Cyber-Risiko Phishing - so schützen sich Verwaltungen

Lesedauer2 min

Die öffentliche Verwaltung steht zunehmend im Fokus von Phishing-Angriffen. Warum das so ist und wie man Phishing erkennt, erklärt Annemarie Buhtz, IT-Forensikerin und Phishing-Expertin aus dem Competence Center Security von Dataport.

Frau Buhtz, Phishing-Angriffe nehmen weltweit zu und gelten mittlerweile als häufigstes Einfallstor für Cyberattacken. Wie bewerten Sie das Risiko für die öffentliche Verwaltung? 

Phishing stellt für die öffentliche Verwaltung ein erhebliches Risiko dar. Der öffentliche Sektor verwaltet eine große Menge sensibler Daten – von Bürgerakten über Steuerdaten der Finanzämter bis hin zu Daten aus dem Gesundheitswesen. Die Auswirkungen eines Datendiebstahls können verheerend sein. Das spielt Cyberkriminellen in die Hände und ist ein Grund, warum die Verwaltung zunehmend in deren Visier gerät. Daten sind mittlerweile viel Geld wert. Jedes noch so kleine Bürgerbüro hat eine Zielscheibe auf dem Rücken. Die schwierige Personalsituation in der öffentlichen Verwaltung tut ihr Übriges. Die Belegschaft wird immer älter, und es kommen nicht genügend Nachwuchskräfte. Dadurch mangelt es an nötigem Wissen und Expertise, um Cyberrisiken einzuschätzen und angemessen zu reagieren.

Warum fällt es so schwer, sich vor Phishing zu schützen? 

Cyberkriminelle nutzen bestimmte psychologische Verhaltensmuster aus, um an vertrauliche Informationen zu gelangen. Sie erzeugen Druck oder Angst, indem sie zum Beispiel mögliche Strafen oder negative Konsequenzen androhen, wenn die Person nicht der Handlungsaufforderung folgt. Sie nutzen aus, dass Mitarbeitende womöglich unter Stress oder Zeitdruck stehen und dadurch unaufmerksamer sind. Oder sie zielen auf die Neugier eines Menschen ab, indem sie spannende oder brisante Inhalte andeuten. Oftmals gaukeln die Betrüger auch ein falsches Vertrauensverhältnis vor und verhalten sich so, als würden sie den Betroffenen kennen oder hätten schon mal Kontakt zu ihm gehabt. 

Gibt es konkrete Muster, an denen man Phishing erkennen kann?

Ein gängiges Vorgehen ist, dass man gebeten wird, Zugangsdaten oder Passwörter mitzuteilen. Man wird unter Zeitdruck gesetzt. Man soll Dateien ausfüllen, die man nicht kennt, oder etwas installieren. Es kann sein, dass die E-Mail unbekannte Links oder Datenanhänge enthält, denen man folgen soll. Der Absender ist häufig als “extern” gekennzeichnet. Und wenn man mit dem Mauszeiger über den Link geht, erscheint eine seltsam klingende Adresse, die vielleicht gar nicht zu dem Zweck passt, der laut Mail angegeben ist. Häufig findet man in Phishing-Mails auch typische Rechtschreibfehler oder falsche Formatierungen. Das muss mittlerweile aber nicht mehr zwingend ein Erkennungsmuster von Phishing sein. 

Welche technischen Schutzmaßnahmen helfen vor Phishing?

Phishing ist kein technischer Angriff, sondern ein sozialer. Deshalb helfen technische Maßnahmen hier kaum. Wir setzen in unseren Mail-Programmen bestimmte Filtersoftware ein, aber wir können nicht gänzlich verhindern, dass Phishing-Mails im Postfach landen. Bei Verdacht auf Phishing können Mitarbeitende von Dataport entsprechende Mails mit nur einem Klick über einen Phishing-Button an das Competence Center Security melden. Auch unsere Kunden können diesen Service beauftragen. Wir analysieren diese Mails in einer speziellen, simulierten Windows-Umgebung und testen dabei auch Links und Anhänge. Wird eine gemeldete Mail als Phishing identifiziert, sperren wir die IP-Adresse des Absenders sowie die enthaltene Phishing-Domain. Im Anschluss an die Prüfung erhält die Person, welche die Mail gemeldet hat, eine Rückmeldung von uns.

Annemarie Buhtz ist IT-Forensikerin und Phishing-Expertin im Competence Center Security von Dataport

Wie schätzen Sie den Einfluss von KI auf Phishing ein?

Künstliche Intelligenz bietet ungeahnte Möglichkeiten für Cyberkriminelle. Mithilfe von KI können Phishing-Mails mittlerweile so professionell und authentisch erstellt werden, dass sie von richtigen Nachrichten kaum zu unterscheiden sind. Und das binnen Sekunden. Generative KI kann das Corporate Design bekannter Marken nachahmen und damit in kürzester Zeit gefälschte Phishing-Seiten erstellen. KI kann Malwareschreiben – also schädliche Software wie Viren oder Trojaner. Diese wiederum kann in Phishing-Mails eingesetzt werden. Die Möglichkeiten sind nahezu unbegrenzt.

Was können Verwaltungen tun, um sich vor Phishing zu schützen?

Sensibilisieren und schulen. Es mangelt in der Verwaltung an entsprechendem Wissen und der gesunden Skepsis. Verwaltungsmitarbeitende haben es aber auch nicht leicht: Sie stehen im häufigen Kontakt mit Bürger*innen und bekommen daher auch viele E-Mails von verschiedenen Privatpersonen. Es kann schwer sein, Phishing-Mails direkt zu erkennen. Da hilft es nur, die Menschen für die Gefahr zu sensibilisieren und daran zu erinnern. Bei Dataport machen wir das zum Beispiel mit dem IT-Security-Blog. So schaffen wir Awareness und zeigen das Thema Sicherheit an Beispielen auf. Das ist auch eine Form der Prävention und die Resonanz ist sehr gut. Auch Phishing-Awareness-Kampagnen, so wie 2024 im Bundestag eine stattfand, finde ich sinnvoll. Bei Schulungen ist es wichtig, dass sie regelmäßig stattfinden. Dahingehend wird in den Behörden leider noch zu wenig getan.

Vielen Dank für das Gespräch!