„Es ist nicht nur die Anzahl von Sicherheitsvorfällen, die besorgniserregend ist, es ist auch die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen.“. Dieses Zitat von Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), zeigt, dass auch in diesem Jahr die Lage der IT-Sicherheit weiter „angespannt bis kritisch“ bleibt. Wie auch in den letzten Jahren, liefern wir Ihnen eine Zusammenfassung des diesjährigen Lageberichts [1] und betrachten im speziellen die Auswirkungen auf das industrielle Umfeld.
Erhebungszeitraum 06.2020 – 05.2021
Hier finden Sie den Bericht aus dem Vorjahr, in welchem unter anderem der emotet-Infektionsablauf näher erläutert wird.
Wie im IT-Sicherheitsbericht des BSI 2020 vermutet wurde, hatte die COVID-19-Pandemie auch im Erhebungszeitraum Juni 2020 bis Mai 2021 einen erheblichen Einfluss auf die IT-Welt, sowohl im positiven (Treiber der Digitalisierung) als auch im negativen (Cyber-Angriffe) Sinn. Im Bereich der Cyber-Angriffe konnten keine vollständig neu entwickelten Angriffsmethoden in Bezug auf die Pandemie festgestellt werden, jedoch wurden unter anderem Phishing- und Social-Engineering-Angriffe thematisch darauf angepasst. Auch wurden falsche Produkte, unter anderem Schutzausrüstung, in Umlauf gebracht und es gab vermehrt Angriffe auf Arzneimittelagenturen, Hersteller von Impfstoffen oder Krankenhäuser.
Betrachtet man das große Ganze, so stufte der BSI die IT-Sicherheitslage im vorliegenden Zeitraum als „angespannt bis kritisch“ ein. Schuld daran waren unter anderem die Ausweitung und der Anstieg verwendeter Erpressungsmethoden in der Cyber-Kriminalität. Sowohl Schweigegeld- und Lösegeld- als auch Schutzgelderpressungen konnten zu tage- oder wochenlangen Netzwerkausfällen führen. Insbesondere die Schweigegelderpressung, bei welcher die Enthüllung kompromittierender Informationen angedroht und durchgeführt wurde, nahm zu. Im Falle eines Krankenhauses in Nordrhein-Westfalen konnten 13 Tage lang keine neuen Patienten aufgenommen werden, da aufgrund eines Erpresser-Angriffs einige zentrale Systeme ausfielen. Erst als die Behörden den Angreifern mitteilten, dass sie anstelle einer Universität das Universitätsklinikum angegriffen hatten, wurde ein Schlüssel zur Wiederherstellung freigegeben.
Doch nicht nur solche Angriffe gefährdeten die IT-Sicherheit, auch Schadsoftware-Angriffe trugen hierzu bei. Im Vergleich zum Vorjahr ist die Anzahl der täglich produzierten Schadprogramm-Varianten um rund 22 % gestiegen. Wie diese Grafik zeigt, ist ein deutlicher Aufwärtstrend zu beobachten.
Quelle: BSI Lagebericht 21
Die Übernahme und Zerschlagung der Infrastruktur für die Schadsoftware emotet im Januar 2021 kann zwar trotzdem als Erfolg verbucht werden, schützt allerdings nicht vor zukünftigen Angriffen mit neuen Methoden. Durch die Übernahme konnten mehr als 35 Millionen Datensätze, welche mit emotet gesammelt wurden, sichergestellt werden. Der zuvor entstandene weltweite Schaden wird allerdings auf über 2,5 Milliarden US-Dollar geschätzt.
Wie am Beispiel der „extrem kritisch“ eingestuften Schwachstellen in Microsoft Exchange zu sehen, stellen Schwachstellen im Berichtszeitraum ebenfalls eine enorme Bedrohung und Herausforderung dar. Im Falle von Microsoft wurden 2021 mit einem nicht geplanten Sicherheitsupdate vier Schwachstellen geschlossen, welche bei Bekanntwerden der Problematik unmittelbar ausgenutzt wurden. Circa „98 % aller geprüften Systeme in Deutschland“ waren dabei verwundbar. 89 % davon haben bis Mai 2021 die nötigen Updates ausgeführt und konnten somit die Lücken schließen. Die restlichen 9 % sind noch immer angreifbar.
