Warum sind Behörden besonders häufig Ziel von Phishing?

Holger Maczkowsky ·
Geöffneter Regierungsumschlag auf grauem Steintisch mit einem Angelhaken im Inneren, Symbol für Phishing-Betrug.

Behörden sind besonders häufig Ziel von Phishing-Angriffen, weil sie sensible Daten verwalten, öffentlich zugängliche Kontaktinformationen bereitstellen und oft mit veralteten IT-Strukturen arbeiten. Angreifer wissen, dass ein erfolgreicher Angriff auf eine Behörde Zugang zu Bürgerdaten, internen Systemen und kritischen Infrastrukturen verschaffen kann. Gleichzeitig sind Behördenmitarbeitende nicht immer so intensiv in IT-Sicherheit geschult wie ihre Pendants in der Privatwirtschaft.

Fehlende Sicherheitskultur in Behörden macht Phishing-Angriffe besonders wirksam

Viele Behörden haben klare Prozesse für Verwaltungsabläufe, aber keine gelebte Sicherheitskultur im Umgang mit digitalen Bedrohungen. Mitarbeitende öffnen E-Mails mit behördlichen Absendernamen, weil sie täglich mit genau solchen Nachrichten arbeiten. Das Ergebnis: Phishing-Mails landen nicht im Papierkorb, sondern werden geöffnet, Links werden angeklickt, und Zugangsdaten werden eingegeben. Der Schaden entsteht nicht durch technisches Versagen, sondern durch fehlendes Bewusstsein. Ein konkreter Schritt nach vorn sind regelmäßige, praxisnahe Trainings, die Mitarbeitende befähigen, verdächtige Nachrichten zu erkennen, bevor sie reagieren.

Öffentlich zugängliche Behördendaten erleichtern gezieltes Phishing erheblich

Behörden veröffentlichen aus Transparenzgründen viele Informationen: Organigramme, Kontaktdaten, Zuständigkeiten und laufende Projekte. Für Angreifer ist das ein Fundus. Mit diesen Informationen lassen sich täuschend echte Phishing-Mails formulieren, die auf konkrete Personen, Abteilungen oder aktuelle Vorgänge eingehen. Wer eine E-Mail erhält, die seinen Namen, seinen Vorgesetzten und ein laufendes Projekt korrekt nennt, zweifelt selten an der Echtheit. Behörden sollten deshalb kritisch prüfen, welche Informationen wirklich öffentlich zugänglich sein müssen, und Mitarbeitende gezielt auf diese Art von Social Engineering vorbereiten.

Was ist Phishing und wie funktionieren solche Angriffe?

Phishing ist eine Form des digitalen Betrugs, bei der Angreifer gefälschte Nachrichten, meist per E-Mail, verschicken, um Empfänger dazu zu bringen, sensible Daten preiszugeben, schädliche Anhänge zu öffnen oder auf manipulierte Links zu klicken. Das Ziel ist es, Zugangsdaten, Finanzdaten oder Systeminformationen zu stehlen.

Technisch gesehen nutzen Phishing-Angriffe keine Sicherheitslücken in Software, sondern Schwachstellen im menschlichen Verhalten. Eine typische Phishing-Mail gibt vor, von einer vertrauenswürdigen Quelle zu stammen, etwa einer Bank, einer Behörde oder einem Vorgesetzten. Sie erzeugt Dringlichkeit, fordert zu einer Handlung auf und leitet das Opfer auf eine gefälschte Website weiter, die der echten täuschend ähnlich sieht.

Neben klassischen E-Mail-Angriffen gibt es Smishing (per SMS), Vishing (per Telefon) und Spear-Phishing, bei dem Angreifer sehr gezielte, personalisierte Nachrichten an bestimmte Personen schicken. Gerade Spear-Phishing ist für Behörden besonders gefährlich, weil der Aufwand für Angreifer gering ist, der mögliche Schaden aber erheblich.

Warum sind Behörden besonders attraktive Ziele für Phishing?

Behörden verwalten große Mengen sensibler Bürgerdaten, haben Zugang zu kritischen Infrastrukturen und sind durch ihre öffentliche Funktion gut dokumentiert. Für Angreifer bedeutet das: hoher potenzieller Schaden, leicht verfügbare Informationen für gezielte Angriffe und oft weniger ausgereifte IT-Sicherheitsstrukturen als in der Privatwirtschaft.

