Das Landratsamt München wehrt jährlich zwölf Millionen verdächtige E-Mails ab – Landkreis München

Nicht jeder, der eine E-Mail an das Landratsamt schreibt, verfolgt hehre Absichten. Innerhalb eines Jahres haben die Behörde im Landkreis München zwölf Millionen Nachrichten erreicht, bei denen die Firewall angeschlagen hat. Die Technik stufte sie als verdächtig oder gar gefährlich ein. Das Landratsamt schafft deshalb trotz des hohen Spardrucks neue Stellen bei der IT-Sicherheit. Die wird für Behörden und Rathäuser immer wichtiger. Kriminelle versuchen, Daten zu blockieren oder abzugreifen, um Lösegeld zu erpressen. Hinzu kommen politisch motivierte Angriffe – zunehmend von russlandfreundlichen Hackergruppen.

Die Angriffe erregen meist kein großes Aufsehen. Vieles läuft im Stillen ab, Firewalls verrichten automatisiert ihre Arbeit und IT-Fachleute halten die Systeme am Laufen. Wie der Leiter des Geschäftsbereichs Zentrale Angelegenheiten, Wolfgang Rübensaal, jüngst im Finanzausschuss des Kreistags sagte, sei mehr als jede vierte E-Mail, die bei den Rechnern der Beschäftigten ankomme, verdächtig und müsse zunächst abgewehrt werden. Man benötige geschultes Personal, um diese Fälle zu analysieren und Gegenmaßnahmen zu entwickeln. Deshalb soll das Team um eineinhalb Stellen aufgestockt werden. „Wir können es uns definitiv nicht leisten, dass eine große Behörde wie das Landratsamt über Wochen oder Monate nicht arbeitsfähig ist.“

Einige Warnschüsse

Warnschüsse gab es zuletzt einige. Ein Server des Medienzentrums des Landratsamts wurde 2022 attackiert und über Tage war die Abteilung stark beeinträchtigt. Ein Glück sei damals gewesen, dass das System des Medienzentrums isoliert gelaufen und alleine betroffen gewesen sei, sagt Behördensprecherin Christine Spiegel. Im Februar 2025 traf das Landratsamt im Vorfeld der Münchner Sicherheitskonferenz eine breiter angelegte Attacke, bei der auch Homepages weiterer Behörden in der Region in die Knie gingen. Webseiten der Staatskanzlei und des Digitalministerium waren nicht mehr erreichbar. Die Homepages der Rathäuser in Unterschleißheim und Garching waren beeinträchtigt.

Über mehrere Stunden sei damals der Internetauftritt eingeschränkt verfügbar gewesen, berichtet das Landratsamt. Zum Glück „gab es keine weiteren Auswirkungen“. Unterschleißheims Rathaus-Sprecher Steven Ahlrep sagt, die Verwaltung sei „in der Vergangenheit mehrfach Ziel“ von Angriffen gewesen. „Die Dauer einer Angriffswelle betrug im Durchschnitt etwa einen Tag.“ Mittlerweile wurden die Sicherheitssysteme hochgefahren. Ein sichtbares Zeichen: Wer heute die Homepage der Stadt neu aufruft, wird für einige Sekunden auf eine Filterseite weitergeleitet. Dort gibt es einen grünen Haken, und weiter geht es. „Ein zusätzlicher, proaktiver Schutzmechanismus wurde implementiert“, heißt es.

Die Hackergruppe  „NoName057(16)“

Als Urheber der Attacke Anfang 2025 identifizierten Ermittler des Bundeskriminalamts (BKA) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine russlandfreundliche Hackergruppe namens „NoName057(16)“. Das BKA meldete im Juli, man habe diese in einer internationalen Polizeiaktion lahmgelegt. Es seien Haftbefehle ergangen und Wohnungen durchsucht worden. Man habe ein „aus mehreren Hundert weltweit verteilten Servern bestehendes Botnetz abgeschaltet“. Der bayerische Innenminister Joachim Herrmann (CSU) hat jetzt im November bei der Vorstellung des Cyber-Sicherheitsberichts für 2024 erst wieder vor einer gesteigerten Gefährdungslage durch „fremde Nachrichtendienste und staatlich gesteuerte ausländische Akteure“ gewarnt.

Die „Hacktivisten“, wie sie auch genannt werden, hatten einen sogenannten „Denial of Service“-Angriff (DDoS) lanciert. Dabei schickten sie laut BKA zeitgleich eine gebündelte große Menge von Anfragen oder Zugriffen über eine Vielzahl verschiedener Rechner an ein System, um es zu überlasten. Ziel war eben, einen sogenannten „Distributed Denial of Service“ zu erreichen, also einen Zusammenbruch des Dienstes. Die Analysen des IT-Dienstleisters der Stadt Unterschleißheim ergaben, dass eine Angriffswelle im Durchschnitt etwa einen Tag angedauert habe. Die erste Welle habe schon zu stark verlängerten Ladezeiten über Stunden geführt. Die Angriffsmuster hätten eine dynamische Erweiterung der Aktivitäten gezeigt, und eine „komplexe Funktionalität“, was ein Abfangen der E-Mail-Mengen erschwert habe. Den Ursprung grenzte man „überwiegend auf osteuropäische und skandinavische Länder ein“. Solch ein Vorgehen ist aus Sicht der Fachleute der Münchner Myra Security GmbH sehr verbreitet. Christof Klaus, Director Global Network Defense bei Myra, beschreibt das E-Mail-Portal einer Organisation als einen zentralen wunden Punkt. Dieses stelle „ein großes Tor, wenn auch nicht das einzige“ dar, durch das kriminelle Akteure in Systeme einzudringen versuchten. Der unmittelbare Schaden für Behörden bei DDoS-Angriffen sei nicht unbedingt groß. Datenabflüsse stünden nicht im Vordergrund. Dafür würden aber die Behörden als Dienstleister blockiert und Bürger geschädigt, die Behördengänge nicht erledigen oder Geschäfte nicht abschließen könnten.

