2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Gemeinde Epe: warum eine Steuer-ID und eine Ausweiskopie Gold für Kriminelle sind

Beim Angriff auf die niederländische Gemeinde Epe (März 2026) wurden Daten fast aller Einwohner erbeutet, darunter Personenkennziffern und Ausweiskopien. Die Lektion: Nicht alle personenbezogenen Daten sind gleich, und in der Verwaltung steht und fällt alles mit der Meldekultur.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Im März 2026 wurde das Netzwerk der niederländischen Gemeinde Epe von einem Cyberangriff getroffen. Das Datenleck war weit größer als zunächst angenommen: Personenbezogene Daten fast aller Einwohner waren erbeutet — Name, Adresse, Geschlecht, Geburtsdatum, Geburtsort und die Personenkennziffer (in den Niederlanden BSN) — und von rund tausend Einwohnern sogar eine Ausweiskopie. Der Vorfall zeigt deutlich, was Awareness-Programme oft unterbelichten: Nicht jedes personenbezogene Datum ist gleich gefährlich. Eine Personenkennziffer und eine Ausweiskopie sind die Bausteine des Identitätsdiebstahls.

Was geschah

Der Angriff wurde am 12. März 2026 entdeckt. In den Tagen danach wurde klar, dass das Ausmaß weit größer war als zunächst angenommen: nicht eine Handvoll Akten, sondern die Daten nahezu des gesamten Einwohnerregisters der Gemeinde.

Der sensibelste Teil betraf rund tausend Ausweiskopien plus die Personenkennziffern fast aller Einwohner. Das ist ein grundlegend anderes Risiko als eine geleakte E-Mail-Adresse. Eine Kommune verarbeitet naturgemäß die fundamentalsten Identitätsdaten, die es gibt.

Ein solches Datenleck unterliegt der Meldepflicht der DSGVO: Meldung an die Aufsichtsbehörde binnen 72 Stunden und Information der betroffenen Einwohner. Behörden haben zudem eine Vorbildfunktion — sie verwalten Daten, die Bürger gesetzlich abgeben müssen und nirgendwo anders 'ändern' können.

Warum Personenkennziffer und Ausweiskopie so viel gefährlicher sind

Ein Passwort kannst du ändern. Eine E-Mail-Adresse kannst du ersetzen. Aber deine Steuer-Identifikationsnummer (in Österreich die Sozialversicherungsnummer) und dein Gesicht auf dem Ausweis liegen lebenslang fest. Genau deshalb sind das die Daten, hinter denen Kriminelle am meisten her sind: Sie öffnen die Tür zum Identitätsdiebstahl, der jahrelang nachwirken kann.

Mit einer solchen Kennziffer plus Ausweiskopie kann ein Krimineller sich als das Opfer ausgeben: einen Kredit aufnehmen, ein Abo abschließen, eine Leistung umleiten oder betrügerische Anträge stellen. Das Opfer merkt es oft erst, wenn Inkasso oder Mahnungen kommen, und muss dann monatelang beweisen, dass es nicht selbst gehandelt hat.

Für Awareness heißt das: 'personenbezogene Daten schützen' ist zu abstrakt. Mitarbeitende müssen unterscheiden lernen: Welche Daten sind ersetzbar und welche unumkehrbar? Eine Ausweiskopie, die 'mal eben' in einem geteilten Ordner oder Postfach landet, ist ein weit größeres Risiko, als man intuitiv spürt.

Die Verwaltungsperspektive: Vertrauen und Vorbildfunktion

Bei einem Unternehmen kannst du im schlimmsten Fall als Kunde weggehen. Bei deiner Gemeinde nicht. Einwohner müssen ihre Daten abgeben und haben keine Alternative. Das legt Verwaltungsorganisationen eine besonders schwere Verantwortung auf, sorgfältig mit diesen Daten umzugehen.

Ein Datenleck in der Verwaltung trifft daher nicht nur die Betroffenen, sondern auch das Vertrauen in die Institutionen selbst. Dieses Vertrauen ist schwer aufzubauen und schnell verloren. Awareness in der Verwaltung dreht sich also nicht nur um Technik, sondern um das Bewusstsein, dass man mit Daten arbeitet, die Menschen notgedrungen anvertraut haben.

Zugleich ist die öffentliche Verwaltung der meistangegriffene Sektor in Europa. Laut ENISA-Bedrohungsbild entfällt auf die öffentliche Verwaltung ein großer Teil aller erfassten Vorfälle. Kommunen sind attraktive Ziele, gerade weil sie so viele wertvolle Daten an einem Ort haben.

