BSI Lagebericht 2021

Knowledge Base der Datenbeschützerin

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat einen jährlichen Lagebericht über den aktuellen Stand der Cybersicherheit in Deutschland veröffentlicht. In diesem Beitrag bereiten wir für Sie die relevanten Inhalte auf und erläutern Ihnen die daraus resultierenden Handlungsempfehlungen.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.

Hinweis: Im Folgenden wird in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Auf den Punkt gebracht: IT-Sicherheitslagebericht des BSI

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die IT-Sicherheitslage bleibt weiterhin angespannt und kritisch
  • Insbesondere Cyber-Erpressungen nehmen stetig zu
  • Identifizierung und Umgang mit Schwachstellen stellen die größte Herausforderung dar

Zusammenfassung

Die IT-Sicherheitslage in Deutschland insgesamt war im aktuellen Berichtszeitraum angespannt bis kritisch. Dies war zum einen auf die Ausweitung der bekannten cyberkriminellen Lösegelderpressungen hin zu ergänzenden Schweigegelderpressungen […] und Schutzgelderpressungen zurückzuführen. Zu anderen traten im aktuellen Berichtszeitraum jedoch auch Vorfälle auf, die eine Wirkung über die jeweils betroffenen Opfer hinaus entfalteten.

BSI Lagebericht 2021, Seite 9, Nr. 1.1

Folgende Erpressungsmethoden wurden im Berichtszeitraum angewandt:

  • Schutzgelderpressung: Androhung von DDOS-Angriff, wenn nicht bezahlt wird
  • Lösegelderpressung: Angriffswelle durch die Schadsoftware Emotet führte dazu, dass bis zum Takedown Lösegelder bezahlt wurden
  • Schweigegelderpressung: Angreifer drohten, dass die abgegriffenen Daten veröffentlicht werden.

Gefährdung durch Schadprogramme

Zu Schadprogrammen zählen alle Computerprogramme, die schädliche Operationen ausführen können oder andere
Programme dazu befähigen, dies zu tun. Schadprogramme gelangen u. a. im Anhang oder über Links in E-Mails auf einen Computer. Wenn die Nutzerin oder der Nutzer auf einen maliziösen Anhang oder auf einen Link klickt, der
auf eine maliziöse Webseite führt, wird ein Schadprogramm installiert. Darüber hinaus zählen unbemerkte Downloads im Hintergrund (sogenannte Drive-by-Downloads) sowie maliziöse Erweiterungen von legitimen Programmen zu den typischen Angriffsvektoren.

BSI Lagebericht 2021, Seite 10, Nr. 1.2
  • 144 Millionen neuer Schadprogramm-Varianten wurden im Berichtszeitraum identifiziert
  • Vor allem wurden zahlreiche Windows-Schadprogramme entdeckt
  • Das Schadprogramm Evil-Quest zielte erstmals auf das Apple-Betriebssystem MacOS ab

Gefährdung durch Ransomware

Ransomware bezeichnet Schadsoftware, die klassischerweise den Zugriff auf lokale oder im Netzwerk erreichbare Daten und Systeme verhindert. Am häufigsten wird hierzu eine Verschlüsselung von Nutzerdaten (wie Office-, Bild-,
Ton- und Videodateien) oder ganzer Dateninfrastrukturen wie Datenbanken durchgeführt. Das Opfer erhält anschließend eine Nachricht, dass der Zugriff nach Zahlung eines Lösegelds (engl. Ransom) wiederhergestellt wird. Dabei werden häufig sehr kurze Fristen gesetzt und mit der sukzessiven Löschung gedroht.

BSI Lagebericht 2021, Seite 12, Nr. 1.2.2
Verbreitung von Schadsoftwaren und Methoden

Damit die Strategie der Angreifer zur Zahlung eines Schweigegelds erfolgreich wurde, wandten diese folgende Methoden an:

