{"id":685198,"date":"2026-01-01T12:31:13","date_gmt":"2026-01-01T12:31:13","guid":{"rendered":"https:\/\/www.europesays.com\/de\/685198\/"},"modified":"2026-01-01T12:31:13","modified_gmt":"2026-01-01T12:31:13","slug":"das-landratsamt-muenchen-wehrt-jaehrlich-zwoelf-millionen-verdaechtige-e-mails-ab-landkreis-muenchen","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/685198\/","title":{"rendered":"Das Landratsamt M\u00fcnchen wehrt j\u00e4hrlich zw\u00f6lf Millionen verd\u00e4chtige E-Mails ab – Landkreis M\u00fcnchen"},"content":{"rendered":"

Nicht jeder, der eine E-Mail an das Landratsamt schreibt, verfolgt hehre Absichten. Innerhalb eines Jahres haben die Beh\u00f6rde im Landkreis M\u00fcnchen<\/a> zw\u00f6lf Millionen Nachrichten erreicht, bei denen die Firewall angeschlagen hat. Die Technik stufte sie als verd\u00e4chtig oder gar gef\u00e4hrlich ein. Das Landratsamt schafft deshalb trotz des hohen Spardrucks neue Stellen bei der IT-Sicherheit. Die wird f\u00fcr Beh\u00f6rden und Rath\u00e4user immer wichtiger. Kriminelle versuchen, Daten zu blockieren oder abzugreifen, um L\u00f6segeld zu erpressen. Hinzu kommen politisch motivierte Angriffe \u2013 zunehmend von russlandfreundlichen Hackergruppen.<\/p>\n

Die Angriffe erregen meist kein gro\u00dfes Aufsehen. Vieles l\u00e4uft im Stillen ab, Firewalls verrichten automatisiert ihre Arbeit und IT-Fachleute halten die Systeme am Laufen. Wie der Leiter des Gesch\u00e4ftsbereichs Zentrale Angelegenheiten, Wolfgang R\u00fcbensaal, j\u00fcngst im Finanzausschuss des Kreistags sagte, sei mehr als jede vierte E-Mail, die bei den Rechnern der Besch\u00e4ftigten ankomme, verd\u00e4chtig und m\u00fcsse zun\u00e4chst abgewehrt werden. Man ben\u00f6tige geschultes Personal, um diese F\u00e4lle zu analysieren und Gegenma\u00dfnahmen zu entwickeln. Deshalb soll das Team um eineinhalb Stellen aufgestockt werden. \u201eWir k\u00f6nnen es uns definitiv nicht leisten, dass eine gro\u00dfe Beh\u00f6rde wie das Landratsamt \u00fcber Wochen oder Monate nicht arbeitsf\u00e4hig ist.\u201c<\/p>\n

Einige Warnsch\u00fcsse<\/p>\n

Warnsch\u00fcsse gab es zuletzt einige. Ein Server des Medienzentrums des Landratsamts wurde 2022 attackiert und \u00fcber Tage war die Abteilung stark beeintr\u00e4chtigt. Ein Gl\u00fcck sei damals gewesen, dass das System des Medienzentrums isoliert gelaufen und alleine betroffen gewesen sei, sagt Beh\u00f6rdensprecherin Christine Spiegel. Im Februar 2025 traf das Landratsamt im Vorfeld der M\u00fcnchner Sicherheitskonferenz eine breiter angelegte Attacke, bei der auch Homepages weiterer Beh\u00f6rden in der Region in die Knie gingen. Webseiten der Staatskanzlei und des Digitalministerium waren nicht mehr erreichbar. Die Homepages der Rath\u00e4user in Unterschlei\u00dfheim und Garching waren beeintr\u00e4chtigt.<\/p>\n

