Öffentliche Verwaltungen stehen im Fokus von Cyberkriminellen. Ein Managed Security Operations Center (SOC) kann Angriffe schon in der Anfangsphase aufdecken und eine passende Reaktion einleiten. Security-Experte Christoph Schulze erklärt, wie das funktioniert.
Christoph Schule, Leiter des Managed-SOC-Analystenteams bei G DATA.
(Bild: GDATA)
Cyberangriffe können gerade im öffentlichen Sektor zu massiven Einschränkungen führen. Ein Managed Security Operations Center (SOC) kann hier schnell reagieren. Dahinter steht ein Team, das Vorgänge im Netzwerk überprüft und im Ernstfall einschreitet. Christoph Schulze leitet das SOC-Analystenteam bei der G DATA CyberDefense AG und gibt einen Einblick in die Arbeitsweise und in die Rolle von KI.
Über welche Wege versuchen Cyberkriminelle in IT-Systeme von Städten und Behörden zu gelangen?
Schulze: Cyberkriminelle nutzen vor allem Phishing, um den ersten Zugang zu einem System zu erhalten. Das geschieht über präparierte Mail-Anhänge, die scheinbar wichtige oder interessante Inhalte, wie Behördeninterna, enthalten. Eine andere Möglichkeit sind Links in E-Mails, die auf gefälschte Webseiten führen und Zugangsdaten abfragen. Viele Kampagnen sind sehr professionell auf bestimmte Verwaltungen zugeschnitten. Sie sind nur schwer von legitimer Kommunikation zu unterscheiden. Sobald ein Angreifer diesen ersten Schritt geschafft hat, wird häufig eine sogenannte Backdoor installiert, worüber weitere Kommandos nachgeladen werden. Heute nutzen Kriminelle oft legitime Windows-Bordmittel und Administrator-Tools, um im Netzwerk zu agieren, Daten zu exfiltrieren oder Verschlüsselungsvorgänge einzuleiten. Diese Aktivitäten sehen auf den ersten Blick aus wie normale Prozesse.
Wie läuft der Analyse- und Response-Prozess ab?
Schulze: Unser SOC-Team wird aktiv, sobald unsere Analysesysteme Hinweise auf verdächtiges Verhalten bei einem Kunden meldet. Die Sensoren liefern uns dann eine Vielzahl an Informationen. Auf dieser Basis prüfen die Analystinnen und Analysten zunächst, ob es sich um ein echtes Sicherheitsereignis handelt oder nur um einen Fehlalarm. Ist es tatsächlich ein Vorfall, gehen wir tiefer in die Analyse. Wird eine Bedrohungslage bestätigt, folgt die eigentliche Response, zum Beispiel die Isolation kompromittierter Systeme. Generell informieren wir unsere Ansprechpartner beim Kunden, wenn wir einen Angriff entdeckt haben und in diesem Fall halten wir sie über alle Maßnahmen auf dem Laufenden. Wir geben zusätzlich konkrete Handlungsempfehlungen. Das reicht von Sofortmaßnahmen bis zu längerfristigen Hinweisen, wie sich Risiken künftig reduzieren lassen.
Wie schnell reagieren Sie auf schädliche Vorfälle?
Schulze: Eine pauschale Zeitangabe ist schwer, weil die Reaktion immer von der Art und Schwere des Vorfalls abhängt. Grundsätzlich setzt die automatische Response unmittelbar ein, sobald verdächtiges Verhalten erkannt wird. Das System isoliert beispielsweise Dateien oder Prozesse, noch bevor eine Analystin oder ein Analyst eingreift. Parallel beginnt unser Team sofort mit der Überprüfung. Kritische Alarme haben dabei höchste Priorität. In weniger gravierenden Fällen informieren wir den Kunden meist innerhalb von 20 bis 40 Minuten mit konkreten Handlungsempfehlungen. Wenn es sich jedoch um einen ernsten Angriff handelt, zum Beispiel wenn ein Verschlüsselungstrojaner im Spiel ist, wird ein System innerhalb kürzester Zeit isoliert und die Stadt oder Behörde direkt kontaktiert. Wichtig ist uns dabei die Balance: Wir reagieren schnell, aber nicht übereilt. Eine vorschnelle Maßnahme, die am Ende die Systeme des Kunden beeinträchtigt, hilft niemandem.
Wie stellen Sie bei einer Reaktion auf einen Vorfall sicher, dass Sie die richtige Entscheidung getroffen haben?
