IT-Sicherheit im Jahr 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen alljährlichen Bericht zur Lage der IT-Sicherheit in Deutschland herausgegeben. Hierbei handelt es sich um eine wertvolle Informationsquelle und einen guten Gradmesser für die aktuelle Situation in der Cybersicherheit. Das BSI ist als Bundesbehörde grundsätzlich unabhängig, hat also kein Interesse daran, Szenarien besonders dramatisch darzustellen. Gleichermaßen kann den Autoren unterstellt werden, dass sie nichts beschönigen oder gar vertuschen wollen. Es ist also absolut ernst zu nehmen, wenn der Präsident des BSI, Arne Schönbohm, von einer besorgniserregenden Zahl an Sicherheitsvorfälle und einer rasanten Entwicklung der Angriffsmethoden spricht.

Was ist eigentlich das BSI?

Die Aufgaben des Bundesamts für Sicherheit in der Informationstechnik sind einem eigenen, gleichnamigen Gesetz festgelegt, dem BSI-Gesetz. Neben Aufgaben wie dem Schutz der Regierungsnetze und der Zertifizierung von Produkten, obliegt ihm die "präventive Förderung der Cyber- und Informationssicherheit". Es soll also auch Unternehmen und private Haushalte umfassend beraten und vor aktuellen Gefahren warnen. Hierzu werden regelmäßig Meldungen, Leitfäden und Checklisten herausgegeben. Diese finden sich unter www.bsi.bund.de und zumeist in einschlägigen Medien. In der 1991 gegründeten Behörde arbeiten inzwischen mehr als tausend teils hochspezialisierter Fachleute. Für Verantwortliche in Unternehmen können die kostenlosen Publikationen des BSI entsprechend hilfreich sein.

Die Bedrohungslage

Im Vordergrund stehen schon seit längerer Zeit nicht mehr Aktivitäten von klassischen Hackern, mit denen eher das Bild von computerverrückten Nerds assoziiert wird. Es geht Cyber-Kriminellen keinesfalls darum, durch ihre Hacks Anerkennung in der Szene zu bekommen oder als "David" gegen Goliath, in Gestalt eines großen Unternehmens, als Sieger hervorzugehen. Vielmehr stehen bei den meisten Angriffen finanzielle Interessen im Vordergrund. Die für Unternehmen relevantesten Schadereignisse haben wir für Sie zusammengefasst:

1. Erpressungen: Diese Form des Angriffs unterteilt sich in drei Unterformen, die zum Teil auch miteinander kombiniert werden.

• Lösegeld: Bei Ransomware-Attacken verschaffen sich Kriminelle Zugang zum Netzwerk der angegriffenen Institution. Dort verschlüsseln sie möglichst umfassend wichtige Daten und verlangen später hohe Lösegelder für die Entschlüsselung.
• Schutzgeld: Kriminelle drohen mit sogenannten Distributed-Denial-of-Service-Angriffen. Hierbei überfluten sie beispielsweise aus einem Botnetz heraus Server von Unternehmen mit Anfragen. Dadurch werden diese zumeist funktionsunfähig, was etwa bei Betreibern von Online-Shops mit hohem Verdienstausfall verbunden sein kann. Gegen Schutzgeld verzichten die Angreifer auf weitere Störungen.
• Schweigegeld: Insbesondere diese Attacke wird inzwischen häufig mit Verschlüsselungstrojanern verstärkt. Die Angreifer schleusen zunächst unbemerkt wichtige Daten aus dem Netzwerk des Angegriffenen und drohen mit einer Veröffentlichung, sofern kein Schweigegeld entrichtet wird. Alternativ nutzen sie die Daten, um einer Lösegeldforderung Nachdruck zu verleihen.

2. Software-Schwachstellen: Ein großes Problem sind bekanntgewordene Sicherheitslücken in verbreiteter Software. Anfang des Jahres war es beispielsweise eine Schwachstelle in Microsoft-Exchange-Servern, die zahlreiche Unternehmen und Behörden vor Probleme stellte. Ganz aktuell wurde der Log4Shell-Exploit bekannt, der ebenfalls erhebliche Auswirkungen noch unbekannten Ausmaßes haben wird. Umgehend nach Bekanntwerden solcher Lücken werden regelmäßig automatisierte Scan-Vorgänge zum Auffinden verwundbarer Server registriert. Dies führt dazu, dass betroffene Unternehmen davon ausgehen können, dass ihr Server früher oder später aufgefunden wird, wenn Verantwortliche bei Auftreten einer Sicherheitslücke nicht zeitnah ein Update einspielen. Nach Feststellung eines verwundbaren Servers besteht höchste Gefahr für die Integrität und Vertraulichkeit von Daten, sowie für die Funktionsfähigkeit der Systeme.

