Laut BSI waren 2019 Infektionen durch Schadprogramme eine der größten IT-Bedrohungen. So wurde häufig mittels Ransomware versucht, den Zugriff auf Daten und Systeme einzuschränken oder zu verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes (engl. „ransom“) wieder freizugeben. Ein Trend dabei sei der gezielte Angriff auf zentrale Dienstleister, über die dann deren Kunden oder angeschlossene Netzwerke mit Ransomware infiziert werden können.
Das Schadenspotenzial ist enorm: Immer wieder kommt es zu Komplettausfällen von Rechnern und Netzwerken. Die Kosten u.a. für Datenverlust, Bereinigung und Wiederherstellung der Systeme gehen zum Teil in die Millionen, Dienstleistungen von Einrichtungen des Gemeinwesens sind nicht oder nur eingeschränkt verfügbar. Auch die Malware Emotet, die vom BSI als gefährlichste Schadsoftware der Welt bezeichnet wurde, sorgte 2019 für erhebliche Schäden. Mithilfe von schädlichen Office-Dokumenten wurde das Schadprogramm verteilt – mit immer ausgefeilteren Mechanismen.
Steigende Qualität und Professionalität auf Seiten der Angreifer
Obwohl die Zahl derartiger E-Mails stark abnimmt, steigt im Gegenzug die Qualität und somit die Effektivität von Schadprogramm-Spam. Das liegt unter anderem an Innovativität, technischem Sachverstand und starkem personellen Aufwand der Angreifer. Das Bundesamt für Informationssicherheit beobachtet eine hohe Dynamik der Angreifer bei der (Weiter-) Entwicklung von Schadprogrammen und Angriffswegen. So wurden rund 114 Millionen neue Schadprogamm-Varianten registriert.
Auch im Bereich der Distributed-Denial-of-Service (DDoS)-Angriffe, die sich gegen die Verfügbarkeit von Diensten, Webseiten, einzelnen Systemen oder ganzen Netzen richten, wird das Spektrum der Angriffstechnologie permanent erweitert: um neue Angriffsvektoren, Angriffsmethoden (z. B. Multivektor-Attacken) und Angriffswerkzeuge (z. B. DDoS aus der Cloud).
Durch die Nutzung von Botsoftware haben Cyber-Kriminelle Zugriff auf eine große Zahl von fremden Systemen (Computer, Smartphones, Router, IoT-Geräte etc.) und können diese für eigene Zwecke missbrauchen. Täglich bis zu 110.000 Botinfektionen deutscher Systeme wurden registriert. Der Fokus rückt hier auf mobile Endgeräte oder Geräte des Internets der Dinge (IoT). Denn diese bieten durch die täglich zunehmende Verbreitung bei gleichzeitig oft nur mangelhafter Absicherung eine willkommene Möglichkeit der unbefugten Übernahme und missbräuchlichen Nutzung durch Kriminelle. Weitere Angriffsmethoden zielen auf die kryptografischen Sicherheitsmechanismen von IT-Produkten sowie auf die Ausnutzung moderner Prozessorarchitektur.
Technische Maßnahmen und Mitarbeiter-Awareness
Laut BSI ist eine regelmäßige und gezielte Neubewertung der bestehenden Risiken aufgrund der dynamischen Entwicklung der Cyber-Sicherheitslage unabdingbar, um geeignete präventive und reaktive Maßnahmen auszuwählen.
Hier habe sich gezeigt, dass die Umsetzung des IT-Sicherheitsgesetzes und die damit einhergehende Verpflichtung, IT-Sicherheit nach Stand der Technik nicht nur umzusetzen, sondern die Umsetzung auch gegenüber Dritten nachzuweisen, zu einer Verbesserung der IT-Sicherheit bei den KRITIS-Betreibern geführt hat. So lässt sich beispielsweise erkennen, dass im Rahmen der Nachweis-Erstellung die IT-Sicherheit organisatorisch verbessert wurde, indem das Informationssicherheitsmanagementsystem (ISMS) und die darin hinterlegten Prozesse und Verantwortlichkeiten implementiert bzw. angepasst wurden.
Zur Prävention sollte neben regelmäßigen Backups der wichtigen Daten, die Angriffsfläche so gering wie möglich gehalten werden. Dazu gehören:
- Minimierung der Zahl und Variabilität der von außen zugänglichen Rechner
- zeitnahe Aktualisierung der Betriebssysteme, Server- und Anwendungssoftware
- kluge und restriktive Auswahl der Personen für Systemzugänge über das Internet
- hohe Anforderungen an die Passwortrichtlinien und die verwendeten Protokolle
- restriktive Behandlung von Anhängen (Dateityp-Whitelist-Ansatz)
- restriktive Content-Policy für Dokumente (Filterung von Dokumenten mit Makros oder Nachladefunktionalität oder Office-Nachladeanfragen am zentralen HTTP-Gateway)
Genauso wichtig wie die Umsetzung technischer Maßnahmen ist dabei auch die Mitarbeiter-Awareness. Denn es sind die Anwender, die die aufwändig und täuschend echt erstellten Social Engineering- und Phishing-Kampagnen als solche erkennen müssen. Untermauert wird das von den Ergebnissen der jüngsten Cyber-Sicherheitsumfrage, die das BSI im Rahmen der Allianz für Cyber-Sicherheit durchgeführt hat. Danach dienten in 90 Prozent der Fälle schädliche Anhänge oder Links in E-Mails als Einfallstor für Schadsoftware. Bei der Hälfte der unterbundenen E-Mail-basierten Angriffe verhinderten technische Maßnahmen eine Infektion, in den übrigen Fällen war die vorausgegangene Sensibilisierung und Schulung der Beschäftigten der Erfolgsfaktor. Um im Fall der Fälle schnell und richtig reagieren zu können, empfiehlt das BSI ein Notfallmanagement und regelmäßige Übungen.
Unterstützende Angebote des BSI
Das allgemeine Fazit des BSI kommt zu dem Schluss, dass zwar die Qualität vieler Cyber-Angriffe zugenommen hat. Dennoch können die Schutzmaßnahmen des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Informationssicherheit in den Regierungsnetzen und bei Kritischen Infrastrukturen gewährleisten.
Das BSI bietet verschiedene Angebote, die in Summe dabei helfen, das Niveau der Informationssicherheit gesamtgesellschaftlich kontinuierlich zu erhöhen, potenziellen Gefahren präventiv zu begegnen und, wo notwendig, angemessen zu reagieren:
- digitaler Verbraucherschutz
- geplantes IT-Sicherheitskennzeichen
- Beratungsangebote für Länder und Kommunen
- Leistungen der Allianz für Cyber-Sicherheit
- Leistungen des UP KRITIS
- Zertifizierungs- und Standardisierungsmöglichkeiten
Branchenspezifischer Sicherheitsstandard für Krankenhäuser
Vor einigen Tagen hat das BSI auch die Eignung des vom DKG erarbeiteten „Branchenspezifischen Sicherheitsstandards für Krankenhäuser“ („B3S“) bestätigt. Damit bekommen Betreiber sogenannter „Kritischer Infrastrukturen“ aus dem Kliniksektor, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, eine wichtige Orientierungsgrundlage. Anhand des B3S können sie die Sicherheit ihrer Informationen und Systeme gemäß den gesetzlichen Anforderungen umsetzen und damit auch wesentlich zur Patientensicherheit beitragen.
