sicherheitsbasisgesetz? Wie wird das Personal sensibilisiert?
• Kosten und Ressourcen: Welche unmittelbaren Kosten sind entstanden? Reichen Fachpersonal und Mittel überhaupt aus, um der Bedrohungslage gerecht zu werden?
• Externe Partner und Onlineangebote: Welche Rolle spielen externe Dienstleister neben Dataport? Wie wird mit Bund und anderen Ländern kooperiert? Wie sollen Kontaktformulare künftig abgesichert werden — und welche sicheren Alternativen wie geschützte Onlineportale werden etabliert?

Cyber-Sicherheit ist keine Aufgabe, die einmal erledigt ist. Sie ist eine Daueraufgabe — politisch, organisatorisch, finanziell. Der Vorfall vom 17. Dezember zeigt, wie verwundbar zentrale Verwaltungsfunktionen werden, wenn Schutzmechanismen veraltet sind oder Schnittstellen ungenügend abgesichert. Bremen braucht nicht mehr Statements zur Lage, sondern eine belastbare Sicherheitsarchitektur — mit klaren Zuständigkeiten, einheitlicher Krisenkommunikation, modernen Schutzmechanismen und einem Cyber-Sicherheitsbasisgesetz, das Verbindlichkeit schafft, statt zu beschreiben.