BSI-Lagebericht Sicherheitsexperten kämpfen gegen Flut von Erpressersoftware
BSI-Chef Arne Schönbohm, Innenminister Thomas de Maizière und der Bundespressekonferenz-Vorsitzende Gregor Mayntz (v.l.)
Foto: Wolfgang Kumm/ dpaDie Zahl versuchter Hackerangriffe auf deutsche Regierungsnetze ist im zurückliegenden Jahr zunächst auffallend gestiegen: Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem neuen Jahresbericht mitteilt, wurden zwischen Juli 2016 und Juni 2017 pro Monat durchschnittlich rund 52.000 E-Mails mit Schadsoftware an die Bundesverwaltung abgefangen. Das sind 18 Prozent mehr als im Vorjahreszeitraum.
Die Steigerung ist laut BSI auf die massenhafte Verbreitung von Ransomware im Jahr 2016 zurückzuführen. Die sei allerdings nicht nur im Regierungsnetz zu beobachten gewesen, wo sich die Lage im ersten Halbjahr 2017 erst einmal wieder entspannt habe.
Unter Ransomware versteht man Schadsoftware, die Daten auf den Rechnern der Opfer verschlüsselt und nur gegen Lösegeld wieder herausgibt. 2017 hatten mit "Wannacry"und "Petya"spektakuläre Fälle für Aufsehen gesorgt, weil sie in mehreren Ländern Firmen und auch Krankenhäuser lahmlegten. Ransomware gilt als eine der großen aktuellen Bedrohungen im Bereich der IT-Sicherheit.
Das zeigt auch der Jahresbericht zur Lage der IT-Sicherheit in Deutschland (PDF ), den das BSI veröffentlicht hat. Darin beschreibt die Behörde, welchen digitalen Bedrohungen die Regierung, Unternehmen und auch Privatnutzer im vergangenen Jahr ausgesetzt waren. Erpressersoftware ist eine davon: "Wir haben über 350 Ransomware-Familien identifiziert", sagte BSI-Präsident Arne Schönbohm.
Rund 300.000 neue Schadsoftware-Variationen pro Tag
Auch sonst sei die Sicherheitslage "weiterhin auf hohem Niveau angespannt", heißt es vom BSI. Laut dem Bericht sind die deutschen Regierungsnetze permanent Angriffen ausgesetzt, etwa durch Hackergruppen wie APT 28 (auch bekannt unter Namen wie Sofacy oder Fancy Bear), die russischen Geheimdiensten zugeschrieben werden. Auch Angreifer mit Namen wie GothicPanda, Machete oder DarkHotel waren aktiv. Laut BSI-Bericht blockierten Filter täglich rund 5100 Verbindungsversuche aus den Regierungsnetzen auf Internetseiten, die schädliche Software enthalten.
Weltweit seien mittlerweile mehr als 600 Millionen Schadprogramme bekannt, jeden Tag gebe es rund 300.000 neue Variationen. Die Urheber und Täter zu identifizieren sei insbesondere im Bereich der Cyberspionage schwierig, sagen die BSI-Experten. Sie stellen "strukturelle Überschneidungen zwischen Kriminellen und Nachrichtendiensten" fest.
Die IT-Sicherheitsexperten betonen in ihrem Bericht zudem die anhaltend hohe Gefahr für die Wirtschaft durch Angriffe aus dem Netz. Insbesondere Betreiber sogenannter kritischer Infrastrukturen, zum Beispiel aus dem Energie-, Gesundheits- oder Transportsektor, seien gefährdet. Um Angriffe auf Infrastrukturen zu erfassen, hatte die Bundesregierung eine entsprechende Meldepflicht eingeführt.
Zwischen Juli 2015 und Juni 2017 sind beim BSI 34 solcher Meldungen eingegangen: 18 aus dem Bereich der Telekommunikation, elf aus dem Energiesektor, drei von Wasserversorgern und zwei aus der Nahrungsmittelindustrie. Allerdings seien meist "menschliche Fehler" für die gemeldeten Störungen verantwortlich gewesen, wenn etwa Server schlecht konfiguriert wurden.
Besonders anfällig für Angriffe scheinen industrielle Steuerungsanlagen zu sein. Wurden 2016 insgesamt knapp über 120 Schwachstellen in Komponenten oder Software solcher Anlagen entdeckt, waren es allein im ersten Halbjahr 2017 schon 110.
Der Mensch als Sicherheitsrisiko
Das BSI nennt in seinem Bericht zahlreiche Beispiele dafür, wie komplex Cyberkriminelle das politische, öffentliche und wirtschaftliche Leben beeinflussen können. Im August 2016 etwa erhielt die Behörde einen Hinweis auf eine Schwachstelle, durch die Baustellenampeln über das Internet manipuliert werden können.
Auch die alltägliche Unsicherheit für private Computernutzer behandelt der Bericht: Angefangen bei veralteter Software in Onlineshops über Phishing-Angriffe und Identitätsdiebstahl bis hin zu Massen-Hacks wie dem Angriff auf E-Mail-Konten bei Yahoo, werden unterschiedliche Gefahren erwähnt. Dabei geht es immer wieder auch um den "Faktor Mensch" als Sicherheitsrisiko.
Etwa bei einem Trick, der so dreist wie erfolgreich ist: Beim sogenannten "CEO-Betrug" geben sich Betrüger als Firmenchef eines Unternehmens aus. Mit der gefälschten E-Mail-Adresse des Vorstandsvorsitzenden oder Geschäftsführers eines Unternehmens verschicken sie Anweisungen an Mitarbeiter des Unternehmens, hohe Geldbeträge von Firmenkonten zu überweisen.
Oft rufen die Kriminellen den Mitarbeiter zusätzlich mit einer fingierten Hintergrundgeschichte zur fraglichen Überweisung an, um glaubwürdiger zu wirken. Einem deutschen Automobilzulieferer ist nach BSI-Angaben durch diese Methode ein Schaden von 40 Millionen Euro entstanden.
