Des Hackers liebste Opfer:

Wie stärkt man Behörden und Bildungseinrichtungen?

Obwohl Cyberkriminelle ihre Angriffe breit zu streuen wissen, zielen sie am liebsten dahin, wo es wehtut: Auf Bildungseinrichtungen und Behörden. Die Gründe sind so zahlreich wie die Menge der Angriffe, denen sich beide Bereiche ausgesetzt sehen. Heterogene IT-Landschaften, Legacy-Systeme, viele ungesicherte Schnittstellen, Patch-Verzug und eine große, wechselnde Nutzerbasis mit breitgestreuten Rechten und oft ungesicherten Geräten im BYOD-Kontext schaffen Angriffsflächen.

Die Bedrohungslage für den öffentlichen Sektor verschärft sich deshalb. Aber nicht nur wegen krimineller Erpressung, sondern auch durch staatlich geförderte Gruppen. Klassische, rein interne Abwehr reicht deshalb einfach nicht mehr aus. Gefragt ist eine externe, nach außen gerichtete Cyberabwehr sowie die  kontinuierliche Beobachtung krimineller Ökosysteme, inklusive Deep & Dark Web. Der Fokus liegt dabei auf einem Paradigma: Frühzeitige Erkennung.

Warum „nach außen schauen“ zur Pflicht wird

Die Grenzen zwischen Kriminalität und staatlich geförderten Kampagnen verschwimmen. Professionalisierte Werkzeuge und Dienstleister machen selbst kleinere Verwaltungen angreifbar. Reaktive Maßnahmen am Perimeter und klassische Incident Response kommen zu spät, wenn Zugangsdaten bereits im Untergrund gehandelt werden oder Drittdienstleister kompromittiert sind. Externe Risikoaufklärung (External Risk Management) zielt deshalb darauf, Angriffe vor ihrer Entfaltung zu erkennen – durch das Monitoring gegnerischer Infrastrukturen und Märkte.

Ein häufiger Angriffsweg verläuft so: Eine Infostealer-Malware auf Privat- oder Dienstrechnern sammelt Login-Daten, die anschließend von „Initial Access Brokern“ gebündelt und weiterverkauft werden. Das ist oft die Vorstufe zu Ransomware-Infiltrationen in Verwaltungen, Schulen oder Kliniken. Wer geleakte Accounts und Identitäten früh erkennt, unterbricht den Angriffslebenszyklus und reduziert die Eintrittswahrscheinlichkeit drastisch. Für deutsche Einrichtungen heißt das: kontinuierliche Identitäts- und Leakkontrollen (u. a. Schul-/Hochschul-Portale, Fachverfahren, OWA/VPN, Admin-Konten) und klare Prozesse zur sofortigen Rotation von Credentials, spricht Zugangsdaten. Das führt automatisch zum nächsten Thema, dem größten Einfallstor im Bereich Cyberkriminalität.

Phishing & Identitätsmissbrauch: Falsche Ämter, echte Schäden

Angreifer imitieren gern Bürgern bekannte Behördenkommunikation (z. B. Stadtwerke-Rechnungen, fingierte E-Ticket/Verkehrsbußen, Hochschul-IT-Hinweise). Typisch sind hierbei Smishing-Wellen und Domain-Kopien mit Login-Formularen. Für kommunale ITs, Landesbehörden und Hochschulen empfiehlt lassen sich hier direkt einige Empfehlungen aussprechen:

•  Früherkennung von neu registrierten Domains/Look-alikes zu Amts- und Hochschul-Domains
•  Takedown-Prozesse mit klaren Zuständigkeiten
•  E-Mail-Authentifizierung (SPF, DKIM, DMARC) konsequent durchsetzen
•  Bürger- und Mitarbeiter-Warnungen bei aktiven Kampagnen (Website-Banner, Social, Warn-Apps)

Profiling und Betrugserkennung gegen Missbrauch im Untergrund

Im Dark Web florieren Services für gefälschte Identitätsdokumente, Geldwäsche-Logistik und ganze „Kurier-Netzwerke“. Diese Angebote befeuern Sozialleistungs- und Beschaffungsbetrug und führen häufig zu Kompromittierungen von Zahlungsprozessen. Wirksam begegnen lässt sich dem, indem kontinuierlich OSINT- und Dark-Web-Signale zu gefälschten Dokumenten-Kits, Money-Mule-Anwerbungen und typischen Finanzworkflows ausgewertet werden.

Parallel dazu sollten in Auszahlungs- und Beschaffungsprozessen Anomalien wie kurzfristige Änderungen von Bankverbindungen oder auffällige Mikro-Transaktionsmuster automatisiert erkannt und überprüft werden. Ergänzend müssen Behörden gemeinsam mit Landes- und Bundesstellen sowie Finanzdienstleistern lagebildgestützt arbeiten, um Erkenntnisse zu bündeln, Warnschwellen zu harmonisieren und Gegenmaßnahmen koordiniert umzusetzen.

