Vielfältige Bedrohungen im Cyber-Raum : Aktuelle Erkenntnisse im „Lagebericht zur IT-Sicherheit in Deutschland 2021“

Auch der diesjährige Lagebericht zur IT-Sicherheit in Deutschland steht unter dem Eindruck der Covid-19-Pandemie: Sie hat mit ihren gesamtgesellschaftlichen Auswirkungen auch Folgen für die Arbeitssituation in praktisch allen Behörden, Organisationen und Unternehmen. Unter anderem mit der enormen Zunahme der Arbeit im Homeoffice haben sich neue Herausforderungen für die Informationssicherheit ergeben. Im Bereich Malware stieg die Anzahl der Schadprogramm-Varianten zeitweise rasant an – mit bis zu 553 000 neuen Varianten pro Tag der höchste jemals gemessene Wert. Beherrschendes Thema bleibt darüber hinaus die zunehmende Bedrohungslage durch Ransomware.

Cyber-Erpressung

Insbesondere Cyber-Erpressungen nehmen inzwischen einen immer größeren Stellenwert bei den Bedrohungen im Cyber-Raum ein. Cyber-Kriminelle verschlüsseln immer häufiger Daten von Unternehmen und Institutionen in ausgefeilten mehrstufigen Angriffen, um Lösegelder zu erpressen. Die Folgen sind oftmals fatal und können tage- oder wochenlange Netzwerkausfälle bedeuten, in denen Produktion oder Dienstleistungsangebote nur eingeschränkt oder gar nicht mehr zur Verfügung stehen. Dabei lassen sich verschiedene Arten unterscheiden:

• Schutzgelderpressung: Bereits im Herbst 2020 war eine weltweite Kampagne von Cyber-Erpressern zu beobachten, die unter Androhung von Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen) Schutzgelder von zahlungskräftigen Opfern erpressten.
• Lösegelderpressung: Zugleich waren im Herbst und Winter weitere Angriffswellen mit der Schadsoftware Emotet zu beobachten. Mit der im Anschluss an eine Emotet-Infektion bei ausgewählten Opfern nachgeladenen Ransomware versuchten Angreifer bis zum Takedown des Botnetzes im Januar 2021, im großen Stil Lösegeld von zahlungskräftigen Opfern zu erpressen.
• Schweigegelderpressung: Darüber hinaus erweiterten einzelne Angreifergruppierungen ihre Angriffsstrategie dahingehend, dass Daten vor der Verschlüsselung zunächst unrechtmäßig abgespeichert wurden. Opfern, die über funktionierende Backups verfügten und sich insoweit nicht auf Lösegeldverhandlungen einlassen mussten, wurde zusätzlich mit der Veröffentlichung der erbeuteten Daten gedroht und ein Schweigegeld erpresst. Dies bedeutet, dass im Fall eines Ransomware-Angriffs nunmehr grundsätzlich auch davon ausgegangen werden muss, dass die Daten dauerhaft kompromittiert sind – und zwar auch dann, wenn ein Lösegeld oder Schweigegeld gezahlt worden ist.

Beispiel: Ransomware-Angriff auf eine große Mediengruppe

Sachverhalt: In der Nacht zum 22. Dezember 2020 wurde eine große deutsche Mediengruppe Opfer eines Ransomware-Angriffs. Dieser beeinträchtigte die betrieblichen Abläufe so massiv, dass zahlreiche Print- und Onlinemedien nicht wie gewohnt bereitgestellt werden konnten. Der Angriff ging von der Ransomware DoppelPaymer aus. Da der Angriff den Redaktions- und den Druckprozess störte, konnte nach dem Cyber-Angriff lediglich eine Notausgabe der jeweiligen Zeitungen veröffentlicht werden.

