Der letzte größere öffentlich dokumentierte Cybersecurity-Vorfall in der Region Potsdam war kein spektakulärer Datendiebstahl mit Erpresserbrief. Es war ein kurzer, harter Stopp zentraler Infrastruktur: Ende November 2024 gingen die Universität Potsdam, das Hasso-Plattner-Institut und weitere Einrichtungen zeitweise offline. Zunächst war von einer technischen Störung die Rede. Kurz darauf wurde klar: Hackerangriffe hatten die vorsorgliche Abschaltung ausgelöst. Am 3. Dezember meldete der Tagesspiegel, Universität und HPI seien wieder komplett online; die Angriffe würden analysiert.
Gerade weil der Vorfall offenbar schnell eingedämmt wurde, ist er für die regionale Cybersecurity-Debatte relevant. Potsdam ist nicht irgendein Verwaltungsstandort. Die Stadt bündelt Landesverwaltung, kommunale Infrastruktur, Hochschulen, Forschung, Gesundheitswesen und Dienstleistungsbetriebe. Ein Angriff auf eine Universität trifft deshalb nicht nur E-Mail-Server oder Webseiten. Er kann Lehre, Forschung, Bewerbungsfristen, gemeinsame Institute, externe Projektpartner sowie Identitäts- und Zugriffsprozesse über mehrere Organisationen hinweg beeinträchtigen.
Was passiert ist
Nach öffentlich zugänglichen Berichten waren die Universität Potsdam und vier weitere Einrichtungen ab einem Mittwochnachmittag wegen einer technischen Störung nicht erreichbar. Genannt wurden unter anderem das Hasso-Plattner-Institut und drei weitere Institute. Der Tagesspiegel beschrieb den Vorgang zunächst als vermeintlichen Hackerangriff. Wenige Tage später fiel die Einordnung klarer aus: Hackerangriffe hätten die Abschaltung verursacht, Universität und HPI seien wieder komplett online, die Angriffe würden nun analysiert.
Auf den ersten Blick klingt das nach einem glimpflichen Ausgang. In den öffentlich zugänglichen Quellen gibt es keine belastbare Bestätigung, dass Daten großflächig abgeflossen sind oder Ransomware tatsächlich Systeme verschlüsselt hat. Genau deshalb sollte der Fall aber nicht abgehakt werden. Moderne Incident Response bedeutet nicht nur, Verschlüsselung zu verhindern. In der Frühphase kann es richtig sein, Systeme kontrolliert vom Netz zu nehmen, Angriffswege zu schließen, Identitäten zu prüfen und Dienste erst wieder freizugeben, wenn ein Mindestmaß an Sicherheit hergestellt ist.
Für Nutzerinnen und Nutzer heißt das: Dienste fallen aus, Fristen müssen angepasst werden, Kommunikation läuft über Ausweichkanäle. Für die IT heißt es: Logdaten sichern, kompromittierte Konten ausschließen, Endpunkte prüfen, Netzwerksegmente trennen, externe Dienstleister koordinieren. Für die Leitung heißt es: entscheiden, wann Verfügbarkeit geopfert werden muss, um Integrität und Vertraulichkeit zu schützen.
Warum gerade Hochschulen attraktiv sind
Hochschulen sind anspruchsvolle Sicherheitsumgebungen. Sie müssen offen bleiben. Studierende, Beschäftigte, Gastwissenschaftler, externe Projektpartner und Dienstleister greifen täglich auf Systeme zu. Forschung funktioniert über Kollaboration, nicht über Abschottung. Gleichzeitig liegen dort wertvolle Daten: Identitätsdaten, Prüfungs- und Bewerbungsprozesse, Forschungsdaten, Drittmittelprojekte, interne Kommunikation und teils auch Informationen aus Industriekooperationen.
Dazu kommt technische Heterogenität. Universitäten betreiben zentrale IT, Fachbereichssysteme, Forschungsserver, Labore, Cloud-Dienste, Lernplattformen und historisch gewachsene Anwendungen. Nicht jedes System lässt sich so schnell patchen oder standardisieren wie ein moderner Cloud-Dienst. Für Angreifer entsteht eine breite Angriffsfläche: Phishing gegen Konten, Schwachstellen in Webanwendungen, kompromittierte Endgeräte, missbrauchte Fernzugänge oder schlecht segmentierte interne Netze.
Potsdam ist in diesem Muster besonders interessant, weil mit Universität und HPI ein sichtbarer Digital- und Forschungsstandort betroffen war. Der Vorfall zeigt: Auch Organisationen mit hoher IT-Kompetenz können in eine Lage geraten, in der Abschalten vorübergehend die sauberere Option ist.
Der Potsdamer Kontext
Der Uni-Vorfall steht nicht allein. Schon Ende Dezember 2022 hatte die Landeshauptstadt Potsdam ihre Internetverbindung vorsorglich abgeschaltet, nachdem Hinweise auf eine Cyberattacke vorlagen. Auch die Stadtwerke Potsdam trennten damals vorsorglich Internet- und E-Mail-Verbindungen. E-Government berichtete später, Potsdam sei über Wochen offline gewesen; viele Dienstleistungen funktionierten nicht oder nur eingeschränkt. Zugleich hieß es damals, eine erfolgreiche Cyberattacke sei bisher nicht bestätigt worden. Geprüft wurde ein möglicher Zusammenhang mit der international aktiven Gruppe Hive Ransomware.
