E&M exklusiv Newsletter:
E&M gratis testen:
Energie & Management > IT - IT-Sicherheitslage weiter angespannt bis kritisch
Quelle: Fotolia / Sergey Nivens
IT

IT-Sicherheitslage weiter angespannt bis kritisch

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den aktuellen Bericht zur Lage der IT-Sicherheit vorgelegt. Das Ergebnis ist besorgniserregend, war aber zu erwarten.
Cyber-Erpressungen entwickeln sich zur größten Bedrohung. Dies ist eine der wesentlichen Erkenntnisse des diesjährigen BSI-Berichts zur Lage der IT-Sicherheit in Deutschland. Immer häufiger gelinge es Kriminellen, in IT-Systeme von Unternehmen und Institutionen einzudringen und Daten zu verschlüsseln, um anschließend Lösegelder zu erpressen. Besonders die Schadsoftware Emotet spiele dabei eine entscheidende Rolle, heißt es in dem 100-seitigen Papier.

Insgesamt hat das BSI im Berichtszeitraum 1. Juni 2020 bis 31. Mai 2021 rund 144 Mio. neue Schadprogramm-Varianten festgestellt. Dies entspricht im Vergleich zum Jahr davor einem Anstieg von 22 %. Die höchste an einem einzelnen Tag festgestellte Zahl an neuen Schadprogramm-Varianten lag der Behörde zufolge bei 553.000.

Den Verfassern des Berichts ist klar, dass für die Zukunft des Industriestandorts Deutschland die Digitalisierung ein wesentlicher Erfolgsfaktor ist. Eine unverzichtbare Voraussetzung dafür ist aber auch die Informationssicherheit, wie Arne Schönbohm betont. In seinem Vorwort schreibt der BSI-Präsident: „Die Digitalisierung mit all ihren Vorzügen wird weiter voranschreiten. Das ist gut so. Wenn wir aber dabei weiterhin die Informationssicherheit vernachlässigen, werden wir niemals das volle Potenzial der Digitalisierung ausnutzen können. Mehr noch: Im schlimmsten Fall werden viele Digitalisierungsprojekte scheitern.“

Auch wenn sich die öffentliche Aufmerksamkeit vor dem Hintergrund der Corona-Pandemie noch sehr auf den Gesundheitssektor konzentriert, sind Cyber-Angriffe auf Betreiber kritischer Infrastrukturen aller Branchen beinahe an der Tagesordnung. Soweit eine wesentliche Erkenntnis der Verfasser. Gleichzeitig wurden in den Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie insgesamt 1.805 Sicherheitsmängel gefunden. Sie wurden im Rahmen der Verpflichtung der Betreiber kritischer Infrastrukturen aufgedeckt, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass ihre IT-Sicherheit dem Stand der Technik entspricht.

553.000 neue Schadsoftware-Varianten an einem einzigen Tag festgestellt

Etwa ein Drittel der Mängel im Kritis-Sektor Wasser sei auf das sogenannte Information Security Management System (ISMS) zurückzuführen. Auch wenn der Sektor an sich im Vergleich zur Finanzbranche oder der IT-Branche wenig digitalisiert sei, gibt es den Autoren des BSI-Berichts zufolge noch viel Optimierungspotenzial beim Management der Informationssicherheit.

Ein ähnliches Bild ergibt sich für die Energiewirtschaft. Auch hier liegt ein Großteil – knapp ein Viertel – der festgestellten Mängel im Bereich des ISMS. Vergleichsweise gering ist dagegen der Anteil der Mängel, die in die Kategorie „technische Informationssicherheit“ fallen (8 %).

Anhand einiger Branchenbeispiele zeigt das BSI, wie Betreiber kritischer Infrastrukturen zum Ziel von Cyber-Angriffen wurden, so auch der US-Pipeline-Betreiber Colonial Pipeline, der mit der Ransomware Darkside attackiert wurde. Nach Einschätzung der Behörde ist ein vergleichbarer Cyber-Angriff hierzulande durchaus möglich.

Vor diesem Hintergrund verweist das BSI neben den besonderen Pflichten, denen Betreiber kritischer Infrastrukturen bezüglich ihrer IT-Sicherheit unterliegen, auf die Meldepflichten bei Cyber-Sicherheitsvorfällen hin. Im Rahmen der Meldung von IT-Vorfällen gemäß § 8b des IT-Sicherheitsgesetzes (BSIG) seien vereinzelt IT-Angriffe auf Energieversorgungsunternehmen gemeldet worden, die jedoch bislang lediglich deren Office- Systeme betrafen. „Die kritischen Dienstleistungen konnten jeweils aufrechterhalten werden“, heißt es im Lagebericht.

Besonders heben die Autoren den Rollout intelligenter Messsysteme hervor. „Durch die Verwendung von intelligenten Messsystemen und der damit verbundenen Nutzung zertifizierter Smart Meter Gateways werden künftig wichtige Systeme des Energienetzes über eine sichere Kommunikationsinfra­struktur vernetzt“, schreiben sie.

Sie weisen auch darauf hin, dass die Behörde „regelmäßig, zeitnah und für die Empfänger in Staat, Wirtschaft und Gesellschaft kostenlos“ über Schwachstellen, Sicherheitslücken und Bedrohungen für IT-Systeme informiert. Allerdings geben sie zu bedenken, dass dieses Angebot seine volle Wirkung kaum entfalten könne, da Privatpersonen, Institutionen und Unternehmen die Bedrohungen noch immer nicht ausreichend ernst nehmen. Dies habe beispielsweise auch eine eigene Studie zur IT-Sicherheit im Home Office nachgewiesen.

Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ steht auf der Internetseite des BSI zum Download zur Verfügung.

Donnerstag, 21.10.2021, 15:47 Uhr
Fritz Wilhelm
Energie & Management > IT - IT-Sicherheitslage weiter angespannt bis kritisch
Quelle: Fotolia / Sergey Nivens
IT
IT-Sicherheitslage weiter angespannt bis kritisch
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den aktuellen Bericht zur Lage der IT-Sicherheit vorgelegt. Das Ergebnis ist besorgniserregend, war aber zu erwarten.
Cyber-Erpressungen entwickeln sich zur größten Bedrohung. Dies ist eine der wesentlichen Erkenntnisse des diesjährigen BSI-Berichts zur Lage der IT-Sicherheit in Deutschland. Immer häufiger gelinge es Kriminellen, in IT-Systeme von Unternehmen und Institutionen einzudringen und Daten zu verschlüsseln, um anschließend Lösegelder zu erpressen. Besonders die Schadsoftware Emotet spiele dabei eine entscheidende Rolle, heißt es in dem 100-seitigen Papier.

Insgesamt hat das BSI im Berichtszeitraum 1. Juni 2020 bis 31. Mai 2021 rund 144 Mio. neue Schadprogramm-Varianten festgestellt. Dies entspricht im Vergleich zum Jahr davor einem Anstieg von 22 %. Die höchste an einem einzelnen Tag festgestellte Zahl an neuen Schadprogramm-Varianten lag der Behörde zufolge bei 553.000.

Den Verfassern des Berichts ist klar, dass für die Zukunft des Industriestandorts Deutschland die Digitalisierung ein wesentlicher Erfolgsfaktor ist. Eine unverzichtbare Voraussetzung dafür ist aber auch die Informationssicherheit, wie Arne Schönbohm betont. In seinem Vorwort schreibt der BSI-Präsident: „Die Digitalisierung mit all ihren Vorzügen wird weiter voranschreiten. Das ist gut so. Wenn wir aber dabei weiterhin die Informationssicherheit vernachlässigen, werden wir niemals das volle Potenzial der Digitalisierung ausnutzen können. Mehr noch: Im schlimmsten Fall werden viele Digitalisierungsprojekte scheitern.“

Auch wenn sich die öffentliche Aufmerksamkeit vor dem Hintergrund der Corona-Pandemie noch sehr auf den Gesundheitssektor konzentriert, sind Cyber-Angriffe auf Betreiber kritischer Infrastrukturen aller Branchen beinahe an der Tagesordnung. Soweit eine wesentliche Erkenntnis der Verfasser. Gleichzeitig wurden in den Sektoren Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie insgesamt 1.805 Sicherheitsmängel gefunden. Sie wurden im Rahmen der Verpflichtung der Betreiber kritischer Infrastrukturen aufgedeckt, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass ihre IT-Sicherheit dem Stand der Technik entspricht.

