IT-Sicherheit: BSI warnt vor "Alarmstufe Rot"

Inhaltsverzeichnis

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), hat die Lage der IT-Sicherheit in Deutschland 2021 anhand einer Vielzahl von Sicherheitsvorfällen als "besorgniserregend" bezeichnet. Beunruhigend seien vor allem "die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen".

Lücken ermöglichen neue Angriffsmethoden

Zwar sei mit der Zerschlagung des Emotet-Netzwerkes der "König der Schadsoftware" zunächst von der Bildfläche verschwunden, schreibt Schönbohm im Vorwort für den am Donnerstag veröffentlichten Lagebericht der Behörde für die Zeit zwischen dem 1. Juni 2020 und dem 31. Mai 2021. Doch es gebe längst neue Angriffsmittel und -methoden. Sicherheitslücken in IT-Produkten ermöglichten diese überhaupt erst. Dies sei gravierend, "wenn Produkte mit großer Verbreitung und hoher Marktdurchdringung betroffen sind".

Solche Schwachstellen bezeichnet Schönbohm als "Ausdruck einer mangelhaften Produktqualität". Die Hersteller sollten daher in ihrem eigenen Interesse daran mitarbeiten, diese Mängel schnellstmöglich und konsequent zu beheben. Aber es müsse auch den Anwendern bewusst sein, "dass sie ihre Netzwerke und Systeme jeden Tag aktiv schützen müssen". Wer dies nicht tue, gehe enorme Risiken wie Produktionsausfälle oder das Aus für die Notfallversorgung von Krankenhäusern ein.

Die Gefährdungslage im Cyberraum sei in der Berichtsperiode "angespannt bis kritisch" gewesen, heißt es in dem Dokument. Zumindest in Teilbereichen bestehe "Alarmstufe rot", warnte Schönbohm bei der Präsentation der Ergebnisse in Berlin. Schwachstellen in Hard- und Software "sind und bleiben" laut dem Report "eine der größten Herausforderungen der Informationssicherheit". Eine große Verwundbarkeit im Exchange-Server habe etwa im März für Aufsehen gesorgt: "Microsoft schloss mit einem Sicherheitsupdate vier kritische Sicherheitslücken, die in Kombination bereits für gezielte Angriffe ausgenutzt worden waren". Das BSI stufte die Situation als "extrem kritisch" ein. Dies ist die zweithöchste der möglichen Krisenstufen.

Bei Exchange-Attacken anfangs fast alle Systeme verwundbar

Von den hierzulande geprüften Systemen erwiesen sich laut der Behörde zunächst 98 Prozent als verwundbar. Nach umfangreichen Warnungen habe sich dieser Anteil innerhalb einer Woche halbiert und nach weiteren zwei Wochen auf unter zehn Prozent gesenkt werden können. Im Mai seien aber immer noch neun Prozent der inspizierten Server hierzulande verwundbar gewesen. Laut der neuen Cybersicherheitsstrategie des Bundes sollen Sicherheitsbehörden Schwachstellen etwa für Staatstrojaner aber auch selbst ausnutzen dürfen.

Ransomware sieht das BSI weiter als "größte Bedrohung": Neben den bekannten Lösegelderpressungen forderten die Täter auch immer öfter Schweigegeld unter Androhung der Enthüllung kompromittierender Informationen ("Double Extortion") sowie Schutzgelder gegen DDoS-Attacken. Die Zahl der monatlich aktiven Daten-Leak-Seiten, auf denen gestohlene Daten angeboten werden, habe im vorigen Jahr um fast 360 Prozent zugenommen. Angreifer setzten inzwischen zudem Strategien ein, die bisher nur bei meist staatlich durchgeführten "Advanced Persistent Threats" (APT) bekannt gewesen seien. Ransomware-Angriffe auf Einrichtungen des Gesundheitswesens könnten die medizinische Versorgung und damit Leib und Leben der Patienten bedrohen.

Mit rund 144 Millionen neu registrierten Schadprogramm-Varianten meldet die Behörde zugleich einen traurigen Rekord innerhalb eines Jahres. Das sind 22 Prozent mehr als im Vorjahr. Täglich wurden durchschnittlich 394.000 neue Schadprogrammvarianten entdeckt (2020: 322.000), im Spitzenwert im Februar sogar 553.000. Das ist das höchste jemals gemessene durchschnittliche Tagesplus.

