Blickpunkt

Wachsam bleiben – aktiv schützen
Bedrohung durch Schadprogramme auf Höchststand

Arne Schönbohm

Die Qualität der Cyber-Angriffe ist weiter gestiegen. Aber: Cyber-Angriffe können erfolgreich abgewehrt werden, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden. Dieses Fazit zieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes in seinem aktuellen Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“.

Arne Schönbohm ist Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn.

Der im Oktober vergangenen Jahres veröffentlichte Bericht gibt einen umfassenden Überblick über die Bedrohung staatlicher Institutionen, der Unternehmen und der Bürgerinnen und Bürger im Cyber-Raum. Er listet auch detailliert auf, wie das BSI und seine Partner diesen Bedrohungen begegnen und Lösungen für die Akteure in Staat, Wirtschaft und Gesellschaft finden. Nach wie vor geht die größte Gefahr im Cyber-Raum von Schadsoftware aus. Die Angreifer werden dabei immer professioneller und attackieren Unternehmen aller Größen und Branchen, Behörden und andere Institutionen mit immer raffinierteren Programmen. Dabei zeigt sich aktuell unter anderem ein Trend zu gezielten Angriffen auf finanzstarke Opfer. So wurden Automobilhersteller und ihre Zulieferer, verschiedene Flughäfen oder Fluggesellschaften, aber auch weniger bekannte Unternehmen mit hohen Umsätzen angegriffen. 

Auch KMU betroffen

Auch kleine und mittelständische Unternehmen, die sich durch Alleinstellungsmerkmale wie die Produktion spezieller Komponenten im Maschinenbau auszeichnen, wurden Opfer von Cyber-Angriffen. Aber auch die IT-Infrastruktur von Einrichtungen der öffentlichen Verwaltung, von Hochschulen und Krankenhäusern wurde lahmgelegt. Dies hatte vieltägige Produktionsausfälle zur Folge. Zudem konnten Dienstleistungen über einen längeren Zeitraum nicht erbracht und Mitarbeiterinnen und Mitarbeiter mussten in den Zwangsurlaub geschickt werden. Im Berichtszeitraum waren keine erfolgreichen Cyber-Angriffe auf die Informationstechnik der Bundesverwaltung festzustellen, für deren Sicherheit das BSI zuständig ist. In den Regierungsnetzen werden 61 Prozent der Cyber-Angriffe nur durch Eigenentwicklungen des BSI abgewehrt. Auch Betreiber kritischer Infrastrukturen, die die Sicherheitsanforderungen und Empfehlungen des BSI umgesetzt haben, blieben von den gravierenden Schadauswirkungen erfolgreicher Cyber-Angriffe weitgehend verschont.

Die Zahl der Schadprogramme ist inzwischen gigantisch. Allein im aktuellen Berichtszeitraum von Juni 2019 bis Juni 2020 kamen 117,4 Millionen neue Varianten hinzu (siehe Abbildungen). Insgesamt liegt die Zahl inzwischen bei mehr als einer Milliarde. Dominiert wurde die Lage dabei erneut durch das Schadprogramm Emotet, das sich schon im vergangenen Berichtszeitraum als besonders gefährlich erwiesen hatte. Es ermöglicht eine Kaskade weiterer Schadsoftware-Angriffe bis hin zu gezielten Ransomware-Angriffen auf ausgewählte, zahlungskräftige Opfer.

BSI
BSI

Einfach, aber effizient – für die Angreifer

Schadprogramme gelangen in der Regel über Anhänge oder Links in E-Mails auf einen Computer. Wenn Nutzer einen solchen Anhang öffnen oder auf einen Link klicken, der auf eine manipulierte Webseite führt, wird ein Schadprogramm installiert. Häufig werden diese Attacken automatisiert gestartet. Die Täter suchen Sicherheits-Schwachstellen und schicken Phishing-Mails. Dann dringen sie in das IT-System ein, sperren Daten oder Zugänge zum ganzen System. Dabei kann auch der gesamte Datenbestand verschlüsselt werden. Seit 2015 sind verstärkt Unternehmen und Organisationen Ziel dieser kriminellen Aktivitäten. Hier werden durchaus sechsstellige Summen gefordert. Mittlerweile sperren Angreifer oftmals die Daten nicht mehr nur, sondern drohen damit, sie an Interessenten zu verkaufen oder zu veröffentlichen. Das steigert die Bereitschaft der betroffenen Unternehmen, Lösegeld zu zahlen. Dessen Höhe hängt dann von der Größe und Bedeutung des Opfers und dem vermuteten Wert der Daten ab.

