Einleitung: Die Routine des Scheiterns
Es ist wieder einmal soweit. Ein Landkreis in Deutschland entdeckt das Internet – oder besser gesagt: Das Internet entdeckt den Landkreis, und zwar von seiner ungemütlichen Seite. Der aktuelle Cyberangriff auf den Landkreis Kassel ist für uns Piraten wenig überraschend, beinahe schon rituell. Während die Verwaltung nun stolz darauf verweist, dass man „aus Sicherheitsgründen alle Systeme heruntergefahren“ habe, fragen wir uns: Ist das totale Abschalten wirklich eine Sicherheitsstrategie oder eher das Eingeständnis einer digitalen Bankrotterklärung?
Diesmal hat es nicht nur die interne Bürokommunikation getroffen. Die Abfallentsorgung des Landkreises steht vor logistischen Rätseln, und die Jugend- und Freizeiteinrichtungen – von der Jugendherberge bis zur Bildungsstätte – sind digital isoliert. Wer hätte auch ahnen können, dass im Jahr 2026 eine funktionierende Müllabfuhr von der Integrität eines Windows-Servers abhängen könnte? Wir werfen einen Blick hinter die Kulissen dieses erwartbaren Dramas und erklären, warum das Festhalten an proprietärer Software nichts anderes als digitale Selbstgeißelung ist – Gesetzestexte hin oder her.
Die Anatomie der Abhängigkeit: Müll und Moral
Es hat fast schon eine tragische Komik: In Kassel bleiben die Mülltonnen unter Umständen voll, weil irgendwo ein Bit falsch gekippt wurde. Dass die Abfallentsorgung – ein Grundpfeiler der zivilisatorischen Hygiene – durch einen Cyberangriff ins Wanken gerät, zeigt die ganze Absurdität unserer digitalen Architektur.
Eigenbetrieb, aber nicht eigenständig
Obwohl die Abfallentsorgung als Eigenbetrieb geführt wird, hängt sie am Tropf der zentralen, maroden IT-Infrastruktur.
- Distinktion als Trostpflaster: Immerhin betont der Kreis, dass die Abfallentsorgung der Stadt Kassel nicht betroffen ist. Ein schwacher Trost für die Bürger im Umland, die nun versuchen, über die „Vintage-Technologie“ Telefon (0561 1003-1133) jemanden zu erreichen, während die digitalen Kanäle tot sind.
- Daten-Silos: Die Routenplanung und Gebührenabrechnung liegen in geschlossenen Datenbanken. Ohne die „gnädige Erlaubnis“ der verschlüsselten Oberfläche weiß niemand mehr, wer welche Tonne bestellt hat.
- Transparenz-Vakuum: Wären diese Logistik-Datenformate offen und die Software Open Source, könnten freie Entwickler oder andere Kommunen längst mit Behelfslösungen einspringen. Stattdessen warten wir auf den Exorzismus durch externe Sicherheitsfirmen.
Hacker in der Jugendherberge?
Besonders zynisch trifft es die Jugend- und Freizeiteinrichtungen. Hier geht es um Bildungsstätten und Erholungsorte für Jugendliche. Wenn Hacker Zugriff auf die Buchungssysteme und damit auf Aufenthaltsdaten von Minderjährigen erhalten, ist das kein technisches Malheur, sondern ein Super-GAU für den Datenschutz. Wer Blackbox-Software in sensiblen sozialen Bereichen einsetzt, nimmt den Verlust der Privatsphäre der Schwächsten billigend in Kauf.
Papiertiger und Paragraphen: NIS-2, KRITIS und die Realität
Man könnte meinen, wir seien vorbereitet. Schließlich gibt es das BSIG (BSI-Gesetz) und die Definition der KRITIS (Kritische Infrastrukturen). Seit Anfang 2026 ist zudem die NIS-2-Richtlinie in deutsches Recht gegossen worden. Theoretisch müsste alles sicher sein. Praktisch zeigt Kassel, dass man Sicherheit nicht herbeidekretiert.
