Registrieren Anmelden
RegistrierenAnmelden
Breadcrumb-Navigation
Mit <kes>+ lesen

BSI veröffentlicht Lagebericht zur IT-Sicherheit 2018: : Keine erfolgreiche Digitalisierung ohne Cyber-Sicherheit

BSI-ForumIT-GrundschutzSecurity-Management
Lesezeit 8 Min.

Die Gefährdungslage ist weiterhin hoch – die Gefahren sind vielfältig und weisen inzwischen eine neue Qualität auf. So beschreibt das BSI in seinem jährlichen Lagebericht die aktuelle Situation im Cyber-Raum. Es analysiert darin die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle, nennt die Instrumente und Methoden der Angreifer, stellt seine Angebote und Lösungen zur Verbesserung der IT-Sicherheit vor – und zieht Bilanz.

Als die nationale CyberSicherheitsbehörde hat das BSI die Aufgabe, Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft zu gestalten. Diesen Dreiklang der Aufgaben spiegelt auch der „Bericht zur Lage der IT-Sicherheit 2018“ wider, in dem das BSI über die Entwicklung der Cyber-Sicherheit im Berichtszeitraum Juli 2017 bis Mai 2018 informiert (www.bsi.bund.de/ Lageberichte).

Gefährdungslage weiterhin hoch

Kritisch merkt das BSI an, dass sowohl Software- und teilweise auch Hardwareprodukte weiterhin erhebliche Qualitätsmängel in Bezug auf IT-Sicherheit aufweisen. Neue Sicherheitslücken sind hinzugekommen, schon bekannte Mängel bestehen unverändert kritisch fort. Nach wie vor sind viele Angriffe erfolgreich. Viele Cyber-Angriffe des letzten Jahres weisen aber eine neue Qualität auf:

  • Sie erschüttert die Grundfesten der bekannten und bewährten IT-Sicherheitsarchitektur
  • ihre Ziele sind Update-Mechanismen, Prozessoren und Verschlüsselungstechnologie.
  • 2018 sind neue große Ransomware-Wellen ausgeblieben. Trotzdem muss Ransomware weiterhin als massive Gefährdung eingestuft werden. Dies zeigen zum Beispiel die Angriffe im Jahr 2017 mit Petya/NotPetya: Sie verursachten allein in der deutschen Wirtschaft Schäden in Millionenhöhe.
  • Bei Malware erhöht sich nicht nur die Quantität durch immer neue Familien und Varianten – die Qualitätssteigerung bei den Angriffsund Verschleierungsmethoden sowie optimierte Geschäftsmodelle stellen eine schwer vorhersehbare große Bedrohung dar.
  • Zu den gegenwärtig bestehenden über 800 Millionen bekannten Schadprogrammen kommen pro Tag rund 390 000 neue Varianten hinzu. Im Mobil-Umfeld gibt es bereits mehr als 27 Millionen Schadprogramme allein für Google Android. Der Trend ist weiterhin steigend.
  • Auch die Evolution von IoT-Botnetzen geht weiter – neue Botnetze wie Hajime und IoT_reaper/IoTroop haben jedoch nicht die Bedeutung des Mirai-Botnetzes erlangt. Wegen des schnellen Zuwachses an verwundbaren Internet-of-Things- (IoT) und Mobilgeräten sind allerdings neue große Botnetze für wirkungsvolle IT-Angriffe (Spam, DDoS usw.) zu erwarten.
  • Aufgrund des Umfangs der Credential-Leaks und der Gefährdungen durch fehlkonfigurierte Cloud-Dienste gibt es auch bei Spam und Phishing keine Entspannung der Sicherheitslage.
  • Die bekannt gewordenen Identitätsdiebstähle erreichen quantitativ immer neue Größenordnungen: Auf dem IT-Schwarzmarkt werden zunehmend Datenkollektionen gehandelt – betroffen sind Milliarden erbeuteter digitaler Identitäten
  • Bei DDoS-Angriffen ist die Bedrohungslage aufgrund der hohen Mitigationskosten und neuen Angriffstechniken („Memcached Amplification“) nach wie vor hoch. Im zweiten Halbjahr 2017 lagen die eingesetzten Angriffskapazitäten bei Spitzenwerten von 50 bis 60 Gbits/s. Im ersten Quartal 2018 wurden DDoS-Angriffe mit bis zu 190 Gbits/s detektiert.
  • Anfang Januar 2018 wurden schwerwiegende Sicherheitslücken in der Hardware-Architektur bei fast allen Prozessoren von Intel, ARM, AMD entdeckt. Es handelt sich hier um eine neue Klasse von Schwachstellen (Meltdown/Spectre) aufgrund von Design-Fehlern in der ProzessorArchitektur.
  • Als neue Gefährdung ist illegales Krypto-Mining hinzugekommen. Die registrierten Vorfälle haben ab dem zweiten Halbjahr 2017 signifikant an Anzahl und Intensität zugenommen.

