Screenshot vom Postplatz — eine fehlerhaft programmierte Behörden-Webseite
Am 9. Mai 2026 wollte die Dresdner Stadtverwaltung über eine neue Webseite zur Anmeldung der Hundesteuer informieren. Die Webseite zeigte stattdessen einen Stack-Trace, ein nicht behandeltes SQL-Statement und die Versions-Nummer der verwendeten Datenbank. Eine kurze Alltag-Notiz mit Screenshot-Beschreibung und einem Hinweis an die zuständige Stelle.
09:42 Uhr, Postplatz
Am 9. Mai 2026 um 09:42 Uhr — wir warteten auf die Straßenbahn 11 in Richtung Bühlau — fiel uns das aufgestellte Plakat der Dresdner Stadtverwaltung am Postplatz auf, in dem auf eine neue Webseite zur Online-Anmeldung der Hundesteuer hingewiesen wurde. Adresse: hundesteuer.dresden.de. QR-Code, Aufruf per Smartphone, die Webseite lädt — und zeigt nicht das angekündigte Anmelde-Formular, sondern eine sechsteilige Fehler-Meldung mit den folgenden Bestandteilen.
Erstens: ein vollständiger Stack-Trace einer offenbar serverseitig laufenden PHP-Anwendung, mit Datei-Pfaden der Form /var/www/dresden-hundesteuer/htdocs/forms/anmeldung.php auf Zeile 174.
Zweitens: ein nicht behandeltes SQL-Statement, das den Versuch dokumentierte, in eine Tabelle tbl_anmeldungen_2026 einen Eintrag mit den Spalten hund_chip_nummer, hund_rasse, halter_name und halter_steuernummer zu schreiben, der wegen einer fehlerhaft konfigurierten Spalte abgebrochen wurde.
Drittens: die Versions-Nummer der verwendeten Datenbank, lesbar als MariaDB 10.5.21, sowie die IP-Adresse des Datenbank-Servers in einem internen Verwaltungs-Netz.
Viertens: das verwendete PHP-Framework, lesbar als „Symfony 5.4” — eine Version, deren offizieller Support im November 2025 ausgelaufen ist.
Fünftens: ein Kommentar-Block aus dem Quell-Code, der eine TO-DO-Notiz mit dem Inhalt „testen vor Live-Gang — KW 18” enthielt. Kalenderwoche 18 lag in der ersten Mai-Woche 2026 und damit eine Woche vor dem hier dokumentierten Live-Gang.
Sechstens: eine Mail-Adresse des für die Anwendung verantwortlichen externen Dienstleisters, die wir an dieser Stelle nicht in voller Länge wiedergeben (der Schutz der einzelnen Mitarbeiter steht über dem dokumentierten Sicherheits-Mangel des Auftraggebers).
Was wir gemacht haben
Wir haben den Stack-Trace zwischen 09:42 und 09:47 Uhr per Screenshot dokumentiert, danach den dokumentierten Sicherheits-Vorfall um 09:51 Uhr an die folgende Adressen geschickt: das Datenschutz-Beauftragten-Postfach der Landeshauptstadt Dresden ([email protected]), die zuständige Fachbereichs-Leitung Hundesteuer (über die im Plakat dokumentierte Kontakt-Adresse) sowie an die zentrale IT-Sicherheits-Hotline des Sächsischen Datenschutzbeauftragten.
Die Reaktion: um 10:18 Uhr kam eine automatisierte Empfangs-Bestätigung. Um 11:24 Uhr war die fehlerhafte Seite vom Netz und durch eine schlichte Wartungs-Seite ersetzt. Um 14:50 Uhr kam eine persönliche Antwort der zuständigen Fachbereichs-Leitung, mit Dank für den Hinweis und der Information, dass die Anwendung nach einem Sicherheits-Test in der kommenden Woche erneut freigeschaltet werden soll.
Drei Beobachtungen
Drei kurze Beobachtungen aus diesem Vorfall, die wir in dieser Spalte gerne festhalten.
Erstens: die im Quell-Code dokumentierte TO-DO-Notiz „testen vor Live-Gang — KW 18” ist die zentrale Information dieses Vorfalls. Eine Anwendung, deren Quell-Code selbst dokumentiert, dass ein Test ausstand, wurde dennoch in den Live-Betrieb gehoben. Das ist kein technisches Problem — das ist ein Organisations-Problem.
Zweitens: die offen lesbare Versions-Nummer von PHP-Framework und Datenbank ist nach den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI-Grundschutz-Baustein DER.4.1, Stand 2024) ein bekannter Schwachstellen-Indikator. Der zuständige Dienstleister sollte mit dem nächsten Patch-Zyklus auch die Konfiguration der Fehler-Anzeige härten.
Drittens: die Reaktions-Zeit der Landeshauptstadt Dresden (zwei Stunden zwischen Meldung und Vom-Netz-Nahme) ist erfreulich. Das Verfahren funktioniert, sobald jemand den Hinweis gibt. Die Frage bleibt, wie viele Hinweise nötig wären, wenn niemand zufällig an der richtigen Straßenbahn-Haltestelle stehen geblieben wäre.
Ein kleiner Hinweis am Rand
Die Online-Anmeldung der Hundesteuer ist nach Stand 12. Mai 2026 weiterhin nicht möglich. Wer im Mai 2026 einen Hund anmelden muss, geht weiterhin den klassischen Weg: schriftliche Anmeldung beim Steueramt Dresden, Postanschrift Theaterstraße 11, 01067 Dresden, oder persönlich in einem der Bürgerbüros. Die Bearbeitungs-Zeit für die schriftliche Anmeldung beträgt im Mai 2026 etwa zehn bis vierzehn Tage.
Diese Notiz ist auf dem Heimweg im Bus 62 zwischen Postplatz und Striesen entstanden — der erste vollständige Entwurf war fertig, als wir um 10:38 Uhr an der Haltestelle Schandauer Straße ausgestiegen sind.