  1. Erregung öffentlicher Aufmerksamkeit: Die Angreifer gehen aktiv auf die Kunden / Partner der Opfer oder sogar die Öffentlichkeit zu, um darauf aufmerksam zu machen, dass ihre Daten veröffentlicht wurden aufgrund des nicht bezahlten Schweigegelds.
  2. Versteigerung bzw. Verkauf sensibler Daten: Angreifer verkaufen auch die Daten der Opfer. Die Käufer können die erworbenen Daten wiederum selbst gegen das Opfer nutzen. Insbesondere Geschäftsgeheimnisse sind begehrt.
  3. Androhung einer Meldung bei der Datenschutz- oder Regierungsbehörde: Insbesondere bei Cyber-Angriffen besteht die Pflicht zur Meldung bei der zuständigen Datenschutzbehörde. Angreifer nutzen dieses Druckmittel, um dem Opfer die Meldung bei der Behörde anzudrohen.
  4. Einsatz von DDoS-Attacken in der Verhandlungsphase: Während der Verhandlung des Lösegeld setzen die Angreifer sog. DDOS-Angriffe ein, um das Opfer weiter unter Druck zu setzen.
Folgen von Ransomware-Angriffen
  • Es können unterschiedliche Schäden aus einem Ransomware-Angriff entstehen, z.B. finanzieller Art, Imageschäden etc.
  • Verlust der Arbeitsfähigkeit: In der Regel vergehen von der Entdeckung bis zur Bereinigung der Systeme ca. 23 Tage
  • Zusätzliche Kostenentstehung bei der Bereinigung der Systeme (z.B. Beauftragung von speziellen IT-Dienstleistern)
  • Im schlimmsten Fall haben die Ransomware-Angriffe auch existenzbedrohende Auswirkungen

Empfehlungen des BSI

Damit der Angriff von Ransomware-Angriffen minimiert oder gar nicht erst vorkommt, empfiehlt das BSI folgende Maßnahmen:

Technische Maßnahmen
  • Wichtigste Maßnahme bei Ransomware-Angriffen: funktionierende (offline) Backups! Die regelmäßige Wiederherstellbarkeit der Backups ist somit unerlässlich.
  • Einbindung eines systematischen, regelgeleiteten Monitorings des Datentransfers. Dadurch kann der Abfluss von Daten frühzeitig erkannt werden.
  • Nur eine bestimmte Anzahl von Systemen sollte von außen zugänglich sein
  • Regelmäßige und zeitnahe Einspielung von Betriebssystem-, Programm- und Anwendungssoftwaren-Updates
  • Segmentierung der verschiedenen internen Netze, um das Ausmaß bei Schäden gering zu halten
Organisatorische Maßnahmen
  • Regelmäßige Schulung der Mitarbeiter zum Thema Informationssicherheit
  • Begrenzte Auswahl an Personen mit einer Adminkennung
  • Authentisierung bei Zugängen und Zugriffen implementieren
  • Definition interner Prozesse im Notfallmanagement z.B. Schäden an Produktionsanlage etc.

Gefährdung durch Spam und Malware

Im Berichtszeitraum wurden folgende Spam und Malware Szenarien festgestellt:

Emotet-Takedown

Von der Emotet-Welle waren Privathaushalte, Unternehmen, Behörden und andere Organisationen betroffen. Durch das Nachladen der Schadsoftware „Trickbot“ wurden die Netzwerke der Betroffenen vollständig komprimiert und mussten komplett neu aufgebaut werden. Erschwerend kam teilweise noch die Verschlüsselungssoftware „Ryuk“ zum Einsatz.

Dies verursachte bei den Betroffenen finanzielle Schäden und wochenlangen Ausfall der Arbeitsfähigkeit.

Im Januar 2021 wurde jedoch die Struktur der Schadsoftware entschlüsselt. Die Schadsoftware Emotet kann zwar keinen Schaden mehr auf den auf den Systemen verursachen, jedoch war ein schnelles Handeln der Betroffenen notwendig, um weitere Schäden zu verhindern.

SMS-Phishing (Smishing)

Neben E-Mail-Phishing erhalten die Opfer auch immer öfter SMS-Nachrichten. Das Vorgehen war bislang außerhalb von Deutschland bekannt und wurde dort auch aktiv betrieben. Im Februar 2021 wurde durch das Android-Schadprogramm „MoqHao“ eine größere Aktivität festgestellt.

Betroffenen erhalten eine SMS in deutscher Sprache mit einer vermeintlichen Paket-Nachricht und einem Link. Klickte man auf diesen Link, wurde man zu einem Update seines Chrome-Browsers aufgefordert. Hinter diesem „Update“ verbirgt sich die Schadsoftware.

Daneben war auch „FluBot“ seit März 2021 sehr aktiv. Dieser schickte ebenfalls vermeintliche Informationen zum Sendungsstatus an die Betroffenen.

Eine endgültige Lösung ist noch nicht gefunden. Das BSI arbeitet jedoch aktiv mit den Mobilfunkanbietern zusammen, um die Verbreitung der Smishing Nachrichten einzudämmen. Zugleich erfolgte die Zusammenarbeit mit Google, um die schädliche Apps besser erkennen zu können.

