Bei einem gezielten Behördenhack gelang es Cyberkriminellen Ende März, Zugriff auf Nutzerkonten im Online-Portal der Bundesagentur für Arbeit zu erlangen. Insgesamt 831 Konten von Leistungsempfängern wurden kompromittiert. In 121 Fällen manipulierten die Täter die hinterlegte IBAN. Die Bundesregierung bestätigte den Angriff auf eine Anfrage der AfD-Fraktion. Die Daten stammten von infizierten Endgeräten der Nutzer – nicht aus dem System der Nürnberger Behörde (heise: 14.05.25).
Nur wenige Fälle mit laufender Auszahlung
Vier der betroffenen Konten standen während des Angriffs im aktiven Leistungsbezug. Die Bundesagentur sperrte sämtliche manipulierten Accounts und konnte unrechtmäßige Zahlungen verhindern. Laut Bundesinnenministerium traten keine finanziellen Schäden auf – weder für die Behörde noch für die betroffenen Personen.
Ob der Behördenhack organisierter Kriminalität zuzuordnen ist, bleibt offen. Eine Strafanzeige liegt vor, aber Erkenntnisse aus den Ermittlungen stehen noch aus. Zugriff auf Login-Daten lässt sich durch Sicherheitslücken auf privaten Geräten kaum zuverlässig ausschließen – selbst bei stabilen Systemen auf Behördenseite.
Neue Sicherheitsmaßnahmen nach Behördenhack
Seit dem 24. April 2025 schützt eine technische Neuerung die Bankverbindungsdaten. Änderungen an der IBAN sind nur noch über die BundID mit einem erhöhten Vertrauensniveau möglich. Diese Hürde erschwert Manipulationen durch unberechtigte Dritte deutlich.
Zudem gilt seit dem 29. April 2025 eine Pflicht zur Zwei-Faktor-Authentifizierung. Neben der BundID können biometrische Verfahren oder zeitbasierte Einmalpasswörter (TOTP) zum Einsatz kommen. Die Bundesagentur hatte diese Schutzmaßnahme zuvor nur empfohlen. Die neue Regelung stellt einen direkten Schritt zur Absicherung nach dem Behördenhack dar.
Online-Anträge vorübergehend eingeschränkt
Unmittelbar nach dem Vorfall wurde im Online-Bereich der Bundesagentur eine Wartungsseite eingerichtet. Leistungen wie das Arbeitslosengeld ließen sich in dieser Zeit nicht digital beantragen. Betroffene mussten ihre Anträge persönlich bei ihrer jeweiligen Dienststelle – etwa im Jobcenter – abgeben.
Zur weiteren Klärung wurden neben der Polizei auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesdatenschutzbeauftragte eingeschaltet. Die Maßnahmen zielten darauf ab, mögliche Folgen zu begrenzen und künftige Angriffe besser abzuwehren.
Schwachstelle liegt oft bei privaten Geräten
Der Vorfall macht deutlich, dass viele digitale Risiken außerhalb der staatlichen Infrastruktur entstehen. Unsichere Endgeräte von Bürgern ermöglichen es Hackern, auf geschützte Online-Portale zuzugreifen. Selbst mit modernen Schutzmechanismen lässt sich das Risiko nur minimieren, nicht ausschließen.
Trotz der relativ geringen Zahl aktiver Leistungsfälle zeigt der Angriff grundlegende Schwächen im digitalen Behördenkontakt. Die Bundesagentur zieht Konsequenzen und verbessert die Sicherheit spürbar. Gleichzeitig liegt auch beim Nutzer Verantwortung: Nur durch sichere Geräte und Authentifizierung lässt sich digitaler Betrug wirksam verhindern.
Lesen Sie auch: