Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor kurzem seinen Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ veröffentlicht. In diesem Bericht wird für den Zeitraum vom 1. Juni 2020 bis zum 31. Mai 2021 eine Bilanz bezüglich der Gefährdungslage der IT-Sicherheit in Deutschland gezogen. Das BSI legt den Fokus dabei auf Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen. Zugleich will es aber auch zur Prävention und Bekämpfung dieser Lagen beitragen.

In dem Bericht des BSI werden alljährlich konkrete Beispiele für Sicherheitslagen und Cyber-Bedrohungen aus unterschiedlichen Bereichen aufgegriffen. Daran erklärt das BSI typische Methoden von Angreifern. Außerdem will das BSI aufklären, was geeignete Schutzmaßnahmen sind.

Das Fazit des Berichtes: Die IT-Sicherheitslage in Deutschland ist angespannt bis kritisch.

Cyber-Erpresser: Schutzgeld, Lösegeld und Schweigegeld

Die cyber-kriminellen Erpressungsmethoden haben sich im Berichtszeitraum merklich erweitert. Dies allein ist noch keine besonders neue Entwicklung. Jedoch hat die Bedrohung in letzter Zeit eine andere Qualität erreicht. Die Schäden die dadurch eintreten können, sind riesig.

Es war eine weltweite Kampagne von Cyber-Erpressern zu beobachten, die unter Androhung von DDoS-Angriffen (Distributed-Denial-of-Service-Angriffen) Schutzgelder von ihren Opfern erpressten.

Zugleich verwendeten sie insbesondere die Schadsoftware Emotet für Angriffe, um im Nachgang unter Zuhilfenahme von Ransomsoftware, die alle Daten verschlüsselt, Lösegeld zu erpressen.

Eine Erweiterung dieser Strategie ließ sich auch beobachten. Teilweise speicherten Angreifer die Daten vor der Verschlüsselung rechtswidrig ab, um dann unter Androhung der Veröffentlichung Schweigegeld zu erpressen. Dieses Vorgehen konnte sich als effektiv beweisen, wenn das Opfer aufgrund eigener Sicherheitskopien der Daten kein Interesse an der Zahlung des Lösegeldes für die Entschlüsselung der Daten zeigte. Findet nun ein Ransomware-Angriff statt, muss deshalb grundsätzlich davon ausgegangen werden, dass die Daten kompromittiert sind.

Größtes Einfalltor für solche Angriffe sind wohl Social-Engineering-Attacken. Hierbei wird versucht, Menschen durch Tricks wie geschickt gefälschte E-Mails dazu zu bringen, etwa auf bösartige Links zu klicken oder Anhänge herunterzuladen, die die Schadsoftware installieren.

Um Lösegeld zu erpressen, gaben einige Angreifer über Spam-Angriffe auch direkt dem Endanwender gegenüber vor, dass Datenabflüsse stattgefunden hätten. Sie erpressten dann über die Drohung mit der Veröffentlichung der Daten des Opfers ein entsprechendes Lösegeld.

In der Cybercrime-Branche zeigt sich, dass immer mehr arbeitsteilig und mit Cyberattacken als Dienstleistung vorgegangen wird. Es findet ein regelrechtes Outsourcing von Standardaufgaben statt, was zur Folge hat, dass sich die Angreifer noch gezielter auf ihre zahlungskräftigen Opfer konzentrieren können und ihnen ausgeklügelte Methoden zur Verfügung stehen.

Besonders gefährlich werden die Angriffe auf „Kritische Infrastrukturen“ (KRITIS), unter die zum Beispiel Anbieter von Versorgungsleistungen wie Strom und Wasser fallen. Diese stehen laut BSI beinahe an der Tagesordnung.

Sicherheitsschwachstellen bei Microsoft Exchange

Anfang März 2021 machte Microsoft Exchange mit Schwachstellen im Exchange-Server Schlagzeilen. Kurz nach dem Bekanntwerden der Schwachstelle konnte man im Internet bereits großflächige Scans erkennen, die nach angreifbaren Exchange-Servern suchten. Infolgedessen, dass rund 65.000 Server betroffen waren, rief das BSI erst zum dritten Mal seit seinem Bestehen die zweithöchste Krisenstufe aus.

Diese Lücken wurden zeitnah durch Updates geschlossen, doch hält es das BSI für plausibel, dass selbst bei schneller Installation des Updates einige Server bereits unbemerkt mit Schadsoftware infiziert wurden. Die Angreifer könnten diese eingeschleuste Software zu einem beliebigen Zeitpunkt aktivieren, was aus den Servern tickende Zeitbomben machen würde. Das BSI bezeichnet den Umgang mit solchen Schwachstellen als „eine der größten Herausforderungen in der Informationssicherheit“.

Supply-Chain-Angriffe

Bei einem Supply-Chain-Angriff greifen die Angreifer den Software-Hersteller an, um an dessen Software-Produkte ihren Schadcode anzufügen und diesen so beim Endnutzer einzuschleusen. Auch dies trat im Berichtzeitraum auf und erwies sich laut BSI als ein nur schwer zu kontrollierender Angriffsweg.

Cyber-Sicherheit und Pandemie

Das BSI betrachtete die Cyber-Sicherheit in seinem Bericht auch im Zusammenhang mit der Pandemie.

Auf der einen Seite vergrößerte sich durch die pandemiebedingte Digitalisierung von Geschäftsvorgängen natürlich die Angriffsfläche (Remote-Zugänge und VPN, Videokonferenzsysteme, dienstliche Nutzung privater Geräte usw). Auf der anderen Seite ließ sich aber erfreulicherweise feststellen, dass bis heute keine IT-Sicherheitsvorfälle im Zusammenhang mit der Corona-Warn-App bekannt wurden.

Angriffe auf das Gesundheitswesen

Besonderes Aufsehen erregten im Berichtzeitraum diverse Angriffe auf Institutionen des Gesundheitswesens. Hierbei ging es unter anderem um die Beschaffung von internen Daten über Impfstoffe, die dann in manipulierter Art und Weise veröffentlich wurden, wohl um Zweifel an dem Impfstoff auszulösen. Genauso waren aber auch einzelne Kliniken betroffen, die ihren Betrieb entsprechend reduzieren mussten, bis der Angriff vorüber war.

Reaktionen

Angesichts dieses Berichtes stellt sich die Frage, wie sich Staat, Wirtschaft und Gesellschaft vor den Bedrohungen schützen können.

Bundesinnenminister Seehofer betont, dass die Legislaturperiode dafür genutzt wurde, um die Cybersicherheit massiv zu stärken. Man habe nicht nur die Agentur für Innovation in der Cybersicherheit in Halle etabliert, sondern auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) erweitert. Man sei technisch wie personell insgesamt besser aufgestellt.

Das BSI hebt auch das IT-Sicherheitsgesetz 2.0 hervor, das “Unternehmen im besonderen öffentlichen Interesse” verpflichtet, Sicherheitsvorfälle zu melden und ihre Sicherheit nachzuweisen. Außerdem räumt es dem BSI weitergehende Befugnisse ein, was zum Teil auch kritisch gesehen wird. Nicht in das Gesetz geschafft hat es dagegen eine von vielen geforderte Haftung für fehlerhafte Software. Das BSI beschränkt sich in diesem Bereich deshalb nur darauf, an die Verantwortung der Entwickler zu appellieren.

Sollten Sie Ihre Informationssicherheit ausbauen und betreut wissen wollen, wenden Sie sich gerne an uns.

DSB buchen
de_DEDeutsch