Cyberangriff auf Behörde.

 April 11, 2025

Phishing-Kampagne gegen eine Behörde.

Der Angriff: Ein scheinbar legitimer Hinweis

An einem Montagmorgen erhielt ein Mitarbeiter des Finanzministeriums eine E-Mail mit dem Betreff „Dringende Sicherheitsüberprüfung Ihres Kontos“. Der Absender schien ein offizieller Ansprechpartner der IT-Abteilung zu sein. In der Nachricht wurde der Empfänger darauf hingewiesen, dass aufgrund einer neuen Sicherheitsrichtlinie sein E-Mail-Konto überprüft werden müsse.

„Sehr geehrter Herr Meier, zur Einhaltung der aktuellen Sicherheitsstandards müssen alle Mitarbeiter ihr Passwort über das neue IT-Sicherheitsportal validieren. Bitte klicken Sie auf den folgenden Link, um die erforderliche Bestätigung durchzuführen.“

Der Link führte zu einer täuschend echten Nachbildung des Behörden-Logins, die von den Angreifern speziell für diesen Angriff erstellt worden war. Ohne Verdacht zu schöpfen, gab der Mitarbeiter seine Anmeldedaten ein. Innerhalb von Minuten hatten die Angreifer Zugriff auf sein Konto – und damit auf sensible interne Dokumente wie Finanzberichte, interne Entscheidungsprotokolle und personenbezogene Daten von Bürgern.

Die Eskalation: Die Angreifer breiten sich aus

Nachdem die Hacker Zugriff auf das Konto des Mitarbeiters erlangt hatten, nutzten sie dessen Identität, um sich unauffällig im Netzwerk der Behörde zu bewegen. Ihre Strategie umfasste mehrere Schritte:

  • Weiterleitung interner E-Mails an externe Server, um vertrauliche Informationen zu exfiltrieren.
  • Verwendung der kompromittierten Identität, um weitere Phishing-Mails an Kollegen zu senden.
  • Zugang zu internen Verwaltungssystemen, in denen Finanzdaten und Bürgerinformationen gespeichert waren.
  • Platzierung von Malware, um langfristigen Zugriff auf das Netzwerk sicherzustellen.

Da der Angriff über einen vertrauenswürdigen Account erfolgte, wurden die ersten verdächtigen Aktivitäten erst nach zwei Tagen bemerkt. Zu diesem Zeitpunkt hatten die Angreifer bereits große Mengen sensibler Daten gestohlen und erste Versuche unternommen, Finanztransaktionen umzuleiten.

Die Gegenmaßnahmen: Reaktion und Schadensbegrenzung

Als der Angriff schließlich entdeckt wurde, trat das Notfallprotokoll der Behörde in Kraft:

  1. Sofortige Sperrung des kompromittierten Kontos und Rücksetzen aller verdächtigen Anmeldedaten.
  2. Alarmierung aller Mitarbeiter, um weitere Phishing-Versuche zu verhindern.
  3. Durchführung einer forensischen Analyse, um die Vorgehensweise der Angreifer nachzuvollziehen.
  4. Zusammenarbeit mit Strafverfolgungsbehörden, um die Täter zu identifizieren.
  5. Erstellung eines internen Transparenzberichts, um sicherzustellen, dass der Vorfall dokumentiert wurde.

Innerhalb einer Woche konnte der Schaden weitgehend eingegrenzt werden, doch einige gestohlene Daten waren bereits in kriminellen Netzwerken aufgetaucht. Dies hatte weitreichende Konsequenzen für die Behörde und betroffene Personen.

Die Lehren: Bessere Prävention gegen Phishing-Angriffe

Nach der Analyse des Vorfalls beschloss die Behörde, ihre Sicherheitsstrategie grundlegend zu überarbeiten:

  • Einführung von Multi-Faktor-Authentifizierung (MFA) für alle sensiblen Systeme.
  • Regelmäßige Phishing-Simulationen für alle Mitarbeiter, um die Sensibilisierung für solche Angriffe zu erhöhen.
  • Technische Schutzmaßnahmen wie DMARC zur Identifizierung und Blockierung gefälschter E-Mails.
  • Strengere Sicherheitsrichtlinien, die klar definieren, welche IT-Anfragen per E-Mail erfolgen dürfen.
  • Echtzeitüberwachung des Netzwerks, um auffällige Zugriffsversuche schneller zu identifizieren.
  • Implementierung einer „Zero-Trust“-Strategie, bei der jeder Zugriff überprüft wird.
  • Schulung der Führungskräfte, um sicherzustellen, dass auch Entscheidungsträger sich der Gefahren von Social Engineering bewusst sind.

Zusätzlich wurde ein Notfallkommunikationskanal eingerichtet, der sicherstellt, dass Mitarbeiter verdächtige Anfragen direkt mit der IT-Abteilung abklären können, bevor sie darauf reagieren.

Der Angriff auf die Behörde zeigt, wie effektiv Phishing-Kampagnen sein können und dass technische Sicherheitsmaßnahmen allein nicht ausreichen. Menschliche Wachsamkeit und kontinuierliche Schulungen sind essenziell, um solche Bedrohungen zu erkennen und zu verhindern.