Was ist passiert?

Die Gemeinde Glatten ist am 05.09.2025 Opfer eines sogenannten Ransomwareangriffs geworden. Dabei sind die Angreifer in die internen IT-Systeme der Gemeindeverwaltung eingedrungen und haben große Teile der IT-Systeme und Daten mit einer speziellen Software verschlüsselt. Bei dem Angriff haben die Täter auch Daten heruntergeladen. Die abgeflossenen Daten wurden nun durch die Tätergruppe im Darknet veröffentlicht.

Die Gemeinde Glatten hat bereits unmittelbar nach der Feststellung des Angriffs eine Meldung beim zuständigen Landesdatenschutzbeauftragten des Landes Baden-Württemberg abgegeben und steht im Austausch mit der Behörde.

Welche Daten sind abgeflossen?

Die Gemeindeverwaltung hat begonnen, die veröffentlichten Daten zu sichten, um herauszufinden welche Daten abgeflossen bzw. veröffentlicht wurden und welche Bürger konkret betroffen sind. Sofern personenbezogene Daten von Bürgern im Darknet veröffentlicht worden sind und von den veröffentlichten Daten ein besonderes Risiko für Sie ausgeht, werden Sie postalisch darüber benachrichtigt. Falls Sie keine Benachrichtigung innerhalb der nächsten Wochen erhalten, können Sie davon ausgehen, dass Sie nicht betroffen sind.

Bitte beachten Sie, dass die konkrete Datenauswertung aufgrund der Anzahl an Dateien längere Zeit in Anspruch nehmen wird. Bitte beachten Sie, dass neben den veröffentlichten Daten weitere Daten in den Händen der Tätergruppe sein können.

Wie finde ich heraus, ob meine Daten im Darknet veröffentlicht wurden?

Sofern personenbezogene Daten von Ihnen als Bürger veröffentlicht wurden und von den veröffentlichten Daten ein besonderes Risiko für Sie ausgeht, erhalten Sie eine Benachrichtigung. Falls Sie keine Benachrichtigung innerhalb der nächsten Wochen erhalten, können Sie davon ausgehen, dass Sie nicht betroffen.

Worauf muss ich jetzt achten?

Es kann aktuell nicht ausgeschlossen werden, dass bei dem Vorfall vereinzelt auch Bankdaten kompromittiert worden sind. Daher ist nicht auszuschließen, dass die Angreifer versuchen, entsprechende Daten in rechtswidriger Weise zu nutzen. Achten Sie insoweit bitte auf auffällige Kontobewegungen. Sollten Sie verdächtige Vorkommnisse mitbekommen, wenden Sie sich bitte direkt an Ihre Bank und besprechen weitere Sicherheitsvorkehrungen wie eine vorübergehende Kontosperrung. Sollte Ihr Konto tatsächlich missbräuchlich verwendet worden sein, erstatten Sie bitte außerdem Anzeige bei der Polizei.

Kein Risiko besteht hingegen bei den bestehenden Abbuchungsverfahren, die Sie nicht widerrufen müssen. Sollten Sie unsicher sein, ob eine Abbuchung durch die Gemeinde legitim war, prüfen Sie bitte das Gemeindeblatt. Alle Abbuchungen der Gemeindeverwaltung werden mit entsprechendem Vorlauf im Gemeindeblatt angekündigt.

Bei dem Angriff sind wahrscheinlich auch Vorlagen für Briefköpfe bzw. Brieflayout und Abrechnungen abgeflossen. Daher bitten wir Sie in den kommenden Wochen und Monaten um erhöhte Aufmerksamkeit. Die Vorlagen könnten für sogenannten Rechnungsbetrug genutzt werden, bei dem Ihnen per Post oder per E-Mail echt aussehende, aber gefälschte Rechnungen im Namen der Gemeinde geschickt werden oder Sie zur Überweisung an geänderte Kontoverbindungen aufgefordert werden. Bitte beachten Sie, dass sich die Kontoverbindungen der Gemeindeverwaltung in den kommenden Wochen und Monaten nicht ändern wird. Keine erhöhte Gefahr besteht bei Briefen für die Meldung der Wasserzählerstände mit QR-Codes. Sollten Sie dennoch zögern die Wasserzählerstände über den QR-Code abzugeben, empfehlen wir die Meldung mit der analogen Ablesekarte per Post durchzuführen.

Wir bitten auch um eine erhöhte Aufmerksamkeit bei verdächtigen E-Mails, die vermeintlich von der Gemeinde stammen. Wir bitten insbesondere, keine Anlagen und Links in verdächtigen E-Mails zu öffnen oder auf entsprechende E-Mails zu antworten.

Wo wurden die Daten veröffentlicht?

Die Daten wurden auf der Darknetseite der Angreifergruppe veröffentlicht. Das Darknet ist ein Teil des Internets, der nicht auf herkömmliche Weise – z.B. über Suchmaschinen wie Google - auffindbar und nur durch bestimmte Browser nutzbar ist. Da sich die Nutzer im Darknet durch Verschlüsselungsmechanismen weitestgehend anonym bewegen, wird es oft von Kriminellen für die Kommunikation oder als Handelsplattform genutzt. Nach Cyberangriffen ist es üblich, dass abgeflossene Daten im Darknet veröffentlicht werden.

Kann ich die im Darknet veröffentlichten Daten selbst durchschauen, um festzustellen, ob ich betroffen bin?

Die im Darknet veröffentlichten Dateien können versteckte Malware bzw. Schadprogramme enthalten, die von gängigen Virenscannern möglicherweise nicht entdeckt wird. Daher raten IT-Sicherheitsexpert*innen davon ab, die Dateien herunterzuladen, zu öffnen oder durchzuschauen.

Werden meine Daten aus dem Darknet entfernt?

Die Tätergruppen agieren im Darknet größtenteils anonym und die Server werden in der Regel nicht in Europa betrieben. Für die Strafverfolgungs- und Aufsichtsbehörden ist es daher oftmals nicht sofort möglich, die veröffentlichten Daten zu löschen oder die Seiten, auf denen die Seiten veröffentlicht werden, im Darknet stillzulegen.