Wenn die NATO über den Verteidigungsfall nach Artikel 5 redet, werden Cyber-Angriffe bisher noch ausgenommen. Der Grund dafür ist, dass sich diese bisher weitestgehend unterhalb kritischer Schwellen bewegt haben. Das könnte sich in naher Zukunft ändern. Während Corona wurden qualifizierte Angriffe auf Krankenhäuser durchgeführt. In deren Folge musste beispielsweise eine Notaufnahme in Düsseldorf geschlossen werden. Der Preis solcher Aktionen können Menschenleben sein. Laut Lagebericht 2020 des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind sämtliche Gerätschaften der Intensivstationen potenziell gefährdet. Diese sind über Schnittstellen mit der Außenwelt verbunden, so dass sie neben gesunden Updates auch Schadsoftware empfangen können.
2019 gab es ein Szenario, bei dem eine fünfstellige Anzahl von Patientendatensätzen inklusive der dazugehörigen Bilddaten veröffentlicht wurde. Dass diese Angriffe ihre Wirkung entfalten können, liegt an Fehlkonfigurationen der Server, an Lücken = Qualitätsmängeln in der Zielsoftware und an sozialen Einfallstoren wie schwache Passwörter oder unbedachte Klicks auf gefährliche Links. Daran zeigt sich, dass Sicherheit im Gesundheitswesen bislang keine hohe Priorität hatte. Als Konsequenz sollen nun 15% des IT-Budgets des Gesundheitsministeriums in IT-Sicherheit investiert werden.
BSI stellt den Lagebericht 2020 zur IT-Sicherheit in Deutschland vor |
"Antworten Sie so, wie Sie denken", ermutigte Innenminister Horst Seehofer seinen BSI-Präsidenten Arne Schönbohm in der gestrigen Pressekonferenz zu einer ehrlichen Antwort auf die Frage, wie er die Sicherheitslage auch für die Zukunft sieht: "besorgt". Besorgnis ist beim BSI ein Dauerzustand. Das liegt daran, dass täglich über 300.000 neue Varianten von Schadprogrammen in Umlauf gebracht werden. Täglich werden 20.000 BOT-Infektionen deutscher Systeme registriert. Drei von vier E-Mails an den Bund sind Spam-Mails und 1.000 an den Bund gerichtete E-Mails pro Tag enthalten Schadsoftware.
Corona hat die Kreativität krimineller Akteure befeuert. Diese reagieren gewohnt schnell und flexibel auf medienwirksame Entwicklungen. So wurden täuschend echt wirkende Webseiten zur Beantragung von Corona-Zuschüssen aufgesetzt und professionell beworben. Auf diesem Wege wurden von übereilt handelnden Betroffenen sensible Firmendaten abgegriffen und zur Umlenkung der Zuschüsse genutzt. Aber auch sonst ließen sich die Verunsicherung des Lockdowns und der Umzug ins Homeoffice effizient für Angriffe ausnutzen. Erst langsam werden Sicherheitslücken bei Videokonferenz-Anbietern geschlossen und Mitarbeiter im Homeoffice auf Sicherheitsaspekte sensibilisiert.
Virenscanner, Firewalls, lange Passwörter und verschlüsselte Verbindungen bieten einen gewissen Grundschutz, der längst nicht flächendeckend genutzt wird. Laut einer Risikomatrix stellen die Menschen vor dem Bildschirm immer noch das größte Gefahrenpotenzial dar: leichtfertiges Klicken auf Links, gedankenloses Installieren von Schadsoftware, unbefugter Zugriff am Endgerät oder säumiges Einspielen von Systemupdates. Letzteres lässt sich normalerweise auf Automatik einstellen. Das BSI strebt an, dass Parameter wie automatische Updates per "default" - also per Voreinstellung - in Softwareprodukten eingestellt sind. Auswertungen haben ergeben, dass viele Nutzer die Software installieren und dann gar nichts mehr an deren Grundeinstellungen ändern. Zukünftig soll der Nutzer nur noch sichere Software ausgeliefert bekommen, deren Restriktionen er dann manuell lockern muss.
Für den Server-Betrieb empfiehlt das BSI den Einsatz eines Minimalsystems. Dieses soll nur die wirklich benötigten Komponenten enthalten. Das verringert die Angriffsfläche. Interessant an der Risikomatrix ist auch, dass eine Manipulation eingehender Datenströme als "sehr unwahrscheinlich" eingestuft wird. Das widerspricht dem Hype um das verschlüsselnde HTTPS-Protokoll. War HTTPS früher nur seriösen Webanwendungen vorbehalten, wird dieses inzwischen zu über 60% auch von gefälschten Webseiten zum Ausspähen sensibler Daten (Phishing) genutzt.
Cyber-Angriffe fallen in den Fachbereich "Hybride Bedrohungen". Zuständig ist Staatssekretär Dr. Markus Kerber. Täglich um 11 Uhr trifft sich dazu eine Arbeitsgruppe aus sämtlichen Sicherheitsbehörden wie dem BND (Bundesnachrichtendienst), dem MAD (Militärischer Abschirmdienst), dem Verfassungsschutz (BfV), der Bundespolizei, dem Kommando CIR (Cyber-Informationsraum) und dem BBK (Bevölkerungsschutz und Katastrophenhilfe). Diese Plattform nennt sich Nationales Cyber-Abwehrzentrum (Cyber-AZ).
Das BSI hat alle Hände voll zu tun und wird kontinuierlich personell erweitert. Im sächsischen Freital wird derzeit ein zweiter Standort des BSI mit 200 neuen Mitarbeitern geschaffen. Diese Mitarbeiter werden hauptsächlich in der Region rekrutiert. Darüber hinaus kümmert sich das BSI auch um gesetzliche Rahmenbedingungen. Diese müssen wegen der technischen Entwicklung ständig angepasst werden. So wurde 2015 das erste IT-Sicherheitsgesetz verabschiedet. Kurz darauf wurde das zweite IT-Sicherheitsgesetz in die Bearbeitung gegeben. Dann kamen 5G und Huawei ins Gespräch und der Text musste schon wieder nachjustiert werden. Dabei geht der Gesetzentwurf durch ein größeres Gremium von Technik-Experten und eine 5er-Gruppe, die aus Verfassungsschutz (BfV), Innenministerium (BMI), Wirtschaftsministerium (BMWi), BSI und Auswärtigem Amt besteht. Erst wenn ein allgemeiner Konsens erzielt wurde, geht der Text in die nächste Instanz. Wenn allerdings das "Sicherheitsinteresse Deutschlands" durch eine neue Technologie oder deren Anbieter tangiert wird, gibt es eine "politische Versagensmöglichkeit". Einen Zeitpunkt für das Inkrafttreten des zweiten IT-Sicherheitsgesetzes wollte in der Pressekonferenz niemand bekannt geben. Es hieß nur: "in Kürze" oder "bald".
In der Zwischenzeit kann der geneigte Leser überlegen, welche Passwörter noch zu optimieren sind, ob er mal wieder einen Virenscan laufen lässt, wie lange seine letzte Datensicherung her ist und ob die Datensicherung physisch und geografisch getrennt aufbewahrt wird.
Autor: Matthias Baumann