Im privaten Sektor sind APIs schon längst ein fester Bestandteil, doch auch im öffentlichen Bereich gewinnt ihre Nutzung durch die Digitalisierung der Verwaltung zunehmend an Bedeutung. Mit dieser Entwicklung steigen jedoch auch die potenziellen Risiken.
Staatliche IT-Infrastrukturen in Deutschland sind immer wieder Ziel von Cyberangriffen.
In der hypervernetzten Welt sind Programmierschnittstellen (Application Programming Interfaces, APIs) zum Rückgrat aller digitalen Interaktionen geworden. APIs verbinden Anwendungen nahtlos miteinander und ermöglichen so den Datenfluss, der das digitale Leben antreibt. Die Nutzung von APIs – im privaten Sektor längst etabliert – nimmt auch im öffentlichen Sektor mit dem Ausbau der digitalen Verwaltung zu. Doch mit der zunehmenden Nutzung von APIs steigen auch die Risiken.
Hacktivisten nehmen zunehmend öffentliche Verwaltungen und Behörden ins Visier. Eines der jüngsten Beispiele: Im Februar, einen Tag vor Beginn der diesjährigen Münchner Sicherheitskonferenz, legte ein koordinierter DDoS-Angriff die Webseiten mehrerer Behörden und Kommunen in Bayern lahm. Obwohl der Angriff keinen Schaden anrichtete und keine Daten oder Informationen abflossen, war dies ein weiterer Warnhinweis auf die Notwendigkeit einer effektiven Abwehrstrategie.
Wie entwickeln sich die DDoS-Angriffsmuster?
In den Anfangstagen waren DDoS-Angriffe relativ simpel: Sie überwältigten Systeme durch ein riesiges Traffic-Volumen, das ein Netzwerk oder einen Server überflutete. Mittlerweile haben sich DDoS-Angriffe zu ausgeklügelten KI-gestützten Bedrohungen entwickelt, die auf kritische IT-Infrastrukturen abzielen und nicht nur auf ein einzelnes Netzwerk. Im Gegensatz zu herkömmlichen Angriffsformen, die Webseiten mit Datenverkehr überfluteten, machen sich moderne DDoS-Angriffe genau die Mechanismen zunutze, die APIs effizient machen.
DDoS- und Bot-Angriffe haben dramatisch zugenommen. Im März gab das Bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) bekannt, dass im vergangenen Jahr rund 5.800 „verdächtige Aktivitäten“ gegen bayerische Landesbehörden erfasst wurden – mehr als je zuvor. Damit stieg die Zahl der Fälle im Vergleich zu 2023 um rund 600 und im Vergleich zu 2022 sogar um rund 1.800. Dabei sind die Angriffe auch deutlich raffinierter geworden.
Derzeit sind drei Angriffsarten verstärkt zu beobachten:
1. API-basierte DDoS-Angriffe: APIs fungieren als die „Banken“ des Internets, indem sie enorme Mengen an Transaktionen und Kommunikationen über verschiedene Kanäle zentralisieren. Diese Zentralisierung macht APIs zu hochbegehrten Zielen für Cyberkriminelle.
2. Bot-basierte DDoS-Angriffe: Angreifer infizieren ein Netzwerk von internetverbundenen Geräten mit Malware und verwandeln diese in Bots. Diese Bots können gefälschten Traffic erzeugen und Systeme gezielt und heimlich überwältigen.
3. Carpet-Bombing-Angriffe: Anders als traditionelle DDoS-Angriffe, die auf ein einzelnes System abzielen, erstrecken sich die Angriffe beim Carpet-Bombing über mehrere IP-Adressen und verstärken so den Schaden. Diese Vorgehensweise überflutet ganze Netzwerke, was die Wiederherstellung noch schwieriger macht. Zudem ist sie mit traditionellen Methoden schwer erkennbar. Einzelne hostbasierte Erkennungssysteme haben Probleme mit Angriffen, die über mehrere Hosts verteilt sind.
DDoS-Angriffe sind heute keine Einzelfälle mehr. Sie haben sich zu systematischen Bedrohungen entwickelt, die die Funktionsfähigkeit, Reputation und Sicherheit öffentlicher Verwaltungen gefährden. Diese können folgende Auswirkungen haben:
1. Reputationsschaden und Vertrauensverlust: Aktuell gibt es nur wenige empirische Daten zu den finanziellen Verlusten durch Cyberangriffe im öffentlichen Sektor. Die genauen Kosten sind daher schwer abzuschätzen. Für Behörden besteht die Hauptbedrohung darin, dass Cyberangriffe die Regierungsarbeit behindern und das Vertrauen der Öffentlichkeit in die Institutionen schwächen.