\u00dcber mehrere Stunden sei damals der Internetauftritt eingeschr\u00e4nkt verf\u00fcgbar gewesen, berichtet das Landratsamt. Zum Gl\u00fcck \u201egab es keine weiteren Auswirkungen\u201c. Unterschlei\u00dfheims Rathaus-Sprecher Steven Ahlrep sagt, die Verwaltung sei \u201ein der Vergangenheit mehrfach Ziel\u201c von Angriffen gewesen. \u201eDie Dauer einer Angriffswelle betrug im Durchschnitt etwa einen Tag.\u201c Mittlerweile wurden die Sicherheitssysteme hochgefahren. Ein sichtbares Zeichen: Wer heute die Homepage der Stadt neu aufruft, wird f\u00fcr einige Sekunden auf eine Filterseite weitergeleitet. Dort gibt es einen gr\u00fcnen Haken, und weiter geht es. \u201eEin zus\u00e4tzlicher, proaktiver Schutzmechanismus wurde implementiert\u201c, hei\u00dft es.<\/p>\n

Die Hackergruppe\u00a0 \u201eNoName057(16)\u201c<\/p>\n

Als Urheber der Attacke Anfang 2025 identifizierten Ermittler des Bundeskriminalamts (BKA) und des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) eine russlandfreundliche Hackergruppe namens \u201eNoName057(16)\u201c. Das BKA meldete im Juli, man habe diese in einer internationalen Polizeiaktion lahmgelegt. Es seien Haftbefehle ergangen und Wohnungen durchsucht worden. Man habe ein \u201eaus mehreren Hundert weltweit verteilten Servern bestehendes Botnetz abgeschaltet\u201c. Der bayerische Innenminister Joachim Herrmann (CSU) hat jetzt im November bei der Vorstellung des Cyber-Sicherheitsberichts f\u00fcr 2024 erst wieder vor einer gesteigerten Gef\u00e4hrdungslage durch \u201efremde Nachrichtendienste und staatlich gesteuerte ausl\u00e4ndische Akteure\u201c gewarnt.<\/p>\n

Die \u201eHacktivisten\u201c, wie sie auch genannt werden, hatten einen sogenannten \u201eDenial of Service\u201c-Angriff (DDoS) lanciert. Dabei schickten sie laut BKA zeitgleich eine geb\u00fcndelte gro\u00dfe Menge von Anfragen oder Zugriffen \u00fcber eine Vielzahl verschiedener Rechner an ein System, um es zu \u00fcberlasten. Ziel war eben, einen sogenannten \u201eDistributed Denial of Service\u201c zu erreichen, also einen Zusammenbruch des Dienstes. Die Analysen des IT-Dienstleisters der Stadt Unterschlei\u00dfheim ergaben, dass eine Angriffswelle im Durchschnitt etwa einen Tag angedauert habe. Die erste Welle habe schon zu stark verl\u00e4ngerten Ladezeiten \u00fcber Stunden gef\u00fchrt. Die Angriffsmuster h\u00e4tten eine dynamische Erweiterung der Aktivit\u00e4ten gezeigt, und eine \u201ekomplexe Funktionalit\u00e4t\u201c, was ein Abfangen der E-Mail-Mengen erschwert habe. Den Ursprung grenzte man \u201e\u00fcberwiegend auf osteurop\u00e4ische und skandinavische L\u00e4nder ein\u201c.\u00a0Solch ein Vorgehen ist aus Sicht der Fachleute der M\u00fcnchner Myra Security GmbH sehr verbreitet. Christof Klaus, Director Global Network Defense bei Myra, beschreibt das E-Mail-Portal einer Organisation als einen zentralen wunden Punkt. Dieses stelle \u201eein gro\u00dfes Tor, wenn auch nicht das einzige\u201c dar, durch das kriminelle Akteure in Systeme einzudringen versuchten. Der unmittelbare Schaden f\u00fcr Beh\u00f6rden bei DDoS-Angriffen sei nicht unbedingt gro\u00df. Datenabfl\u00fcsse st\u00fcnden nicht im Vordergrund. Daf\u00fcr w\u00fcrden aber die Beh\u00f6rden als Dienstleister blockiert und B\u00fcrger gesch\u00e4digt, die Beh\u00f6rdeng\u00e4nge nicht erledigen oder Gesch\u00e4fte nicht abschlie\u00dfen k\u00f6nnten.<\/p>\n