Digitalisierung erst am Anfang

Nach Auffassung des BSI werden Angriffe und Gefährdungen, die Staat, Wirtschaft und Gesellschaft schon heute vor extreme Herausforderungen stellen, in einer digitalisierten und vernetzten Welt weiter zunehmen. Ohne Anstrengungen, die IT-Sicherheit von Anfang an zu pflegen und auszubauen, werden Politik, Ökonomie und Alltag in Deutschland in immer größerem Umfang von fehlender und beeinträchtigter IT-Sicherheit tangiert werden.

Diese Kombination hebt die Gefährdungslage auf ein neues Niveau. Die Wahrscheinlichkeit erfolgreicher Angriffe auf digitalisierte Infrastrukturen wird größer, da sich die Anzahl der Angriffspunkte erhöht, die Kommunikationsinfrastrukturen immer komplexer werden und die zu verarbeitenden Datenmengen sich vervielfachen. Relevante Sicherheitsvorfälle aus dem Berichtszeitraum zeigen dies in aller Deutlichkeit:

  • Trotz aller Maßnahmen, die dazu führen, dass die IT-Netze und -Systeme der Bundesregierung als weitestgehend sicher gelten, kam es 2017 zu einem erfolgreichen Hackerangriff auf den Informationsverbund Berlin-Bonn (IVBB). Betroffen waren das Auswärtige Amt und die Hochschule des Bundes. Das BSI konnte den Cyber-Angriff durch den Einsatz eines Mobile Incident-Response-Teams über längere Zeit beobachten und so tiefere Einsichten in Absicht und Vorgehensweise der Täter erlangen. Größerer Schaden oder eine weitere Ausbreitung konnte dank bestehender Schutzmaßnahmen verhindert werden.
  • Im Mai 2017 drangen Hacker in das Netz eines Tochterunternehmens eines deutschen Energieversorgers ein. Sie hatten für einen Zeitraum von wenigen Minuten Zugriff auf einen geringen Teil des Internetverkehrs. Der Vorfall wurde vom BSI im Rahmen des Nationalen Cyber-Abwehrzentrums in Zusammenarbeit mit dem betroffenen Unternehmen analysiert und bearbeitet.
  • Hardware-Sicherheitslücken wie Spectre/Meltdown und Spectre NG haben das Potenzial, aktuelle Geschäftsmodelle und grundlegende IT-Sicherheitskonzepte obsolet zu machen. Die betroffenen Chips sind millionenfach verbaut und bilden eine Grundlage des modernen Computers. Die Sicherheitslücken können durch Software-Updates nicht vollständig geschlossen werden – ein Austausch aller betroffenen Prozessoren ist ebenfalls nicht realistisch. Hier bleibt darum ein Restrisiko, dass die Schwachstellen ausgenutzt werden.

