Reuschlaw

Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik: Bericht zur Lage der IT-Sicherheit in Deutsch­land 2021

In sei­nem kürz­lich erschie­ne­nen Bericht zur Lage der IT-Sicherheit in Deutsch­land für das Jahr 2021 zieht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ein besorg­nis­er­re­gen­des Fazit: Die IT-Sicherheitslage in Deutsch­land sei im Berichts­zeit­raum (1. Juni 2020 bis 31. Mai 2021) “ange­spannt bis kri­tisch” gewe­sen. Neben einem gene­rel­len Zuwachs von Schadsoftware-Varianten auf ins­ge­samt 144 Mil­lio­nen neue Vari­an­ten (394.000 neue Vari­an­ten pro Tag) lag dies vor allem an der Aus­wei­tung kri­mi­nel­ler Löse­geld­erpres­sun­gen, Schwei­ge­geld­erpres­sun­gen und Schutz­geld­erpres­sun­gen gegen Unternehmen.

So sorg­ten bei­spiels­wei­se im März 2021 vier kri­ti­sche Sicher­heits­lü­cken, die sog. Hafnium-Sicherheitslücken ‚im Exchange-Server für Auf­se­hen. Das BSI stuf­te die Lage als “extrem kri­tisch” ein, da die Schwach­stel­len mit­tels sog. “Exploit-Kits” leicht aus­nutz­bar waren und bereits unmit­tel­bar nach Bekannt­wer­den der Schwach­stel­len groß­flä­chi­ge Scans nach ver­wund­ba­ren Exchange-Servern beob­ach­tet wer­den konnten.

Gestei­ger­te Gefahr durch Daten-Leaks

Die Anzahl der Daten-Leaks nahm im Berichts­zeit­raum eben­falls zu: Nach Anga­ben des BSI ste­hen ins­be­son­de­re Online-Händler auf­grund der immensen Anzahl an Kun­den­da­ten immer wie­der im Fokus gegen­wär­ti­ger Angriffs­be­mü­hun­gen durch Skim­ming. Dabei wer­den legi­ti­me Web­sites von Online-Händlern kom­pro­mit­tiert, teils ohne dass die Betrei­ber der Platt­for­men dies direkt bemerken.

Auch beim Ein­satz von Ran­som­wa­re droht mitt­ler­wei­le das Risi­ko eines Daten-Leaks: Das BSI konn­te eine zuneh­men­de Anzahl von Fäl­len beob­ach­ten, in denen die Erpres­ser die Daten des jewei­li­gen Unter­neh­mens nicht nur ver­schlüs­sel­ten und ein Löse­geld for­der­ten, son­dern zugleich auch mit der Ver­öf­fent­li­chung der Daten droh­ten, um die Erfolgs­aus­sich­ten der Löse­geld­erpres­sung zu verbessern.

Laut BSI sind aber nicht nur ver­bes­ser­te Metho­den der Angrei­fer, son­dern auch man­geln­de Schutz­maß­nah­men von (Online-)Datenbanken Grund für zahl­rei­che Daten-Leaks: “Dies hat immer wie­der zur Fol­ge, dass sen­si­ble (oft per­so­nen­be­zo­ge­ne) Daten ohne Betei­li­gung oder sogar in vie­len Fäl­len auch ohne Kennt­nis der Betrof­fe­nen in die Öffent­lich­keit gera­ten”, so das BSI. Opfer waren bei­spiels­wei­se nam­haf­te Tech­no­lo­gie­un­ter­neh­men, Arzt­pra­xen, Kran­ken­häu­ser, Unter­neh­men aus dem Bereich Trans­port und Logis­tik sowie öffent­li­che Ein­rich­tun­gen und sozia­le Netzwerke.

Für Unter­neh­men ist es im Fal­le von ent­wen­de­ten per­so­nen­be­zo­ge­nen Daten äußerst wich­tig, die Vor­ga­ben der DSGVO ein­zu­hal­ten, um kei­ne Buß­gel­der zu ris­kie­ren. Dies umfasst ins­be­son­de­re die Pflicht, Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten mög­lichst bin­nen 72 Stun­den der Auf­sichts­be­hör­de zu mel­den und – im Fal­le eines hohen Risi­kos für die per­sön­li­chen Rech­te und Frei­hei­ten natür­li­cher Per­so­nen – auch die betrof­fe­nen Per­so­nen zu benachrichtigen.