Empfehlung der Datenbeschützerin
  • Klicken Sie nicht auf Links in SMS oder E-Mails!
  • Kontaktieren Sie im Zweifelsfall den Absender (z.B. DHL) direkt per Telefon, um den Sachverhalt aufzuklären
  • Blockieren Sie den Absender der SMS auf der Blacklist in Ihrem Smartphone

Zielgruppenspezifische Erkenntnisse und Maßnahmen in der Wirtschaft

Cyber-Sicherheit bei KMUs

KMUs tragen einen hohen Erfolgsanteil in der deutschen Wirtschaft bei. Dennoch sind die KMUs aufgrund nachfolgender Faktoren bei Cyber-Angriffen besonders anfällig:

  • Das Unternehmen verfügt über keine eigene IT- und Informationssicherheitsabteilung. Darauf folgt meist eine mangelnde Beurteilungskompetenz für die IT-Sicherheit.
  • Der Verantwortliche verfügt nicht über ein ausreichendes Risikobewusstsein und deren Abhängigkeiten

Das BSI sieht darin eine stetig wachsende Gefährdungslage. Das BSI unterstützt die KMUs entsprechend mit dem Ausbau seines Angebot und seines Engagement.

IT-Sicherheit im Home-Office

Das BSI veröffentlichte zu Beginn der Covid-19-Pandemie entsprechende Hilfestellungen zur Absicherung im Home-Office. Des Weiteren wurde eine Umfrage bezüglich der Pandemie und einhergehenden Veränderungen untersucht.

Umfrageergebnis bei TOMs

Die Umfrage ergab ein deutliches Defizit bei den TOMs im Home-Office.

  • Nur 66 % der Umfrageteilnehmer setzten ein VPN-Tunnel zur Verbindung ein
  • Rund 50 % implementierten keine Mehr-Faktor-Authentisierung
  • Lediglich 38 % der Unternehmen verwalten mobile Endgeräte über ein MDM (Mobile Device Management)
  • Grund zur Freude dennoch: Ca. 81 % der Teilnehmer gaben an, ihre Mitarbeiter regelmäßig mittels Schulungen zu sensibilisieren
  • Bei der Frage, ob IT- bzw. Cyber-Notfälle geübt werden, stimmten nur 24 % der Befragten zu

Bei der Umfrage kristallisierte sich heraus, dass ca. 55 % der Unternehmen nur 10 % ihres Budgets für IT-Sicherheit bzw. Informationssicherheit planen. Die Empfehlung des BSI lautet ca. 20 % des Budgets für entsprechende IT-Maßnahmen einzuplanen.

Empfehlung der Datenbeschützerin

Es ist sinnvoll, die Home-Office-Regeln in einer entsprechenden Richtlinie zu dokumentieren und mit den Mitarbeitern in Rahmen einer Schulung zu kommunizieren. Vorlagen dazu finden Sie in unserem Pandemie-Paket.

Zielgruppenspezifische Erkenntnisse und Maßnahmen beim Staat und in der Verwaltung

App-Testing für mobile Lösungen

Auch Bundesbehörden greifen immer mehr auf Apps für Mobilgeräte zurück. Dennoch ist die Einführung von Apps nicht „einfach so“ möglich. Es müssen die Risiken beurteilt und ggf. Maßnahmen abgeleitet werden.

Das BSI stellt hierfür den „App-Testing-Dienst“, der in Zusammenarbeit mit der Deutschen Telekom Security GmbH entstand, den Bundesbehörden zur Verfügung. Bei der Prüfung werden sicherheitstechnische sowie auch datenschutzrechtliche Aspekte geprüft.

Die Berichte enthalten auch Handlungsempfehlungen für die Nutzer und welche Einstellungen zu beachten sind.

Derzeit ist der App-Testing-Dienst nur für registrierte Nutzer der Behörden zugänglich.

Messenger-Dienst für sicherer VS-Kommunikation

Anfang Juni 2020 wurde eine VS-NfD-Freigabeempfehlung des Messengerdientes Wire (on premise) erteilt. Wire weist hohe Sicherheitsstandards (u.a. Ende-zu-Ende-Verschlüsselung, Minimierung der Metadaten) auf. Nicht nur die Behörden untereinander haben Interesse an einer sicheren Kommunikation, sondern auch Bürger und Unternehmen.

Anmerkung der Datenbeschützerin

Die Nutzung von Messengerdiensten sind im Verfahrensverzeichnis zu dokumentieren und die Betroffenen über die Datenverarbeitung im Rahmen der Informationspflicht zu informieren.

Umsetzung des Onlinezugangsgesetzes

Bis Ende 2022 haben Bund, Lände und Kommunen ihre Verwaltungsdienstleistungen auch elektronisch über Verwaltungsportale anzubieten.