Cyber-Kriminelle werden immer professioneller und attackieren Unternehmen aller Größen und Branchen, Behörden und andere Institutionen mit immer raffinierteren Programmen.gualtiero boffi / shutterstock.com
Cyber-Kriminelle werden immer professioneller und attackieren Unternehmen aller Größen und Branchen, Behörden und andere Institutionen mit immer raffinierteren Programmen.

Neben der Erpressung durch Daten-Verschlüsselung hat die Bedrohung durch Daten-Leaks, das heißt den Diebstahl oder die unbeabsichtigte Offenlegung personenbezogener Datensätze im Internet, zum Beispiel Kunden- oder Patientendaten, eine neue Qualität erreicht. Im Berichtszeitraum waren in einem Fall allein in Deutschland im Zeitraum von Juli bis September 2019 etwa 15.000 Patientendatensätze mit mehreren Millionen medizinischen Bildern öffentlich ohne Passwortschutz zugänglich. Die Informationen lagen auf sogenannten „Picture Archiving and Communication Systems“-Servern, die im Gesundheitswesen zur Bildarchivierung genutzt werden. Anders als bei Datendiebstählen war hier also kein technisch aufwendiger Angriff notwendig, sondern unzureichend gesicherte oder falsch konfigurierte Datenbanken waren Ursache für den Datenabfluss. Außerdem traten im Berichtszeitraum erneut mehrere, teils kritische Schwachstellen in Softwareprodukten auf, die Angreifer für Schadprogramm-Angriffe oder Datendiebstahl ausnutzen konnten. Dabei nutzten die Angreifer auch verstärkt den Faktor „Mensch“ als Einfallstor für Angriffe. 

Schutz ist möglich

Aufgrund dieser immer wieder auftretenden Schwachstellen, neuer Angriffsmethoden und steigender Komplexität in der IT-Landschaft bleibt die Sicherheitslage dynamisch und angespannt, mit zum Teil immer wieder dramatischen Auswirkungen auf Unternehmen, Behörden und Private. Dieser Herausforderung kann begegnet werden, in dem alle Akteure in Staat, Wirtschaft und Gesellschaft kooperieren. Es heißt: Ohne Sicherheit keine Freiheit – in Bezug auf die Digitalisierung muss heute ergänzt werden: Ohne Cyber-Sicherheit ist keine Digitalisierung erfolgreich.

Das BSI gestaltet als Cyber-Sicherheitsbehörde des Bundes die sichere Digitalisierung in unserem Land mit. Hier arbeiten Expertinnen und Experten aus unterschiedlichen Fachrichtungen an Sicherheitsfragen im Zusammenhang mit wichtigen Digitalthemen zusammen, beispielsweise der Künstlichen Intelligenz, Blockchain und Quantencomputing, aber auch an Anwendungen wie dem autonomen Fahren oder dem sicheren Smart Home. Die Erkenntnisse daraus und die Daten aus der kontinuierlichen Beobachtung der Sicherheitslage zieht das BSI zur Analyse heran, leitet daraus Maßnahmen und Handlungsempfehlungen für die unterschiedlichen IT-Nutzer in Staat, Wirtschaft und Gesellschaft ab und sorgt so für einen effektiven und präventiven Schutz der IT-Strukturen in Deutschland. Diese integrierte Wertschöpfungskette der Cyber-Sicherheit spiegelt sich in den operativen Schutzmaßnahmen für die Regierungsnetze ebenso wider wie in den Zertifizierungs- und Standardisierungsanforderungen des BSI an IT-Produkte und -Services, aber auch in den Unterstützungs- und Informationsleistungen für die Wirtschaft, gerade auch für kleine und mittlere Unternehmen.