Anfang 2026 berichteten ZEIT und Tagesspiegel zudem über Cyberattacken gegen vier Brandenburger Kommunen. Genannt wurden unter anderem Hoppegarten, Hohen Neuendorf, Lübben und Falkenberg. Brandenburgs Digitalminister Benjamin Grimm sprach von einer wachsenden Bedrohungslage. Nach dpa-Berichten war für das Jahr eine Neuausrichtung der kommunalen Cybersicherheit geplant. Das Bundesamt für Sicherheit in der Informationstechnik stuft Ransomware seit Jahren als eine der größten Cyberbedrohungen für kommunale Verwaltungen ein.
Für Potsdam ergibt sich daraus ein klares Muster: Die Region erlebt keine isolierten Einzelfälle, sondern dieselbe strukturelle Lage wie viele öffentliche Einrichtungen in Deutschland. Angreifer treffen auf knappe IT-Ressourcen, komplexe Zuständigkeiten, alte Systeme, kritische Bürgerdienste und eine hohe Abhängigkeit von digitalen Identitäten.
Was Bürger und Organisationen daraus lernen sollten
Der wichtigste Punkt: Ein Cyberangriff ist heute nicht nur ein IT-Ereignis. Wenn eine Hochschule, Stadtverwaltung oder ein kommunaler Dienstleister offline geht, betrifft das Alltag und Vertrauen. Termine im Bürgerbüro, E-Mail-Kommunikation, Online-Anträge, Bewerbungen, Zahlungsprozesse oder Forschungsabläufe können ausfallen. Resilienz muss deshalb breiter gedacht werden als „Firewall plus Backup“.
Für öffentliche Einrichtungen gehören mindestens fünf Bausteine dazu. Erstens: saubere Identitäts- und Rechteverwaltung mit Mehr-Faktor-Authentifizierung, besonders für Admin- und Fernzugänge. Zweitens: Segmentierung, damit ein kompromittiertes System nicht automatisch ganze Netze gefährdet. Drittens: getestete Offline-Backups und Wiederanlaufpläne. Viertens: Krisenkommunikation, die auch funktioniert, wenn E-Mail und Webseite nicht verfügbar sind. Fünftens: regelmäßige Übungen mit Leitung, IT, Fachbereichen und externen Dienstleistern.
Für Bürgerinnen und Bürger ist die Lehre pragmatischer. Wer bei einer betroffenen Einrichtung ein Konto hat, sollte auf Phishing-Mails achten, Passwörter nicht wiederverwenden und bei unklaren Hinweisen direkt über offizielle Kanäle nachfragen. Wenn personenbezogene Daten betroffen sein könnten, sind Passwortwechsel, Mehr-Faktor-Authentifizierung und erhöhte Wachsamkeit bei Identitätsmissbrauch sinnvoll.
Fazit
Der jüngste größere Potsdamer Cybervorfall rund um Universität und HPI war offenbar kein monatelanger Totalausfall wie die kommunale Lage 2022/2023. Er zeigt aber, wie schnell digitale Abhängigkeit sichtbar wird. Ein Forschungs- und Bildungsstandort kann binnen Stunden in den Notbetrieb wechseln, wenn Angriffsindikatoren ernst genug sind.
Für die Region Potsdam ist das die zentrale Botschaft. Cybersecurity ist kein Spezialthema für Konzerne oder Bundesbehörden. Sie betrifft Hochschulen, Stadtwerke, Rathäuser, Dienstleister und Bürger gleichermaßen. Gute Sicherheit bedeutet daher nicht, jeden Angriff zu verhindern. Sie bedeutet, Angriffe früh zu erkennen, begrenzt zu halten, transparent zu kommunizieren und so schnell wie vertretbar wieder belastbar online zu gehen.
Quellen: Tagesspiegel-Berichte zur Universität Potsdam vom 29. November und 3. Dezember 2024; Energie & Management zum vorsorglichen Abschalten von Stadtverwaltung und Stadtwerken Potsdam am 30. Dezember 2022; eGovernment zur weiter bestehenden Gefahrenlage Anfang 2023; ZEIT/Tagesspiegel/dpa zu Cyberattacken gegen vier Brandenburger Kommunen im Januar 2026.
Investmentansatz
Vom Research zur Allokation
Der Cybersecurity Leaders Fonds investiert gezielt in ausgewählte Unternehmen aus Cybersecurity und digitaler Infrastruktur. Die Analysen auf dieser Seite ordnen Trends, Geschäftsmodelle und Marktverschiebungen ein, die für langfristige Investmententscheidungen in diesem Sektor relevant sein können.
Keine Anlageberatung. Inhalte dienen der Information und Einordnung.
