In seinem kürzlich erschienenen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 zieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein besorgniserregendes Fazit: Die IT-Sicherheitslage in Deutschland sei im Berichtszeitraum (1. Juni 2020 bis 31. Mai 2021) “angespannt bis kritisch” gewesen. Neben einem generellen Zuwachs von Schadsoftware-Varianten auf insgesamt 144 Millionen neue Varianten (394.000 neue Varianten pro Tag) lag dies vor allem an der Ausweitung krimineller Lösegelderpressungen, Schweigegelderpressungen und Schutzgelderpressungen gegen Unternehmen.
So sorgten beispielsweise im März 2021 vier kritische Sicherheitslücken, die sog. Hafnium-Sicherheitslücken ‚im Exchange-Server für Aufsehen. Das BSI stufte die Lage als “extrem kritisch” ein, da die Schwachstellen mittels sog. “Exploit-Kits” leicht ausnutzbar waren und bereits unmittelbar nach Bekanntwerden der Schwachstellen großflächige Scans nach verwundbaren Exchange-Servern beobachtet werden konnten.
Gesteigerte Gefahr durch Daten-Leaks
Die Anzahl der Daten-Leaks nahm im Berichtszeitraum ebenfalls zu: Nach Angaben des BSI stehen insbesondere Online-Händler aufgrund der immensen Anzahl an Kundendaten immer wieder im Fokus gegenwärtiger Angriffsbemühungen durch Skimming. Dabei werden legitime Websites von Online-Händlern kompromittiert, teils ohne dass die Betreiber der Plattformen dies direkt bemerken.
Auch beim Einsatz von Ransomware droht mittlerweile das Risiko eines Daten-Leaks: Das BSI konnte eine zunehmende Anzahl von Fällen beobachten, in denen die Erpresser die Daten des jeweiligen Unternehmens nicht nur verschlüsselten und ein Lösegeld forderten, sondern zugleich auch mit der Veröffentlichung der Daten drohten, um die Erfolgsaussichten der Lösegelderpressung zu verbessern.
Laut BSI sind aber nicht nur verbesserte Methoden der Angreifer, sondern auch mangelnde Schutzmaßnahmen von (Online-)Datenbanken Grund für zahlreiche Daten-Leaks: “Dies hat immer wieder zur Folge, dass sensible (oft personenbezogene) Daten ohne Beteiligung oder sogar in vielen Fällen auch ohne Kenntnis der Betroffenen in die Öffentlichkeit geraten”, so das BSI. Opfer waren beispielsweise namhafte Technologieunternehmen, Arztpraxen, Krankenhäuser, Unternehmen aus dem Bereich Transport und Logistik sowie öffentliche Einrichtungen und soziale Netzwerke.
Für Unternehmen ist es im Falle von entwendeten personenbezogenen Daten äußerst wichtig, die Vorgaben der DSGVO einzuhalten, um keine Bußgelder zu riskieren. Dies umfasst insbesondere die Pflicht, Verletzungen des Schutzes personenbezogener Daten möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden und – im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen – auch die betroffenen Personen zu benachrichtigen.
Erhöhte Gefahrenlage durch Covid-19
Aufgrund der infolge der Corona-Krise massiven Verlagerung diverser Lebensbereiche in den digitalen Raum konnte das BSI auch in diesem Zusammenhang zahlreiche neue Gefahren , wie beispielsweise Cyber-Angriffe auf Videokonferenzen, ausmachen. Dies wurde unter anderem durch als Sitzungseinladung gekennzeichnete Phishing-Mails erreicht, welche dann auf gefälschte Websites weiterleiteten.
Ziel der Angreifer ist dabei die Beschaffung von Informationen aus privaten Konferenzen – teilweise mit gravierenden Folgen für die betroffenen Unternehmen, da Inhalte von Videokonferenzen dem Angreifer tiefgreifende Einblicke in interne Prozesse, verwendete Software und vertrauliche Informationen oder Geschäftsgeheimnisse geben können. Nicht selten kann mittels der so gewonnenen Informationen ein weiterer gezielter Cyber-Angriff auf das Unternehmen stattfinden.
Zusätzliche Risiken birgt auch die infolge der Pandemie stark gestiegene Zahl von Homeoffice-Nutzern: Die hier häufig anzutreffende Nutzung von privaten IT-Geräten wie Computern oder Smartphones stellt für Arbeitgeber und Arbeitnehmer zwar eine komfortable Lösung dar, birgt aufgrund der Verknüpfung dieser meist schwächer gesicherten Geräte mit dem Unternehmensnetzwerk aber auch zahlreiche Gefahren und Einfallstore für Schadsoftware.
Auch ist das Homeoffice in der Regel weniger vor der ungewollten Kenntnisnahme von Informationen durch Dritte geschützt: Diese können beispielsweise über noch auf dem Heimarbeitsplatz liegende Dokumente oder nicht gesperrte Computer Einblicke in Daten und verwendete Software erlangen.