Die Cyber-Experten von Myra sind Praktiker. Sie sichern mit ihrer Technik unter anderem Beh\u00f6rdensysteme und werden bei Notf\u00e4llen gerufen, wenn Kommunen oder Firmen nicht mehr an ihre Daten kommen oder den Zugriff auf ihre Systeme verloren haben. Ein wachsendes Thema ist nach Aussage von Nicolas Armer, Sprecher von Myra, dass politisch motivierte Hacker mit ihren Aktionen das Vertrauen in staatliche Institutionen untergraben wollten. Er verweist auf DDoS-Attacken im Vorfeld der Nationalratswahlen in \u00d6sterreich 2024, die das Ziel gehabt h\u00e4tten, B\u00fcrgern vor der Stimmabgabe das verunsichernde Gef\u00fchl zu vermitteln. \u201eMein Gott, die da oben kriegen ja gar nichts hin.\u201c Wichtig sei in dem Zusammenhang, die digitale Souver\u00e4nit\u00e4t in Deutschland und Europa zu st\u00e4rken, sagt Christof Klaus. Eine Schwachstelle seien m\u00e4\u00dfig gesicherte Rechner und mit dem Internet verbundene Ger\u00e4te. Mehr als die H\u00e4lfte der Angriffe komme – f\u00fcr manchen vielleicht \u00fcberraschend – von Servern aus den USA. \u201eDort stehen die meisten Rechner. Die werden \u00fcbernommen und f\u00fcr Angriffe missbraucht, wobei vielleicht ganz andere Staaten dahinterstecken.\u201c Au\u00dferdem versuchen Hacker etwa \u00fcber Telegram-Gruppen Sympathisanten zu aktivieren, ihre Rechner f\u00fcr gezielte DDoS-Angriffe zur Verf\u00fcgung zu stellen, um eine hohe Zahl an Anfragen zu lancieren. So war es laut BKA bei der Attacke vor der M\u00fcnchner Sicherheitskonferenz.<\/p>\n

Phishing-F\u00e4lle<\/p>\n

Abgesehen von den DDoS-Angriffen bereiteten Phishing-F\u00e4lle Probleme, sagt Klaus. Dabei werden E-Mails an Mitarbeiter gesendet, in der Hoffnung, dass diese einen Link \u00f6ffnen. Typischerweise werde vorgegeben, es handle sich um eine vertrauensw\u00fcrdige Nachricht etwa der Hausbank, und dann sei mit einem Klick das Malheur passiert. Auch schon alleine das \u00d6ffnen der Nachricht k\u00f6nne dazu f\u00fchren, sagt er, \u201edass Skripte ausgef\u00fchrt werden\u201c und Systeme infiltriert, wobei sich das mit neuer Software und zuverl\u00e4ssig aktualisierten Updates verhindern lasse. Das Problem werde absolut virulent, sobald sogenannte Ransomware, also Schadsoftware wie Trojaner auf den Rechnern lande. Gef\u00e4hrlich sei das sogenannte \u201eSocial Engineering\u201c, bei dem Identit\u00e4ten ausgesp\u00e4ht und Computersysteme so tiefer durchdrungen w\u00fcrden.<\/p>\n

Als wichtige Gegenma\u00dfnahmen bezeichnet Christof Klaus die Schulung von Mitarbeitern und eine \u201eweitsichtige IT-Sicherheitsabteilung\u201c, die fr\u00fchzeitig Gefahren identifiziert und dank Sicherheitskopien auch in einem Schadensfall handlungsf\u00e4hig bleibt. Bei DDoS-F\u00e4llen allerdings sto\u00dfe man\u00a0 an Grenzen. Oft bekomme man das System erst mit Hilfe von spezialisierten externen Dienstleistern wieder zum Laufen. Denn es ben\u00f6tige Tools, um Kapazit\u00e4t in die verstopften Leitungen zu bringen, und \u00fcberhaupt erst an das Problem ranzukommen.<\/p>\n