553.000 neue Schadsoftware-Varianten an einem einzigen Tag festgestellt

Etwa ein Drittel der Mängel im Kritis-Sektor Wasser sei auf das sogenannte Information Security Management System (ISMS) zurückzuführen. Auch wenn der Sektor an sich im Vergleich zur Finanzbranche oder der IT-Branche wenig digitalisiert sei, gibt es den Autoren des BSI-Berichts zufolge noch viel Optimierungspotenzial beim Management der Informationssicherheit.

Ein ähnliches Bild ergibt sich für die Energiewirtschaft. Auch hier liegt ein Großteil – knapp ein Viertel – der festgestellten Mängel im Bereich des ISMS. Vergleichsweise gering ist dagegen der Anteil der Mängel, die in die Kategorie „technische Informationssicherheit“ fallen (8 %).

Anhand einiger Branchenbeispiele zeigt das BSI, wie Betreiber kritischer Infrastrukturen zum Ziel von Cyber-Angriffen wurden, so auch der US-Pipeline-Betreiber Colonial Pipeline, der mit der Ransomware Darkside attackiert wurde. Nach Einschätzung der Behörde ist ein vergleichbarer Cyber-Angriff hierzulande durchaus möglich.

Vor diesem Hintergrund verweist das BSI neben den besonderen Pflichten, denen Betreiber kritischer Infrastrukturen bezüglich ihrer IT-Sicherheit unterliegen, auf die Meldepflichten bei Cyber-Sicherheitsvorfällen hin. Im Rahmen der Meldung von IT-Vorfällen gemäß § 8b des IT-Sicherheitsgesetzes (BSIG) seien vereinzelt IT-Angriffe auf Energieversorgungsunternehmen gemeldet worden, die jedoch bislang lediglich deren Office- Systeme betrafen. „Die kritischen Dienstleistungen konnten jeweils aufrechterhalten werden“, heißt es im Lagebericht.

Besonders heben die Autoren den Rollout intelligenter Messsysteme hervor. „Durch die Verwendung von intelligenten Messsystemen und der damit verbundenen Nutzung zertifizierter Smart Meter Gateways werden künftig wichtige Systeme des Energienetzes über eine sichere Kommunikationsinfra­struktur vernetzt“, schreiben sie.

Sie weisen auch darauf hin, dass die Behörde „regelmäßig, zeitnah und für die Empfänger in Staat, Wirtschaft und Gesellschaft kostenlos“ über Schwachstellen, Sicherheitslücken und Bedrohungen für IT-Systeme informiert. Allerdings geben sie zu bedenken, dass dieses Angebot seine volle Wirkung kaum entfalten könne, da Privatpersonen, Institutionen und Unternehmen die Bedrohungen noch immer nicht ausreichend ernst nehmen. Dies habe beispielsweise auch eine eigene Studie zur IT-Sicherheit im Home Office nachgewiesen.

Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ steht auf der Internetseite des BSI zum Download zur Verfügung.

Donnerstag, 21.10.2021, 15:47 Uhr
Fritz Wilhelm

Haben Sie Interesse an Content oder Mehrfachzugängen für Ihr Unternehmen?

Sprechen Sie uns an, wenn Sie Fragen zur Nutzung von E&M-Inhalten oder den verschiedenen Abonnement-Paketen haben.
Das E&M-Vertriebsteam freut sich unter Tel. 08152 / 93 11-77 oder unter vertrieb@energie-und-management.de über Ihre Anfrage.