+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Es ist wieder soweit: Claudia Plattner, BSI Präsidentin, und Nancy Faser haben am 02. November 2023 den aktuellen BSI Lagebericht IT-Sicherheit 2023 in Deutschland veröffentlicht.

In diesem Beitrag möchte ich Ihnen in Kürze eine Zusammenfassung der wichtigsten Inhalte geben. Die 96-seitige Originalfassung können sich hier herunterladen oder als Druckausgabe bestellen. Bitte beachten Sie, dass in diesem Extrakt lediglich die aus unserer Sicht wichtigsten Punkte herausgegriffen und in Kürze beschrieben werden.

Auf den Punkt gebracht: BSI Lagebericht IT-Sicherheit 2023

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
  • Berichtzeitraum 01. Juni 2022 bis 30. Juni 2023
  • Der geschätzte Schaden 2022 durch Cybersecurityangriffe lag bei 203 Millionen Euro.
  • Das schnelle Geld steht im Vordergrund gegenüber bewusster Schädigung von Unternehmen durch Datenspionage.
  • Es sind neue Bedrohungen durch den Fortschritt in der KI-Technologie zu erkennen.

Zusammenfassendes Statement des BSI Lagebericht IT-Sicherheit 2023

Bedrohungen und Schwachstellen

  • Größere Anzahl an Schwachstellen in Softwareprodukten werden verzeichnet. Täglich gibt es knapp 70 neue Schwachstellen. Das sind 25% mehr als im Vorjahresvergleich.
  • Ransomware bleibt die größte Bedrohung.

Einen Schritt voraus

Um nicht immer den Bedrohungen hinterher zu laufen, ist es laut Bericht wichtig, „vor die Welle“ zu kommen. Dabei ist entscheidend, bei den dringendsten Themen die Umsetzung richtig zu machen:

  • Patch-Management inkl. Updates
  • sicheres Identity und Access Management
  • Backups mit der richtigen Datensicherung
  • Notfallpläne, um bei einen Vorfall agieren und nicht nur reagieren zu können

Bedrohungslage

Das BSI zeichnet auch weiterhin eine kritische und angespannte Lage im Bereich der Security. Schwerpunkt ist der Cyberraum (in meinem Verständnis also Bedrohungen über das Internet – über die Begriffsnutzung hatte ich mich ja schon vor längerem einmal „ausgedrückt“).

Zielgruppe

Interessant ist die Zielgruppe, die sich überproportional als Angriffsziel gezeigt hatte:

  • kleine und mittlere Unternehmen
  • sowie Kommunalverwaltungen und kommunale Betriebe

Hier fragt man sich, warum genau diese Zielgruppe? Auch diese Frage wird beantwortet. Es geht nicht primär um das schnelle und große Geld, sondern eher um das schnelle Geld, auch wenn man in Kauf nimmt, dass die Ausbeute nicht so groß ist. Der Widerstand bzw. die Cyberresilienz dieser Zielgruppe ist bei Weitem nicht so groß wie bei größeren Unternehmen, die auch mehr investieren und auch tatsächlich mehr für Cybersecurity tun (in der Regel).

Bedrohungen

Nach wie vor ist Ransomware die Hauptbedrohung. Geld wird auf dem Markt der Cyberkriminellen aber nicht nur mit den direkten Angriffen verdient, sondern auch mit den Services rund um den Angriff (interessantes Geschäftsmodell). Es werden Zugänge zu Communities, natürlich die Software oder auch Service für die Lösegeldverhandlung, angeboten. Ein Affiliate System der besonderen Art also.

Aber auch die bekannt gewordenen Schwachstellen in Softwareprodukten lagen mit 24 Prozent weit über den Werten des Vorjahrs. Das bedeutet in Zahlen, dass täglich 68 neue Löcher in Software identifiziert wurden. Dunkelziffer? Unbekannt. Als kritisch davon wurden 15 Prozent eingestuft. Die bekannt gewordenen Angriffe reichen von Erpressung bis Zugriff auf Fahrzeugfunktionen fremder Autos. Beides also nicht witzig.

