Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor wenigen Tagen seinen Lagebericht zur IT-Sicherheit in Deutschland 2015 veröffentlicht. Wie der Bericht zeigt, bleibt die Sicherheitslage weiterhin angespannt und die Cyber-Bedrohungslage spitzt sich zu.
GEFÄHRDUNGSLAGE
Der Bericht erläutert die aktuelle Gefährdungslage, insbesondere in den Bereichen der Clouds, Schwachstellen in Soft- und Hardware, Nutzerverhalten, Verschlüsselung, Internet-Protokolle, mobiler Kommunikation und Apps, sowie industrieller Steuerungsanlagen. Ein Grafikindikator in Form eines Pfeils nach oben, rechts oder unten zeigt dabei den Grad der Gefährdung an. So wird das Risiko beim Cloud-Computing oder im Bereich Verschlüsselung eher durchschnittlich bewertet, während die Bedrohung in der mobilen Kommunikation oder bei Apps als hoch eingestuft wird.
ANGRIFFSMETHODEN UND -MITTEL
Der zweite große Block des Berichts widmet sich den wichtigsten Angriffsmethoden. Neben gezielten APT-Angriffen, spielen die Klassiker wie Schadsoftware, Spam, Botnetze und Social Engineering weiterhin die größte Rolle. Während die Bedrohung durch Social Engineering aber nur als durchschnittlich eingestuft wird, sieht man die Gefährdung durch APT-Angriffe, wie den auf den Bundestag im Sommer diesen Jahres, und durch Schadsoftware als hoch an.
GEFÄHRDUNGSLAGE
Diese Angriffe nehmen auch den dritten zentralen Themenschwerpunkt des Berichtes ein. Allerdings nur in sehr allgemeiner Form. Wer eine Stellungnahme zu den konkreten Angriffen und der aktuellen Lage dazu erwartet, sucht hier vergeblich. Stattdessen wird man mit Zahlen und Fakten bombardiert, die zeigen sollen wie gut man alles unter Kontrolle hat: „Im Bereich Abwehr unerwünschter E-Mails wurden in der ersten Jahreshälfte 2015 in den Regierungsnetzen durchschnittlich etwa 11.000 infizierte E-Mails pro Monat in Echtzeit abgefangen, bevor sie die Postfächer der Empfänger erreichten. (…)Darüber hinaus werden pro Tag im Mittelwert 15 Angriffe auf die Regierungsnetze detektiert, die mit normalen Schutzmaßnahmen nicht zu erkennen gewesen wären. Durchschnittlich ein gezielter Angriff alle zwei Tage hatte einen nachrichtendienstlichen Hintergrund.(…) 2015 wurden mit dieser Methode bisher täglich rund 5.000 Verbindungsversuche zu Schadcodeservern blockiert. Bis September 2015 wurden bereits 152-mal aktive Schadprogramme detektiert, die kommerzielle Schutzsysteme unterlaufen haben“
SCHUTZ KRITISCHER INFRASTRUKTUREN
Der vierte große Themenbereich wirft sein Augenmerk auf die „IT-Sicherheit für das Gemeinwohl“, also auf Strom, Wasser, Finanzen, Ernährung, etc. Die Problematik wurde hier darin erkannt, dass einige „Betreiber (…) in Bezug auf ihre IT-Sicherheit sehr gut aufgestellt [sind] und (…) viel in die Effektivität ihrer Maßnahmen [investieren]. Andere Betreiber haben hier noch Nachholbedarf.“ Hier erhofft man sich Abhilfe durch das seit Juli in kraft getretene IT-Sicherheitsgesetz. „Kooperativ erfolgt auch die Erarbeitung branchenspezifischer IT-Sicherheitsstandards zur Gewährleistung eines der Bedrohungslage angemessenen Mindestniveaus an IT-Sicherheit. Die Standards werden von den Betreibern und deren Verbänden erarbeitet und vom BSI anerkannt. Umsetzung und Wirksamkeit der erarbeiteten Maßnahmen werden in Audits geprüft.“
GESAMTBEWERTUNG
Der letzte Abschnitt des Berichts schließlich gibt eine Gesamtbewertung ab. Es wird eine Kausalität der Gefährdungen erkannt und die Gesamtgefährdung als hoch eingestuft. Das Fazit sieht die Verantwortung für IT-Sicherheit als gesamtgesellschaftliche Aufgabe, „die gemeinsam von Bürgern, Wirtschaft, Forschung und Politik getragen werden muss.“ Den letzten Satz sollte man sich vielleicht ausdrucken und als ständige Erinnerung an den eigenen Bildschirm pinnen: „Bereits heute trägt jeder Anwender mit seinem Verhalten Verantwortung für die IT-Sicherheit in Deutschland.“