Auch Advanced Persistent Threats (APT) gehörten im vorliegenden Zeitraum zu den verwendeten Angriffsmethoden, wobei sich hier das Motiv und der große Aufwand der langwierigen Planung von anderen Methoden abhebt. Meist scannen Täter Server oder nutzen schwer zu kontrollierende Software-Supply-Chains als Angriffsweg. Dies bedarf einer langen und aufwändigen Planung. In Deutschland kam es im beobachteten Zeitraum hauptsächlich zu Angriffen auf Regierungsbehörden, aber auch der Rüstungssektor und Unternehmen wurden als Ziele ausgewählt. Neu waren in diesem Jahr auch Angriffe auf Thinktanks und NGOs.
Ebenfalls wurden wieder „Distrbuted Denial of Service (DDoS)“-Angriffe ausgeführt. Diese Art der Überlastungsangriffe auf Internetdienste gibt es seit mehr als 20 Jahren und man kann sich bereits davor schützen. Trotzdem kam es im Jahr 2020 zu mehreren Millionen Angriffen, welche möglicherweise durch den Bandbreitenausbau und die vergrößerte Angriffsfläche durch Homeoffice und Homeschooling aufgrund der COVID-19-Pandemie begünstigt wurden. Hierbei waren nationale und internationale Unternehmen, inklusive KRITIS, betroffen.
Im Bereich der KRITIS-Umgebungen fällt dieser IT-Sicherheits-Bericht in denselben zweijährigen Nachweiszyklus wie der vorherige. Daher sind wenig neue Erkenntnisse zu berichten. Insgesamt kam es in den Sektoren Telekommunikation, Informationstechnik, Wasser und Energie sowie Finanz- und Versicherungswesen zu 1.805 Mängel. Eine kleine Übersicht über die Hauptmängel finden Sie hier:
Auch im diesjährigen BSI-Bericht zur Lage der IT-Sicherheit zeigte sich, dass die COVID-19-Pandemie auch im Zeitraum Juni 2020 bis Mai 2021 ein großer Vorantreiber der Digitalisierung war. Damit einhergehend kam es allerdings, wie im Vorjahr vermutet, auch zu unerwünschten Nebeneffekten. Schwerwiegende Angriffe auf Unternehmen, Einrichtungen oder Privatpersonen konnten sogar deren Existenz in Schwierigkeiten bringen. Oft kann in solchen Situationen zu schnell mit Notlösungen reagiert werden, um auf die Schnelle ein Problem abzuwenden. Hier empfiehlt das BSI, Funktionalität nicht über Sicherheit zu stellen. Als Positivbeispiel nennen sie die Corona-Warn-App, welche trotz schneller Inbetriebnahme bisher funktional und sicher ist.
Die Devise „Sicherheit über Funktionalität“ kann sich im Bereich der Cyber-Sicherheit am Arbeitsplatz sogar zu einem Wettbewerbsvorteil für Unternehmen entwickeln. Denn Sicherheit schafft Vertrauen und führt zu Akzeptanz, wie das BSI am Beispiel des autonomen Fahrens erläutert.
Wirft man einen Blick in die Zukunft, so wird die Bedrohung durch Cyber-Kriminalität nicht schwinden. Unternehmen werden ohne konkrete IT-Sicherheitsmaßnahmen weiterhin bedroht sein und Umsatzverluste oder gar Insolvenzen erleiden. Wie schnell dies gehen kann, zeigte das oben erwähnte Beispiel der Microsoft Exchange Server, bei denen 98 % aller Server verwundbar waren. Auch die Produktion ist vor solchen Angriffen ohne regelmäßiges Patchen und weitere Maßnahmen nicht geschützt. Durch diesen Trend könnte das Vertrauen in moderne Technologien und die Digitalisierung verloren gehen, was vermieden werden sollte. Denn wie Frau Merkel sagte: „Digitalisierung und Informationssicherheit gehören zusammen. Wir müssen in beiden Bereichen stark sein. Das entscheidet wesentlich darüber, wie erfolgreich Deutschland in Zukunft sein wird.“
Sie möchten die Entwicklung des Lageberichts gerne mit den vorherigen vergleichen? Hier können Sie noch einmal unsere Zusammenfassung vom Lagebericht der IT-Sicherheit 2020 und 2019 nachlesen:
Lage der IT-Sicherheit im Shopfloor 2020
Lage der IT-Sicherheit im Shopfloor 2019
Sie benötigen Hilfe bei der sicheren Umsetzung Ihrer Produktions-IT?
Kontaktieren Sie uns, wir helfen Ihnen weiter!
Möchten Sie mehr erfahren? Zögern Sie nicht uns zu kontaktieren, wir helfen Ihnen gerne weiter.
Hier erfahren Sie mehr über unser Unternehmen und unsere Expertise als Pionier und Marktführer.