BSI-Bewertung: Die auch unter dem Namen Doppel Spider bekannten Angreifer hinter der Ransomware DoppelPaymer werden dem „Big Game Hunting“ zugerechnet. Die Höhe des Lösegelds machen die Angreifer dabei beispielsweise an öffentlich verfügbaren Informationen über ihre Opfer, wie etwa der Unternehmensgröße oder den Quartalszahlen, fest. Im konkreten Fall setzten sie bei ihren Angriffen eine Kombination aus Verschlüsselung und Veröffentlichung von im Vorfeld gestohlenen Daten ein, um ihre Opfer zu erpressen (sog. Double Extortion).

Reaktion: Das Medienhaus bemühte sich um eine zügige Wiederherstellung seiner Systeme. Die zuständige Polizei sowie das zuständige Landeskriminalamt übernahmen Ermittlungen zu diesem Vorfall – die zuständige „Zentrale Ansprechstelle Cybercrime“ (ZAC) übernahm das Verfahren. Ende Januar 2021 wurden die Zeitungen wieder im gewohnten Umfang ausgeliefert.

BSI-Empfehlung: Das BSI rät grundsätzlich davon ab, einer Lösegeldforderung nachzukommen, da einmal exfiltrierte und verschlüsselte Daten auch nach der Zahlung eines Lösegelds oder Schweigegelds grundsätzlich als kompromittiert betrachtet werden müssen.

Cyber-Erpressungen entwickeln sich zur größten Bedrohung

Die Schadsoftware Emotet hat dabei eine entscheidende Rolle gespielt: Nach Schätzungen von Sicherheitsexperten hat alleine Emotet weltweit einen Schaden von rund 2,5 Milliarden US-Dollar versursacht, der sich aus lahmgelegten IT-Infrastrukturen und erpressten Lösegeldern zusammensetzt. Und auch wenn es im Januar 2021 gelang, die Infrastruktur dieser Schadsoftware zu übernehmen und sie zu zerschlagen, ist die Gefahr durch Ransomware nicht gebannt.

Gefahr durch Schwachstellen

Neben der Zunahme von Cyber-Erpressungen war die Bedrohungslage im Berichtszeitraum besonders auch durch Schwachstellen gekennzeichnet. Eine erst im März 2021 geschlossene Lücke in Exchange-Servern von Microsoft steht dabei sinnbildlich für eine der größten Herausforderungen in der Informationssicherheit: den Umgang mit Schwachstellen. Cyber-Kriminelle sind aufgrund ihrer technischen Möglichkeiten sehr gut in der Lage, solche Schwachstellen auszunutzen. Das Besondere: Während die Schadsoftware Emotet noch auf einen Klick auf einen Link oder Dateianhang angewiesen war, kann in solchen Fällen eine Ausnutzung ohne weiteres Zutun der Anwenderinnen und Anwender erfolgen. Direkt nach Bekanntwerden der Lücke wurden großflächig Versuche beobachtet, verwundbare Exchange-Server aufzuspüren und zu kompromittieren.

Das BSI hatte diese Lage als extrem kritisch eingeschätzt und die zweithöchste Krisenstufe („begrenzte IT-Krise“) ausgerufen. Es war erst das dritte Mal in seiner Geschichte, dass das BSI eine Warnung dieser Kategorie ausgerufen hat. Zwar konnte der hohe Anteil verwundbarer Server von 98 % (insgesamt waren in Deutschland rund 65 000 Server betroffen) nach zwei Wochen auf unter 10 % gesenkt werden – allerdings bedurfte es dafür dringender Warnungen durch das BSI und Microsoft an die betroffenen Unternehmen.

Trotz der Warnungen waren im Mai 2021 noch immer mehr als 4000 verwundbare Server auffindbar. Und auch wenn die Sicherheitslücke mit einem Update geschlossen wurde, müssen weitere Maßnahmen getroffen werden: Das BSI hält es für plausibel, dass es bereits zu Schadsoftware-Infektionen gekommen ist, bevor die Schwachstelle geschlossen wurde. Diese bestehenden Kompromittierungen können noch Wochen oder Monate später zu Cyber-Angriffen mit Schadenswirkung führen. Bei den Betroffenen können somit buchstäblich Zeitbomben in den Servern ticken.