Diese Beispiele machen deutlich, dass die Cyber-Sicherheit in der Digitalisierung noch stärker beachtet werden muss. Die Sicherheitsarchitektur von computergestützten Arbeitsplätzen und Unternehmensabläufen muss ebenso grundlegend neu gedacht werden wie die IT-Sicherheit von Produkten und Dienstleistungen. Dabei muss die Sicherheit der eingesetzten Systeme durch „Security by Design“ und „Security by Default“ von vornherein gewährleistet sein.

Die gegenwärtigen staatlichen und privaten Investitionen in die Informationssicherheit können allerdings nach Auffassung des BSI mit der Gefährdungsentwicklung nicht mithalten. Diese Nachlässigkeit gefährdet das Gelingen der Digitalisierung. Deutschland muss sich in Staat, Wirtschaft und Gesellschaft positionieren und definieren, wieviel es für die IT-Sicherheit im Zeitalter der Digitalisierung ausgeben will.

Abwehr-Anstrengungen verstärken

In seiner Funktion als nationale Cyber-Sicherheitsbehörde ist das BSI nicht nur gefordert, auf Schwachstellen hinzuweisen und vor Angriffen zu warnen. Es setzt seinen unabhängigen, neutralen und technisch tiefgehenden Sachverstand ein, um neue Lösungen zu konzipieren und umzusetzen:

  • Das Internet of Things (IoT) entwickelt sich immer mehr zu einer neuen Gefahrenquelle für die ITSicherheit. IoT-Geräte sind einfach angreifbar, ihre Sicherheit spielt weder bei der Herstellung noch bei der Kaufentscheidung des Kunden eine ausreichende Rolle. Das BSI arbeitet an der Einführung eines IT-Sicherheitskennzeichens, um künftig Verbrauchern die Einschätzung zur IT-Sicherheit von IT-Produkten und -Services zu erleichtern.
  • „Efail“-Schwachstellen ermöglichen Angreifern das Auslesen verschlüsselter E-Mails. Dadurch hat das Vertrauen in verschlüsselte Kommunikation abgenommen. Verschlüsselte Kommunikation für die Bürger und zum Schutz von Unternehmensgeheimnissen muss massentauglich gemacht werden. Das BSI wird die Weiterentwicklung der Verschlüsselungstechnologie und deren Anwendung vorantreiben und begleiten.
  • Für Verbraucher ist es zurzeit nahezu unmöglich, bei der Kaufentscheidung für ein IT-Produkt Sicherheitsfeatures zu erkennen. Und sie verfügen oftmals über unzureichende Handlungskompetenz im Bereich der Informationssicherheit. Das BSI wird in seinem Aufgabenbereich „Digitaler Verbraucherschutz“ als herstellerunabhängige und kompetente technische Stelle die Verbraucher in der Risikobewertung von Technologie, Produkten, Dienstleistungen und Medienangeboten unterstützen.

Digitale Zukunft sichern

Die Bundesregierung hat sich mit den Festlegungen im Koalitionsvertrag gut positioniert, um den künftigen Herausforderungen in der Prävention, Detektion und Abwehr von Cyber-Gefahren gerecht zu werden. Diese Festlegungen müssen jetzt konsequent umgesetzt werden. Das BSI wird dazu in seinen klassischen wie in den neuen Aufgabenbereichen seinen fachlichen Beitrag leisten:

