Quelle: Shutterstock / NicoElNino
Das Bundesamt für Sicherheit in der Informationstechnik hat seinen jährlichen Lagebericht zur Cybersicherheit in Deutschland vorgelegt. Dieser warnt vor vielfältigen Gefahren.
Die Nationale Sicherheitsstrategie der Bundesregierung wurde im Juni 2023 verabschiedet. Dass in dem Dokument das Wort „Cyber“ 62 Mal vorkommt, wertet Claudia Plattner als Indiz für die Bedeutung der Cybersicherheit für die umfassende Sicherheit Deutschlands. Doch mit der anhaltenden Digitalisierung und zunehmenden Vernetzung in Staat, Wirtschaft und Gesellschaft vergrößern sich die Angriffsflächen, so die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Vorwort des aktuellen Berichts zur Lage der IT-Sicherheit in Deutschland. Die Lage sei „angespannt bis kritisch“.
Im Berichtszeitraum, der von Juli 2022 bis Juni 2023 reicht, registrierte das BSI täglich durchschnittlich 250.000 neue Schadsoftware-Varianten. In der Betrachtung der Einzelmonate ragte der durchschnittliche tägliche Zuwachs im vergangenen Juni mit 332.000 Varianten heraus.
Besonders die Betreiber kritischer Infrastruktur („KRITIS“) sind im Visier von Cyberkriminellen. Aus dem Energiesektor kamen im Berichtszeitraum, der von Juli 2022 bis Juni 2023 reicht, 99 Meldungen. Nur der Gesundheitssektor (132 Meldungen) und der Sektor Transport und Verkehr (111 Meldungen) waren noch stärker betroffen. Allerdings würden Betreiber kritischer Infrastruktur zum Teil auch Vorfälle melden, die unterhalb der gesetzlichen Meldeschwelle liegen, heißt es von Seiten des BSI.
Systeme zur Früherkennung von Angriffen seit 1. Mai PflichtNach dem §
8b des BSI-Gesetzes sind Kritis-Betreiber dazu verpflichtet, „unverzüglich“ eine Meldung an die Behörde zu machen bei
- „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben“ oder bei
- „erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können“.
Das BSI weist ausdrücklich darauf hin, dass auch bei einer Auslagerung von IT-Dienstleistungen die Sicherheitsverantwortung beim Kritis-Betreiber verbleibt. Es sei allerdings mehrfach bei Prüfungen von Unternehmen aufgefallen, dass die Beziehungen zwischen Betreibern und Dienstleistern so gestaltet waren, dass die Betreiber einen angemessenen IT-Schutz nicht hätten gewährleisten können. „Auch eine Risikobewertung der Dienstleisterbeziehung findet häufig nicht statt. So ist manchmal unklar, wer welchen Teil der Betreiberverantwortung übernimmt und ob die getroffenen Maßnahmen tatsächlich ausreichen“, heißt es im Lagebericht.
 |
BSI-Präsidentin Claudia Plattner (links) und Bundesinnenministerin Nancy Faeser bei der Vorstellung des Lageberichts zur IT-Sicherheit 2023
Quelle: E&M / Susanne Harmsen |
Seit dem 1. Mai 2023 gilt für die Energiewirtschaft eine weitere Verpflichtung, die auf das IT-Sicherheitsgesetz und den §
11 des Energiewirtschaftsgesetzes (EnWG) zurückgeht. Demnach müssen die „Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die nach der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur gelten“ von diesem Stichtag an dem BSI nachweisen, dass sie „in angemessener Weise“ Systeme und Prozesse zur Angriffserkennung implementiert haben, die „dem Stand der Technik“ entsprechen und bestimmte Anforderungen erfüllen. So müssen diese etwa in der Lage sein, kontinuierlich Bedrohungen zu identifizieren beziehungsweise zu vermeiden und eingetretene Störungen zu beheben.
Nach Überzeugung des BSI bietet ein effektives System zur Angriffserkennung vor allem gegen die Bedrohung durch Ransomware zusätzlichen Schutz. Denn die Systeme seien in der Lage, einen Angreifer zu entdecken, der sich bereits ins Netzwerk gehackt, aber noch nicht mit der Verschlüsselung begonnen habe.
Größte Bedrohung durch RansomwareDas Gefahrenpotenzial durch Ransomware, also Verschlüsselungssoftware zur Erpressung von „Lösegeld“, sieht das BSI auch als bedrohlichste der möglichen Angriffsarten an. Daneben sind unter anderem noch Phishing-E-Mails häufig genutzte Werkzeuge von Cyberkriminellen.
Das BSI weist darauf hin, dass durch KI-Sprachmodelle künftig noch mehr Phishing-E-Mails zu erwarten seien, die weniger Rechtschreib- und Grammatikfehler enthalten und somit schwerer zu erkennen seien. Gerade als E-Mails von Energieversorgern, Verbraucherberatungen und anderen Anlaufstellen für Endkunden getarnte Mitteilungen seien immer häufiger anzutreffen. Diese enthielten beispielsweise Betreffzeilen wie „Energiepauschale jetzt sichern“.
Im 96-seitigen Lagebericht erläutert das BSI die typischen Abläufe von Cyberangriffen, aber auch, welche Unterstützung die Behörde zur Vermeidung oder Beseitigung von Gefahren leisten kann. Sie erklärt aber auch, was es mit sogenannten APT-Angriffen auf sich hat, die nicht der kriminellen Gewinnerzielung dienen, sondern der Beschaffung von Informationen zur Vorbereitung von Sabotageakten.
Der Bericht „
Die Lage der IT-Sicherheit in Deutschland 2023“ steht auf der Internetseite des BSI zum Download bereit.
Donnerstag, 2.11.2023, 17:05 Uhr
© 2024 Energie & Management GmbH