BSI-Warnhinweise

Um im Fall einer akuten Cyber-Bedrohung rechtzeitig handeln zu können stellt das BSI mehrere Angebote bereit: Über den Warn- und Informationsdienst (WID) des Computer-Emergency-Response-Teams der Bundesverwaltung (CERT-Bund) liefert das BSI regelmäßig, zeitnah und für die Empfänger in Staat, Wirtschaft und Gesellschaft kostenlos Informationen zu Schwachstellen und Sicherheitslücken sowie zu aktuellen Bedrohungen für IT-Systeme.

Damit die Angebote des BSI aber wirken, ist es notwendig, dass Unternehmen und Institutionen sowie Privatpersonen diese Bedrohungen ernst nehmen und die erforderlichen Maßnahmen umsetzen. Dass dies leider noch nicht im ausreichenden Maße der Fall ist, zeigt sich am Fall „Exchange“, konnte aber auch im Rahmen einer BSI-Studie zur Sicherheit im Homeoffice nachgewiesen werden: Vor allem kleine und mittlere Unternehmen (KMU) ergreifen immer noch zu wenige Sicherheitsmaßnahmen, um das Homeoffice ausreichend gegen Cyber-Angriffe zu sichern. So hat die Studie etwa gezeigt, welchem Risiko Unternehmen ausgesetzt sind: Bis zu 25 % der befragten Unternehmen, die aktiv einen Cyber-Angriff abwehren mussten, beschrieben diesen als schwerwiegend oder existenzbedrohend (siehe www. bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Umfrage-Home-Office/umfrage_home-office-2020.html).

Aber auch andere relevante Bereiche, beispielsweise im Gesundheitswesen, wurden für Angriffe genutzt: In Corona-Testzentren wurden wiederholt gravierende Schwachstellen in Webanwendungen gefunden – sensible Daten wie Testergebnisse und Anschriften waren über das Internet missbräuchlich einsehbar. Und von besonderer Bedeutung waren Angriffe auf essenzielle Einrichtungen wie die Europäische Arzneimittelagentur, Hersteller von Impfstoffen oder Krankenhäuser.

Digitalisierung braucht Informationssicherheit

Die vergangenen zwölf Monate haben unterstrichen, dass die Bedrohung durch Cyber-Kriminelle für eine digitale Gesellschaft weiter ansteigt: Zum einen verursachen sie hohe Schäden, wie im Fall eines Angriffs auf die Ölversorgung in den USA, durch den eine tagelange Ölknappheit in einigen Regionen hervorgerufen wurde. Angriffe auf Unternehmen können zu starken Umsatzeinbußen führen und im schlimmsten Fall die Insolvenz hervorrufen – Cyber-Angriffe auf Krankenhäuser können im schlimmsten Fall Menschenleben in Gefahr bringen.

Zum anderen untergraben Cyber-Kriminelle auch das Vertrauen in digitale Technologie: Ohne die Akzeptanz der Anwenderinnen und Anwender kann die Digitalisierung nicht erfolgreich umgesetzt werden. Sie kann darum nur erfolgreich verlaufen, wenn Cyber-Bedrohungen aktiv bekämpft werden und die Menschen in Deutschland, im Privaten und im Arbeitsumfeld, aufmerksam, informiert und umsichtig agieren können.

Das aktive Eintreten gegen Cyber-Bedrohungen und die Sensibilisierung und Unterstützung der Menschen in Deutschland sind Kernaufgaben des BSI, das als Gestalter einer sicheren Digitalisierung eine zentrale Rolle innehat.

Weitere Beiträge

Keine erfolgreiche Digitalisierung ohne Cyber-Sicherheit

Dauerbrenner Emotet

Ransomware – Bedrohung im Cyber-Raum