theNet von CLOUDFLARE

Schützen Sie sich vor Ransomware im öffentlichen Sektor

Stärken Sie die Sicherheit mit Menschen, Prozessen und Technologie

Ransomware-Angriffe auf Organisationen des öffentlichen Sektors nehmen zu und beeinträchtigen kritische Dienste für Millionen von Menschen. Und herkömmliche Cybersicherheitsstrategien reichen nicht aus, um sich gegen die neuesten Taktiken zu verteidigen.

Laut einem Bericht aus dem Jahr 2024 haben die Ransomware-Vorfälle im öffentlichen Sektor der USA seit 2021 um mehr als 94 % zugenommen. Allein Regierungsbehörden erlebten 2024 117 Ransomware-Angriffe, gegenüber 95 im Jahr 2023 (ein Anstieg um 23 %). Ein globaler Bericht aus dem Jahr 2025 zeigt, dass Ransomware-Angriffe auf Behörden in der ersten Hälfte des Jahres 2025 im Vergleich zum gleichen Zeitraum im Jahr 2024 um 65 % zugenommen haben.

Angriffe auf bundesstaatliche und kommunale Behörden haben direkte und unmittelbare Auswirkungen auf die Menschen, da wichtige Regierungsabläufe gestört werden – darunter Notrufzentralen, Büros des Sheriffs, Gesundheitszentren und Versorgungsunternehmen. Dabei werden häufig sensible Informationen preisgegeben, was den Einzelnen für die nächsten Jahre anfällig für Betrug macht. Und sie könnten umfangreiche öffentliche Ausgaben für die Wiederherstellung von Systemen und Daten erfordern – selbst wenn staatliche Behörden sich weigern, das Lösegeld zu zahlen.

Zwei kürzliche Vorfälle verdeutlichen die hohen Kosten von Ransomware-Angriffen:

  • Columbus, Ohio, weigerte sich 2024, eine Ransomware-Forderung in Höhe von 1,9 Mio. USD zu bezahlen – gab aber mehr als 4 Mio. USD aus, um die technologische Infrastruktur der Stadt zu schützen und wiederherzustellen.

  • Die Stadt Dallas, Texas, zahlte 8,5 Mio. USD an Kosten im Zusammenhang mit Ransomware im Jahr 2023.

Änderungen bei den Taktiken und Techniken von Ransomware verdeutlichen die Notwendigkeit, die Abwehrmaßnahmen gegen Ransomware zu verstärken. Da Cyberkriminelle auf neue Tools zurückgreifen, gewinnen ihre Angriffe an Effektivität und richten stärkeren Schaden an. Zum Beispiel nutzen sie KI, um überzeugendere Phishing-Nachrichten zu erstellen, Schadsoftware zu entwickeln, die Abwehrmechanismen umgeht, wertvolle Daten für die Exfiltration zu identifizieren und größere Angriffe zu starten. Gleichzeitig wenden sich kleine Gruppen von Cyberkriminellen an Ransomware-as-a-Service-Organisationen, um schnell und kostengünstig Angriffe zu starten.

Cyberkriminelle fügen ihren Ransomware-Schemata auch neue Ebenen hinzu. Bis vor kurzem verschlüsselten die meisten Angreifer sensible Daten und forderten Lösegeld im Austausch für einen Entschlüsselungsschlüssel. Heute exfiltrieren Angreifer Daten und drohen, diese preiszugeben, wenn das Lösegeld nicht gezahlt wird. Sie wissen, dass sie gestohlene Daten verkaufen können, wenn die Lösegeldverhandlungen scheitern.

Wir haben diese Art von Taktik beim RansomHub-Angriff auf das Gesundheitsministerium von Florida im Juli 2024 gesehen. Da die Behörde das Lösegeld nicht zahlte, veröffentlichten die Cyberkriminellen 100 GB an Daten – darunter Sozialversicherungsnummern, Kreditkarteninformationen, medizinische Daten und mehr – von fast 730.000 Menschen.