Im nationalen  IT-Lagezentrum werden zur Analyse der aktuellen IT-Lage täglich über 80 offene und vertrauliche Quellen ausgewertet. Hinzu kommt die Beobachtung der Regierungsnetze und von Partnernetzen mit technischen Sensoren zur Frühwarnung sowie die Erreichbarkeitsüberwachung der für die Bundesverwaltung relevanten "Top 100"-Webadressen.Bundesamt für Sicherheit in der Informationstechnik
Im nationalen IT-Lagezentrum werden zur Analyse der aktuellen IT-Lage täglich über 80 offene und vertrauliche Quellen ausgewertet. Hinzu kommt die Beobachtung der Regierungsnetze und von Partnernetzen mit technischen Sensoren zur Frühwarnung sowie die Erreichbarkeitsüberwachung der für die Bundesverwaltung relevanten "Top 100"-Webadressen.

Wenn es um die Sicherheit, um das Gemeinwohl geht, hat der Staat eine besondere Verantwortung. Diese nimmt er wahr. Durch das IT-Sicherheitsgesetz von 2015 wurde der Schutz kritischer Infrastrukturen verbessert. Die Allianz für Cyber-Sicherheit hat sich mit rund 4.500 Teilnehmenden als Kooperations-Plattform für mehr Cyber-Sicherheit in der Wirtschaft etabliert. Die BSI-IT-Grundschutz-Profile ermöglichen auch kleinen Unternehmen und Handwerksbetrieben den Einstieg in die Cyber-Sicherheit. Mit dem geplanten IT-Sicherheitsgesetz 2.0 wird der digitale Verbraucherschutz im BSI verankert. Das dort vorgesehene IT-Sicherheitskennzeichen ermöglicht Verbrauchern, die Sicherheitseigenschaften eines Produkts besser einschätzen zu können und in die Kaufentscheidung mit einzubeziehen.

Schutz in eigener Verantwortung

Doch alle gesetzlichen Rahmenbedingungen, alle Hilfen und Unterstützungsangebote, alle Netzwerke und Plattformen entbinden die Unternehmen nicht davon, selbst für den Schutz ihrer Daten und Prozesse sowie das sicherheitstechnische Niveau ihrer Produkte und Dienstleistungen zu sorgen. Wir haben in den letzten Jahren erlebt, was Schadprogramme wie „WannaCry“, „NotPetya“ oder „Emotet“ können. Deswegen kommen Unternehmen nicht umhin, sich um die Cyber-Sicherheit zu kümmern und angemessene Maßnahmen zu ergreifen. Risiken durch Cyber-Angriffe gehören zum Risikomanagement. Darum sollte Cyber Security mittlerweile eine zentrale Rolle im Risikomanagement eines jeden Unternehmens spielen – unabhängig von seiner Größe oder Gesellschaftsform. Es gibt auch bereits viele Unternehmen, die sehr viel für die Absicherung ihrer Geschäftsprozesse, Systeme und Daten tun. Andere wiederum haben noch Nachholbedarf.

Zentrale Bausteine einer zukunftsstabilen IT-Sicherheit sind dabei, zum einen eine nachhaltige IT-Strategie zu implementieren und zum anderen einen umsetzbaren Maßnahmenplan zu erarbeiten. Dafür gibt es unterschiedliche, auch kombinierbare Vorgehensweisen. Die Unternehmen können

  • Compliance-Pflichten definieren und in die unternehmenseigene Compliance-Organisation delegieren,
  • eine IT-Sicherheitsrichtlinie mit Vorgaben für die Verschlüsselung von Informationsflüssen gemäß IT-Grundschutz des BSI implementieren,
  • einen IT-Sicherheitsbeauftragten bestellen,
  • gängige Frameworks (NIST-Rahmenwerk, ISO 27001/27002, COBIT etc.) anwenden,
  • einen externen Datenschutzbeauftragten beauftragen, um die datenschutzspezifischen Vorschriften zu überwachen und
  • ein Informationssicherheits-Managementsystem (ISMS) einführen.

IT-Grundschutz: ein Angebot des BSI

Der IT-Grundschutz ist seit über 25 Jahren ein bewährtes Angebot des BSI, das alle Unternehmen nutzen können, um ihre Informationssicherheit zu erhöhen. Er enthält eine Schritt-für-Schritt-Anleitung, um ein Informationssicherheits-Management in der Praxis zu entwickeln und nennt sehr konkrete Maßnahmen für alle Aspekte der Informationssicherheit. Die BSI-Standards liefern hierzu drei bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium benennt konkrete Anforderungen und die IT-Grundschutz-Profile bieten wichtige Angebote für spezifische Anwendergruppen.