Sofern Bürger und Institutionen diesen Dienst in Anspruch nehmen möchten, bedarf es einer Identifizierung und Authentisierung der Nutzer. Damit die Cyber-Sicherheit gewährleistet wird für die Onlinezugänge sind folgende Regularien zu beachten:

  • Die Vorgaben zum Identifizierung- und Authentisierungsverfahren sind in der technischen Richtlinie TR 03160 hinterlegt.
  • Des Weiteren existiert ein Handlungsleitfaden für die Anbindung die Smartphone-eID
  • Damit Bescheide im Onlineportal zugestellt werden, beinhaltet das Nutzerkonto ein Postfach. Für die Sicherheit und Interoperabilität dieser Postfächer wird derzeit die Technische Richtlinie TR-03160-3 erstellt.
  • Für die Integrität der (digitalen) Bescheide kann ein kryptischer Barcode darauf abgebildet werden. Für die digitalen Siegel ist die Technische Richtlinie TR-03137. Zukünftig ist mittels der RL auch möglich Urkunden, Bescheide und andere Verwaltungsdokumente zu verifizieren.

Aktuelle Trends und Entwicklung in der IT-Sicherheit

Künstliche Intelligenz

  • Für den Einsatz von KI sind sowohl organisatorische als auch technische Anforderungen notwendig
  • Das BSI setzt seine Analysen zu den technischen Anforderung weiter fort. In einem Überblicksdokument sind erste Ansätze und Anhaltspunkte sowie die Probleme und Maßnahmen für KI-Anbieter und Anwender einsehbar.
  • Ziel sollen eine Normierung und Standardisierung auf nationaler sowie internationaler Ebene sein.
  • Damit die KI auch nachweislich sicher und vertrauenswürdig genutzt werden kann, bedarf es entsprechender Prüfkriterien, -verfahren und -methoden. Hierfür arbeitet das BSI mit der Wirtschaft und der Wissenschaft zusammen.

Blockchain-Technologie

  • Die Blockchain-Technologie ist vor allem im Bereich der Kryptowährung bekannt.
  • Für die IT-Sicherheit der Blockchain veröffentlichte das BSI das Dokument „Blockchain sicher gestalten“. In diesem Papier werden die Aspekte zusammengetragen, die sich als zentraler Faktor für die IT-Sicherheit bei Kryptowährungen herausgestellt haben.

Fazit des BSI

Das BSI kommt zu folgenden Schluss in seinem Lagebricht:

Digitalisierung braucht Sicherheit

  • Die Corona-Pandemie hat neben den gesellschaftlichen Folgen auch Auswirkungen auf die IT-Sicherheit in Behörden, Unternehmen und Organisationen.
  • Vor allem im Home-Office gab es neue Herausforderungen zu bewältigen.
  • Projekte zur Digitalisierung sollten langfristig geplant werden, vor allem mit einem besonderen Augenmerk auf die IT-Sicherheit. Vernachlässigt man das Thema Informationssicherheit, kann dies drastische , wenn nicht sogar existenzgefährdende Folgen nach sich ziehen.

Cyber-Erpressung entwickelt sich zur größten Bedrohung

  • Der Anstieg von Cyber-Erpressungen stieg im Berichtszeitraum immens an. Die Angreifer verschlüsseln die Daten immer häufiger in mehreren Schritten, um mehr Lösegeld zu fordern. Ein solcher Angriff bedeutet tage- oder wochenlanger Ausfall der Arbeitstätigkeit, der Produktion oder Dienstleistung.
  • Insbesondere die Schadsoftware Emotet spielte dabei eine zentrale Rolle. Es wird weltweit ein Schaden von ca. 2,5 Milliarden Euro geschätzt.

Schwachstellen als eine der größten Herausforderungen

  • Der Umgang mit vorhandenen Schwachstellen stellt die meisten Unternehmen, Behörden und Organisationen vor ein großes Problem. Die Exchange-Sicherheitslücke hat dies beispielshaft gezeigt.
  • Der Exchange-Vorfall wurde als extrem kritisch eingestuft. Diese Warnung war erst die Dritte dieser Art in der bisherigen Geschichte des BSI.
  • Das BSI hält es dennoch noch für möglich, dass es bereits zu einer Infektion kam, bevor die Schwachstelle geschlossen wurde. Es besteht daher das Risiko, dass ein Angriff Wochen bzw. Monate später noch erfolgen kann.

Fazit der Datenbeschützerin

Das Thema Informationssicherheit betrifft alle Unternehmen, Behörden oder Organisationen, die sensible Daten (darunter fallen auch Geschäftsgeheimnisse) verarbeiten oder halten.

Die Maßnahmen zur Informationssicherheit sollten jedoch der eigenen Unternehmensstruktur oder Organisation angepasst und auch praxisnah umgesetzt werden.

Wie gut ist Ihre Informationssicherheit / IT-Sicherheit?

Gerne prüfen wir den Stand Ihrer Informationssicherheit und besprechen mit Ihnen gemeinsam Möglichkeiten der Optimierung.

Quelle

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.