Das Bundesamt für Sicherheit in der Informationstechnik hat auch in diesem Jahr einen Lagebericht zur IT-Sicherheit in Deutschland vorgelegt, in dem unter anderem die inzwischen zu den bekannten Ransomware-Attacken hinzutretenden Schweigegeld- („Double Extortion“) und Schutzgelderpressungen und die beschleunigte Entwicklung von Schadsoftware-Varianten hervorgehoben werden.
Ransomware nach wie vor größtes Risiko
Die zunehmenden Ransomware-Attacken waren auch im Lagebericht 2020 thematisiert worden. Insbesondere die Tatsache, dass auch technisch weniger bewanderte Kriminelle ihre Opfer – dank „Cybercrime as a Service“ – mit ausgeklügelten Schadprogrammen erpressen können, ohne je eine Zeile Code schreiben zu müssen, gibt Anlass zur Sorge. Gleichzeitig werden neue Schadsoftware-Varianten immer schneller entwickelt und Knowhow und Technologien geteilt; Das BSI spricht von einer Proliferation von Schadsoftware und Methoden.[1]
Derweil kämpfen dieser Tage gerade wieder Schwerin sowie weitere Städte in Mecklenburg-Vorpommern mit einem Ransomware-Angriff.[2] Noch ist nicht vollständig geklärt, welche Teile der Server verschlüsselt wurden, die digitalen Verwaltungsportale blieben zunächst offline.
Viele namhafte Opfer – und eine hohe Dunkelziffer
Der BSI-Bericht stellt auch ausgewählte Cybersicherheitsvorfälle vor, die zumindest teilweise aus den Medien bekannt sein dürften. Unter anderem wird hier der Angriff auf das Universitätsklinikum Düsseldorf genannt, bei dem über den Remote-Dienst Citrix NetScaler Ransomware eingeschleust worden war.[3] Eine weitere Fallstudie befasst sich mit dem Groupware- und E-Mail-Server Exchange. Anfang 2021 waren massive Sicherheitslücken in MS Exchange bekannt geworden, die nicht zuletzt dank der großflächigen Nutzung weltweit für Ärger sorgten. Das BSI hatte die Lage damals als „extrem kritisch“ eingestuft, auch, weil 98% der geprüften Systeme als verwundbar anzusehen waren.[4] Dieser Anteil halbierte sich zwar im Lauf der ersten Woche nach Bekanntwerden und sank dank umfassender Warnungen an Betroffene und der Bereitstellung von Sicherheitsupdates und Patches durch Microsoft auf 10% nach weiteren zwei Wochen, doch auch im Mai 2021, zwei Monate nach Bekanntwerden der Probleme, waren noch immer knapp neun Prozent der geprüften Exchange-Server in Deutschland angreifbar.[5]
In einem anderen Fall wurde die Software Orion des amerikanischen Herstellers SolarWinds noch in dessen Netzwerk mit Schadcode versehen, wodurch zahlreiche Behörden und Unternehmen zur leichten Zielscheibe wurden.[6] Der Angriff war ausgeklügelt und aufwändig: durch Manipulieren des Kompilierungsprozesses konnte ein frühzeitiges Entdecken der Malware verhindert werden, sodass der vermeintlich saubere Code an unzählige Kunden ausgeliefert wurde.
Zu wenig Meldungen an das BSI
Ein Problem, das im Lagebericht deutlich zum Ausdruck kommt, liegt in den zögerlichen Meldungen relevanter Vorfälle. Zwar habe sich die Zahl der Meldungen zu Schadprogramm-Infektionen, die an das BSI übermittelt wurden, im Vergleich zu 2021 mehr als verdoppelt.[7] Doch diese Vorfälle bilden lediglich die Spitze des Eisbergs ab. Unter anderem mit Blick auf Botnetze geht das BSI von einer erheblichen Dunkelziffer aus, da eine vollständige Erfassung nicht möglich sei.[8] Der Chaos Computer Club (CCC) nennt als einen möglichen Grund hierfür der teils mehr als zweifelhafte Umgang mit Meldungen Dritter, beispielsweise durch Bug Bounty Hunter:[9] Ehrliche „Finder“ von Sicherheitslücken ernten oft Misstrauen oder sehen sich gar strafrechtlichen Ermittlungen ausgesetzt, obwohl sie einen wertvollen Beitrag zur IT-Sicherheit leisten. Dies trage zusammen mit mangelhaften Strukturen für die Kontaktaufnahme zu Ansprechpartnern dazu bei, dass dem BSI kaum Sicherheitslücken gemeldet würden.[10]
Fazit
Der Lagebericht zur IT-Sicherheit 2021 lohnt eine sorgfältige Lektüre – nicht zuletzt, um die eigenen Systeme, sei es im privaten oder beruflichen Kontext, besser schützen zu können und Kriminellen eine möglichst kleine Angriffsfläche zu bieten.
Dieser Beitrag erschien erstmals auf dem For..Net Blog.
[1] Vgl. Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2021, S. 13.
[2] Vgl. Grüner, IT-Angriff auf Schwerin betrifft offenbar weitere Städte, Golem.de, 19.10.2021, dort auch zum Folgenden.
[3] Vgl. Fn. 1, S. 15; zu IT-Sicherheitsvorfällen im Gesundheitswesen siehe Schwegler, Cybersicherheit im Gesundheitssektor, BayWiDI Magazin 2/2021.
[4] Vgl. Fn. 1, S. 10.
[5] Vgl. Fn. 1, S. 10, S. 27.
[6] Vgl. Fn. 1, S. 30, dort auch zum Folgenden.
[7] Vgl. Fn. 1, S. 43.
[8] Vgl. Fn. 1, S. 20.
[9] Ausführlich hierzu Büttel, Bug Bounties: Don’t Shoot The Messenger, For..Net Blog, 05.08.2021, dort auch zum Folgenden.
[10] Vgl. Grüner, Ransomware entwickelt „sich zur größten Bedrohung“, Golem.de, 21.10.2021.
Sämtliche Links wurden zuletzt am 25.10.2021 abgerufen.