Unternehmen ist in diesem Zusammenhang daher zu raten, eine verbindliche Richtlinie für Mitarbeiter (PDF) für das Homeoffice aufzustellen und deren Einhaltung auch zu überprüfen.
Zunahme der Bedrohungen auch in der Automobilindustrie
In dem Lagebericht geht das BSI auch explizit auf die steigenden Bedrohungen durch die zunehmende Vernetzung und Automatisierung im Straßenverkehr ein: Zahlreiche Angriffe auf Fahrzeugsysteme, insbesondere über drahtlose Schnittstellen, zeigen hier laut BSI das Bedrohungspotenzial auf.
Um diesen Gefahren zu begegnen, wurden im Juni 2020 Regelungen für die Cyber-Sicherheit von Kraftfahrzeugen verabschiedet, die Anfang des Jahres in Kraft getreten sind und über die Überführung in EU-Recht ab Juli 2022 verbindlich sein werden. Hierdurch werden Automobilhersteller verpflichtet, sich mittels geeigneter Entwicklungs- und Reaktionsprozesse gegen mögliche IT-bezogene Gefährdungen zu wappnen. Mittelbar ergeben sich jedoch auch neue Verpflichtungen für Zulieferer.
Neben Kooperationen des BSI mit dem Kraftfahrt-Bundesamt (KBA) und dem Verband der Automobilindustrie (VDA), um die Kompetenzen und das Verständnis im Bereich Cyber-Sicherheit zu fördern, befasst sich das BSI im Zusammenhang mit dem autonomen Fahren auch mit den Sicherheitsaspekten von Künstlicher Intelligenz.
Cybersicherheit in der Lieferkette gewinnt an Bedeutung
Die zunehmende Vernetzung der Lieferkette im Zuge der Industrie 4.0 bietet neue Angriffsflächen und Einfallstore, die laut BSI “tief in die Unternehmen bis in die Produktionsumgebung reichen können”. Dies kann im Einzelfall fatale Folgen haben, wie der Angriff auf die Software “Orion” des Herstellers SolarWinds gezeigt hat: Unbekannte hatten hier in “Orion”-Update-Dateien eine sog. “Backdoor” eingefügt. Dieses Update wurde von bis zu 18.000 SolarWinds-Kunden heruntergeladen und installiert. Bei ausgewählten Unternehmen und Behörden nutzten die Angreifer die Backdoor, um weitere Schadprogramme nachzuladen.
Um derartigen Gefahren wirksam zu begegnen, hat der Gesetzgeber neue Regeln zum Schutz von Unternehmen, aber auch von Verbrauchern erlassen: Mittels des IT-Sicherheitsgesetzes 2.0 und der damit verbundenen Einführung des Begriffs der “Unternehmen im besonderen öffentlichen Interesse” sollen Unternehmen mit einer bestimmten wirtschaftlichen Bedeutung erfasst und zukünftig ähnlich den KRITIS-Betreibern besonderen Schutz- und Meldevorschriften unterliegen.
Auch die Sicherheit für Verbraucher soll durch die Einführung eines IT-Sicherheitskennzeichens verbessert werden: Durch das IT-Sicherheitskennzeichen sollen Verbraucher die Möglichkeit erhalten, sich leicht über vom Hersteller zugesicherte Sicherheitsfunktionen von Produkten und Diensten zu informieren. Umgekehrt sind Unternehmen durch die Kennzeichnung zukünftig in der Lage, die Sicherheitseigenschaften ihrer IT-Produkte leicht erkennbar zu machen, und können sich damit am Markt hervorheben.
Fazit
Der Lagebericht des BSI für das Jahr 2021 zeigt erneut, dass parallel zu der stetig zunehmenden Vernetzung von Unternehmen, Produktionsanlagen und Produkten auch die Bedrohungen durch Cyber-Angriffe zunehmen. Dieser Trend wurde durch die Corona-Pandemie und die damit massiv verstärkte Nutzung digitaler Technologien auch und gerade im Homeoffice noch intensiviert. Die Angriffsmöglichkeiten sind dabei vielseitig. Gefahren drohen auf technischer Ebene unter anderem durch Schadsoftware, Identitätsdiebstahl, Social Engineering oder Advanced Persistent Threats, die zur gezielten Informationsgewinnung eingesetzt werden. Ein IT-Sicherheitsvorfall bei einem einzelnen Zulieferer kann die gesamte Lieferkette oder sogar die Sicherheit eines Produkts am Markt betreffen.
Unternehmen sollten daher bestrebt sein, mittels eines Cybersecurity Compliance Managements präventiv ihre Unternehmensstrukturen auf mögliche Risiken und Bedrohungen zu überprüfen und zu sichern und rechtliche Anforderungen an Cybersicherheit strategisch umzusetzen.
Der vollständige Lagebericht des BSI ist hier abrufbar.
zurück