Die Landrats\u00e4mter, St\u00e4dte und Gemeinden unterst\u00fctzt dabei von staatlicher Seite das im Jahr 2017 gegr\u00fcndete Landesamt f\u00fcr Sicherheit in der Informationstechnik (LSI) mit Sitz in N\u00fcrnberg. Dieses hat in erster Linie die bayerischen staatlichen IT-Systeme im Blick sowie das bayerische Beh\u00f6rdennetz und den Bayernserver. Kommunen sowie \u00f6ffentlichen Betreibern kritischer Infrastrukturen, darunter Kliniken, Wasserversorger und Stadtwerke, steht es beratend und helfend zur Seite. Das LSI besch\u00e4ftigt 160 Expertinnen und Experten, die au\u00dfer zur operativen Verteidigung auch pr\u00e4ventiv eingesetzt w\u00fcrden, teilt die Beh\u00f6rde auf SZ-Anfrage mit. Man halte Warn- und Informationsdienste aufrecht, eine Malware Information Sharing Platform und Handreichungen zum Notfallmanagement. Das Cyber Defence Center des LSI hat im Jahr 2025 bis Ende November 506 sicherheitsrelevante Ereignisse im kommunalen Bereich manuell bearbeitet, allesamt F\u00e4lle, die nicht bereits durch die automatisierten Sicherheitsmechanismen des Bayerischen Beh\u00f6rdennetzes abgewehrt h\u00e4tten werden k\u00f6nnen.<\/p>\n

Hackerangriffe geh\u00f6rten zur Tagesordnung, hei\u00dft es aus dem Landratsamt. Wobei man \u00fcber solche Dinge gar nicht gerne spricht. Denn es k\u00f6nnten Hacker einen Hinweis auf eine Schwachstelle im\u00a0 IT-System herauslesen oder sich in ihrem Ehrgeiz angestachelt f\u00fchlen, jetzt erst recht loszulegen. Nach dem Motto: Denen werde man es schon zeigen. Mit dem LSI und dem BSI arbeite man zusammen. Die Gefahr sei jedenfalls \u201estetig steigend.\u201c Denn die Angreifer automatisierten mittlerweile ihre Angriffsbem\u00fchungen mittels K\u00fcnstlicher Intelligenz und zw\u00e4ngen die Beh\u00f6rde wiederum, ihren Aufwand permanent zu erh\u00f6hen. Das LSI registriert KI-gest\u00fctzte Phishing-Angriffe, t\u00e4uschend echte Deepfakes in E-Mails, Videokonferenzen oder Anrufe und automatisierte Betrugsversuche stellten Kommunen vor wachsende Herausforderungen.<\/p>\n","protected":false},"excerpt":{"rendered":"Nicht jeder, der eine E-Mail an das Landratsamt schreibt, verfolgt hehre Absichten. Innerhalb eines Jahres haben die Beh\u00f6rde…\n","protected":false},"author":2,"featured_media":685199,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1827],"tags":[772,14775,3257,14776,29,30,2527,1268,2339,18438,6473,149,42299],"class_list":{"0":"post-685198","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-muenchen","8":"tag-bayern","9":"tag-cyberangriff","10":"tag-cyberkriminalitaet","11":"tag-cybersicherheit","12":"tag-deutschland","13":"tag-germany","14":"tag-landkreis-muenchen","15":"tag-muenchen","16":"tag-oberbayern","17":"tag-politik-im-landkreis-muenchen","18":"tag-sicherheitspolitik","19":"tag-sueddeutsche-zeitung","20":"tag-wirtschaft-im-landkreis-muenchen"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115819858185890311","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/685198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=685198"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/685198\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/685199"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=685198"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=685198"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=685198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}