Im Berichtszeitraum von Juni 2021 bis Mai 2022 hat sich die bereits zuvor angespannte Lage weiter zugespitzt, so das Fazit des aktuellen BSI-Lageberichts. Vorgestellt wurde dieser anlässlich der Sicherheitsmesse it-sa in Nürnberg. Die Gründe für die hohe Bedrohungslage sind demnach anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten.
Bundesinnenministerin Nancy Faeser erklärte dazu: "Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cyber-Sicherheit. Die Cyber-Sicherheitsagenda des Bundesinnenministeriums bildet die für uns wesentlichen Ziele und Maßnahmen ab." Hier wolle das Ministerium noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben.
Mehr als zehn Prozent Schwachstellent gegenüber Vorjahr
Wichtige Schritte für eine eng verzahnte föderale Cyber-Abwehr seien daher die Modernisierung der Cyber-Sicherheitsarchitektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Netzen und IT-Systemen der Verwaltung, die Stärkung der Sicherheitsbehörden zur Verfolgung von Cybercrime sowie die Verbesserung der Abwehrfähigkeiten.
Insgesamt wurden 2021 wurden über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von zehn Prozent gegenüber dem Vorjahr.
Kritische Infrastrukturen
Durch den russischen Angriffskrieg gegen die Ukraine rückte laut BSI zudem die Sicherheit der Kritischen Infrastrukturen in Deutschland nun noch stärker in den Fokus der Öffentlichkeit. Schon vor Beginn des russischen Überfalls auf die Ukraine habe man daher das Nationale IT-Krisenreaktionszentrum aktiviert und unter anderem Betreiber Kritischer Infrastrukturen zu erhöhter Wachsamkeit und Reaktionsbereitschaft aufgerufen.
Bedrohung durch Angriffe auf die Software-Lieferketten von IT-Dienstleistern
Die Bonner Behörde beobachtet nach eigenen Angaben seit Jahren eine zunehmende Entwicklung hin zu aufwendig vorbereiteten APT-Angriffen, von der sich weltweit auch die Betreiber Kritischer Infrastrukturen bedroht sehen. Darüber hinaus bilden die in den letzten Jahren beobachteten Angriffe auf die Software-Lieferketten („Supply-Chain“) von IT-
Dienstleistern zu ihrer Kundschaft eine neue, besonders beunruhigende Bedrohung.
Mit der Verbreitung von Schadcode über die regulären Update-Mechanismen der (Sicherheits-)Software global operierender IT-Dienstleister lassen sich etablierte Sicherheitsmechanismen umgehen, warnt das BSI. Die Manipulation von (Sicherheits-)Updates, die bei Kundinnen und Kunden eingespielt würden, machen Angriffe auf sehr gut geschützte IT-Systeme möglich. Solche Angriffe sind zudem äußerst schwer zu erkennen, da sich der Quellcode von den Kundinnen und Kunden üblicherweise nicht einsehen oder bewerten lässt, heißt es weiter.
Nur durch die detaillierte Analyse der Lieferbeziehungen könne einer Gefahr durch Angriffe auf die Lieferkette begegnet werden. Eine sorgfältige Auswahl der Lieferanten sei vor diesem Hintergrund für KRITIS-Betreiber von entscheidender Bedeutung, so die Empfehlung aus Bonn.
Mängel aus dem KRITIS-Sektor Energie
Mit dem IT-Sicherheitsgesetz wurde 2015 eine Meldepflicht für Betreiber Kritischer Infrastrukturen eingeführt. Die Meldepflicht gilt für Störungen, die zum Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben oder führen können. Das BSI hat dabei die unterschiedlichen Bereiche aufgelistet.
Im KRITIS-Sektor Energie ist demnach der Anteil der Mängel in der Kategorie Managementsystem für Informationssicherheit (ISMS) im Vergleich zum Vorbericht angestiegen. Mängel in der Kategorie bauliche/physische Sicherheit machen den zweitgrößten Anteil aus, dies resultiere teilweise aus dem geringen Anteil an Vor-Ort-Prüfungen während der Pandemie. Mängel der Kategorie Asset Management bilden den drittgrößten Bereich, heißt es weiter.
Mängel aus dem KRITIS-Sektor Wasser
Im KRITIS-Sektor Wasser wurden die meisten Mängel erneut dem Bereich ISMS zugeordnet. Mängel dieser Kategorie machten bereits im Vorjahr rund ein Drittel aller Mängel aus; im aktuellen Auswertungszeitraum stieg der Anteil auf über 50 Prozent. Die Kategorien bauliche/physische Sicherheit sowie technische Informationssicherheit machen zusammen 20 Prozent der identifizierten Mängel aus. Die Zusammenarbeit der Betreiber des Sektors Wasser mit dem BSI auf Basis der Mängelbeseitigung habe sich in den vergangenen Jahren intensiviert
Größte Bedrohung: Ransomware-Angriffe
Der Vizepräsident des BSI, Gerhard Schabhüser erklärte abschließend: "Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen."
Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gelten demnach aktuell als größte Bedrohung im Cyber-Bereich. Dass nicht nur umsatzstarke Unternehmen Ziel von Ransomware-Angriffen werden können, zeigen die Auswirkungen in mehreren betroffenen Kommunen, in denen die Verwaltungsprozesse teils über Monate massiv gestört waren – mit erheblichen Folgen für Bürgerinnen und Bürger. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune – gemeint ist Anhalt-Bitterfeld – der Katastrophenfall ausgerufen.
Wie wichtig eine gezielte Stärkung der Cyber-Sicherheit auf kommunaler Ebene ist, habe auch das große Interesse an den vom BSI im Berichtszeitraum gezielt für Kommunen angebotenen Webinaren und der erstmals durchgeführten virtuellen „Roadshow Kommunen“ gezeigt.
Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 kann auf der Website des BSI downgeloadet werden: www.bsi.bund.de/Lageberichte (sg)
