Bundesinnenminister Seehofer und BSI-Präsident Schönbohm haben am 11. Oktober 2018 den Lagebericht zur IT-Sicherheit 2018 vorgestellt. Mit dem Bericht beschreibt das BSI die Ursachen und Rahmenbedingungen der aktuellen Cybersicherheitslage im Berichtszeitraum Juli 2017 bis Mai 2018. Nach Einschätzung des Amtes bleibt die Cyber-Gefährdungslage weiterhin angespannt. Denn moderne Informationstechnik wird für die Anwender immer benutzerfreundlicher, zugleich wird sie technisch aber immer komplexer. Mit der wachsenden Komplexität der Systeme und der fortschreitenden Vernetzung aller Bereiche der Informationsgesellschaft nehmen auch die potentiellen Angriffsmöglichkeiten sowie die Risiken von Störungen zu.
Das Lagebild zeigt dies deutlich am Beispiel der Schadprogramme. Neben der insgesamt steigenden Anzahl an Schadprogrammen und deren technischer Fortentwicklung lassen sich immer ausgefeiltere Verteilungswege beobachten.
Gefährdungslage der Wirtschaft
Die Gefährdungslage in den Kritischen Infrastrukturen liegt insgesamt auf hohem Niveau, ist aber in den verschiedenen Branchen unterschiedlich ausgeprägt. Im Berichtszeitraum erreichten das BSI 145 Meldungen aus den KRITIS-Sektoren, die meisten aus dem Bereich IT und Telekommunikation, gefolgt vom Energiesektor sowie den Branchen Finanzen und Gesundheit. Große Aufmerksamkeit erlangten Mitte 2017 die Cyberangriffe „WannaCry“ und „NotPetya“.
Auch wenn es im Fall von WannaCry gelang, die Schadwirkung durch Registrierung einer URL („Kill-Switch“) zu begrenzen, ist Schadsoftware vom Tp WannaCry weiterhin virulent. Insgesamt ist der durch WannaCry angerichtete Schaden immens. Die Schätzungen reichen weltweit von einigen Hundert Millionen Dollar bis zu vier Milliarden Dollar. Mehr als 200 000 Rechner in 150 Ländern wurden infiziert. Ransomware-Angriffe wie WannaCry, Notpetya und Bad Rabbit brachten 2017 viele Unternehmen in Bedrängnis, darunter zum Teil Kritische Infrastrukturen wie Betriebe im Gesundheitswesen und in der Logistik.
Die Bedrohung durch Ransomware setzt sich 2018 fort. Dass Cyberangriffe erhebliche Konsequenzen für die Wirtschaft haben, geht aus der Cybersicherheits-Umfrage 2017 hervor, die das BSI im Rahmen der Allianz für Cybersicherheit seit 2014 jährlich durchführt. Knapp 70 % der Unternehmen und Institutionen in Deutschland sind 2016 und 2017 Opfer von Cyberangriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Knapp 57 % der berichteten Angriffe waren Infektionen, bei denen Schadprogramme in betriebliche IT-Systeme eindrangen, um schädliche Operationen auszuführen.
Hacking-Angriffe, wie beispielsweise die Sabotage von industriellen Steuerungssystemen, Datendiebstahl oder die Manipulation von Internet-Auftritten machten 19 %, DDoS-Attacken machten 18 % der erfolgreichen Angriffe aus. 92 % der knapp 900 befragten Unternehmen und Institutionen schätzten die Gefahren als kritisch für die Betriebsfähigkeit ein. Nur knapp 42 % gingen davon aus, dass der Betrieb im Fall eines Cyberangriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte. 89 % der Befragten gaben an, dass Maßnahmen wie Segmentierung oder die Minimierung von Netzübergängen ergriffen wurden, um die Netze abzusichern. 86 % gaben an, Virenabwehrmaßnahmen ergriffen zu haben, 68 % organisatorische Maßnahmen. 67 % kryptografische Abwehrmaßnahmen und 65 % eine Systemabsicherung. Mehr als die Hälfte der Unternehmen führen regelmäßige Schulungen ihrer Beschäftigten durch. Ein Viertel der befragten Unternehmen verfügt über ein Cybersicherheits-Monitoring. 29 % der großen Unternehmen und 23 % der KMU werten Log-Dateien regelmäßig und systematisch aus. Aber gut die Hälfte aller Unternehmen untersucht Log-Files nur bei konkreten Anlässen. Rund 58 % der Befragten gaben an, dass Richtlinien wie etwa Notfallpläne oder Störfallanweisungen existieren, die die Wiederherstellung des Betriebs nach einer schwerwiegenden Betriebsstörung beschreiben.
Maßnahmen des BSI zur Stärkung der IT-Sicherheit der Wirtschaft
Mit der 2012 gegründeten Allianz für Cybersicherheit (ACS) verfolgt das BSI das Ziel, diese Sicherheit am Standort Deutschland zu erhöhen. Unter dem Motto „Netzwerke schützen Netzwerke“ unterstützt die ACS Unternehmen mit praxisnahen Hilfestellungen bei der Analyse von Cyberrisiken und der Umsetzung geeigneter Schutzmaßnahmen. Inzwischen gehören der Initiative mehr als 2.700 Unternehmen, Behörden, Vereine und Verbände, Forschungsinstitute und andere Institutionen aus ganz Deutschland an. Rund hundert Partner und über fünfzig Multiplikatoren engagieren sich in der ACS und leisten so einen wertvollen Beitrag für mehr Cybersicherheit am Wirtschaftsstandort Deutschland.
