BSI veröffentlicht IT-Sicherheitsanalyse Nichts ist sicher

Autor: Susanne Ehneß

Der aktuelle Lagebericht zur IT-Sicherheit in Deutschland zeigt: Es gibt immer noch zahlreiche Schwachstellen in den IT-Systemen, gleichzeitig werden Cyber-Attacken zunehmend professionell. Besonders „Advanced Persistent Threats“ (APTs) werden als Bedrohung für Verwaltungseinrichtungen eingestuft.

Firma zum Thema

Eingang des Dienstgebäudes des BSI in Bonn
Eingang des Dienstgebäudes des BSI in Bonn
(Bild: Bundesamt für Sicherheit in der Informationstechnik)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Bericht zur Lage der IT-Sicherheit in Deutschland 2015 veröffentlicht. Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Michael Hange stellten den aktuellen Bericht in Berlin der Öffentlichkeit vor.

„Der Bericht zeigt, dass die Anzahl der Schwachstellen und Verwundbarkeiten in IT-Systemen weiterhin auf einem sehr hohen Niveau liegt“, so Dr. Thomas de Maizière. Einige dieser Schwachstellen offenbarten schwerwiegende Sicherheitslücken. „Der Schutz der IT-Systeme durch die Anwender kann mit den oft hoch entwickelten Werkzeugen zur Ausnutzung von Sicherheitslücken nicht immer Schritt halten“, resümiert der Bundesinnenminister.

Bedenkliche Entwicklungen

Drei Entwicklungen stuft de Maizière als besonders bedenklich ein:

  • Angesichts der hohen Zahl von erkannten Schwachstellen tendieren einige IT-Hersteller dazu, für die aus ihrer Sicht weniger schwerwiegenden Sicherheitslücken in ihren Produkten keine Sicherheitsupdates mehr bereitzustellen. Dies verschärft die Gefährdungslage unnötig.
  • Die Zahl der Angriffe auf industrielle Produktionsanlagen steigt. Hierdurch entstehen neue betriebs- und volkswirtschaftliche Risiken.
  • Aspekte der IT-Sicherheit werden bei der Digitalisierung nicht immer ausreichend berücksichtigt, und zwar auch dann nicht, wenn ein Ausfall der betreffenden Systeme zu weitreichenden persönlichen oder gesellschaftlichen Folgen führen kann.

Bundesverwaltung

Auf die Netze der Bundesverwaltung wurden auch 2015 kontinuierlich Cyber-Attacken ausgeübt – sowohl ungezielte Massenangriffe als auch gezielte Kampagnen. Dem steht ein mehrstufiges Sicherheitsmodell gegenüber:

  • Abwehr von ungezielten Angriffen durch kommerzielle Schutzprodukte,
  • Optimierung der Detektion durch eigene Erkenntnisse und Signaturen,
  • Erkennung gezielter Angriffe durch Eigenentwicklungen.

Im Bereich eMail-Schutz wurden laut BSI in der ersten Jahreshälfte 2015 in den Regierungsnetzen durchschnittlich etwa 11.000 infizierte eMails pro Monat in Echtzeit abgefangen, bevor sie die Postfächer der Empfänger erreichten. Dazu werden kommerzielle Virenschutzprogramme eingesetzt und mit eigenen Signaturen ergänzt, die beispielsweise die tagesaktuelle Spamlage berücksichtigen.

Darüber hinaus werden pro Tag durchschnittlich 15 Angriffe auf die Regierungsnetze detektiert, die mit normalen Schutzmaßnahmen nicht zu erkennen gewesen wären. Durchschnittlich ein gezielter Angriff alle zwei Tage hatte einen nachrichtendienstlichen Hintergrund.

Bitte lesen Sie auf der nächsten Seite weiter.