2. Operatives Chaos: Moderne DDoS-Angriffe stören die Arbeitsabläufe im öffentlichen Sektor, verzögern Bürgerdienste und gefährden die Datensicherheit. Denn sie machen anfällige APIs sichtbar und ebnen so den Weg für spätere Angriffe wie Ransomware. Darüber hinaus werden die Auswirkungen eines erfolgreichen Cyberangriffs durch die breite Vernetzung verstärkt. Eine solche Schwachstelle eröffnet Möglichkeiten für Bestechung, Erpressung und andere Formen der Nötigung und könnte einen Schneeballeffekt auslösen.
3. Datenverlust und -diebstahl: Der Staat muss riesige Mengen sensibler Daten schützen, von personenbezogenen Daten bis zu KRITIS-Informationen. Das macht ihn zu einem attraktiven Ziel für Cyberangriffe. Behörden verwalten wichtige Dienste wie Gesundheit, Transport und Steuern. Ein Datenleck könnte gravierende Folgen haben. Einige Beispiele für gefährdete sensible Informationen sind persönliche E-Mails, Adressen, IDs und Finanzdaten.
Da mittlerweile alles über APIs verbunden ist, steht mehr auf dem Spiel als je zuvor. Die Ära der statischen Verteidigungssysteme ist vorbei. Denn moderne Bedrohungen erfordern einen Wechsel zu dynamischen und proaktiven Sicherheitskonzepten.
Wie können Behörden immer einen Schritt voraus sein?
Mit der zunehmenden Digitalisierung in Deutschland steigt auch das Risiko von Cyberangriffen auf Behörden. So können sie ihre Abwehr verbessern:
1. Intelligente Bedrohungserkennung: Neue Bedrohungen erfordern innovative Lösungen. KI- und ML-gestützte Systeme zur Bedrohungserkennung analysieren Netzwerkverkehr, erkennen Anomalien in Echtzeit und unterscheiden zwischen legitimen Benutzern und bösartigem Datenverkehr.
2. Cloud-basierter DDoS-Schutz: Cloud-basierte Schutzlösungen bieten Skalierbarkeit und stellen sicher, dass die Abwehrmechanismen an das Ausmaß des Angriffs angepasst werden. Diese Lösungen absorbieren und entschärfen schädlichen Datenverkehr am Rand des Netzwerks und schützen so die Kernsysteme, ohne die Nutzererfahrung zu beeinträchtigen.
3. Profilbasierte Tests: Nicht alle APIs sind gleich. Profilbasierte Tests analysieren potenzielle Schwachstellen innerhalb eines API-Ökosystems, erstellen detaillierte Verhaltensprofile und verstärken Sicherheitsmaßnahmen an den Stellen, wo sie am dringendsten benötigt werden.
4. Angriffsgründe verstehen: DDoS-Angriffe auf Behörden sind oft politisch motiviert. Anlässe wie Wahlen oder internationale Gipfeltreffen können als Auslöser für Cyberangriffe dienen, die darauf abzielen, die Verwaltungsarbeit zu sabotieren oder öffentliche Dienste lahmzulegen. Eine kontinuierliche Überwachung des Netzwerkverkehrs in politisch angespannten Zeiten ist unerlässlich, um Bedrohungen immer voraus zu sein.
Werden präventive Schutzmaßnahmen ignoriert, gleichen öffentliche Einrichtungen einer Festung mit offenen Toren, die Angreifer ungehindert hineinlässt und so ihre eigene Sicherheit aufs Spiel setzt. Behörden müssen Bedrohungen daher so frühzeitig wie möglich neutralisieren, bevor sie zu einer Gefahr für die Stabilität werden.
Fazit
In den letzten Jahren ist die Häufigkeit von DDoS-Angriffen auf Behörden deutlich gestiegen, häufig angetrieben durch geopolitische Faktoren. Während private Unternehmen in der Regel nur finanzielle Verluste befürchten, steht für Regierungen deutlich mehr auf dem Spiel – nämlich das öffentliche Vertrauen und die Integrität der staatlichen Dienstleistungen. Um das Risiko für erfolgreiche Angriffe zu minimieren, können Behörden mit Anbietern von IT-Sicherheitslösungen zusammenarbeiten, die Fachwissen und Ressourcen für den Aufbau einer widerstandsfähigen Abwehr bereitstellen. Investitionen in einen umfassenden abgerundeten Sicherheitsrahmen sind nicht nur eine technische Notwendigkeit, sondern auch ein entscheidender Schritt zur Gewährleistung der Kontinuität der Verwaltung und zur Aufrechterhaltung des Vertrauens in Zeiten der Unsicherheit.
