Provider: Sicherheitsprobleme sorgten in EU für 841 Millionen Stunden Ausfälle

Inhaltsverzeichnis

Telekommunikationsbetreiber aus 26 EU-Mitgliedsstaaten sowie aus zwei Ländern der Europäischen Freihandelsassoziation, der etwa Liechtenstein, Norwegen und die Schweiz angehören, haben den nationalen Behörden 2020 insgesamt 170 bedeutende Sicherheitsvorfälle gemeldet. Das sind elf Prozent mehr als im Vorjahr, in dem es noch 153 entsprechende Ereignisse waren. Die Zahl der dadurch bedingten Ausfälle von Nutzerstunden ist aber von 988 Millionen 2019 auf 841 Millionen 2020 zurückgegangen.

Systemfehler machten 2020 mit 419 Millionen etwa die Hälfte der gesamten verlorenen Nutzerstunden aus. Allein 346 Millionen ausgefallene Stunden gingen auf das Konto fehlerhafter Softwarewechsel beziehungsweise Updates, die insgesamt die größte Quelle von Problemen ausmachten. Dies geht aus dem am Montag veröffentlichten Bericht der EU-Cybersicherheitsbehörde Enisa zu Sicherheitsvorkommnissen im Telekommunikationssektor hervor.

26 Prozent menschliches Versagen

Durch menschliches Versagen verursachte Vorfälle bleiben demnach 2020 auf demselben Niveau wie 2019: Bei mehr als einem Viertel (26 Prozent) der gesamten Ereignisse sind sie die Ursache. 41 Prozent der gesamten verlorenen Nutzungsstunden sind auf solche Fehler zurückzuführen. Auch bei Ausfällen durch Dritte ändert sich anteilsmäßig wenig gegenüber 2019: Ein Drittel der Vorkommnisse sollen ihren Ursprung etwa bei einem Versorgungsunternehmen, einem Auftragnehmer oder einem Lieferanten gehabt haben. 2018 lag diese Quote erst bei neun Prozent. Für sieben Prozent der Ausfälle wurden 2020 Naturphänomene wie Unwetter verantwortlich gemacht.

Die Enisa beobachtet und veranschaulicht die Entwicklung mittlerweile seit zehn Jahren, innerhalb derer sie insgesamt 1263 Meldungen über signifikante Sicherheitsereignisse aus der Branche verzeichnet hat. Als einen der Trends der vergangenen paar Jahre macht sie aus, dass Systemausfälle nach wie vor mit 61 Prozent die häufigste Ursache für Zwischenfälle sind, aber ihr durchschnittlicher Umfang abnimmt. Die Gesamtzahl der gemeldeten Vorfälle stabilisiert sich seit 2014 bei etwa 160 pro Jahr, die der verlorenen Stunden bei rund 900 Millionen. Letztere hatten 2017 die Rekordzahl von 1943 Millionen erreicht.

Böswillige Handlungen machen mit rund fünf Prozent pro Jahr weiterhin eine Minderheit der Vorkommnisse aus. Der Anteil der durch menschliches Versagen verursachten Vorfälle ist seit 2016 tendenziell gestiegen.

Zerstörung von Telekommunikationsinfrastruktur

Vor allem 2020 mussten die Anbieter aufgrund der Corona-Pandemie laut der Behörde "mit starken Anstiegen und Verschiebungen im Nutzungs- und Verkehrsverhalten fertig werden". Diese Entwicklung habe sich allmählich auf die "neue Normalität" eingependelt. Die allgemeine Erkenntnis aus der Pandemie sei, dass die Dienste und Netze während der Krise widerstandsfähig gewesen seien. Die Enisa betont aber, einige Länder hätten darauf hingewiesen, dass es physische Angriffe auf Basisstationen, Funkmasten oder andere Telekommunikationseinrichtungen gegeben habe. Möglicherweise stünden diese "im Zusammenhang mit Theorien, dass 5G schädlich und sogar für die Covid-19-Pandemie verantwortlich sein könnte".

Die Meldepflicht ergab sich im vorigen Jahr noch aus der alten Rahmenrichtlinie für Provider. Inzwischen greift der neue Kodex für die elektronische Kommunikation, unter den auch "Over the Top"-Anbieter wie WhatsApp und Skype fallen. Die Zahl der Meldungen dürfte damit steigen.

Vorfälle bei Trust-Centern

Ebenfalls vorgelegt hat die Enisa ihren aktuellen Bericht über Sicherheitsvorfälle bei Trust-Centern im Sinne der eIDAS-Verordnung für elektronische Signaturen und Identitäten. Die EU-Staaten und ihre Nachbarländer meldeten hier 2020 insgesamt 39 einschlägige Ereignisse. Auch hier waren Systemfehler die Hauptursache, menschliches Versagen stand an zweiter Stelle. Der Schweregrad war laut der Analyse "konstant niedrig". Dies deute darauf hin, dass "Vertrauensdiensteanbieter" generell mehr und auch weniger schwerwiegende Vorfälle meldeten.

Anlass zur Besorgnis sieht die Behörde bei Diensten, die nicht nach der eIDAS-Verordnung qualifiziert sind. Auf diese entfielen 33 Prozent der Vorkommnisse, über die aber wenig berichtet werde. Als Beispiel nennt die Enisa weltweit sehr stark genutzte Zertifikate für Webseiten. Allein ein Mitgliedstaat habe dazu 2020 elf Vorfälle gemeldet, das Dunkelfeld dürfte aber groß sein. Zudem streifen die Verfasser Schwachstellen bei der PDF-Anmeldung und erstmals beobachtete "Schattenangriffe". Dabei enthielten signierte Dokumente versteckte Inhalte, die ein Angreifer aufdecken könne. Solche Lücken existierten in einer breiten Palette an Softwareprodukten. (olb)