Organisationen des öffentlichen Sektors bewegen sich in einer Bedrohungslandschaft, die dynamischer und gefährlicher wird.
Bundesbehörden, Landes- und Kommunalverwaltungen sowie Bildungseinrichtungen sind Hauptziele für Ransomware, Phishing, Business Email Compromise (BEC) und den Diebstahl von Zugangsdaten. Allein auf Kommunalverwaltungen entfallen im Jahr 2025 schätzungsweise 43 Prozent der Ransomware-Opfer. Doch die eigentliche Veränderung liegt nicht nur in der Anzahl der Angriffe. Sie liegt in der Taktik. Angreifer versuchen nicht mehr, sich Zugang zu verschaffen. Sie melden sich an.
Heutige Angreifer umgehen gehärtete Infrastrukturen, indem sie Menschen direkt ins Visier nehmen. Ausgeklügelte Phishing-E-Mails geben sich als Führungskräfte aus, imitieren vertrauenswürdige Anbieter und nutzen Kontextdaten, die aus sozialen Medien und früheren Sicherheitsverletzungen gewonnen wurden. BEC-Kampagnen beinhalten mittlerweile Verhaltensprofilierung und KI-generierte Vorwände, die authentisch und dringlich wirken.
Staatlich geförderte und finanziell motivierte Gruppen konzentrieren sich zunehmend auf identitätsbasierte Angriffe. Sie nutzen die MFA-Müdigkeit aus, stehlen Sitzungstoken und setzen browserbasierte Tools zum Sammeln von Anmeldedaten ein, die herkömmliche E-Mail-Sicherheitskontrollen umgehen.
Das Ergebnis? Menschliches Verhalten bleibt die Angriffsfläche Nummer eins.
Phishing ist weiterhin für den Großteil der Datenverletzungen im öffentlichen Sektor verantwortlich. Social Engineering übertrifft technische Ausnutzung als primären Erstzugriffsvektor durchweg. Selbst gut konfigurierte Microsoft Defender for Office-Umgebungen können Angriffe, die auf Täuschung, Dringlichkeit und Vertrauen setzen, nicht vollständig abwehren. Technische Kontrollen sind zwar nach wie vor notwendig, reichen jedoch nicht aus.
Die meisten Umgebungen im öffentlichen Sektor arbeiten mit einem Flickenteppich aus unverbundenen Tools:
Jedes Tool spielt eine Rolle. Zusammen verursachen sie jedoch oft operative Reibungsverluste. Warnmeldungen sind über verschiedene Dashboards verstreut. Von Benutzern gemeldete Phishing-E-Mails liegen in gemeinsamen Posteingängen. Manuelle Triage verlangsamt die Reaktion. Nachweise zur Compliance befinden sich in Tabellenkalkulationen.
Diese Fragmentierung schafft blinde Flecken — insbesondere in Microsoft 365-Umgebungen, in denen identitätsbasierte Angriffe die Perimeter-Abwehr umgehen können.
Ältere Secure Email Gateways (SEGs) bieten keinen zuverlässigen Schutz mehr gegen ausgefeilte Phishing- und BEC-Kampagnen. Und obwohl Microsoft Defender einen starken Basisschutz bietet, automatisiert es die Analyse von durch Benutzer gemeldeten Bedrohungen nicht vollständig und schließt nicht jede identitätsbasierte Lücke. Sicherheitsteams müssen diese Lücken manuell schließen — mit Zeit, die sie nicht haben.
SOCs im öffentlichen Sektor sind überlastet. Das Volumen an Warnmeldungen steigt. Hybride und remote arbeitende Belegschaften vergrößern die Angriffsfläche. Die Anforderungen an die Dokumentation nehmen weiter zu.
Kleine Teams können nicht manuell:
Die Automatisierung muss die Hauptlast übernehmen. Triage, Klassifizierung, Abhilfemaßnahmen, kontinuierliche Schulungen und Compliance-Dokumentation müssen in einem einheitlichen, automatisierten Zyklus ablaufen. Ohne diesen Zyklus verlangsamt sich die Reaktion und das Risiko steigt.
Die Lösung besteht nicht in mehr Tools. Es ist eine einheitliche, menschenzentrierte Sicherheitsstrategie, die Folgendes integriert:
Wenn E-Mail-Abwehr, Human Risk Management und Compliance zusammenwirken, verändert sich etwas.
Benutzer werden Teil des Erkennungsnetzwerks. Die Melderaten für Phishing steigen. Durch Automatisierung werden bestätigte Bedrohungen aus den Posteingängen im gesamten Unternehmen entfernt. Echte Phishing-Versuche werden in Schulungssimulationen umgewandelt. Risikoreiches Verhalten löst zeitnahes Sicherheitscoaching aus. Menschliches Risiko wird messbar und beherrschbar.
Microsoft 365 and Defender bilden bereits die Grundlage für IT-Umgebungen im öffentlichen Sektor. Der schnellste Weg zur Reife führt nicht über das Hinzufügen weiterer isolierter Tools. Er besteht darin, Microsoft 365 mit einer einheitlichen Plattform zu stärken, die:
Dieser Ansatz reduziert den Betriebsaufwand, anstatt ihn zu erhöhen, und bringt das Verhalten der Mitarbeiter mit den technischen Kontrollen in Einklang. Er schließt zudem identitätsbasierte Erkennungslücken, reduziert Fehlalarme und beschleunigt die Behebung von Problemen. Und was entscheidend ist: Er belegt der Führungsebene und den Aufsichtsgremien eine messbare Risikominderung.
Cyber-Bedrohungen werden nicht verschwinden. Angreifer werden ihre Social-Engineering-Taktiken weiterhin schneller weiterentwickeln, als signaturbasierte Tools mithalten können. Organisationen des öffentlichen Sektors müssen darauf reagieren, indem sie ihr Human Risk Management weiterentwickeln.
Eine einheitliche Plattform, die E-Mail-Schutz, automatisierte Reaktion, Schulungen, Verhaltenscoaching und Compliance-Berichterstattung integriert, wandelt die Sicherheit von reaktiv zu widerstandsfähig.
Sie reduziert durch Phishing verursachte Kompromittierungen, senkt die Rate kompromittierter Konten und verkürzt die Reaktionszeiten bei Vorfällen. Und sie schafft eine nachhaltige Sicherheitskultur unter Mitarbeitern, Auftragnehmern und Ausbildern.