  • Die BSI-Standards 200-1 bis 200-4 sind die Grundpfeiler des IT-Grundschutzes. Der BSI-Standard 200-1 definiert die allgemeinen Anforderungen, die ein ISMS erfüllen sollte. Der BSI-Standard 200-2 erläutert, wie ein ISMS solide aufgebaut werden kann. Je nach Sicherheitsanforderungen kann mit einer der drei dort beschriebenen unterschiedlichen Vorgehensweisen (Basis-, Standard-Absicherung und Kern-Absicherung) begonnen werden. Der BSI-Standard 200-3 beinhaltet alle risikobezogenen Arbeitsschritte. Er bietet sich an, wenn Unternehmen bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und eine Risikoanalyse durchführen möchten. Der BSI-Standard 200-4 zeigt abschließend einen systematischen Weg auf, ein Notfallmanagement in einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen.
  • Im IT-Grundschutz-Kompendium können Interessierte in den IT-Grundschutz-Bausteinen Sicherheitsempfehlungen zu den unterschiedlichsten Themen nachlesen und erfahren, mit welchen Stellschrauben sie das Sicherheitsniveau gezielt anheben können. Detaillierte Hinweise und Maßnahmen in den Umsetzungshinweisen zu den IT-Grundschutz-Bausteinen erleichtern es Informationssicherheitsbeauftragten im Arbeitsalltag, Informationssicherheit in der Praxis anzuwenden.
  • Seit 2018 bieten IT-Grundschutz-Profile als Muster für Sicherheitskonzepte einen erleichterten Einstieg in den IT-Grundschutz. Sie ermöglichen erste Schritte für den Aufbau eines ISMS sowie eines Sicherheitskonzepts. Ein IT-Grundschutz-Profil bildet als Schablone eine Referenzarchitektur eines bestimmten Anwendungsfalls ab. IT-Grundschutz-Profile können von einzelnen Branchen-Vertretern auf Wunsch mit Unterstützung durch das BSI erstellt und veröffentlicht werden.

Basis-Absicherung aller Geschäftsprozesse

Im Fokus der Sicherheitsbetrachtungen stehen dabei die Basis-Anforderungen aus dem IT-Grundschutz-Kompendium. Sie bieten eine grundlegende Erst-Absicherung über alle Geschäftsprozesse beziehungsweise Fachaufgaben hinweg. Die Umsetzung lässt sich mit einem vergleichsweise geringen finanziellen, personellen und zeitlichen Aufwand realisieren. Daher eignet sich die Basis-Absicherung besonders für kleine und mittlere Unternehmen, die einen ganzheitlichen Ansatz zum Aufbau eines ISMS verfolgen wollen. Für den Nachweis einer erfolgreichen Umsetzung der Basis-Absicherung bietet das BSI ein Testat an. Mit diesem Testat kann ein Unternehmen belegen, dass alle Geschäftsprozesse bzw. Fachaufgaben, Daten und Komponenten des Informationsverbundes unter technischen, infrastrukturellen, organisatorischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit ausgestattet sind.

Um die erfolgreiche Umsetzung des IT-Grundschutzes nach außen transparent zu machen, können sich Unternehmen nach ISO 27001 auf der Basis des IT-Grundschutzes zertifizieren lassen. Mit diesem Zertifikat wird bestätigt, dass das IT-Sicherheitskonzept die Anforderungen nach ISO 27001 erfüllt. Grundlage für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist die Durchführung eines Audits durch einen externen, beim BSI zertifizierten Auditor. Das Zertifikat dient damit sowohl gegenüber Kunden als auch Geschäftspartnern als Qualitätsmerkmal und Wettbewerbsvorteil.

Sicherheits-Zertifizierung

Investitionen in die IT-Sicherheit sind auch ein wichtiger Beitrag für den Geschäftserfolg des Unternehmens. Viele Hersteller haben bereits erkannt, dass die Sicherheit ihrer Produkte durchaus ein Verkaufsargument sein kann. Sie lassen die eingesetzten Produkte und Dienstleistungen von einer neutralen Instanz wie dem BSI überprüfen und zertifizieren. Das BSI kann nämlich auch informationstechnische Produkte oder Komponenten zertifizieren. Dafür betreibt es Zertifizierungsprogramme, in denen jeweils die Regeln (Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen und Nachweise), das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind.

www.bsi.bund.de