Erhöh­te Gefah­ren­la­ge durch Covid-19

Auf­grund der infol­ge der Corona-Krise mas­si­ven Ver­la­ge­rung diver­ser Lebens­be­rei­che in den digi­ta­len Raum konn­te das BSI auch in die­sem Zusam­men­hang zahl­rei­che neue Gefah­ren , wie bei­spiels­wei­se Cyber-Angriffe auf Video­kon­fe­ren­zen, aus­ma­chen. Dies wur­de unter ande­rem durch als Sit­zungs­ein­la­dung gekenn­zeich­ne­te Phishing-Mails erreicht, wel­che dann auf gefälsch­te Web­sites weiterleiteten.

Ziel der Angrei­fer ist dabei die Beschaf­fung von Infor­ma­tio­nen aus pri­va­ten Kon­fe­ren­zen – teil­wei­se mit gra­vie­ren­den Fol­gen für die betrof­fe­nen Unter­neh­men, da Inhal­te von Video­kon­fe­ren­zen dem Angrei­fer tief­grei­fen­de Ein­bli­cke in inter­ne Pro­zes­se, ver­wen­de­te Soft­ware und ver­trau­li­che Infor­ma­tio­nen oder Geschäfts­ge­heim­nis­se geben kön­nen. Nicht sel­ten kann mit­tels der so gewon­ne­nen Infor­ma­tio­nen ein wei­te­rer geziel­ter Cyber-Angriff auf das Unter­neh­men stattfinden. 

Zusätz­li­che Risi­ken birgt auch die infol­ge der Pan­de­mie stark gestie­ge­ne Zahl von Homeoffice-Nutzern: Die hier häu­fig anzu­tref­fen­de Nut­zung von pri­va­ten IT-Geräten wie Com­pu­tern oder Smart­phones stellt für Arbeit­ge­ber und Arbeit­neh­mer zwar eine kom­for­ta­ble Lösung dar, birgt auf­grund der Ver­knüp­fung die­ser meist schwä­cher gesi­cher­ten Gerä­te mit dem Unter­neh­mens­netz­werk aber auch zahl­rei­che Gefah­ren und Ein­falls­to­re für Schadsoftware.

Auch ist das Home­of­fice in der Regel weni­ger vor der unge­woll­ten Kennt­nis­nah­me von Infor­ma­tio­nen durch Drit­te geschützt: Die­se kön­nen bei­spiels­wei­se über noch auf dem Heim­ar­beits­platz lie­gen­de Doku­men­te oder nicht gesperr­te Com­pu­ter Ein­bli­cke in Daten und ver­wen­de­te Soft­ware erlangen.

Unter­neh­men ist in die­sem Zusam­men­hang daher zu raten, eine ver­bind­li­che Richt­li­nie für Mit­ar­bei­ter (PDF) für das Home­of­fice auf­zu­stel­len und deren Ein­hal­tung auch zu über­prü­fen.

Zunah­me der Bedro­hun­gen auch in der Automobilindustrie

In dem Lage­be­richt geht das BSI auch expli­zit auf die stei­gen­den Bedro­hun­gen durch die zuneh­men­de Ver­net­zung und Auto­ma­ti­sie­rung im Stra­ßen­ver­kehr ein: Zahl­rei­che Angrif­fe auf Fahr­zeug­sys­te­me, ins­be­son­de­re über draht­lo­se Schnitt­stel­len, zei­gen hier laut BSI das Bedro­hungs­po­ten­zi­al auf.

Um die­sen Gefah­ren zu begeg­nen, wur­den im Juni 2020 Rege­lun­gen für die Cyber-Sicherheit von Kraft­fahr­zeu­gen ver­ab­schie­det, die Anfang des Jah­res in Kraft getre­ten sind und über die Über­füh­rung in EU-Recht ab Juli 2022 ver­bind­lich sein wer­den. Hier­durch wer­den Auto­mo­bil­her­stel­ler ver­pflich­tet, sich mit­tels geeig­ne­ter Entwicklungs- und Reak­ti­ons­pro­zes­se gegen mög­li­che IT-bezogene Gefähr­dun­gen zu wapp­nen. Mit­tel­bar erge­ben sich jedoch auch neue Ver­pflich­tun­gen für Zulieferer.

Neben Koope­ra­tio­nen des BSI mit dem Kraftfahrt-Bundesamt (KBA) und dem Ver­band der Auto­mo­bil­in­dus­trie (VDA), um die Kom­pe­ten­zen und das Ver­ständ­nis im Bereich Cyber-Sicherheit zu för­dern, befasst sich das BSI im Zusam­men­hang mit dem auto­no­men Fah­ren auch mit den Sicher­heits­aspek­ten von Künst­li­cher Intelligenz.

