Im vergangenen Jahr stand das Thema Digitalisierung – und damit auch Homeoffice, Homeschooling, virtuelle Meetings mit Kollegen und Familie, Online-Handel und digitale Freizeitgestaltung in Form von Streaming oder Online-Gaming – besonders im Fokus von Politik, Wirtschaft und Gesellschaft.
Damit einher gingen zahlreiche Fragen: Wie soll, wie darf man von zuhause aus arbeiten, ohne Datenlecks oder Schlimmeres zu riskieren? Welche Maßnahmen müssen ergriffen werden, damit ein angemessenes Schutzniveau für die privaten Endgeräte und etwaige Schnittstellen zu unternehmens- oder behördeninternen Netzwerken gewährleistet werden kann? Je besser man informiert ist, welche Risiken bestehen und auf welche möglichen „Einfallstore“ zu achten ist, desto eher ist eine Prävention – und im Ernstfall die Schadensminimierung – möglich. Der folgende Beitrag soll einen Überblick über die maßgeblichen aktuellen Gefahren für die IT-Sicherheit liefern und das Bewusstsein für etwaige Schwachstellen im eigenen System, privat oder im Unternehmen, schärfen.
Pandemie als Risikofaktor
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch für das Jahr 2020 einen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht.[1] Darin wird resümierend festgestellt: Die Covid-19-Pandemie hat das Jahr nachhaltig geprägt, aber auch der Digitalisierung „einen erheblichen Vorschub geleistet und eindrucksvoll gezeigt, dass funktionierende und sichere Informationstechnologie zur Lebensader der modernen Gesellschaft geworden ist“[2]. Natürlich sind die Auswirkungen der Covid-19-Pandemie auch auf die IT-Sicherheit spürbar: Zahlreiche Arbeitnehmer wurden ins Homeoffice geschickt, wodurch die Grenze zwischen privater und beruflicher Nutzung von Endgeräten weiter aufgeweicht wurde; häufig fehlten Regelungen zum datenschutzkonformen Umgang mit digitalen Unterlagen, teilweise haperte es an der Umsetzung.
Ein Aspekt, der im Lagebericht hervorgehoben wird, ist die Notwendigkeit zur Flexibilität (nicht nur) angesichts der Pandemie – und die Tatsache, dass auch Kriminelle sich im vergangenen Jahr adaptionsfähig gezeigt haben:[3] Es gab zahlreiche Vorfälle, beispielsweise mit Spam-Mails vermeintlich staatlicher Institutionen zur Beantragung von Soforthilfegeldern oder mit falschen Online-Shops, die die erhöhte Nachfrage nach Schutzbekleidung und insbesondere Atemmasken ausnutzten. Derartige Phishing-Kampagnen, die sich gerne aktueller Themen (Steuerrückzahlungen, Rabatt-Aktionen zum Black Friday usw.) bedienen, um die Spam-Mails möglichst erfolgreich „an den Mann zu bringen“, nutzen häufig menschliche Schwächen und emotionale Sujets – Katzenbabys, Sorge um Angehörige, Zukunftsängste, ein potenzieller Lotteriegewinn? – aus.[4] Dagegen helfe es zum einen, das Bewusstsein der Anwenderinnen und Anwender zu fördern, zum anderen müsse aber auch in der Digital-Industrie mehr denn je auf Security by Design gesetzt, also bei neuen Technologien, Dienstleistungen und Produkten schon in der Entwicklung auf eine sichere Gestaltung geachtet werden.[5]
Dass nicht nur Unternehmen und Behörden im Visier der Cyberkriminellen sind, sondern auch private Ziele angegriffen werden, zeigt auch eine Umfrage des Branchenverbands Bitkom, der herausfand, dass 61% der Internetnutzerinnen und -nutzer 2020 Opfer von Cyberkriminalität in unterschiedlicher Ausformung geworden waren.[6] Am häufigsten – bei fast der Hälfte der Befragten – wurden Schadprogramme in Smartphone- oder Computerprogrammen gemeldet, den nicht weniger unrühmlichen zweiten Platz nahm die unbefugte Weitergabe persönlicher Daten an Dritte ein. 17% gaben an, ihre Zugangsdaten für Online-Shops oder soziale Netzwerke seien ausspioniert worden. Abseits der IT-Sicherheit an sich wurden jedoch auch Online-Mobbing, Hate Speech und sexuelle Belästigung im digitalen Raum genannt.