Angesichts der Entwicklung von Ransomware-Angriffen und der potenziell verheerenden Folgen jedes einzelnen Ereignisses müssen kommunale und nationale Behörden über die traditionellen Sicherheitsstrategien hinausgehen. Backups dürfen nicht länger das alleinige Instrument bleiben, um vor erpresserischen Drohungen durch gestohlene Daten zu schützen.

Um den Übergang zu einem robusteren Schutz vor Ransomware zu erleichtern, hat das National Institute of Standards and Technology (NIST) ein Cyber-Framework für Ransomware geschaffen, und das Department of Homeland Security (DHS) hat einen umfassenden Leitfaden veröffentlicht, um Organisationen dabei zu helfen, Ransomware zu stoppen. Diese Empfehlungen betonen, dass nationale und kommunale Behörden einen umfassenderen, proaktiven Ansatz benötigen – einen, der Veränderungen erfordert, die Menschen, Prozesse und Technologien umfassen.

Personen: Stärkung der ersten Verteidigungslinie

Bevor fortschrittliche Technologien hinzugefügt werden, sollten sich Sicherheitsteams auf die Cyberhygiene konzentrieren oder, wie es das DHS ausdrückt, man „brillant in den Grundlagen“ werden. Insbesondere sollten sie drei Best Practices zur Verhinderung des unbefugten Zugriffs auf Netzwerke umsetzen:

  • Schulung der Teammitglieder: Ransomware-Vorfälle beginnen oft mitPhishing, Smishing und anderen Social-Engineering-Taktiken. Und KI-Tools erleichtern es Angreifern, überzeugende Nachrichten zu erstellen, die Mitarbeitende dazu verleiten, auf gefälschte Links zu klicken und Anmeldedaten einzugeben. Sobald Angreifer diese Anmeldedaten besitzen, können sie Ransomware ins Netzwerk einschleusen.

    Die Mitarbeitenden sind die erste Verteidigungslinie, und die Behörden müssen sie darin schulen, wie man betrügerische E-Mails und Texte erkennt. Sie müssen diese Schulungen ständig aktualisieren, da sich die Taktiken weiterentwickeln.

  • Starke Passwörter und MFA erfordern: Gleichzeitig sollten Behörden von ihren Mitarbeitenden verlangen, starke, einzigartige Passwörter zu verwenden, die durch Brute-Force-Methoden (selbst mit Hilfe von KI-Tools) schwer zu erraten und in mehreren Anwendungen nicht wiederverwendbar sind.

    Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Schutzebene. Selbst wenn Cyberkriminelle Anmeldedaten stehlen, wird MFA sie daran hindern, auf kritische Anwendungen zuzugreifen.

  • Bösartige Downloads verhindern: Selbst Mitarbeitende mit einem hohen Maß an Sicherheitsbewusstsein könnten versehentlich auf einen Link klicken, der sie zu einer kompromittierten Website führt oder einen bösartigen Download auslöst. Behörden sollten das Surferlebnis im Internet schützen, indem sie den Internet-Traffic überprüfen und filtern, um zu verhindern, dass Nutzer auf bösartige Ziele zugreifen.

Prozess: Neuen Ransomware-Taktiken immer einen Schritt voraus

Viele Behörden müssen bestehende Prozesse überprüfen oder neue implementieren, um sicherzustellen, dass sie alles tun, um bestehende Schwachstellen zu adressieren und sich ändernde Taktiken zu berücksichtigen.