Statt zudem nur Indikatoren zu blockieren, hilft ein TTP-basiertes Gegnerbild (bevorzugte Branchen, Exploits/CVEs, Initialzugänge, Ausbreitungs-Techniken): Verwaltungen können Patches priorisieren, Hardening gezielt anpassen und Playbooks nach Gruppenmerkmalen schärfen (z. B. seitliche Bewegung via RDP/SMB, MFA-Bypass, EDR-Evasion). Das Ergebnis: Vorwarnzeiten steigen, Reaktionszeiten sinken.

Lieferketten-Risiken: Der kritische Hebel

Den aus der Wirtschaft bekannten Domino-Effekt bei Cyberattacken gibt es auch im öffentlichen Sektor: Lieferketten-Angriffe. Diese zielen auf Cloud-, SaaS-, Fachverfahren- und Outsourcing-Partner. Das heißt nichts anderes als: Kompromittierungen bei einem einzigen Anbieter können Kettenreaktionen auslösen, die alle ruinieren. Ausgangspunkt ist ein Zugangsdaten-Abfluss über Mandanten hinweg mit massiven Folgeschäden.

Behörden und Bildungseinrichtungen sollten zur Vorbeugung folgende Maßnahmen priorisieren:

•  Inventarisierung & Abhängigkeiten: Wer liefert was? Wo liegen Daten? Welche privilegierten Integrationen existieren (API, SSO, Admin-Zugänge)?
•  Kontinuierliches Drittanbieter-Monitoring: Leaks, Exploit-Diskussionen, Vorfälle, Angreifer-Interesse – frühzeitig erkennen.
•  Technische Guardrails: Mandantentrennung, Least-Privilege, Just-in-Time-Admin, MFA erzwingen, Conditional Access, Schlüssel-/Secret-Rotation.
•  Vertragliche Controls: Benachrichtigungs-/Forensik-Pflichten, Protokoll-/Telemetrie-Zugriff, SBOM/Abhängigkeits-Transparenz, sichere Update-Prozesse.
•  Sofortmaßnahmen-Pläne: Wenn ein Teil der Lieferkette befallen ist: Wie isoliert man ihn, welche Workarounds nutzt man stattdessen und wie informiert man Betroffene?
• Gemeinsame Übungen: Dies unterstützt den vorherigen Punkt; Mit kritischen Dienstleistern sollte man regelmäßig Table-Top (Cloud, Rechenzentrum, KRITIS-Nahe) durchführen.

Schutz von Führungspersonal & offizieller Kommunikation

Gefälschte Profile, Deepfakes und Social-Engineering gegen Behördenleitung, Ministerien oder Hochschulführungen nehmen zu. Bei der Vorbeugung helfen hier Account-Verifizierung, klare Kommunikationsrichtlinien (z. B. Codewörter/Call-backs bei Zahlungsfreigaben), Marken-/Identitäts-Monitoring und schnelle Takedowns bei Missbrauch.

Viele Angriffskampagnen sind obendrein regional ausgerichtet (Wahlen, Energie, Verwaltungsvorgänge). Externe Lagebilder, die regionale Zielsektoren und laufende Kampagnen verknüpfen, erhöhen das Situationsbewusstsein. Konkret braucht es hier laufende Frühwarnungen zu gruppenspezifischen TTPs und einen Branchenfokus, abgestimmt mit internen CERT-/SOC-Strukturen.

Fazit

Für Behörden und Bildungseinrichtungen führt an einem Paradigmenwechsel kein Weg vorbei: Weg von reiner Alarmbearbeitung, hin zu einer Sicherheitsstrategie, die Angriffe gar nicht erst zum Zug kommen lässt. Das heißt konkret: Identitäten, E-Mail und Internet-Zugänge als Primärziele absichern, verdächtige Infrastruktur außerhalb des eigenen Perimeters früh erkennen und blockieren, und Lieferketten kontinuierlich mitdenken. Wirksam wird das, wenn Signale aus Netzwerk, Cloud, Endgeräten und Accounts in einem konsistenten, möglichst schlanken Sicherheitsbetrieb zusammenlaufen.

Unterstützt werden sollte dies durch aktuelle Bedrohungsinformationen und Automatisierung, statt durch immer mehr Einzellösungen. So sinkt die Zeit bis zur Erkennung, die Angriffsfläche schrumpft, und Ausfälle lassen sich vermeiden, bevor sie Bürgerdienste oder Abläufe im Schulalltag treffen. Prävention, Konsolidierung und Intelligence-gestützte Entscheidungen sind damit weniger Schlagwort als betriebliche Notwendigkeit und der realistische Weg zu mehr Resilienz im öffentlichen Sektor.