Cyber­si­cher­heit in der Lie­fer­ket­te gewinnt an Bedeutung

Die zuneh­men­de Ver­net­zung der Lie­fer­ket­te im Zuge der Indus­trie 4.0 bie­tet neue Angriffs­flä­chen und Ein­falls­to­re, die laut BSI “tief in die Unter­neh­men bis in die Pro­duk­ti­ons­um­ge­bung rei­chen kön­nen”. Dies kann im Ein­zel­fall fata­le Fol­gen haben, wie der Angriff auf die Soft­ware “Ori­on” des Her­stel­lers Solar­Winds gezeigt hat: Unbe­kann­te hat­ten hier in “Orion”-Update-Dateien eine sog. “Back­door” ein­ge­fügt. Die­ses Update wur­de von bis zu 18.000 SolarWinds-Kunden her­un­ter­ge­la­den und instal­liert. Bei aus­ge­wähl­ten Unter­neh­men und Behör­den nutz­ten die Angrei­fer die Back­door, um wei­te­re Schad­pro­gram­me nachzuladen.

Um der­ar­ti­gen Gefah­ren wirk­sam zu begeg­nen, hat der Gesetz­ge­ber neue Regeln zum Schutz von Unter­neh­men, aber auch von Ver­brau­chern erlas­sen: Mit­tels des IT-Sicherheitsgesetzes 2.0  und der damit ver­bun­de­nen Ein­füh­rung des Begriffs der “Unter­neh­men im beson­de­ren öffent­li­chen Inter­es­se” sol­len Unter­neh­men mit einer bestimm­ten wirt­schaft­li­chen Bedeu­tung erfasst und zukünf­tig ähn­lich den KRITIS-Betreibern beson­de­ren Schutz- und Mel­de­vor­schrif­ten unterliegen.

Auch die Sicher­heit für Ver­brau­cher soll durch die Ein­füh­rung eines IT-Sicherheitskennzeichens ver­bes­sert wer­den: Durch das IT-Sicherheitskennzeichen sol­len Ver­brau­cher die Mög­lich­keit erhal­ten, sich leicht über vom Her­stel­ler zuge­si­cher­te Sicher­heits­funk­tio­nen von Pro­duk­ten und Diens­ten zu infor­mie­ren. Umge­kehrt sind Unter­neh­men durch die Kenn­zeich­nung zukünf­tig in der Lage, die Sicher­heits­ei­gen­schaf­ten ihrer IT-Produkte leicht erkenn­bar zu machen, und kön­nen sich damit am Markt hervorheben.

Fazit

Der Lage­be­richt des BSI für das Jahr 2021 zeigt erneut, dass par­al­lel zu der ste­tig zuneh­men­den Ver­net­zung von Unter­neh­men, Pro­duk­ti­ons­an­la­gen und Pro­duk­ten auch die Bedro­hun­gen durch Cyber-Angriffe zuneh­men. Die­ser Trend wur­de durch die Corona-Pandemie und die damit mas­siv ver­stärk­te Nut­zung digi­ta­ler Tech­no­lo­gien auch und gera­de im Home­of­fice noch inten­si­viert. Die Angriffs­mög­lich­kei­ten sind dabei viel­sei­tig. Gefah­ren dro­hen auf tech­ni­scher Ebe­ne unter ande­rem durch Schad­soft­ware, Iden­ti­täts­dieb­stahl, Social Engi­nee­ring oder Advan­ced Per­sis­tent Thre­ats, die zur geziel­ten Infor­ma­ti­ons­ge­win­nung ein­ge­setzt wer­den. Ein IT-Sicherheitsvorfall bei einem ein­zel­nen Zulie­fe­rer kann die gesam­te Lie­fer­ket­te oder sogar die Sicher­heit eines Pro­dukts am Markt betreffen.

Unter­neh­men soll­ten daher bestrebt sein, mit­tels eines Cyber­se­cu­ri­ty Com­pli­ance Manage­ments  prä­ven­tiv ihre Unter­neh­mens­struk­tu­ren auf mög­li­che Risi­ken und Bedro­hun­gen zu über­prü­fen und zu sichern und recht­li­che Anfor­de­run­gen an Cyber­si­cher­heit stra­te­gisch umzusetzen.

Der voll­stän­di­ge Lage­be­richt des BSI ist hier abrufbar.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.