Die Cyber-Experten von Myra sind Praktiker. Sie sichern mit ihrer Technik unter anderem Behördensysteme und werden bei Notfällen gerufen, wenn Kommunen oder Firmen nicht mehr an ihre Daten kommen oder den Zugriff auf ihre Systeme verloren haben. Ein wachsendes Thema ist nach Aussage von Nicolas Armer, Sprecher von Myra, dass politisch motivierte Hacker mit ihren Aktionen das Vertrauen in staatliche Institutionen untergraben wollten. Er verweist auf DDoS-Attacken im Vorfeld der Nationalratswahlen in Österreich 2024, die das Ziel gehabt hätten, Bürgern vor der Stimmabgabe das verunsichernde Gefühl zu vermitteln. „Mein Gott, die da oben kriegen ja gar nichts hin.“ Wichtig sei in dem Zusammenhang, die digitale Souveränität in Deutschland und Europa zu stärken, sagt Christof Klaus. Eine Schwachstelle seien mäßig gesicherte Rechner und mit dem Internet verbundene Geräte. Mehr als die Hälfte der Angriffe komme – für manchen vielleicht überraschend – von Servern aus den USA. „Dort stehen die meisten Rechner. Die werden übernommen und für Angriffe missbraucht, wobei vielleicht ganz andere Staaten dahinterstecken.“ Außerdem versuchen Hacker etwa über Telegram-Gruppen Sympathisanten zu aktivieren, ihre Rechner für gezielte DDoS-Angriffe zur Verfügung zu stellen, um eine hohe Zahl an Anfragen zu lancieren. So war es laut BKA bei der Attacke vor der Münchner Sicherheitskonferenz.

Phishing-Fälle

Abgesehen von den DDoS-Angriffen bereiteten Phishing-Fälle Probleme, sagt Klaus. Dabei werden E-Mails an Mitarbeiter gesendet, in der Hoffnung, dass diese einen Link öffnen. Typischerweise werde vorgegeben, es handle sich um eine vertrauenswürdige Nachricht etwa der Hausbank, und dann sei mit einem Klick das Malheur passiert. Auch schon alleine das Öffnen der Nachricht könne dazu führen, sagt er, „dass Skripte ausgeführt werden“ und Systeme infiltriert, wobei sich das mit neuer Software und zuverlässig aktualisierten Updates verhindern lasse. Das Problem werde absolut virulent, sobald sogenannte Ransomware, also Schadsoftware wie Trojaner auf den Rechnern lande. Gefährlich sei das sogenannte „Social Engineering“, bei dem Identitäten ausgespäht und Computersysteme so tiefer durchdrungen würden.

Als wichtige Gegenmaßnahmen bezeichnet Christof Klaus die Schulung von Mitarbeitern und eine „weitsichtige IT-Sicherheitsabteilung“, die frühzeitig Gefahren identifiziert und dank Sicherheitskopien auch in einem Schadensfall handlungsfähig bleibt. Bei DDoS-Fällen allerdings stoße man  an Grenzen. Oft bekomme man das System erst mit Hilfe von spezialisierten externen Dienstleistern wieder zum Laufen. Denn es benötige Tools, um Kapazität in die verstopften Leitungen zu bringen, und überhaupt erst an das Problem ranzukommen.

Die Landratsämter, Städte und Gemeinden unterstützt dabei von staatlicher Seite das im Jahr 2017 gegründete Landesamt für Sicherheit in der Informationstechnik (LSI) mit Sitz in Nürnberg. Dieses hat in erster Linie die bayerischen staatlichen IT-Systeme im Blick sowie das bayerische Behördennetz und den Bayernserver. Kommunen sowie öffentlichen Betreibern kritischer Infrastrukturen, darunter Kliniken, Wasserversorger und Stadtwerke, steht es beratend und helfend zur Seite. Das LSI beschäftigt 160 Expertinnen und Experten, die außer zur operativen Verteidigung auch präventiv eingesetzt würden, teilt die Behörde auf SZ-Anfrage mit. Man halte Warn- und Informationsdienste aufrecht, eine Malware Information Sharing Platform und Handreichungen zum Notfallmanagement. Das Cyber Defence Center des LSI hat im Jahr 2025 bis Ende November 506 sicherheitsrelevante Ereignisse im kommunalen Bereich manuell bearbeitet, allesamt Fälle, die nicht bereits durch die automatisierten Sicherheitsmechanismen des Bayerischen Behördennetzes abgewehrt hätten werden können.

Hackerangriffe gehörten zur Tagesordnung, heißt es aus dem Landratsamt. Wobei man über solche Dinge gar nicht gerne spricht. Denn es könnten Hacker einen Hinweis auf eine Schwachstelle im  IT-System herauslesen oder sich in ihrem Ehrgeiz angestachelt fühlen, jetzt erst recht loszulegen. Nach dem Motto: Denen werde man es schon zeigen. Mit dem LSI und dem BSI arbeite man zusammen. Die Gefahr sei jedenfalls „stetig steigend.“ Denn die Angreifer automatisierten mittlerweile ihre Angriffsbemühungen mittels Künstlicher Intelligenz und zwängen die Behörde wiederum, ihren Aufwand permanent zu erhöhen. Das LSI registriert KI-gestützte Phishing-Angriffe, täuschend echte Deepfakes in E-Mails, Videokonferenzen oder Anrufe und automatisierte Betrugsversuche stellten Kommunen vor wachsende Herausforderungen.