Das nationale IT-Lagezentrum im BSI
Das nationale IT-Lagezentrum im BSI
(Bild: Bundesamt für Sicherheit in der Informationstechnik)

Eine weitere Schutzkomponente blockiert ausgehende Netzverbindungen auf infizierte Webseiten, die Schadprogramme verteilen, oder Verbindungsversuche von bereits aktiven Schadprogrammen zu Kontrollservern, die für die Steuerung und den Datenabfluss genutzt werden.

Diese Maßnahme soll präventiv greifen und bereits infizierte Systeme, bei denen die eingesetzten kommerziellen IT-Sicherheitsprodukte nicht gegriffen haben, erkennen.

Sicherheitsvorfälle

Laut BSI wurden 2015 mit dieser Methode täglich rund 5.000 Verbindungsversuche zu Schadcodeservern blockiert. Bis September 2015 wurden bereits 152-mal aktive Schadprogramme detektiert, die kommerzielle Schutzsysteme unterlaufen haben.

Den größten Anteil daran hatten Kampagnen, die den Banking-Trojaner „Feodo“ in gefälschten Rechnungsanhängen versandt haben. Dabei wurde der Empfänger dazu verleitet, die Schadsoftware eigenständig durch Öffnen des Anhangs auszuführen und so zu installieren.

Behörden der Bundesverwaltung müssen nach §4 BSI-Gesetz gravierende Sicherheitsvorfälle unverzüglich und weniger kritische Vorfälle monatlich an das Lagezentrum des BSI übermitteln. Nicht alle Behörden der Bundesverwaltung sind an das Regierungsnetz mit seinen zentralen Schutzkomponenten angeschlossen.

Bis September 2015 wurden von kommerziellen Schutzprodukten über 2.300 Schadsoftware-Infektionen in der Bundesverwaltung erkannt. Die Anzahl der erfolgreich abgewehrten Schadprogramme lag im selben Zeitraum bei knapp 500.000.

Das BSI verzeichnet laut Lage­bericht durchschnittlich drei bis vier Mal im Monat einen Denial-of-Service (DoS)-Angriff auf einzelne Webseiten der Bundesbehörden. Dabei hat sich die Zahl der Angriffe, bei denen die jeweils betroffene Behörde unverzüglich um Unterstützung des BSI bittet, von zwei (2013) auf 16 im Zeitraum Januar bis September 2015 erhöht.

Bitte lesen Sie auf der nächsten Seite weiter.

APT

Ein „Advanced Persistent Threat (APT)“-Angriff zeichnet sich im Gegensatz zu üblichen Cyber-Angriffen meist dadurch aus, dass dem Angreifer sowohl Zeit als auch Mittel in Form von Geld, Informationen und Entwicklungskapazitäten in großer Menge zur Verfügung stehen. Ein APT verfolgt langfristige Ziele.

Das BSI bezeichnet APTs als „große Bedrohung für Verwaltungseinrichtungen“. Auch der im Mai 2015 durchgeführte Cyber-Angriff auf den Deutschen Bundestag war ein APT.

Das BSI rechnet damit, dass APT-Angriffe zum Zweck der Wirtschaftsspionage oder Konkurrenz­ausspähung auch in Zukunft von verschiedenen Gruppen durchgeführt werden. Für den Umgang mit einem solchen Angriff rät das BSI zu folgenden Maßnahmen:

  • Analyse: genutzte Angriffswerkzeuge, erkennbare Angriffsmuster, Ausmaß des Angriffs;
  • Kontrolle: Aktivitäten des Angreifers unter Kontrolle halten, Aktionsradius des Angreifers einschränken;
  • Bereinigung: Bereinigung infizierter Systeme und Netze, gegebenfalls Neuaufsetzung;
  • Härtung des Systems: Erfahrungen und Lehren aus dem aktuellen APT-Angriff nutzen, um das System besser abzuschotten und zukünftige Angriffe besser abwehren zu können.

Kritische Infrastrukturen

Der Schutz vor Cyber-Angriffen auf Versorgungsdienstleister obliegt zum einen den jeweiligen Betreibern, zum anderen aber auch dem Staat – im Rahmen der Daseinsfürsorge. Aus der Zusammenarbeit zwischen Staat und den Betreiber kritischer Infrastrukturen entstand 2007 beispielsweise die öffentlich-private Kooperation „UP KRITIS“.

Laut Lagebericht habe sich jedoch gezeigt, dass der rein freiwillige Ansatz der Kooperation nicht ausreicht, um ein angemessenes Sicherheitsniveau zu erzielen. Dem soll seit diesem Jahr das IT-Sicherheitsgesetz entgegenwirken. An der Definition kritischer Infrastrukturen wird noch gefeilt: „Derzeit wird an einer Verordnung gearbeitet, mit der unter anderem die unter das Gesetz fallenden KRITIS-Betreiber konkret identifziert werden“.

Ziel des Gesetzes ist es, IT-Sicherheitsvorfälle dem BSI zu melden. Das BSI wertet die gemeldeten Informationen daraufhin aus und erstellt kontinuierlich ein Lagebild, das auch den Betreibern sowie den zuständigen Behörden zur Verfügung gestellt werden soll.

Bitte lesen Sie auf der nächsten Seite weiter.

Tatsächliche Bedrohungslage

Die tatsächliche Bedrohungslage für kritische Infrastrukturen stellt sich laut BSI-Lagebericht folgendermaßen dar:

  • Angriffe politisch motivierter Hacktivisten sind bei Unternehmen der KRITIS-Sektoren Medien (Defacements oder Platzierung von Falschinformationen auf gekaperten Medienwebseiten), Energie und Kreditwirtschaft zu beobachten.
  • Besorgniserregend ist die Bedrohung durch Cyber-Sabotage. Seit „Stuxnet“ weiß man, dass die Sabotage von Maschinen und Einrichtungen durch Cyber-Angriffe nicht nur denkbar ist, sondern tatsächlich durchgeführt wird.
  • Das Potenzial für Cyber-Angriffe durch andere Staaten stellt für die deutsche Wirtschaft eine Bedrohung dar. Darüber hinaus sind Unternehmen und kritische Infrastrukturen in Deutschland in vielen Fällen nicht ausreichend gegen Cyber-Angriffe gerüstet.
  • Auch ungerichtete Angriffe, zum Beispiel mit Schadsoftware, können kritische Infrastrukturen treffen und den normalen Betriebsablauf stören. Die Herausforderung ist, dass technische Geräte und Softwareprodukte genutzt werden, die entweder gar nicht oder nur mit hohem Aufwand gepatched werden können. Dies bietet den zigtausend Schadprogrammen, die im Internet kursieren, viele Angriffsmöglichkeiten.
  • In diesem Zusammenhang ist „Bring Your Own Device“ eine der größten Gefahrenquellen, da Schadsoftware aus den privaten Netzen der Mitarbeiter direkten Zugang erhält.

Fazit

Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz ist laut Bundesinnenminister ein erster wichtiger Schritt, um digitale Infra­strukturen besser zu schützen.

Doch das allein reiche nicht. „Wir müssen die Zusammenarbeit zwischen Wirtschaft und Staat intensivieren und auch neue Formen der Zusammenarbeit finden“, fordert Dr. Thomas de Maizière.

Das BSI macht in seinem aktuellen Lagebericht die IT-Sicherheit damit zur gesamtgesellschaftlichen Aufgabe, die von Bürgern, Wirtschaft, Forschung und Politik gleichermaßen geschultert werden muss. „Prävention, Reaktion und Nachhaltigkeit bleiben dabei die Handlungsfelder des BSI“, heißt es ergänzend.

Den aktuellen BSI-Lagebericht sowie die Berichte aus den vergangenen Jahren finden Sie online als PDF.

(ID:43786003)