Ein weiteres Erfolgsmodell ist das im Auftrag des BSI durchgeführte „Übungszentrum Netzverteidigung“. Ein strategisches Ziel der ACS ist es, den praxisnahen Erfahrungsaustausch in der Wirtschaft zu fördern. Mitte 2017 startete das BSI einen Dialogprozess der Cybersicherheits-Initiativen in Deutschland. Eingeladen sind Netzwerke und Organisationen wie Verbände, Forschungseinrichtungen sowie Behörden, die sich übergreifend im Bereich Cybersicherheit für Unternehmen und/oder Bürgerinnen und Bürger engagieren. Ziel ist es, Synergien zu nutzen, das Bewusstsein für Cybersicherheit in Deutschland und die Reichweite einzelner Sensibilisierungsaktionen weiter zu erhöhen.
Mit dem IT-Grundschutz bietet das BSI Anwendern aus Wirtschaft und Verwaltung ein fundiertes und praktisches Managementsystem für Informationssicherheit (ISMS). Die grundlegend überarbeiteten BSI-Standards sind die zentralen Veröffentlichungen des IT-Grundschutzes: Im BSI-Standards 200-1 erfahren Sicherheitsverantwortliche alles Wissenswerte zum Aufbau eines Managementsystems zur Informationssicherheit. Im BSI-Standard 200-2 wird die Methode des IT-Grundschutzes erläutert. Der BSI-Standard 200-3 behandelt die Risikoanalyse auf der Basis von IT-Grundschutz. Ein neues Element des IT-Grundschutzes bilden die IT-Grundschutzprofile. Dabei handelt es sich um Muster-Sicherheitskonzepte, die als Schablone für Institutionen mit vergleichbaren Rahmenbedingungen dienen können. Weitere Maßnahmen des BSI zur Stärkung der IT-Sicherheit in der Wirtschaft sind: die Umsetzung des IT-Sicherheitsgesetzes, nämlich Anschluss der Betreiber Kritischer Infrastrukturen an die Warn- und Meldestrukturen des BSI, Erarbeitung branchenspezifischer Sicherheitsstandards (BSI), die auf Antrag vom BSI auf Eignung geprüft werden Nachweise angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gemäß BSI-KritisV vom 3. Mai 2016 sowie Erarbeitung eines deutschen Umsetzungsgesetzes zur europäischen NIS-Richtlinie und Auswirkungen auf digitale Dienste.
Ferner hat das BSI mobile Einsatzteam – Mobile Incident Response Teams (MIRT) – aufgebaut, die bei IT-Sicherheitsvorfällen Betroffene vor Ort unterstützen können. Der Bundeslagebericht bezeichnet schließlich Trends in der IT-Sicherheitszertifizierung von Produkten und Konformitätsprüfungen und Zertifizierung von IT-Sicherheitskomponenten und -dienstleistungen. Das BSI wird vom BMI zur Kontrolle von Investitionen durch ausländische Investoren in inländische Unternehmen nach dem AWG und der AWV beteiligt. Prüfungsmaßstab ist hierbei, ob wesentliche Sicherheitsinteressen, die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland durch den beabsichtigten Erwerb gefährdet sind. Ferner unterstützt das BSI das BAFA bei Anträgen auf Ausfuhr von Gütern mit Eigenschaften oder Funktionen der Informationssicherheit. Der Schwerpunkt liegt auf dem Gebiet der Krypto-Exportkontrolle. Mit dem Anforderungskatalog zur Bewertung der Informationssicherheit von Cloud-Diensten (Cloud Computing Compliance Controls Catalogue) hat das BSI einen Prüfstandard veröffentlicht, der ein Mindestsicherheitsniveau für Cloud-Dienste definiert.
Gesamtbewertung
Die Gefährdungen sind im Berichtszeitraum vielfältiger geworden. Ein Beispiel dafür sind die Hardware-Sicherheitslücken wie Spectre/Meltdown und Spectre/NG. Insgesamt ist die Anzahl der Schadprogramme weiter gestiegen. Es gibt über 800 Millionen bekannte Schadstoff-Programme. Pro Tag kommen rund 390.000 neue Varianten hinzu. Im Mobilumfeld gibt es bereits mehr als 27 Millionen Schadprogramme allein für Google-Android. So wichtig die Abwehr konkreter Angriffe ist, darf sie doch nicht das grundsätzliche Anliegen der Prävention in den Hintergrund drängen. Dafür bedarf es sowohl der Weiterentwicklung des Rechtsrahmens als auch der zwischen Bund und Ländern und mit der Wirtschaft abgestimmten Entwicklung von Sicherheitsstandards für die IT-strukturen und den Schutz der Kritischen Infrastrukturen.
2 Kommentare