Eigentlich kann man es nicht mehr übersehen: Cyber-Angriffe legen in immer kürzeren Abständen Verwaltungen oder Krankenhäuser lahm – und zwar auf eine zunehmend professionelle Art und Weise. Ein aktueller Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) zeigt eine erschreckende Bedrohungslage.
In Teilbereichen Alarmstufe Rot
Dreizehn Tage lang musste die Uniklinik Düsseldorf die Notaufnahme schließen, die Zeitungen der Funke-Mediengruppe erschienen vier Wochen lang im Notbetrieb und das Umweltbundesamt musste sein komplettes E-Mail-Wesen neu aufbauen, war zwischenzeitlich aus „technischen Gründen“ nur telefonisch erreichbar. Die Liste ließe sich fortsetzen durch weitere Cyber-Attacken. Im Bericht Die Lage der IT-Sicherheit in Deutschland 2021 heißt es hierzu: „Die vergangenen zwölf Monate haben unterstrichen, dass die Bedrohung durch Cyber-Kriminelle für eine digitale Gesellschaft weiter ansteigt“.
Nun, die Erkenntnisse des Ende letzter Woche von Arne Schönbohm, Präsident des BSI, vorgestellten Berichts sind nicht wirklich neu. Denn: Letztlich muss jedes Unternehmen, jede Institution, ja jede Person jederzeit davon ausgehen, irgendwann Ziel eines Cyber-Angriffs zu werden. Beunruhigend seien vor allem „die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen.“ Seit Jahren schon warnen Fachleute vor den riesigen Schäden derartiger Angriffe. Neu ist hingegen, dass die Bedrohungslage eine neue Qualität erreicht hat. Der Zeitraum von Juni 2020 bis Mai 2021 wird im Bericht als „angespannt bis kritisch“ bezeichnet, was durchaus als Steigerung verstanden werden kann, denn im Vorjahresbericht war die Lage nur „angespannt“. Die erfolgreiche Zerschlagung des Emotet-Netzwerkes mag daher manchem als Pyrrhussieg erscheinen.
Cyber-Attacken als Dienstleistung
Für die derzeitige Zuspitzung der Bedrohungslage gibt es einen triftigen Grund: die Zunahme von Erpressungsszenarien. Das heißt: Angreifer machen die Daten oder Systeme eines Unternehmens unbrauchbar durch Verschlüsselung und verlangen anschließend horrende Summen, um sie wieder zu entschlüsseln. Diese Vorgehensweise hat sich in den vergangenen Monaten dramatisch professionalisiert. Cybercrime as a Service (etwa: „Cyber-Attacken als Dienstleistung“) ist in zunehmendem Maße der Modus Operandi, mit dem Kriminelle mittlerweile arbeitsteilig ans Werk gehen. So werden z.B. einzelne Bestandteile eines Angriffs auf spezialisierte Gruppen ausgelagert. Diese Arbeitsteilung ermöglicht, sich gezielter auf zahlungskräftige Opfer zu konzentrieren. Bei der Verschlüsselung bleibt es indes selten. Oft werden die mitunter kompromittierenden Daten auch gestohlen, um – im Falle von Widerstand – höchstbietend verkauft oder veröffentlicht zu werden. Neben den bekannten Lösegelderpressungen fordern die Täter auch immer öfter Schweigegeld unter Androhung der Enthüllung kompromittierender Informationen (sog. Double Extortion) sowie Schutzgelder gegen DDoS-Attacken. Derlei Angriffe auf infrastrukturkritische Unternehmen oder Bundesbehörden gehören laut BSI-Bericht mittlerweile zur Tagesordnung. Per E-Mail versuchten Angreifer beispielsweise, Nutzer und Nutzerinnen der Regierungsnetze dazu zu bewegen, Anhänge zu öffnen oder auf Links zu klicken, die auf Schadsoftware verweisen.
Auf Bundesebene mag man noch relativ gut auf Cyber-Attacken vorbereitet sein, in den Landkreisen und Kommunen hingegen ist die Situation mehr als brenzlig. Erst im Juli musste der Landkreis Anhalt-Bitterfeld den Katastrophenfall ausrufen, Anfang Oktober stand die Stadt Witten unter Beschuss. Diese Angriffe fallen zwar nicht mehr in den Berichtszeitraum des aktuellen BSI-Lageberichts, zeigen aber, dass insbesondere Kommunen und Kreise systematisch und vermehrt attackiert werden. Die Coronakrise hat diesen Umstand noch befeuert, da viele Mitarbeiter und Mitarbeiterinnen nun von daheim auf das Firmennetzwerk zugreifen und die zunehmende Verlagerung der Tätigkeiten in den digitalen Raum auch potenziell größere Angriffsflächen bietet. Neben Schwachstellen in der Software sind es auch Social-Engineering-Attacken, die es Kriminellen ermöglichen, in Netzwerke einzudringen oder Schadsoftware zu platzieren.