Obgleich sich die letztgenannten Problemkreise nicht unbedingt mit sichereren Systemen lösen lassen, gilt es damit doch zumindest diejenigen Risiken zu minimieren, bei denen dies möglich ist. Im Fall von Identitätsdiebstahl – also der rechtswidrigen Aneignung der Identifikations- (z.B. Benutzername) und Authentisierungsdaten (z.B. Passwort) einer Person – lässt sich das Risiko bereits durch eine erhöhte digitale Eigenverantwortung, einen sorgfältigen Umgang mit den eigenen persönlichen Informationen und – wo möglich – der Nutzung der Zwei-Faktor-Authentisierung mindern; dennoch ist auch hier die Mitwirkung der Unternehmen nötig, die Verfahren zur sicheren Identifizierung und Authentisierung vorhalten müssen.[7] Identitätsdiebstahl und die zunehmende Anzahl frei verfügbarer Identitätsdaten im Netz erhöhen die bestehenden Risiken und stellen eine „bedrohliche Basis für weitere Angriffe“ dar. [8] Im Zusammenhang mit dem bekannten Schadprogramm Emotet etwa nutzen Angreifer die Kontaktbeziehungen und E-Mail-Inhalte erfolgreich infizierter Systeme ganz gezielt, um den Trojaner daraufhin – in entsprechend authentisch wirkende E-Mails eingebettet – weiter verbreiten zu können. Dabei ist deutlich eine „neue Qualität“ der Angriffe festzustellen.
Doch auch vermeintlich vertrauenswürdige Programme können ein Risiko darstellen. Eine Erweiterung eines bekannten Herstellers für IT-Sicherheitssoftware für Firefox wurde Ende 2019 von Mozilla gesperrt, weil sie umfangreiche Datensammlungen angelegt und für Marketingzwecke verwendet hatte.[9] Schließlich müssen auch kryptografische Systeme korrekt implementiert und je nach konkretem Anwendungsfall gegen Ausspähen des beobachtbaren Verhaltens (Fehlermeldungen, Antwortzeiten, aber auch Stromverbrauch und andere Informationen) abgesichert werden.[10]
Zunehmende Vernetzung führt zu größerer Angriffsfläche
Weiterhin ist zu beobachten, dass sich die Angriffsfläche infolge der zunehmenden Anzahl vernetzter Geräte – und der zunehmenden Vernetzung an sich – stetig vergrößert.[11] Das gibt natürlich vorwiegend in besonders sensiblen Bereichen wie im Gesundheitswesen Anlass zur Sorge, aber auch bei Wearables, Smart Home und im Internet of Things (IoT).[12] Insbesondere bei Smart Watches sind Schwachstellen, die teilweise sogar ohne besondere technische Kenntnisse ausgenutzt werden können, keine Ausnahme. Durch Smart Devices werden eine Vielzahl sensibler persönlicher Daten gespeichert, was sie zu einem verlockenden Angriffsziel macht. Im Zusammenhang mit IoT-Geräten plant das BSI die Einführung eines IT-Sicherheitskennzeichens für Verbraucherprodukte. Durch die transparente Darstellung produktspezifischer IT-Sicherheitseigenschaften soll einerseits ein verstärktes Bewusstsein für IT-Sicherheit bei den Verbrauchern, andererseits ein Instrument für Hersteller entwickelt werden, um die Sicherheit ihrer Produkte besser – und für Kunden nachvollziehbar – bewerben zu können. Als maßgebliche Anforderungen nennt das BSI insbesondere Security by Design und Security by Default in der Produktentwicklung. Unter anderem können auch unzureichend gesicherte IoT-Geräte unerkannt als Teil eines Botnetzes für DDoS-Angriffe missbraucht werden, wobei vor allem die erhöhte Qualität und intelligente Strategie solcher Angriffe zunehmend besorgniserregend ist.[13]