  • Es sichert die Informationstechnik des Bundes vor Cyber-Angriffen und -Gefahren. Dieses bewährte Konzept wird weiter ausgebaut und auf Länder und Kommunen sowie für die Digitalisierung der Verwaltung und Justiz erweitert.
  • Das BSI begleitet die Konsolidierung der IT des Bundes und sorgt für die notwendige zentralisierte Betrachtung der Themen u
  • Es ist auch in Krisenfällen erster fachlicher Ansprechpartner für Betroffene, nationale und internationale Partner sowie Multiplikatoren. Im Rahmen der jeweiligen Möglichkeiten informiert das BSI aktiv und transparent und unterstützt mit Mobile Incident-Response-Teams direkt vor Ort.
  • Das BSI vertritt die Interessen Deutschlands gegenüber nationalen und internationalen Anbietern von IT-Produkten und IT-Services sowie die Interessen der Nutzer von IT-Services und IT-Produkten in Deutschland gegenüber internationalen Anbietern.
  • Es ist nationaler Kompetenzträger im Bereich Kryptografie, der Empfehlungen und technische Richtlinien zu kryptografischen Verfahren erstellt und sich an der Entwicklung internationaler Krypto-Standards beteiligt.
  • International positioniert sich das BSI als Thought-Leader und als Kompetenzstelle für alle Fragen der Informationssicherheit in der multi- und bilateralen Zusammenarbeit.

Das BSI als zentrale Stelle für Cyber-Sicherheit in Deutschland

Mit dem Nationalen IT-Lagezentrum, CERTBund und dem Nationalen Cyber-Abwehrzentrum sind drei wesentliche Bausteine der nationalen Cyber-Sicherheitsarchitektur beim BSI angesiedelt. Das Nationale ITLagezentrum wächst im Fall einer IT-Krise zum Nationalen IT-Krisenreaktionszentrum auf. Das BSI ist zudem das neutrale Kompetenzzentrum für Cyber-Sicherheit und der IT-Sicherheitsdienstleister für alle Bundesressorts.

Das BSI gestaltet die Informationssicherheit in den großen Digitalisierungsprojekten unserer Zeit, um die Funktionsfähigkeit und Wertschöpfung der künftig stark digitalisierten Gesellschaft zu gewährleisten. Beispiele dafür sind:

  • Telematik-Infrastruktur im Gesundheitsbereich / „eHealth“ (BMG),
  • Digitalisierung der Energiewende (BMWi),
  • intelligente Verkehrssysteme (BMVI).
  • Smart Home / intelligente Baustellen (BMWi, BMJV, BMUB),
  • das Internet der Dinge / IoT (BMI, BMWi, BMJV),
  • neue Technologien / Blockchain (BMBF)
  • digitale Schifffahrt (BMVI)

Deutlich wird die ausgeprägte Querschnittsfunktion des BSI auf Bundesebene. Hinzu kommt der Ausbau der Zusammenarbeit mit den Bundesländern und dem kommunalen Sektor. Mit einer Reihe von Bundesländern konnten bereits Vereinbarungen zur Zusammenarbeit erzielt werden, um um den Aufbau von Parallelstrukturen zu vermeiden und im gesamtstaatlichen Interesse ein einheitliches Sicherheitsniveau zu gewährleisten

Damit entwickelt sich das BSI zur zentralen Stelle für Cybersicherheit in Deutschland. Das BSI geht bereits gestärkt und zuversichtlich in diese Entwicklung. Der Lagebericht 2018 zeigt aber auch, welche Herausforderung noch vor uns liegt. Besonders für die im Koalitionsvertrag neu zugewiesenen Aufgabenbereiche „digitaler Verbraucherschutz“, „Beratung für Wirtschaft/KMU“ sowie Beratungs- und Unterstützungsangebote für die Länder muss das BSI als die in Deutschland zuständige Stelle für Cyber-Sicherheit rechtlich, finanziell und personell in die Lage versetzt werden, seinen Beitrag zum bestmöglichen Schutz von Bürgerinnen und Bürgern, der Wirtschaft und der staatlichen Institutionen vor Cyber-Angriffen in gleicher Qualität wie bisher zu erfüllen. Denn uns allen ist klar: Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung.

Mehr Informationen sind im „Bericht zur Lage der ITSicherheit in Deutschland 2018“ verfügbar, der auf der Website des BSI unter www.bsi.bund.de/lageberichte zum Download zur Verfügung steht.

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.