Vaibhav Dutta Global Head Cybersecurity Products & Practice, Tata Communications
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/2f/3b/2f3b8786c5f08f24411805165ad83718/0129164624v2.jpeg "Stromnetze, Flughäfen, Krankenhäuser und Kommunen – die kritische Infrastruktur sowie sensible Daten müssen im Fall eines Angriffs besser geschützt werden. (Bild: © Robert – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/20/59205bd98654a24dfa2d570575bf9a5c/0129092644v2.jpeg "Eva Weber ist seit 1. Mai 2020 Oberbürgermeisterin der Stadt Augsburg. (Bild: Stadt Augsburg)")
:quality(80)/p7i.vogel.de/wcms/ab/8b/ab8bc181d73780160b3ec5cd42d07fa0/0129185631v2.jpeg "Ein verantwortungsvoller Umgang mit Smartphones und anderen Medien ist Teil digitaler Bildung an Schulen. (Bild: © LincB – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/f6/bef62e597e41e9b5beedb4a479b98472/0129096954v2.jpeg "Behördengang per Klick: Digitale Services werden in München stetig verbessert und ausgebaut. (Bild: © engel.ac – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/c9/a8c959f32cc4ebba6cf1531d77785a4b/0129094039v2.jpeg "Start-ups als Impulsgeber treffen oft auf geringe Fehlertoleranz und hohe Risikoaversion. (Bild: © ANMZAKARIA – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/d5/35d5dbf783acb3b3e8e5705673546cbb/0129197918v2.jpeg "Ein Schlüsselprojekt der DVC ist der Aufbau von Betriebsplattformen durch die öffentlichen IT-Dienstleister bei europäischen souveränen Cloud-Anbietern. Dafür wurden zunächst Stackit und IONOS ausgewählt. (Bild: © CHONCHANOK PHOTO - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/12/2712be28ea8f67a75e32f57d7c19462d/0129145815v2.jpeg "Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb. (Bild: © Catsby_Art - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/07/6207b653b3428c529c9bc6004701b14e/0129185059v2.jpeg "Schweden zieht nach: In den Grundschulen sollen Handys aus dem Schulalltag verschwinden. (Bild: © JackF – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/9e/d49eec271624b4eed3e4b8ba1d4a6f4b/0129251516v2.jpeg "Der neue CTO des DigitalService, Erik Dörnenburg, hat in den vergangenen sechs Monaten eine berufliche Auszeit genommen. Dabei ist er unter anderem bis ans Mittelmeer mit dem Fahrrad gereist. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/15/70/15700165dd721e9f1ee2832275b02241/0128568293v2.jpeg "Die Stadthalle Bielefeld bietet den Besuchern der KommDigitale eine 3.000 Quadratmeter große Ausstellungsfläche sowie drei digitale Werkbänke und sechs Kongressräume. (Bild: © KommDIGITALE, Databund)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/92/6492d97a1172a/mgmlogo.png "mgmlogo (mgm)")
:fill(fff,0)/p7i.vogel.de/companies/60/80/60803564ebccf/s-ps-rt.png "S-PS_RT.png (SPS)")
:quality(80)/p7i.vogel.de/wcms/d0/43/d043fe9943864ba54544771799d09904/0122983419v2.jpeg "Im Verwaltungskontext muss zunehmend darauf geachtet werden, dass die Sicherheitsmaßnahmen dem Stand der Technik entsprechen. (© Harsha – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/05/5e/055e0043412ce7691417e671f42d86f2/0122341170v1.jpeg "Zwei Sicherheitslücken in der Software von Beyond Trust sorgten dafür, dass chinesische Akteure das US-Finanzministerium angreifen konnten. (© Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/98/1d98f875e75406e8e248b30063f95e4f/0122200064v2.jpeg "Auf IT-Profis kommen in den nächsten Jahren weitere Aufgaben zu. (Bild: stockmotion - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/66/ad661662e3566909bdf458123098e6d1/0119771354v2.jpeg "Aktuell jagt ein Bericht zur Cyber-Sicherheitslage in Deutschland und der EU die nächste, sie alle zeichnen ein eher düsteres Bild. (© kebox – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/1f/a51f77a4eb4e7b5db8f5da3a3a19f1c5/0127296998v2.jpeg "0127296998v2 (Bild: © PASSANON - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/ab/06abed9d923c4f534714a564250fba66/0128600116v2.jpeg "Bots fliegen nicht mit Propellern, sondern mit Datenpaketen. Sie scannen, spionieren, sabotieren – millionenfach, rund um die Uhr. (Bild: KI-generiert)")