Schulze: Grundsätzlich wägen wir sehr genau ab, ob wir eingreifen oder nicht. Ein wichtiger Faktor ist Erfahrung – und die sammeln wir jeden Tag bei der Arbeit mit Verwaltungen und den Informationen aus unseren Analysesystemen. Mit jedem neuen Kunden lernen wir typische Angriffsmuster kennen und entwickeln ein Gespür dafür, was normales Verhalten ist und was auf einen Angriff hindeutet. Dieses Wissen teilen wir im Team durch Dokumentationen, gemeinsame Analysen und regelmäßige Workshops. Zudem simulieren wir Angriffsszenarien in Testumgebungen, um zu trainieren, wie echte Vorfälle aussehen und welche Reaktionen angemessen sind. Im Alltag hilft uns eine klare Priorisierung der Alarme, die von unseren Detection- und Protection-Engineers bereits mit Kritikalität und Beschreibung versehen sind. Dadurch können wir sehr schnell einschätzen, ob ein Vorfall harmlose Auffälligkeiten zeigt oder ob sofortiges Handeln nötig ist. Kritische Entscheidungen treffen wir zudem selten allein, sondern holen aktiv Rücksprache bei Kollegen ein.
Welche Rolle spielt künstliche Intelligenz bei Ihrer Arbeit?
Schulze: Künstliche Intelligenz spielt für uns eine wichtige Rolle – vor allem in der Analyse großer Datenmengen. Systeme auf KI-Basis können Muster sehr schnell erkennen, wiederkehrende Fehlalarme identifizieren und so das Team entlasten. Gerade bei tausenden Vorfällen am Tag ist das ein großer Vorteil. Es trennt die Spreu vom Weizen und hilft uns, die wirklich kritischen Fälle schneller zu erkennen. Trotzdem ist künstliche Intelligenz kein Ersatz für menschliche Analystinnen und Analysten, sondern eine sinnvolle Ergänzung. Attacken laufen selten nach Schema F ab, und gerade Ausreißer oder neue Angriffstechniken lassen sich nur durch Erfahrung, Kontextwissen und Flexibilität sicher einschätzen. Deshalb behalten Menschen immer die Kontrolle, prüfen KI-Einschätzungen und treffen letztlich die Entscheidungen. Im Alltag nutzen wir KI punktuell als Sparringspartner, etwa um Informationen gebündelt darzustellen oder Denkanstöße für das Team zu bekommen. Für die eigentliche Response bleibt aber der Mensch unverzichtbar.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Welche Tipps können Sie IT-Admins geben, um die Sicherheit im Netzwerk mit einfachen Maßnahmen zu verbessern?
Schulze: Die wirkungsvollste Maßnahme beginnt beim Menschen. Schulungen und regelmäßige Phishing-Simulationen reduzieren den häufigsten Angriffsvektor deutlich. Parallel sollten IT-Verantwortliche darauf achten, dass nur wirklich benötigte Systeme aus dem Internet heraus erreichbar sind. Komponenten, die keinen externen Zugriff brauchen, gehören hinter interne Netze oder VPNs. Technisch ist das Patch-Management zentral. Kritische Sicherheitsupdates sollten zeitnah eingespielt werden, weil öffentlich gewordene Schwachstellen schnell von Angreifern automatisiert ausgenutzt werden. Ergänzend dazu erhöhen Passwortmanager und Multi-Faktor-Authentifizierung den Schutz vor dem Ausspionieren von Zugangsdaten für Dienste erheblich. Zudem zahlt sich eine strikte Vergabe der Nutzerrechte aus. Dazu gehören: Adminrechte nur für tatsächlich berechtigte Personen, Sitzungen und Prozesse mit erhöhten Rechten sofort beenden, wenn sie nicht mehr benötigt werden und möglichst kurzlebige Admin-Sessions erzwingen. Schließlich sollten Backups, Netzwerksegmentierung und verhaltensbasierte Erkennung, zum Beispiel unser Managed Security Operations Center zur Standardausstattung gehören. Regelmäßige Tests, gemeinsame Übungen und klare Notfallkontakte runden das Maßnahmenpaket ab.