Zehntausende Mails mit Schadsoftware im Regierungsnetz

Das Wachstum des Tagesindikators führt das BSI insbesondere auf eine deutlich gestiegene Tätigkeit der Kriminellen in der Kategorie "Windows-Schadprogramme" zurück. In den Wintermonaten seien regelmäßig neue Spitzenwerte in dieser Kategorie gemessen worden. Mit EvilQuest sei 2020 zudem erstmals eine Malware in nennenswerter Häufigkeit aufgetreten, die sich gegen Apples Betriebssystem MacOS richtet. Angreifer hatten die neuen Varianten massenhaft in illegalen Software-Kopien versteckt.

Rund 44.000 E-Mails mit Schadprogrammen fing das Amt in deutschen Regierungsnetzen pro Monat ab, bevor sie die Postfächer der Empfänger erreichten. 74.000 Webseiten wurden wegen enthaltener Malware durch die Webfilter der Regierungsnetze gesperrt. Das BSI übermittelte zudem rund 14,8 Millionen Meldungen zu Infektionen mit Trojanern, Viren & Co. an deutsche Netzbetreiber.

Der Trend, die Corona-Pandemie als Aufhänger für Phishing- und andere Social-Engineering-Angriffe auszunutzen, setze sich fort, ist dem Bericht zu entnehmen. Durch den stark ansteigenden Einsatz von Videokonferenzsystemen und Lernplattformen seien diese zu Ziele für Angreifer geworden.

Schwachstellen in Corona-Testzentren

Parallel seien etwa in Corona-Testzentren "wiederholt gravierende Schwachstellen in Webanwendungen gefunden" worden, moniert das Amt: Sensible Daten wie Testergebnisse und Anschriften seien übers Netz missbräuchlich einsehbar gewesen. Besondere Bedeutung komme Attacken auf essenzielle Einrichtungen wie die Europäische Arzneimittelagentur oder Hersteller von Impfstoffen zu. Das Grundproblem bleibe dabei: "Aus der Not geborene Digitalisierungsprojekte vernachlässigen die Informationssicherheit und gefährden damit ganze Unternehmensnetzwerke."

Als Gegenbeispiel führte Schönbohm die Corona-Warn-App des Bundes an. Diese sei ein europäisches Erfolgsmodell, nicht zuletzt, weil das BSI sein ganzes Fachwissen etwa bei Bluetooth, Open Source und Front- sowie Backend-Gestaltung eingebracht habe. Die Anwendung sei ein Beitrag dazu, nachhaltig und sicher zu digitalisieren.

Auch auf mehrere Angriffe von APT-Gruppen auf Behörden, Sicherheitsfirmen und zunehmend Denkfabriken, zivilgesellschaftliche Organisationen sowie in Deutschland lebende ausländische Regierungskritiker weist der Bericht hin. Die Autoren ziehen das Fazit: Die Gesellschaft müsse "weiter wachsam und wehrhaft sein", da sonst das Ziel einer erfolgreichen Digitalisierung in Gefahr gerate. 80 Jahre, nachdem Konrad Zuse mit der Z3 den ersten funktionsfähigen Computer der Welt in Betrieb genommen habe, "muss die Digitalisierung neu gedacht werden!" IT-Sicherheit sollte dabei als Basis einen deutlich höheren Stellenwert einnehmen.

Bitkom fordert sekundengenaue Informationen

Die Gefährdungslage in diesem Feld sei "hoch" und werde sich eher noch zuspitzen, erklärte Bundesinnenminister Horst Seehofer (CSU). Die Cyberangriffe würden immer ausgefeilter und beträfen Bereiche, "die für unsere Gesellschaft elementar" seien wie etwa die Strom- oder Gesundheitsversorgung. Seehofer stellte fest: "Wir alle können von den Sicherheitslücken Schaden davontragen." Mit dem IT-Sicherheitsgesetz 2.0 steuere die Bundesregierung gegen und habe so etwa das BSI mit mehr Befugnissen aufgerüstet. Es sei vor allem nötig, das Cyberstrafrecht weiter aufzurüsten, was sicher auch die neue Exekutive angehen werde.

Der IT-Verband Bitkom forderte, "dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren" können sollte. Einschlägige Informationen müssten EU-weit in einem zentralen Dashboard gesammelt werden. Nur wenn Hinweise auf Gefahren sekundengenau vorlägen, könnten Betroffene auch umgehend darauf reagieren.

(mho)