BSI: Erste Erfolge bei Cybersicherheit, aber keine Entwarnung

Die deutsche Cybersicherheitslage bleibt ernst – mit dem Ende der Ampelkoalition drohen wichtige Gesetze wegzufallen. Bundesinnenministerin Nancy Faeser warnt.

In Pocket speichern vorlesen Druckansicht
Cybersecurity, abstrakte Darstellung

(Bild: Dmitry Demidovich/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Bei der Vorstellung des Lageberichts des Bundesamtes für Informationstechnik (BSI) sagt Bundesinnenministerin Nancy Faeser (SPD), dass es trotz angespannter Bedrohungslage auch eine positive Nachricht gebe: Viele potenzielle Opfer hätten ihre Resilienz gesteigert und würden damit gegen Angriffe besser gewappnet sein.

Die Bundestagswahl spielt in diesen Tagen auch für das BSI eine Rolle. Die Bonner Behörde will hier im Konzert mit anderen Akteuren die Wahl absichern, sieht das aber durchaus als sportlich an. Innenministerin Nancy Faeser thematisiert, dass KI-manipulierte Inhalte zur Destabilisierung und für Propaganda eingesetzt würden. "Es gilt, unsere Demokratie gerade auch im Digitalen zu schützen", so Faeser. Angriffe auf das Vertrauen in die Demokratie würden vor allem, aber nicht nur von Russland ausgehen. Zur Bundestagswahl sei es nötig, dass Kandidatenprofile, Websites und Wahlbehörden sicher aufgestellt seien.

Zentraler Baustein für eine höhere Resilienz der Gesellschaft und der Wirtschaft sei die Umsetzung der NIS2-Gesetzgebung. Sie hoffe darauf, dass das auch "unter den jetzt gegebenen Umständen gelingt", sagt Faeser am Vormittag in Berlin. Sie wolle dazu bald Gespräche mit der Opposition führen. Sollten CDU/CSU oder die FDP die NIS2-Gesetzgebung und das Schwesterngesetz zum analogen Schutz kritischer Infrastrukturen nicht doch noch irgendwie durch den Bundestag mittragen, würde das Verfahren mit der Bundestagsneuwahl von vorn gestartet werden müssen und durch die sogenannte Diskontinuität zurückgesetzt.

Damit würde dem BSI auch die gesetzliche Möglichkeit fehlen, die konkreten Umsetzungen der NIS2 zu überwachen und gegebenenfalls einzugreifen. BSI-Präsidentin Claudia Plattner fordert, dass das Gesetz möglichst schnell kommen solle, "idealerweise noch in dieser Legislaturperiode." Doch ohne Haushalt, der definitiv nicht mehr kommen wird, fehlen dem BSI die dafür eigentlich vorgesehenen Stellen. Trotzdem will Plattner lieber schnell das Gesetz haben: Die fehlende Ausstattung sei "ein Problem", der Großteil der Arbeit liege aber erst einmal bei den Unternehmen.

Claudia Plattner betont, dass es wirksamen Schutz gegen Cyberbedrohungen gebe. Der Crowdstrike-Vorfall habe das gezeigt: "Und das war nur ein operativer Vorfall, kein Cyberangriff, aber er hat die Verwundbarkeit schmerzlich bewusst gemacht", so Plattner. Zugleich habe er aber auch demonstriert, wie handlungsfähig Betroffene seien. Es gehe darum, dass Lösungen gefunden werden, um die Verteidiger systematisch in die Lage zu versetzen, schneller als die Angreifer zu agieren. Doch das sei eine große Herausforderung, wie der Bericht zeigt.

Allein 78 neue Schwachstellen würden täglich bekannt, jeden Monat erreichten das BSI 18 Meldungen zu bislang unbekannten Sicherheitslücken, sogenannten Zero-Day-Exploits, so der Bericht. Über 400 Schwachstellen habe das BSI an Hersteller weitergegeben, sagte BSI-Präsidentin Claudia Plattner. Das wurde auch dadurch ermöglicht, dass Unternehmen offener mit Schwachstellen umgingen.

Vor allem die Sicherheit von 64-Bit-Windowsversionen würde stärker angegriffen, heißt es im Lagebericht und nennt eine Zunahme um 256 Prozent gegenüber dem Vorjahresbericht. Von den beobachteten 309.000 täglich neuen Schadprogramm-Varianten sei ein Großteil in diesem Bereich aktiv.

Mit großer Sorge betrachtet das BSI die weitere Zunahme von Angriffen auf Perimetersysteme, also Firewalls, Gateways und Virtual Private Networks (VPN) sowie andere Systeme, die die Netzwerke und Rechner hinter diesen eigentlich schützen helfen sollen. Hier verzeichnet das BSI eine deutlich gestiegene Bedrohungslage – oftmals seien diese unzureichend abgesichert, also etwa nicht mit einer wirksamen Zwei-Faktor-Authentifizierung. Prominentester Fall dieser Art in Deutschland war die CDU-Zentrale, deren Infrastruktur im Mai mittels Zero-Day-Exploit in einer Sicherheitssoftware erfolgreich angegriffen wurde. Eine schlechte Implementierung von Sicherheitsstandards der Sicherheitssoftware hatten dazu geführt, dass die Angreifer per Path Traversal weiteren Zugriff außerhalb der Login-Maske erhielten.

Besonders im Blick der Angreifer sind zudem IT-Dienstleister, berichtet das BSI. Insbesondere schlecht gesicherte und frei erreichbare Confluence-Instanzen seien ein Weg für Angreifer. Die Bonner Cybersicherheitsbehörde fordert unter anderem deshalb alle Unternehmen auf, ihre Netzwerke sauberer zu segmentieren, die Erreichbarkeit von Außen auf das Nötigste zu reduzieren und die Sicherheits- und Resilienzmaßnahmen genauer in den Blick zu nehmen. IT-Dienstleister, die für eine Vielzahl anderer arbeiten, sind als Vektor für Angriffe besonders attraktive Ziele – deren Kunden müssten in ihre eigenen Maßnahmen und Überlegungen einbeziehen, dass diese auch weiterhin von hochprofessionellen Angreifergruppen ins Visier genommen würden.

In dem Bericht setzt sich das BSI unter anderem mit der IT-Sicherheit von E-Auto-Ladesäulen auseinander und berichtet, dass alle sechs auf dem Markt befindlichen untersuchten Systeme teils massive Schwachstellen gehabt hätten. Selbst rudimentärste IT-Sicherheitsstandards seien nicht erfüllt worden. Das wiederum ist auch insofern gefährlich, da die Ladeinfrastruktur unmittelbar mit dem Stromnetz agiert und zumindest private Anschlüsse künftig mittels bidirektionalem Stromfluss auch in das Stromnetz einspeisen sollen. Kommt es hier zu künstlich per Hack erzeugten Lastspitzen, drohen Deutschland mindestens regionale Blackouts. Einige der Probleme seien allerdings zwischenzeitlich behoben, schreibt das BSI in seinem Bericht.

(olb)