Hinzu kommt, dass Behörden häufig mit anderen Behörden, Ministerien und externen Dienstleistern kommunizieren. Diese Vielzahl an Kommunikationspartnern macht es einfacher, gefälschte Absender glaubwürdig erscheinen zu lassen. Eine E-Mail, die vorgeblich vom Finanzministerium oder vom IT-Dienstleister kommt, weckt wenig Misstrauen.

Auch politisch motivierte Angriffe spielen eine Rolle. Behörden sind nicht nur wirtschaftlich interessante Ziele, sondern auch für staatlich gesteuerte Akteure attraktiv, die an Informationen über politische Entscheidungen, Sicherheitsstrukturen oder diplomatische Vorgänge interessiert sind.

Welche Arten von Phishing-Angriffen treffen Behörden am häufigsten?

Behörden sind vor allem von drei Phishing-Varianten betroffen: Spear-Phishing mit personalisierten Nachrichten an bestimmte Mitarbeitende, Business E-Mail Compromise (BEC), bei dem Angreifer Führungspersonen imitieren, und Phishing über gefälschte Behördenportale oder Dokumentenlinks.

  • Spear-Phishing: Angreifer recherchieren gezielt Namen, Funktionen und aktuelle Vorgänge, um täuschend echte Nachrichten zu verfassen. Diese Art von Angriff ist schwerer zu erkennen als Massen-Phishing.
  • Business E-Mail Compromise (BEC): Angreifer geben sich als Behördenleitung, Abteilungsleitung oder IT-Administration aus und fordern Mitarbeitende zu Handlungen auf, etwa zur Überweisung von Geldern oder zur Herausgabe von Zugangsdaten.
  • Gefälschte Portale und Dokumentenlinks: Mitarbeitende werden auf täuschend echte Login-Seiten oder Dokumentenplattformen geleitet, wo sie ihre Zugangsdaten eingeben.
  • Malware-Anhänge: Scheinbar legitime Dokumente, etwa als Rechnungen oder Berichte getarnt, enthalten Schadcode, der sich nach dem Öffnen im internen Netzwerk ausbreitet.

Wie gelingt es Angreifern, Behördenmitarbeitende zu täuschen?

Angreifer täuschen Behördenmitarbeitende, indem sie Vertrauen, Autorität und Dringlichkeit kombinieren. Sie nutzen öffentlich verfügbare Informationen, imitieren bekannte Absender und erzeugen Situationen, in denen schnelles Handeln gefordert scheint. Wer unter Druck steht, prüft seltener kritisch.

Konkret bedeutet das: Eine E-Mail, die vorgibt, vom IT-Team zu kommen und zur sofortigen Passwortänderung auffordert, wirkt für viele Mitarbeitende plausibel, besonders wenn das Absenderkonto einer echten internen Adresse ähnelt oder sogar kompromittiert wurde. Die technischen Mittel der Angreifer, zum Beispiel Domain-Spoofing oder leicht veränderte Absenderadressen, sind oft schwer zu erkennen.

Psychologische Mechanismen verstärken die Wirkung: Autoritätsgehorsam gegenüber vermeintlichen Vorgesetzten, Angst vor Konsequenzen bei Nichthandeln und das Gefühl, etwas Wichtiges zu verpassen, sind klassische Hebel. Wer diese Muster kennt, kann bewusster damit umgehen.

Wie können sich Behörden effektiv vor Phishing schützen?

Effektiver Phishing-Schutz für Behörden besteht aus drei Säulen: technischen Schutzmaßnahmen, regelmäßigen Schulungen und klaren Meldeprozessen. Keine einzelne Maßnahme reicht aus; erst das Zusammenspiel aller drei Ebenen schafft echte Sicherheit.

Auf der technischen Ebene helfen E-Mail-Filter, Zwei-Faktor-Authentifizierung, SPF- und DMARC-Einträge sowie eine strikte Trennung von internen und internetbasierten Systemen. Besonders wirksam ist es, den Webbrowser, über den Phishing-Links meist aufgerufen werden, vom internen Netzwerk zu isolieren. So kann Schadcode, der über einen manipulierten Link eingeschleust wird, im internen System keinen Schaden anrichten.