NIS-2: Viel Bürokratie, wenig Resilienz?
Die NIS-2-Richtlinie hat den Kreis der betroffenen Unternehmen massiv erweitert. Auch die Abfallentsorgung als wichtiger Sektor der öffentlichen Daseinsvorsorge fällt nun unter diese strengeren Auflagen.
- Compliance ist keine Sicherheit: Der Landkreis mag zwar nun alle Meldefristen von NIS-2 einhalten, aber das verhindert keinen einzigen Exploit in einer ungepatchten Microsoft-Umgebung.
- Haftung der Geschäftsführung: NIS-2 nimmt die Leitungsebene persönlich in die Pflicht. Wir sind gespannt, ob die Verantwortlichen in Kassel nun wirklich zur Rechenschaft gezogen werden oder ob man sich hinter dem Mantel des „hochkomplexen Angriffs“ versteckt.
KRITIS: Wenn die Infrastruktur nur auf dem Papier stabil ist
Das BSIG regelt die Meldepflichten, aber es verhindert keine Angriffe. Die Einstufung als KRITIS-Betreiber führt oft nur dazu, dass mehr Geld für Compliance-Audits ausgegeben wird, statt in die Entwicklung souveräner, quelloffener Infrastrukturen zu investieren. In Kassel sehen wir: Die Infrastruktur ist kritisch, die IT-Sicherheitsstrategie leider eher unterkritisch.
„Security by Obscurity“: Ein Märchen für Entscheidungsträger
Die IT-Sicherheit in deutschen Landkreisen gleicht oft einem Haus, bei dem man hofft, dass die Einbrecher die Tür nicht finden, weil man sie grün angestrichen hat. Diese Strategie der „Sicherheit durch Unkenntnis“ ist das Kernproblem.
Warum Abschalten keine Lösung ist
Das radikale Trennen vom Netz ist die „Nuklear-Option“. Es schützt vor weiterem Datenabfluss, legt aber die staatliche Handlungsfähigkeit lahm. In unserem Bundesparteiprogramm fordern wir eine Architektur, die „Resilience by Design“ bietet. Systeme müssen so modular sein, dass die Müllabfuhr nicht stirbt, nur weil das E-Mail-System des Landratsamtes infiziert ist.
Der Piraten-Leitfaden für eine souveräne Verwaltung
Damit der nächste Cyberangriff nicht wieder zum Totalausfall führt, hier unser Plan:
- Public Money? Public Code!: Jede Zeile Code, die mit Steuergeldern bezahlt wird, muss öffentlich sein. NIS-2-Compliance durch Transparenz, nicht durch Geheimhaltung.
- Dezentralisierung: Die Abfalllogistik darf nicht am selben Netz hängen wie die allgemeine Verwaltung. Strikte Netzsegmentierung (Air-Gapping) ist das Mindeste.
- Schluss mit dem Hackerparagraphen: Wir müssen Sicherheitsforscher belohnen, statt sie mit dem § 202c StGB zu bedrohen. Eine „Responsible Disclosure“-Kultur rettet mehr Systeme als jedes BSIG-Update.
Fazit: Bis zum nächsten Mal
Der Cyberangriff auf den Landkreis Kassel wird vorübergehen. Die Systeme werden irgendwann wieder hochgefahren, die Forensiker schicken ihre gesalzenen Rechnungen, und man wird zur Tagesordnung übergehen – bis zur nächsten Ransomware-Welle.
Solange wir akzeptieren, dass unsere kritische Infrastruktur auf dem digitalen Fundament von Konzernen steht und wir glauben, dass wir mit NIS-2-Checklisten echte Sicherheit kaufen können, bleiben wir verwundbar. Die Piratenpartei wird weiterhin die unbequemen Fragen stellen. Wir wollen keine Verwaltung, die den Stecker zieht, sondern eine, die ihre Technik versteht.