:quality(80)/p7i.vogel.de/wcms/9d/a9/9da9de655c8a05642c5704aed926b6e3/0128919784v2.jpeg "Über das NOOTS können Behörden künftig Daten untereinander austauschen, statt Angaben wieder und wieder bei Bürgern und Unternehmen abzufragen. (Bild: © watcharee - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/cc/0ecc8b487a62e127c10c9b862f52116b/0128696107v3.jpeg "Richtig integriert kann Confidential Computing als Übergangstechnologie dabei helfen, die Datensouveränität auch in US-Cloud-Lösungen zu behalten. (Bild: Lamina - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/38/e738b0cd552e943ac289e0b23755790b/0128716254v2.jpeg "Nicht nur im Bereich Open-Source auch bei der Digitalisierung der Justiz setzt Schleswig-Holstein regelmäßig neue Maßstäbe. (Bild: © Roman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/42/2a42accb0766c8ab6e22f80acb71c2d7/0128869262v2.jpeg "Am 14. Januar 2026 feiert das Hessische Statistische Landesamt sein 80-jähriges Bestehen. Die Behörde hat sich modernisiert und nutzt digitale Methoden wie Web Scraping und Forecasting, um Daten flexibler und schneller bereitzustellen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a3/47/a347b6ef39e7fdaf8bf3f17e31914d25/0128604029v2.jpeg "Christoph Schule, Leiter des Managed-SOC-Analystenteams bei G DATA. (Bild: GDATA)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962251f43c2345de808029a32e85fd2/0128816905v2.jpeg "Eine aktuelle Umfrage des Vergleichsportals Verivox zeigt ein verblüffendes Bild: Viele Bürger in Deutschland haben noch nie die Möglichkeit genutzt, ihre Anliegen online bei den Behörden zu klären. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/32/9132c9bdb82f088acec3400f550d8b89/0128888299v2.jpeg "Ohne ein finanzstarkes Elternhaus im Rücken sind viele Studentinnen und Studenten auf Minijobs und Unterstützung in Form des BAföGs angewiesen. Wird die Frist zur Beantragung überschritten, kann eine Fortzahlung nicht garantiert werden. (Bild: © Stockfotos-MG - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/08/f7086bdbf995dd01a59ee4c05c98c18e/0128147516v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/0d/920d464a10fdaabbed2a225131b40428/0128865118v2.jpeg "Ein Deep Dive in digitiale Bildung – und das vom heimischen Rechner aus: Das ist die LEARNTEC xChange. (Bild: Messe Karlsruhe / Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/bd/bd/bdbd1321376cb252ca316049f04b85ea/0128715415v2.jpeg "Mitmachen und mitreden: Der „NEGZ Science Dialog“ widmet sich der Frage, wie sich Aufwand und Nutzen von Digitalisierungsmaßnahmen in der öffentlichen Verwaltung überzeugend bewerten lassen. (Bild: © NDABCREATIVITY – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/97/39975f57a9c6e6de2a5a8b366113e7d0/0128720584v2.jpeg "Silvio Große unterstützt seit 1. Januar 2026 die Ostwestfalen-Lippe IT als Geschäftsleiter. (Bild: © OWL-IT)")
:quality(80)/p7i.vogel.de/wcms/e0/bb/e0bbd7f7bed6563c07336a94c25e6146/0128168949v2.jpeg "Markus Richter, Staatssekretär im BMDS, und Fabian Mehring, Digitalminister in Bayern, auf dem GovTech-Gipfel 2025. (Bild: © Phil_Dera)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549944daffc8a848b82db8f3abcee30/0127845342v1.jpeg "Der Autor, Matthias J. Szymansky, ist Leiter Competence Center Analytics & AI, Materna. (Bild: Materna )")
:quality(80)/p7i.vogel.de/wcms/58/61/5861a71de0ab86cd686739c3e4b0d23c/0128079172v2.jpeg "Souverän analysieren: Mit disy Cadenza werden Daten sicher ausgewertet und verständlich visualisiert – ganz nach den Anforderungen der Verwaltung. (Bild: Disy Informationssysteme)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/9c/679c90e925450/materna-square-logo-rgb.jpeg "materna-square-logo-rgb (www.materna.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/89/25/892511130a866bc2566fa8d4d788a508/0126921501v1.jpeg "0126921501v1 (Bild: G Data)")
:quality(80)/p7i.vogel.de/wcms/e5/ac/e5aceb1d456d5bc2c89baa42eee3e399/0126845037v2.jpeg "Städtische IT-Teams sind mit ihren Aufgaben rund um den Betrieb der kommunalen Services oft bereits vollkommen ausgelastet. (Bild: G DATA)")