  • Software und Firmware aktualisieren: Der Missbrauch ungepatchter, veralteter Software und Geräte ist zu einer wichtigen Taktik für Cyberkriminelle geworden. Tatsächlich sind Software-Sicherheitslücken – zusammen mit kompromittierten Anmeldedaten – die anfänglichen Vektoren für etwa die Hälfte aller Ransomware-Ereignisse. Indem sie auf anfällige Anwendungen abzielen, können Angreifer die Sicherheitsmaßnahmen umgehen und unbefugten Zugriff auf Systeme erlangen, die sie anschließend mit Ransomware infizieren können. Die Bekämpfung dieser Bedrohung erfordert Wachsamkeit: Behörden sollten Software- und Firmware-Updates durchführen, sobald Anbieter neue Aktualisierungen und Patch bereitstellen.

Laut einem aktuellen Bericht sind Software-Sicherheitslücken und kompromittierte Anmeldedaten zusammen die Ausgangspunkte für etwa 55 % aller Ransomware-Vorfälle.

  • IT-Sicherheit auf den Betrieb anwenden: Die Konvergenz von IT-Systemen mit Systemen der Betriebstechnologie (OT) – zum Beispiel durch den Einsatz von IoT-Sensoren – bietet Cyberkriminellen eine neue Angriffsfläche. Indem sie Geräte ins Visier nehmen, die IT und OT verbinden, können Cyberkriminelle ernsthafte Betriebsstörungen verursachen und sich ein Druckmittel verschaffen, um Lösegeld zu fordern. Regierungsbehörden müssen IT-Sicherheitsfunktionen auf OT anwenden, um sicherzustellen, dass unzureichend geschützte Systeme nicht zu Einfallstoren für Ransomware-Vorfälle werden.

  • Einen Vorfallreaktionsplan entwickeln und testen: Jeder Tag einer Störung kann Tausende von US-Dollar kosten, um Daten wiederherzustellen und zu sichern. Die Entwicklung eines Vorfallreaktionsplans – und dessen regelmäßige Tests – trägt dazu bei, dass ab dem Moment, in dem ein Angriff entdeckt wird, schnell reagiert werden kann.

  • Daten sichern: Auch wenn die Sicherung von Daten allein nicht ausreicht, um Ransomware-Vorfälle zu verhindern, sollte sie dennoch Teil der Abwehrmaßnahmen sein. Ein aktuelles Backup der Daten an einem sicheren Offline- oder Cloud-Standort verringert den Druck, ein Lösegeld zu zahlen, erheblich. Die Verschlüsselung dieser gesicherten Daten ist unerlässlich, da die meisten Angreifer auch versuchen werden, auf die Backups zuzugreifen und sie zu stehlen.

Technologie: Erhöhung des Cybersicherheitsniveaus

Meiner Erfahrung nach mit nationalen und kommunalen Behörden stelle ich fest, dass viele einfach nicht die Arten von Sicherheitsfunktionen implementiert haben, die sie benötigen, um sich vor Ransomware zu schützen. Anstatt sich nur auf die Datensicherung zu verlassen, müssen sie Lösungen einsetzen, die es ihnen ermöglichen, Erstangriffe zu blockieren, die laterale Bewegung von Schadsoftware einzudämmen und die Exfiltration von Daten zu stoppen.

  • Erste Angriffe blockieren: Es gibt mehrere Arten von Lösungen, die dabei helfen, die kritische erste Phase eines Ransomware-Vorfalls zu blockieren und Angreifer daran zu hindern, Zugang zum Netzwerk zu erhalten.

  • E-Mail-Sicherheit: Da Angreifer immer überzeugendere Phishing-E-Mails erstellen, müssen Behörden E-Mail-Sicherheitsfunktionen nutzen, um diese E-Mails zu identifizieren und zu blockieren, bevor sie die Posteingänge der Mitarbeitenden erreichen.

  • DNS-Filterung: DNS-Filterung, empfohlen von der Cybersecurity and Infrastructure Security Agency (CISA), kann den Zugriff auf jede bekannte bösartige Website verhindern und damit Downloads unterbinden.

  • Anwendungssicherheit: Behörden sollten eine Web Application Firewall (WAF) implementieren, um Angriffe auf Webanwendungen in Echtzeit zu erkennen und zu blockieren und so Versuche, die Kontrolle über Anwendungen zu erlangen und Ransomware einzusetzen, zu unterbinden.