Auf der menschlichen Ebene sind regelmäßige, praxisnahe Trainings entscheidend. Mitarbeitende sollten wissen, wie sie verdächtige E-Mails erkennen, wo sie diese melden können und was zu tun ist, wenn sie unsicher sind. Simulierte Phishing-Kampagnen, bei denen das eigene IT-Team gefälschte Mails versendet, helfen dabei, den Lerneffekt zu messen und gezielt nachzusteuern.

Was sollten Behörden tun, wenn ein Phishing-Angriff erfolgreich war?

Wenn ein Phishing-Angriff erfolgreich war, zählt jede Minute. Die sofortige Isolation des betroffenen Systems, die Sperrung kompromittierter Zugangsdaten und die Information der IT-Sicherheitsverantwortlichen sind die ersten Schritte. Danach folgen Analyse, Dokumentation und Meldung an zuständige Stellen.

  1. Betroffenes System isolieren: Den Rechner sofort vom Netzwerk trennen, um eine weitere Ausbreitung von Schadsoftware zu verhindern.
  2. Zugangsdaten sperren: Alle Passwörter, die möglicherweise kompromittiert wurden, sofort ändern oder sperren lassen.
  3. IT-Sicherheitsverantwortliche informieren: Den Vorfall intern melden, damit eine strukturierte Analyse eingeleitet werden kann.
  4. Schadensausmaß analysieren: Prüfen, auf welche Daten oder Systeme zugegriffen wurde und ob weitere Konten betroffen sein könnten.
  5. Behörden und Aufsichtsstellen informieren: Je nach Art der betroffenen Daten besteht eine Meldepflicht, etwa gegenüber dem BSI oder der zuständigen Datenschutzbehörde.
  6. Vorfall dokumentieren: Den gesamten Ablauf festhalten, um die Reaktion zu verbessern und künftige Angriffe besser abwehren zu können.

Ein Phishing-Angriff ist kein Versagen einzelner Mitarbeitender, sondern ein systemisches Ereignis. Wer den Vorfall offen kommuniziert und strukturiert aufarbeitet, kann daraus lernen und die eigene Sicherheitsstrategie gezielt stärken.

Wie m-privacy GmbH Behörden beim Schutz vor Phishing unterstützt

Wir bei der m-privacy GmbH wissen, dass Phishing-Schutz nicht mit einer einzelnen Maßnahme endet. Als Berliner IT-Sicherheitsunternehmen mit mehr als zwei Jahrzehnten Erfahrung unterstützen wir Behörden und öffentliche Einrichtungen mit einem umfassenden Ansatz, der technische Absicherung und menschliche Kompetenz verbindet.

  • TightGate-Pro: Unsere nach Common Criteria EAL3+ zertifizierte Lösung trennt den Webbrowser physisch vom internen Netzwerk. Phishing-Links, die im Browser geöffnet werden, können so im internen System keinen Schaden anrichten.
  • Schulungen zu IT-Sicherheit und Datenschutz: Wir schulen Mitarbeitende praxisnah darin, Phishing-Mails zu erkennen, richtig zu reagieren und Vorfälle korrekt zu melden.
  • Security Audits nach ISO 27001: Wir analysieren Ihre bestehende IT-Sicherheitsstruktur und identifizieren konkrete Schwachstellen, bevor Angreifer sie ausnutzen können.
  • Risikoanalysen und Informationsschutzberatung: Wir helfen Ihnen dabei, Risiken systematisch zu bewerten und Schutzmaßnahmen gezielt zu priorisieren.
  • Externer Datenschutzbeauftragter: Als Alternative zu einer internen Stabsstelle übernehmen wir die Funktion des Datenschutzbeauftragten und stellen sicher, dass Ihre Behörde datenschutzkonform aufgestellt ist.

Wenn Sie wissen möchten, wie gut Ihre Behörde gegen Phishing-Angriffe geschützt ist, sprechen Sie uns an. Kontaktieren Sie uns für ein unverbindliches Erstgespräch, und wir zeigen Ihnen gemeinsam, wo Handlungsbedarf besteht und welche Maßnahmen den größten Effekt erzielen. Mehr über unsere Lösungen und unser Unternehmen erfahren Sie auf unserer Website.