Der nicht enden wollende Strom von Nachrichten über Ransomware-Angriffe auf Stadtverwaltungen zeigt, dass technisch bestens ausgerüstete Angreifer es wiederholt schaffen, Maßnahmen zur Verteidigung der Netzwerke in der öffentlichen Verwaltung auszuhebeln.
Ob öffentliche Verwaltung oder Privatwirtschaft – die Gegner wie auch die Herausforderungen sind dieselben. Der größte Unterschied besteht in den Security-Ressourcen, die jeweils zur Verfügung stehen.
Bis vor kurzem bedeutete Cybersecurity im Wesentlichen die Reaktion auf Vorfälle. Die Mehrheit der Sicherheitsverantwortlichen ging davon aus, dass Angreifer über die virtuelle Haustür versuchen, ins Netzwerk einzudringen. Um dies zu verhindern, wurden entsprechende Lösungen auf Basis bekannter Bedrohungssignaturen und Angriffsvektoren entwickelt, die ein unbefugtes Eindringen verhindern sollten.
Doch die neuen Bedrohungen sind anders – sie lassen sich wesentlich schwerer stoppen, wenn Unternehmen und Verwaltungen sich nur auf verdächtige Aktivitäten an der Haustür konzentrieren. Cyberangriffe sollten heute aus der Perspektive des Angreifers betrachtet werden, um aus den so erhaltenen Erkenntnissen einen proaktiven Verteidigungsansatz zu entwickeln.
Cybersecurity neu gedacht
Wenn es darum geht, den seit Jahrzehnten nur schrittweise ausgebauten Schutzmaßnahmen etwas entgegenzusetzen, kommen Organisationen nicht umhin, ein Verständnis für die Angriffsmethoden und die mit ihnen verbundenen Verhaltensweisen der Angreifer zu entwickeln. Eine große Hilfe dabei ist MITRE ATT&CK. MITRE ist ein von der US-Regierung finanziertes Forschungs- und Entwicklungszentrum. Das ATT&CK Modell stellt gegnerisches Verhalten nach und beschreibt Aktionen, die ein Angreifer ausführen kann, um in ein Netzwerk einzudringen. Cyberkriminelle können so im Netzwerk nach attraktiven Zielen zu suchen. Dieses Framework gibt Threat-Researchern ein gemeinsames Vokabular zur Beschreibung von Angriffstaktiken an die Hand. Es schafft die Grundlagen dafür, dass Teams eigene Hypothesen über mögliche Angriffswege aufstellen und Bedrohungen aufspüren können.
Die Weiterentwicklung eines Threat-Hunting-Programms mit ATT&CK setzt voraus, dass die Daten sehr frühzeitig erfasst werden. Für ein erfolgreiches Threat-Hunting müssen Security-Teams alle verfügbaren Daten durchsuchen. Damit sind sie in der Lage, die Relevanz zu bestimmen. Es lässt sich auch identifizieren, welche Bedrohungen ignoriert werden können und was tatsächlich Anlass zur Sorge geben sollte. Das bedeutet, dass sämtliche Daten in lokalen und Remote Netzwerken, wie Anwendungs-, Endpoint-, Datenbank- und Plattform-Daten sowie Informationen in der Cloud sowie in API-Gateways erfasst und analysiert werden müssen. Dazu gehören auch Log- und Firewall-Daten.
Mit dem Tempo der Bedrohungen mithalten
Der wichtigste Faktor einer jeden guten Verteidigung ist das Tempo. Irgendein sicherheitsrelevanter Vorfall passiert immer – dabei kann es sich einfach nur um ein kompromittierten Laptop handeln oder aber ein realer Angriff auf einen Server. Ist das Security-Team erfolgreich, gelingt es ihm den Vorfall zu stoppen, bevor Daten gestohlen oder andere Schäden angerichtet werden.
Für eine schnelle Reaktion ist es wichtig, das Ausmaß des Vorfalls vollständig zu erfassen und schneller zu sein als der Gegner. Die exponentiell wachsenden Datenmengen stellen eine Herausforderung dar: Es dauert immer länger, sie zu durchsuchen. Um alle neu in das System einströmenden Informationen zu berücksichtigten, muss die Indexierung sowie die Analyse in erfolgen. Darüber hinaus muss gewährleistet sein, dass die Behörde sämtliche Daten erfasst, sodass auch keine Informationen verloren gehen.
Es gibt Lösungen, die diese Anforderungen erfüllen und Sicherheitsexperten in die Lage versetzen, das Anreichern, Filtern, Analysieren und Visualisieren der Informationen schnell und kohärent zu automatisieren. Das erlaubt es den IT-Operations- und Security-Teams sich den eher strategischen Aufgaben zu widmen: Sie können sich darauf konzentrieren, Lücken im System zu finden, die dieses besonders verwundbar machen. Sie wissen außerdem, was in ihrer spezifischen Umgebung als „normal“ angesehen wird. Threat Researcher sind damit in der Lage Inkonsistenzen aufspüren, die auf einen potentiellen Angriff hindeuten.
Wir sitzen alle im selben Boot
Ob öffentliche Verwaltung oder Privatwirtschaft – die Gegner wie auch die Herausforderungen sind dieselben. Der größte Unterschied besteht in den Security-Ressourcen, die jeweils zur Verfügung stehen. Ein Beispiel hierfür ist die Corona-Pandemie: Während der Pandemie stiegen die Angriffe auf Behörden und Unternehmen um 73 Prozent. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte außerdem vor Fake Seiten, wie zum Beispiel Portale, die angeblich Sofort-Hilfen beim Thema COVID-19 anboten. Das Bundesland NRW hatte daher die Auszahlung der Corona Hilfen zeitweise komplett ausgesetzt.