  • DDoS-Schutz: Auch wenn es selten vorkommt, fordern einige Cyberkriminelle im Rahmen von Distributed-Denial-of-Service (DDoS)-Angriffen Lösegeld. Behörden benötigen einen DDoS-Schutz, der diese Angriffe automatisch erkennt, abfängt und stoppt, wodurch die Notwendigkeit entfällt, Lösegeld zu zahlen.

  • Laterale Bewegung eindämmen: Wenn es Cyberkriminellen gelingt, Anmeldedaten von Nutzern zu stehlen oder eine Anwendung zu kompromittieren, könnte sich ihre Schadsoftware lateral durch ein Netzwerk bewegen und schließlich sensible Daten finden. Die Implementierung eines Zero-Trust-Modells wird diese laterale Bewegung verhindern. Durch den Einsatz von Mikrosegmentierung und die Verwendung eines Zero Trust-Netzwerkzugangsdienstes können Behörden beispielsweise kontrollieren, auf welche Ressourcen jeder Benutzer zugreifen kann. Selbst wenn ein Angreifer Zugang zu einer einzelnen Anwendung oder Umgebung erhält, wird er nicht auf das gesamte Netzwerk zugreifen können.

  • Datenexfiltration stoppen: Ein sicheres Web-Gateway, das Daten während der Übertragung scannt, sensible Daten identifiziert und Regeln anwendet, die das Verschieben dieser Daten blockieren, hilft, den endgültigen Diebstahl dieser Daten zu verhindern, falls es einem Angreifer gelingt, sie zu erreichen.

Wie können Sie Ransomware ohne Komplexität verhindern?

Behörden auf nationaler und regionaler Ebene werden auch weiterhin ein primäres Ziel von Ransomware sein. Cyberkriminelle sehen kommunale und nationale Behörden oft als anfällige Organisationen, die bereit sind, Lösegeld zu zahlen, um wesentliche Dienste wiederherzustellen.

Die Connectivity Cloud von Cloudflare bietet eine einheitliche Plattform mit Cloud-nativen Cybersicherheitsfunktionen, die Behörden dabei hilft, umfassende Abwehrmaßnahmen gegen Ransomware zu implementieren. Mit den Cloudflare-Services kann Ihr Unternehmen Erstangriffe, bösartige Downloads, laterale Bewegung und Datenexfiltration stoppen – alles innerhalb einer einzigen, vollständig integrierten Plattform. Diese Technologielösungen helfen auch dabei, Ihre Bemühungen zur Optimierung von Prozessen zu straffen und Ihre „personellen“ Abwehrmaßnahmen zu stärken. Und da Cloudflare seine Dienste über eine einzige Schnittstelle bereitstellt, können Ihre Teams Ransomware und andere Bedrohungen bekämpfen und gleichzeitig die Kosten und die Komplexität kontrollieren.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Vertiefung des Themas:

Mehr darüber, wie nationale Behörden ihre IT modernisieren, erfahren Sie im E-Book „Der einfache Weg zu effizienter IT“.

Autor

Dan Kent – @danielkent1
Field CTO for Public Sector, Cloudflare


Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Wie sich Ransomware-Angriffe verändern und effektiver werden

  • Die Hauptvektoren für Ransomware-Angriffe auf Regierungsbehörden

  • 3 Schlüssel, um Ransomware-Angriffe zu stoppen

Verwandte Ressourcen

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!

theNET abonnieren

ERSTE SCHRITTE

LÖSUNGEN

SUPPORT

COMPLIANCE

ÖFFENTLICHES INTERESSE

UNTERNEHMEN

© 2026 Cloudflare, Inc.DatenschutzrichtlinieNutzungsbedingungenSicherheitsprobleme berichtenVertrauen und SicherheitMarkenzeichenImpressum