Im Bereich der Kritischen Infrastrukturen scheinen die strengen Vorgaben (u.a.) des BSIG Wirkung zu zeigen. Zwar sind die Gefahren etwa durch Malware ungebrochen, doch sorgt ein tief verankertes Verständnis über den Stellenwert der Informationssicherheit bei KRITIS-Betreibern für vergleichsweise umfassende und teils langjährig etablierte ISMS.[14]
Insgesamt ist festzuhalten, dass sowohl die Angriffsfläche durch die fortschreitende Digitalisierung steigt, die Angriffe oft von höherer Qualität sind als bisher und manche Einfallstore auch technischen Laien offenstehen. Auch die Kombination verschiedener Ansätze – von Schadprogrammen, die wie ein Schneeballsystem effizienter werden, je öfter sie sich weiterverbreiten können, bis hin zu hybriden Bedrohungen, bei welchen durch das Zusammenspiel von Cyberangriffen, wirtschaftlichem Druck, Desinformationskampagnen und/oder verdeckten militärischen Operationen Staaten destabilisiert werden[15] – und der vermehrte Einsatz von Künstlicher Intelligenz (KI) geben Anlass zur Sorge.
Dass den Gefährdungen für die IT-Sicherheit durch die Covid-19-Pandemie ein ganzes Kapitel gewidmet wird, spricht ebenfalls Bände: provisorische, unsichere Lösungen, die plötzliche Zunahme der Online-Aktivitäten allgemein und speziell der Nutzung von Remote-Zugängen[16], aber auch das Ausnutzen von Ängsten oder auch Hilfsbereitschaft führen zu einem merklichen Anstieg der ohnehin bestehenden Risiken.[17]
Handlungsempfehlungen
Ganz allgemein ist festzustellen, dass der Faktor Mensch nach wie vor das riskanteste Einfallstor für Schadprogramme darstellt, die digitale Eigenverantwortung daher einen besonders hohen Stellenwert einnimmt. Das unüberlegte Klicken auf Links oder ungeprüfte Weiterleiten zweifelhafter E-Mails steckt hinter den meisten erfolgreichen Angriffen auf IT-Systeme. Damit ist das bekannte Mantra zu wiederholen: Links und Anhänge in E-Mails sollten nur bei wirklich vertrauenswürdigen Absendern geöffnet werden, es empfiehlt sich jedoch auch dann vor dem Anklicken ein kurzer Check, ob „alles stimmt“: Erwarte ich solche Mails mit Links oder Anhängen von diesem Absender? Kommt mir etwas daran seltsam vor? Hat das Thema der Mail (und des Links/Anhangs) einen sinnvollen Bezug zu vergangenen Gesprächen? Erhöhte Vorsicht ist besonders bei vermeintlich dringenden und wichtigen Mails geboten, beispielsweise wenn sich der Absender als Bank, Versicherungsunternehmen oder Online-Shop ausgibt, der Betreff (Mahnungen, Gutschriften, Erneuerung eines Passworts und Vergleichbares) einen raschen Handlungsbedarf vorgibt oder im Text besonders vehement auf das Anklicken genau dieses Links gepocht wird. Überwiegt am Ende die Skepsis, sollte die Mail sofort in den Spam-Ordner verschoben bzw. gelöscht werden. Je nach unternehmensinterner Regelung sollte ggf. auch die IT-Abteilung informiert werden.
Neben Schwachstellen oder möglichen Einfallstoren, die beispielsweise über das betriebsinterne IT-Sicherheitsmanagementsystem (ISMS) bekannt werden, sollten auch allgemeine, in der Tagespresse besprochene Sicherheitsrisiken beobachtet, geprüft und gegebenenfalls zeitnah reagiert werden. Mögliche Maßnahmen sind je nach Situation etwa das Einspielen von Softwareupdates und -patches, das Blockieren bestimmter Absender von E-Mails, aber auch das Aktualisieren des Betriebssystems, sobald der Support eingestellt wird. Letzteres gilt beispielsweise – und gleichzeitig ganz besonders – für Windows 7: das Betriebssystem kann zwar noch installiert werden und funktioniert auch noch, ist allerdings nicht mehr vor neuen Risiken geschützt und so ausgesprochen verwundbar.[18]
Generell ist auch ein gewisses Maß an Minimalismus zu empfehlen; ein System sollte stets nur diejenigen Programme und Schnittstellen enthalten, die tatsächlich benötigt werden. So kann die Angriffsfläche verringert werden („Härtung“). Eine vernünftige Backup-Strategie kann dank regelmäßiger Datensicherungen den Schaden begrenzen, sollte es – durch Ransomware, aber auch wegen allgemeiner technischer Probleme – zu einem Datenverlust oder Systemcrash kommen.
Schließlich kann nur eine Strategie, die auch umgesetzt wird, effektiv schützen. Ob Drucker, Smartphone, Fitness-Tracker oder Kühlschrank: Wo immer ein Netzwerk genutzt wird, das nicht absolut und kategorisch vom Internet abgeschottet ist (und das dürfte gerade in Privathaushalten kaum der Fall sein), muss hinterfragt werden, ob und welche Maßnahmen zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus zu ergreifen sind. Die Zeit und Mühe, diese Maßnahmen auch tatsächlich praktisch umzusetzen, sind in jedem Fall gut investiert.
Fazit
Eine funktionierende und vor allem sichere digitale Infrastruktur auf allen Ebenen – zuhause, im Unternehmen, in öffentlichen Stellen und überall dazwischen – ist eine unerlässliche Voraussetzung dafür, sich der eigentlichen Arbeit widmen und Kontakte im virtuellen Raum aufrechterhalten zu können. Richtig implementiert und sorgfältig gepflegt ermöglichen digitale Lösungen die Vereinfachung oder gar vollständige Automatisierung von Randaufgaben, sparen Zeit sowie finanzielle und personelle Ressourcen und können durchaus auch die Nerven schonen.
Priska Katharina Büttel
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 4/2020. Die vollständige Ausgabe finden Sie hier.
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hrsg.), Die Lage der IT-Sicherheit in Deutschland 2020, Stand: September 2020 (zuletzt abgerufen am: 04.12.2020).
[2] Vgl. Fn. 1, S. 79; dass die Digitalisierung in Deutschland unaufhaltsam fortschreitet wird auch von anderen Studien bestätigt, vgl. für einen Überblick Initiative D21 e.V. (Hrsg.), D21 Digital Index 19/20 – Wie digital ist Deutschland?, 2020, S. 8f. (zuletzt abgerufen am: 04.12.2020).
[3] Vgl. Fn. 1, S. 80, dort auch zum Folgenden.
[4] Vgl. Fn. 1, S. 18.
[5] Vgl. Fn. 1, S. 80.
[6] Vgl. Bitkom, 6 von 10 Internetnutzern von Cyberkriminalität betroffen, Pressemitteilung vom 03.12.2020 (zuletzt abgerufen am: 04.12.2020), dort auch zum Folgenden.
[7] Vgl. Fn. 1, S. 18.
[8] Vgl. Fn. 1, S. 20, dort auch zum Folgenden.
[9] Vgl. Fn. 1, S. 20.
[10] Vgl. Fn. 1, S. 30.
[11] Vgl. Bitkom, 6 von 10 Internetnutzern von Cyberkriminalität betroffen, Pressemitteilung vom 03.12.2020 (zuletzt abgerufen am: 04.12.2020); vgl. auch Fn. 1, S. 16.
[12] Vgl. Fn. 1, S. 44f, dort auch zum Folgenden.
[13] Vgl. Fn. 1, S. 29.
[14] Vgl. ausführlich Fn. 1, S. 53ff.
[15] Vgl. Fn. 1, S. 32.
[16] Vgl. Fn. 1, S. 24f.
[17] Vgl. Fn. 1, S. 33ff.
[18] Vgl. Fn. 1, S. 23f, dort auch zum Folgenden.