Die Security-Community weiß, dass dem öffentlichen Sektor unterhalb der Bundesebene nur begrenzte Ressourcen zur Verfügung stehen. Aus diesem Grund engagieren sich Organisationen wie MITRE oder das BSI, um Ressourcen, Best Practices und Informationen zu neuen Bedrohungen und möglichen Lösungsansätzen bereitzustellen. Dazu gehören nicht nur Industrieanlagen und kritische Infrastrukturen, sondern auch Behörden und Unternehmen insgesamt. Das BSI entwickelt daher Empfehlungen für die Entwicklung einer Security-Strategie in Behörden. Denn idealerweise ist Security bereits bei der Planung der IT-Architektur ein integraler Bestandteil und fest in der Infrastruktur verankert (Security by Design). Unter anderem gehört dazu, dass sie einen wichtigen Baustein berücksichtigen müssen, der häufig vernachlässigt wird: den Menschen. Hier liegt häufig ein – wenn oftmals auch unbeabsichtigtes – Sicherheitsrisiko. Behörden sollten ihre Mitarbeiter daher kontinuierlich im Hinblick auf das Thema Cybersecurity sensibilisieren. Regelmäßige Trainings sind hier wichtig, da sich die Bedrohungslandschaft kontinuierlich verändert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cybersicherheit ist so sehr ein technisches Problem wie ein menschliches. Im Angesicht neuer Herausforderungen und Probleme wenden sich Menschen oft neuen Technologien zu. Security-Analysten entwickeln neue Ideen und Herangehensweisen, um Cyberkriminelle daran zu hindern, die öffentliche Verwaltung lahmzulegen – indem sie die entsprechenden Systeme und Netzwerke angreifen. Es ist ohne Frage wichtig, die richtige Cybersecurity-Technologie in ihrer Umgebung einsetzen. Aber dieser Investition sollte stets die Betrachtung zweier anderer Faktoren vorausgehen: der Menschen, die die Produkte nutzen, und der Prozesse, die deren Wirkungsweise definieren.
Über den Autor: Jörg Hesske ist Area Vice President Central & Eastern Europe bei Elastic.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3a/09/3a09946ff12c2ff220edd2cbf77e593d/0129895217v1.jpeg "In der Nachrichtensendung von Geo News vom 1. März 2026 brach das Signal ab, während Angreifer eigene Inhalte einspeisten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/18/d418b1e7e2ee34ca123e80d4e921cab7/0129875056v2.jpeg "2025 erreichten OT-Schwachstellen ein Rekordniveau mit 2.155 veröffentlichten CVEs. Doch 78 Prozent aller identifizierten Schwachstellen fehlen in offiziellen CISA-Advisories. Betreiber kritischer Infrastrukturen müssen ihre Informationsquellen über CISA hinaus erweitern, um das tatsächliche Risiko zu erfassen. (Bild: © Viktor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/36/8a36b00d7f6be97b488df00401360c18/0129877671v1.jpeg "Jailbreaking und andere Angriffe auf KI-Systeme erfordern neue Sicherheitsansätze. Unternehmen müssen Schutzmechanismen außerhalb des Modells verankern und KI-spezifisches Red-Teaming einsetzen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/36/c436aa200af465e47517ac7e08a02d92/0129642309v1.jpeg "Kräftebündelung für mehr Governance: (v.l.) Joschka Fischer (Außenminister und Vizekanzler a.D.), Martin Merz (President of SAP Sovereign Cloud), Frédéric Munch (CEO Sopra Steria Deutschland und Österreich), Benjamin Haddad (französischer Europaminister), François Delattre (französischer Botschafter in Deutschland). (Bild: Julian Reith)")
:quality(80)/p7i.vogel.de/wcms/97/c2/97c233365254f16ac4f7fda04075660c/0129380266v1.jpeg "Cohesity Data Cloud: Werden beim Scan verdächtige Dateien gefunden, werden diese mit Kompromittierungsindikatoren angezeigt. (Bild: Cohesity)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/06/8306e6732e1cdfca7c3c5f7667d0a31a/0129631503v2.jpeg "Das aktuelle Ransomware-Ökosystem zeichnet sich durch einen kontinuierlichen Anstieg an Angriffen in der DACH-Region aus, der durch eine arbeitsteilige Struktur unter Cyberkriminellen und Millionen kompromittierter Accounts im Darknet gefördert wird. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/b9/75b947d0d652fabc454a61cb164dbbb6/0129898446v2.jpeg "Evrotrust, Anbieter für digitale Identitäts- und qualifizierte Vertrauensdienste mit Hauptsitz in Sofia, gründet mit der Evrotrust Technologies GmbH eine Niederlassung in Deutschland. (Bild: Evrotrust)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/10/82/1082ac3d761567c0e6088d2fcd935cfd/0126091441v2.jpeg "Der CrowdStrike-Report 2025 verdeutlicht, dass Cyberkriminelle generative KI nutzen, um Angriffe zu skalieren, Social-Engineering-Methoden zu verfeinern und in allen Phasen komplexer Intrusionen effizienter vorzugehen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/20/d8/20d8ba08489c2a58966df2394db7bfdb/0127423854v1.jpeg "Systematische Attribution: Das Framework macht aus verstreuten Indizien ein klares Angreiferprofil. Ein Meilenstein für die moderne Bedrohungsanalyse. (Bild: © Kritsadee - stock.adobe.com)")