„Nehmen Sie diese Warnung bitte ernst!“
Die bedeutendste Lücke des vergangenen Jahres tauchte im März 2021 in Microsoft Exchange auf. „Unmittelbar nach Bekanntwerden der Schwachstellen konnten bereits großflächige Scans im Internet beobachtet werden, mit denen Angreifer nach verwundbaren Exchange-Servern suchten“, heißt es im Lagebericht des BSI. Rund 65.000 Server waren hierzulande von der Sicherheitslücke betroffen, darunter auch Server einiger Bundesbehörden. Die Folge war eine „begrenzte IT-Krise“, ein Ereignis, dass in der Geschichte des BSI erst drei Mal ausgerufen wurde. Die Lücke konnte zwar zügig über ein Update geschlossen werden – allerdings muss ein Administrator dies auch umgehend tun! Auch wenn der BSI-Präsident umgehend mehrfach öffentlich an die Verantwortlichen appellierte, waren im Mai immer noch 4000 Exchange-Server verwundbar. Eine desaströse Bilanz, wenn man bedenkt, dass die Lücken zwar mittlerweile geschlossen sein mögen, die Schadsoftware aber bereits installiert sein kann und nur noch auf ihre Aktivierung wartet. Schönbohm bezeichnet solche Schwachstellen völlig zu Recht als „Ausdruck einer mangelhaften Produktqualität“, die besonders dann verheerende Folgen hat, „wenn Produkte mit großer Verbreitung und hoher Marktdurchdringung betroffen sind“.
Aber es geht noch ein wenig bedrohlicher: So genannte Supply-Chain-Angriffe zielen direkt auf die Software-Hersteller. Dort wird Schadcode direkt in die Software eingebaut (z.B. durch kompromittierte Github-Repositories) um dann auf dem Wege eines Updates an alle Anwender ausgerollt zu werden. Statt Sicherheitslücken zu suchen, schaffen sich Kriminelle auf diesem Wege dauerhaft eigene Lücken – und damit Zugänge. 18000 Unternehmen haben ein Update der Software Orion des amerikanischen Herstellers SolarWinds installiert, betroffen waren anschließend unter anderem die US-Ministerien für Heimatschutz, Handel und Finanzen und sogar das Pentagon. „Der Aufwand und die Kompetenz der Angreifer, lange unentdeckt zu bleiben, muss als technischer Meilenstein gewertet werden, der Anlass zur Sorge gibt", heißt es hierzu lapidar im Lagebericht des BSI.
Insbesondere der Vorfall in den USA hat auch hierzulande erneut die Diskussion angefacht, wie sich Staat, Wirtschaft und Gesellschaft schützen können. Mehrfach betont das BSI im Bericht die Wichtigkeit des IT-Sicherheitsgesetzes 2.0. Dieses Gesetz verpflichtet beispielsweise „Unternehmen im besonderen öffentlichen Interesse“, Sicherheitsvorfälle zu melden und ihre Sicherheit nachzuweisen. Ebenfalls verleiht das Gesetz dem BSI größere Befugnisse, selbst aktiv nach Lücken zu suchen. Insbesondere dieser Umstand wurde bereits in der Vergangenheit vielfach kritisiert, schließlich ist das BSI nicht unabhängig, sondern dem Innenministerium unterstellt. Da die seit Jahren geforderte Haftung für fehlerhafte Software nicht im Gesetz festgeschrieben wurde, bleibt dem BSI daher nur, an die Verantwortung der Entwickler zu appellieren: „Aus der Not geborene Digitalisierungsprojekte vernachlässigen die Informationssicherheit und gefährden damit ganze Unternehmensnetzwerke. Hastig zusammengeschusterte Software-Anwendungen gefährden die Sicherheit sensibler Daten.“ Kurz und gut: Digitalisieren, aber bitte richtig! Immerhin: Der Corona-Warn-App attestiert das BSI, dies vorbildlich getan zu haben.
Bitte beachten Sie: AMTANGEE ist Mitglied der Allianz für Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der hier veröffentlichte Beitrag ist eine Recherche der AMTANGEE-Redaktion aus aktuellem Anlass und stellt keine Veröffentlichung des BSI oder eine Veröffentlichung im Namen oder Auftrag des BSI dar.