Meldekultur: der Unterschied zwischen Vorfall und Katastrophe

Das Ausmaß des Epe-Datenlecks wurde erst nach und nach klar. Das ist typisch: Bei einem Angriff weiß man selten sofort, wie tief er reicht. Genau deshalb ist die Geschwindigkeit der Meldung entscheidend — je früher ein Signal die richtigen Leute erreicht, desto schneller lässt sich der Schaden begrenzen.

Der größte Feind einer guten Reaktion ist Scham oder Angst. Wer auf einen falschen Link geklickt, eine Datei an die falsche Adresse geschickt oder eine verdächtige Nachricht gesehen hat, muss das ohne Hemmschwelle melden können. Eine Schuldkultur führt dazu, dass Vorfälle verschwiegen werden, bis es zu spät ist.

Für die Verwaltung mit ihrer 72-Stunden-Meldepflicht ist eine zügige interne Meldekette kein Luxus, sondern gesetzliche Notwendigkeit. Wer als Erster etwas bemerkt, ist dein wichtigster Sensor.

So verankerst du das in deinem Awareness-Programm

Nutze den Epe-Fall, um den abstrakten Begriff 'personenbezogene Daten' konkret zu machen. Lass Mitarbeitende selbst benennen, welche Daten in ihrer Arbeit unumkehrbar sind — das bleibt weit besser hängen als eine Aufzählung.

Kombiniere das mit einer hürdenlosen Meldekultur. In der Verwaltung sind das die zwei Hebel mit dem größten Effekt.

  • Zielgruppe + Rhythmus: Gib Teams, die mit Kennziffern und Ausweiskopien arbeiten (Bürgeramt, Sozialwesen, HR), ein gezieltes Modul zum Umgang mit unumkehrbaren Daten.
  • Mache Melden hürden- und schuldfrei: eine bekannte Meldewege, keine Sanktionen für ehrliches Melden, sichtbare Wertschätzung für Meldende.
  • Übe die 72-Stunden-Kette: von 'Mitarbeiterin bemerkt etwas' bis 'Meldung an die Aufsichtsbehörde' — kennt jeder seine Rolle?
  • Miss die Meldegeschwindigkeit als KPI, nicht nur das Klickverhalten: Wie lange dauert es, bis ein Signal die richtige Person erreicht?
  • Mehr Tiefe? Sieh dir an, wie du das über Security-Awareness-Training verankerst.

Verwandte Artikel

Häufig gestellte Fragen

Warum ist eine nationale Kennziffer gefährlicher als etwa eine E-Mail-Adresse?

Eine E-Mail-Adresse oder ein Passwort kannst du ändern; eine nationale Kennziffer wie die Steuer-Identifikationsnummer liegt lebenslang fest. Zusammen mit einer Ausweiskopie ermöglicht sie Identitätsdiebstahl: Kriminelle können sich als das Opfer ausgeben, um Kredite, Abos oder Leistungen auf dessen Namen zu beantragen. Der Schaden kann jahrelang nachwirken.

Was macht die Verwaltung zu einem attraktiven Ziel?

Kommunen verwalten die fundamentalsten Identitätsdaten der Bürger — Kennziffern, Adressen, Ausweiskopien — oft an einem Ort. Einwohner müssen sie abgeben und können nicht 'weggehen'. Das macht die Daten besonders wertvoll und die Verantwortung besonders groß. Die öffentliche Verwaltung ist der meistangegriffene Sektor Europas.

Warum ist die Meldekultur bei einem Datenleck so entscheidend?

Das wahre Ausmaß eines Angriffs zeigt sich oft erst nach und nach, wie bei Epe. Je früher ein Signal die richtigen Leute erreicht, desto mehr Schaden lässt sich begrenzen. Eine Schuldkultur führt zum Verschweigen; eine hürdenlose Meldekultur macht jede Person zum Frühsensor — und ist für die Verwaltung mit ihrer 72-Stunden-Pflicht gesetzliche Notwendigkeit.

Was soll eine Person tun, die ein mögliches Datenleck bemerkt?

Sofort über den bekannten internen Meldeweg melden, auch im Zweifel und auch bei eigenem Fehler. Geschwindigkeit zählt mehr als Gewissheit: lieber zehnmal unnötig melden als ein echtes Datenleck zu spät bemerken. Ehrliches Melden darf nie zu Sanktionen führen.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel