IT-Sicherheitsbericht des BSI Zusammenarbeit ist der beste Schutz

Autor: Manfred Klein

Der Bericht zur IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik zeichnet in Teilen ein dramatisches Bild der Lage. Weist Verwaltungen jedoch auch den Weg zu einem sicheren eGovernment.

Firmen zum Thema

Der BSI-Bericht kann die Grundlage für ein sicheres eGovernment liefern
Der BSI-Bericht kann die Grundlage für ein sicheres eGovernment liefern
(© REDPIXEL – stock.adobe.com)

Mit dem Willen zur IT-Sicherheit ist es wie mit der Grippeschutzimpfung – erst wenn man mit 40 Grad Fieber flachliegt, wird einem ihr Wert bewusst. Und dass die Gefährdungen – insbesondere für Einrichtungen der Öffentlichen Hand – eher zunehmen, machten nicht nur die jüngsten Angriffe auf die Häfen von San Diego und Barcelona deutlich, auch der aktuell vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland gibt wenig Anlass zur Hoffnung, dass sich die Situation demnächst bessern könnte.

Aktuelle Bedrohungslage

So heißt es im Sicherheitsbericht: „Die Gefährdungslage im Bereich der Cyber-Sicherheit in Deutschland ist in den vergangenen Monaten vielschichtiger geworden. WannaCry, NotPetya, Efail oder Spectre/Meltdown sind Ausdruck einer neuen Qualität von Cyber-Angriffen und IT-Sicherheitsvorfällen, die sich gegen die Grundpfeiler der Informationstechnologie richten. Gleichzeitig schreitet die Digitalisierung und Vernetzung von IT-Systemen, Alltagsgegenständen und Industrieanlagen voran, wodurch sich die potenzielle Angriffsfläche und auch die Abhängigkeit von Staat, Wirtschaft und Gesellschaft von funktionierenden IT-Systemen täglich vergrößert.

Diese Kombination aus neuer Angriffsqualität und zunehmender Digitalisierung hebe die Gefährdungslage auf ein neues Niveau, so das beunruhigende Fazit des Berichts.

Dazu erklärte erklärt BSI-Präsident Arne Schönbohm: „Die Gefährdungslage fordert uns als nationale Cyber-Sicherheitsbehörde täglich heraus, neue Lösungen zu konzipieren und umzusetzen. Der Lagebericht macht deutlich, dass wir mit unseren Maßnahmen im Bereich der Prävention, Detektion und Reaktion wesentliche Erfolge erzielen konnten, etwa durch die Umsetzung der Cyber-Sicherheitsstrategie der Bundesregierung oder des IT-Sicherheitsgesetzes.“

Arne Schönbohm weiter: „Wenn wir unsere führende Position b­ehalten und ‚Made in Germany‘ auch im Cyber-Raum weiterhin als Markenzeichen gelten soll, dann dürfen wir nicht nachlassen, den Dreiklang aus Digitalisierung, Vernetzung und Innovationsgeschwindigkeit mit kreativen und praxisrelevanten Angeboten für mehr Cyber-Sicherheit zu verstärken. Dazu braucht es eine zentrale Cyber-Sicherheitsbehörde wie das BSI, die personell und finanziell den Herausforderungen entsprechend ausgestattet ist.“

Und auch in der IT-Sicherheitsindustrie wächst das Unbehagen. So erklärte Dirk Arendt, Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH, gegenüber eGovernment Computing: „Dass die Zahl der Angriffe laut dem aktuellen Lagebericht IT-Sicherheit des BSI zugenommen hat, ist mit Blick auf die fortschreitende Digitalisierung unserer Gesellschaft in allen Bereichen nun nicht wirklich verwunderlich. Trotzdem fehlt es an vielen Stellen immer noch am Verständnis sowie in Teilen der Wirtschaft und der Öffentlichen Verwaltung an den notwendigen Budgets, um sich umfassend den neuen Herausforderungen stellen zu können.“

„Wir brauchen diese Berichte, damit das Bewusstsein für das so wichtige Thema IT-Sicherheit auf allen Ebenen steigt. Nur so kann der völlig unbefriedigende Zustand in Bezug auf die Sicherheit unserer digitalen Infrastrukturen notwendigerweise für die Zukunft verbessert werden“, so Arendts Fazit.

Die Situation für die Öffentliche Verwaltung

Als Bundesbehörde befasst sich der Bericht des BSI natürlich zuerst mit der Situation in der Bundesverwaltung, doch sind sowohl die beschriebene Gefährdungslage als auch die daraus resultierenden Schlussfolgerungen natürlich für alle Verwaltungsebenen gültig, da – wie es im Bericht formuliert wird – in der digitalen Gesellschaft die Informationssysteme der Staatsgewalten zu kritischen Größen für das Funktionieren des Gemeinwesens geworden sind.

Für den bestmöglichen Schutz der Netze und IT-Systeme hat das BSI daher ein mehrstufiges Sicherheitssystem etabliert. Es besteht neben kommerziellen Schutzprodukten auch aus individuell angepassten und entwickelten Maßnahmen. Sie werden kontinuierlich überprüft, weiterentwickelt und an die dynamische Bedrohungslage angepasst. Durch die Kombination der verschiedenen Maßnahmen entsteht ein Bild über die IT-Sicherheitslage der Regierungsnetze.

Abwehr von Schadprogrammen

In welchem Umfang die Regierungsnetze dabei ungezielten Massenangriffen, aber auch gezielten Angriffskampagnen ausgesetzt sind, machen ein paar Zahlen schnell deutlich.

Laut BSI wurden mittels automatisierter Antivirus-Schutzmaßnahmen pro Monat durchschnittlich 28.000 mit Schadprogrammen infizierte eMails abgefangen. Davon wurden im Durchschnitt pro Monat rund 6.000 schädliche eMails nur aufgrund eigens erstellter Antivirus-Signaturen erfasst. Im HTTP-Verkehr wurden im Jahr 2017 durchschnittlich rund 500 Schadprogramme pro Monat erkannt und abgewehrt. Auch hier setzte sich 2018 der Trend fort, dass Schadsoftware immer öfters in eMails nur verlinkt und nicht als Anhang beigefügt ist.

Den automatisierten Antivirus-Schutzmaßnahmen nachgelagert betreibt das BSI ein weiteres System zur Detektion von Schadprogrammen im Datenverkehr der Regierungsnetze, welches auf Grundlage der erweiterten Befugnisse des BSI betrieben wird (nach § 5 BSIG). Die Analysten des BSI konnten auf diese Weise im Berichtszeitraum über 40.000 Angriffe identifizieren, die von den eingesetzten kommerziellen Schutzprodukten nicht detektiert oder blockiert werden konnten. Zudem wurden über zwei Millionen Zugriffe aus dem Regierungsnetz auf Server unterbunden, die mit Schadcode, Betrug oder Datendiebstahl in Verbindung standen.

Neben den technischen Maßnahmen für die Bundesverwaltung bietet das BSI aber auch eine ganze Reihe von organisatorischen Schutzmaßnahmen an. Die Bekannteste ist sicher der vom BSI angebotene IT-Grundschutz, der Organisationen das entsprechende Wissen liefert, um eine wirkungsvolle Sicherheitsstrategie aufzubauen. Beim BSI heißt es dazu: „Das BSI als die nationale Cyber-Sicherheitsbehörde verfügt auf Basis seiner technisch tiefgehenden Expertise über eine integrierte Wertschöpfungskette der Cyber-Sicherheit, die von der Cyber-Abwehr über die Beratung und Entwicklung sicherheitstechnischer Lösungen und Handlungsempfehlungen bis hin zur Standardisierung und Zertifizierung von IT-Produkten reicht.“

Mit dem Nationalen IT-Lagezentrum, CERT-Bund und dem Cyber-Abwehrzentrum seien drei wesentliche Bausteine der nationalen Cyber-Sicherheitsarchitektur beim BSI angesiedelt. Um im gesamtstaatlichen Interesse ein einheitliches Sicherheitsniveau zu gewährleisten und den Aufbau von Doppelstrukturen zu vermeiden, habe das BSI zudem die Zusammenarbeit mit den Bundesländern und Kommunen ausgebaut.

Gerade die Computer Emergency Response Teams, kurz CERT, haben sich in der Vergangenheit als für die operative Zusammenarbeit mit den Ländern als überaus wichtig erwiesen. Der Bund und die Länder tauschen sich hier über die aktuelle Sicherheitslage aus, um effektiver und schneller auf IT-Angriffe reagieren zu können.

Der IT-Planungsrat hat in diesem Jahr ein verbindliches Meldeverfahren zum Informationsaustausch über Cyber-Angriffe beschlossen und somit eine Meldeverpflichtung zwischen Bund und Ländern geschaffen. Das BSI stellt über CERT-Bund Warnungen, Lageberichte sowie Gefährdungsindikatoren bereit, die sich aus den unterschiedlichsten im BSI-Lagezentrum verarbeiteten Quellen speisen.

Zusammenarbeit umfasst auch Kommunen

Als Folge dieser Zusammenarbeit haben in den vergangenen Monaten mehrere Bundesländer eine Zusammenarbeit mit dem BSI vereinbart. Im Verlauf eines Jahres waren dies Rheinland-Pfalz, Nordrhein-Westfalen und Berlin. Als neuester Partner ist vor einigen Tagen das Land Thüringen dazugekommen.

Der Finanzstaatssekretär und CIO des Landes Thüringen Dr. Schubert erklärte dazu: „Wir brauchen eine gesamtstaatliche Cyber-Sicherheitsarchitektur. Diese wird es nur mit einer zusätzlichen Stärkung der Bund-Länder-Zusammenarbeit geben. Die aktuellen Vereinbarungen des Thüringer Finanzministeriums mit dem Bund dienen der Datensicherheit in unserem Freistaat.“

Die Vereinbarung soll am 7. November auf dem ersten Thüringer eGovernment-Kongress von Dr. Gerhard Schabhüser, dem Vizepräsidenten des Bundesamtes für Sicherheit in der Informationstechnik, und Hartmut Schubert unterzeichnet werden.

Thüringen ist übrigens das erste Bundesland, dessen gesamtes Sprach- und Datennetz die Zertifizierung des hohen Standards des Bundesamtes für Sicherheit erhalten hat. Dieser BSI-Grundschutz wird ständig weiterentwickelt. Entsprechend muss sich die IT der Thüringer Landesverwaltung regelmäßig Zertifizierungsaudits unterziehen. Hartmut Schubert kommentiert das mit den Worten: „Die Anforderungen sind hoch. Deshalb setzen wir auf eine intensive Zusammenarbeit mit dem BSI.“

Derlei Kooperationen nützen auch den Kommunen. Heißt es doch im IT-Sicherheitsbericht: „Auch die Kommunen werden bei der Stärkung der Bund-Länder-Zusammenarbeit mit einbezogen. Aufgrund der hohen Anzahl an Kommunen müssen dabei zwingend Multiplikatoren zur Bündelung der Aktivitäten eingebunden werden. Das BSI ermöglicht eine direkte Anbindung aller Kommunen an die Allianz für Cyber-Sicherheit.“

Fazit

Die Multiplikatorenfunktion übernehmen in diesem Fall die einzelnen Länder. Vor allem dann, wenn sie – wie auch das Land Thüringen – einen Kooperationsvertrag mit den kommunalen Spitzenverbänden geschlossen haben. Dazu nochmal der Thüringer CIO, Staatssekretär Hartmut Schubert: „Ein bürgerfreundliches eGovernment ist nur im Verbund zu erreichen. Gleichzeitig ist im Hinblick auf wichtige Fragen wie der IT-Sicherheit, aber auch des effizienten Verwaltungshandelns, Abstimmung zwischen den Verwaltungsebenen dringend geboten.“ mk

(ID:45544647)