3. Schadsoftware: In der Spitze registrierte das BSI im Berichtszeitraum des Lageberichts das Auftreten von über 500.000 neuer Schadsoftware-Varianten an einem Tag. Es ist also leider nicht realistisch, dass Virenscanner eine Erkennungsrate von nahezu 100 Prozent garantieren können. Nach wie vor ist Schadsoftware eine Gefahr für die Integrität von Netzen.

4. Spam: Hierunter fasst das BSI nicht nur unerwünschte und aufdringliche Werbung, sondern allgemein schädliche E-Mails aller Art. Es finden sich also auch Phishing-Mails zum Abgreifen von Zugangsdaten und Banking-Zugängen darunter. Im Mai 2021 seien je legitimer E-Mail durchschnittlich 34 Spamnachrichten versandt worden. Dies sorgt dafür, dass Unternehmen erhebliche Anstrengungen zum Ausfiltern von Spam vollziehen und dennoch Mitarbeiter große Vorsicht im Umgang mit E-Mails und Anhängen walten lassen müssen.

5. Botnetze: Cyber-Kriminelle requirieren durch Schadsoftware regelmäßig eine größere Anzahl an Rechnern, die sie in der Folge fernsteuern können. In Frage kommen dafür nicht nur PCs und Server, sondern jegliches netzwerkfähige Systeme. Gerade im Bereich des Internet of Things und Smart Home finden sich häufig schlecht abgesicherte Geräte. Botnetze werden dann beispielsweise für DDoS-Attacken vermietet. Das BSI registrierte eine Verdoppelung derartiger Infektionen, auf bis zu 40.000 pro Tag als Spitzenwert.

6. Diebstahl und Missbrauch von Identitäten: Ein hartnäckiges Problem für Einzelpersonen und auch Unternehmen ist der Diebstahl von Identitäten. Bekommen Kriminelle Informationen wie Kreditkartendaten, Ausweisnummern und Zugänge zu personalisierten E-Mail-Accounts, so können sie in der Folge hohen Schaden anrichten. Dies etwa durch fingierte Bestellungen und den Abschluss von Verträgen.

7. Advanced Persistent Threads (APT): Hierbei handelt es sich - im Gegensatz zu den meisten der anderen vorgestellten Problemfeldern - um gezielte Angriffe. Kriminelle oder Aktivisten kundschaften ihr digitales Ziel über einen längeren Zeitraum aus, etwa durch sogenannte OSINT-Recherchen. Dann schleusen sie gezielt Schadsoftware ein. Dabei kommen auch Social Engineering und Social Hacking, also das Beeinflussen und Täuschen realer Personen, zum Einsatz. Zielrichtung ist gemäß BSI-Lagebericht die Sabotage oder die Spionage. Dies sind Szenarien, von denen auch die häufig sehr innovativen KMU betroffen sein können.

8. Supply-Chain-Angriffe: Bei dieser Angriffsform attackieren Kriminelle Softwarehersteller und fügen Schadsoftware in deren Produkte ein. Diese wird dann arglos vom Endkunden installiert.

Die Sicherheitslage rund um coronabedingte Veränderungen

Die immer noch andauernde Corona-Pandemie hat die Abläufe in vielen Firmen stark verändert. Die gute Nachricht ist, dass das BSI trotz vieler eilig und provisorisch eingerichteter Lösungen keinen signifikanten Anstieg von Angriffen auf die verwendete Infrastruktur verzeichnet hat. Allerdings gab es neue Angriffsformen wie Phishing-Mails mit Bezug zur Pandemie oder unerlaubte Zugriffe auf Videokonferenzen. Problematisch sieht das BSI in diesem Kontext zudem die Nutzung privater Geräte. Dort besteht für die Administratoren der Firmen in der Regel keine Kontrollmöglichkeit auf Aktualität der Software und nur begrenzte Einflussnahme auf regelmäßige Backup-Erstellung.

Welche Schlüsse sind aus dem BSI-Lagebericht zu ziehen?

Die Tendenz des Lageberichts kann wohl ohne Übertreibung als alarmierend bezeichnet werden. Daher sind auch KMU gut beraten, wenn sie versuchen, ihre Angriffsfläche zu verkleinern. Durch Vorkehrungen wie umfassende Backups und Notfall-Strategien besteht die Chance, den Schaden bei Eintritt eines Sicherheitsvorfalls zumindest zu minimieren.

Geeignete Maßnahmen sind:

• Ständige Aktualisierung aller verwendeter IT-Systeme
• Regelmäßige Information über aktuelle Bedrohungen und Schwachstellen
• Permanente Aufklärung und Schulung eigener Mitarbeiter, z.B. zur Vorbeugung vor Ransomware-Angriffen
• Eine wirksame Backup-Strategie
• Erstellung eines Notfallplans für IT-Sicherheitsvorfälle
• Nutzung von verschlüsselter Datenübertragung, etwa durch ein Virtual-Private-Network (VPN)
• Kontrolle des eigenen Sicherheitskonzepts durch externe Berater und Penetration-Testing