Cyber-Sicherheit im Zeichen von Emotet und Corona : Erkenntnisse aus dem Lagebericht zur IT-Sicherheit 2020
In seinem Bericht „Die Lage der IT-Sicherheit in Deutschland“ berichtet das BSI einmal im Jahr über Cyber-Bedrohungen sowie Entwicklungen im Bereich IT-Sicherheit. Die aktuelle Ausgabe steht jedoch nicht nur im Zeichen von Gefahren wie Emotet oder kritischen Schwachstellen. Auch die Covid-19-Pandemie hatte einen Einfluss auf die IT-Sicherheitslage in Deutschland. Die Lage bleibt also angespannt.
Wie das BSI beobachten konnte, nutzten Angreifer im Berichtszeitraum Juni 2019 bis Mai 2020 Schadprogramme für cyberkriminelle Massenangriffe auf Privatpersonen, Unternehmen, Behörden und andere Institutionen, aber auch für gezielte Angriffe auf ausgewählte Opfer. Zugleich hat die Bedrohung durch Daten-Leaks mit der Offenlegung von Millionen von Patientendatensätzen im Internet eine neue Qualität erreicht. Zudem traten mehrere, teils kritische Schwachstellen in Software-Produkten auf, die Angreifer für Schadprogrammangriffe oder Datendiebstahl ausnutzen konnten. Dabei verwendeten die Angreifer auch verstärkt den Faktor „Mensch“ als Einfallstor für Angriffe, die mit Social-Engineering-Methoden arbeiten und gleichzeitig als Türöffner für weitere Angriffe dienen.
Emotet dominiert die Lage
Dominiert wurde die Lage durch das Schadprogramm Emotet, das sich schon im vergangenen Berichtszeitraum als besonders gefährlich erwiesen hatte. Es ermöglicht eine Kaskade weiterer Schadsoftware-Angriffe bis hin zu gezielten Ransomware-Angriffen auf ausgewählte, zahlungskräftige Opfer. Insgesamt war das Aufkommen neuer Schadprogrammvarianten im Herbst und Winter überdurchschnittlich hoch (der Tageszuwachs lag zeitweise bei knapp 470.000 Varianten).
Patientendaten öffentlich zugänglich
Meldungen zu Diebstählen von Kundendaten wurden im Berichtszeitraum erneut regelmäßig beobachtet. Aber nicht nur Diebstahl führte zum Datenabfluss: Im Berichtszeitraum wurden auch Datenbanken mit hochsensiblen medizinischen Daten frei zugänglich im Internet entdeckt. Anders als bei Datendiebstählen war hier also kein technisch aufwendiger Angriff notwendig, sondern unzureichend gesicherte oder falsch konfigurierte Datenbanken waren Ursache für den Datenabfluss.
Schwachstellen in Remote-Zugängen
Im Berichtszeitraum sind mehrere kritische Schwachstellen aufgetreten. Die neuen Schwachstellen BlueKeep und DejaBlue im Remote-Desktop-Protocol (RDP) von Windows machten viele Windows-Systeme bis hin zu Windows 10 angreifbar. Durch die Schwachstellen können Angreifer einen beliebigen Code – auch Schadprogramm – auf den angreifbaren Systemen ausführen. Die Schwachstellen ermöglichen Schadprogrammen außerdem, sich automatisiert weiterzuverbreiten, und werden daher auch als „wurmfähig“ bezeichnet. Microsoft hat Sicherheitsupdates für alle betroffenen Systeme bereitgestellt.
Ausnutzung der Covid-19-Pandemie
Cyber-Kriminelle, die sich auf Betrug im Internet spezialisiert haben, reagieren in der Regel schnell auf gesellschaftlich relevante Themen und Trends, um diese für Angriffe auszunutzen. Im Zuge der Covid-19-Pandemie wurden beispielsweise Phishing-Kampagnen, CEO-Fraud und Betrugsversuche mit IT-Mitteln beobachtet. So gelang es Betrügern beispielsweise Soforthilfe-Maßnahmen zu missbrauchen, indem sie die Antragswebseiten amtlicher Stellen täuschend echt nachahmten. Die unternehmensbezogenen Daten, die Antragstellerinnen und Antragsteller auf den gefälschten Seiten eingegeben hatten, nutzten die Cyber-Kriminellen anschließend, um sich als Antragstellerin beziehungsweise Antragsteller auszugeben und Hilfsgelder missbräuchlich zu beantragen.