Advanced Persistent Threats (APT) sind sehr tief gehende Angriffe, die die Informationsbeschaffung oder Spionage als Ziel verfolgen. In Europa standen laut dem BSI Bericht vor allem Regierungseinrichtungen im Fokus. In erster Linie wurden Schwachstellen verwundbarer Server am Gateway ausgenutzt, um ins System einzudringen.

Ein eigenes Unterkapitel widmet der BSI Lagebericht IT-Sicherheit 2023 den kritischen Infrasturkturen

Kritis Unternehmen bringen für die Bevölkerung Services wie Strom, Wasser oder andere lebenswichtige Bausteine. Ein Cybervorfall kann hier tatsächlich Leben bedrohen, wenn man sich einen Stromausfall im Krankenhaus vorstellt.

Aufgrund der Wichtigkeit dieser Unternehmen gelten europaweit besondere Vorschriften in Bezug auf die IT-Sicherheit in kritischen Einrichtungen. Dazu sind Anfang 2023 zwei Richtlinien in Kraft getreten:

  • NIS 2 Richtlinie für ein hohes gemeinsames Cybersicherheitniveau
  • Richtlinie für Resilienz kritischer Einrichtungen mit Fokus auf physische Sicherheit (CER Richtlinie)

Ab 17. Oktober 2024 müssen beide Richtlinien in nationales Recht umgesetzt sein. Ob oder wie lange es eine Übergangsfrist zur Umsetzung der Anforderungen geben wird, ist offen. Gerne unterstützen wir Sie bei der Umsetzung der Anforderungen, falls Sie unter die neuen KRITIS Unternehmen fallen. Die Anzahl an betroffenen Unternehmen wird erheblich steigen im Vergleich zu NIS 1.

Angriffe

Die Durchführung des Angriffs erfolgt über Schadprogramme, die durch unterschiedliche Wege auf den Rechner / Server des Betroffenen kommen können. Klassisch ist eine E-Mail mit einem Link auf eine schädliche Software oder direkt ein ausführbarer Code oder Programm im Anhang der E-Mail. Eine Schadsoftware allein ist natürlich eine Bedrohung, aber zudem nutzt sie in der Regel eine Schwachstelle aus, die im Unternehmen vorhanden sein muss.

Ransomware Angriff

Hier steht die Erpressung im Vordergrund. Ein Interesse an den Daten ist in der Regel durch den Angreifer nicht vorhanden. Die Schadsoftware wird ausgeführt und die Daten des Unternehmens werden verschlüsselt. Durch den Druck der Firma, schnell wieder auf die Daten zugreifen zu können, zahlen viele das geforderte Lösegeld, ohne Garantie, dass die Daten nach Zahlung wieder entschlüsselt werden.

Ransomware kann aber auch als Deckmantel für Informationsbeschaffung durch APT genutzt werden. Der Angreifer hat das Ziel, Informationen abzugreifen und verschleiert dies mit einem Verschlüsselungsangriff. Dieser könnte sogar noch dazu genutzt werden, um den Eigentümer der Daten den eigenen Zugriff auf seine Informationen zu erschweren oder komplett zu unterbinden.

Advanced Persistent Threats (APT)

Diese Bedrohung kam im Berichtszeitraum des BSI Lageberichts 2023 in einer besonderen Situation zu tragen. Aufgrund des Krieges zwischen Ukraine und Russland wurde Datenspionage durch APT beobachtet.

In der Konstellation Ukraine / Russland kam im Bereich der Spionage auch Wider Software zum Tragen, welche Daten löscht. In Deutschland kam das aufgrund des Krieges nur bedingt zum Einsatz.

Beobachtet wurde im Berichtszeitraum, dass mehr direkte Ziele angegriffen wurden. Das heißt, der Umweg über eine infiltrierte E-Mail entfiel, da viele Webserver, Firewalls oder VPN Server Schwachstellen aufwiesen und mit diesen direkt im Internet erreichbar waren. Warum also den Umweg gehen, wenn’s den direkten Weg zum Ziel gibt? Für diesen direkten Weg benötigen die Angreifer anonymisierte Internetverbindungen, die sie sich über Botnetze selbst ermöglichen.

Distributed Denial of Service (DDoS)

Wer kennt das nicht? Sie werden zugequatscht ohne Punkt und Komma von Ihrem Gegenüber und schalten dann einfach ab. So ungefähr kann man sich eine DDoS Attacke vorstellen. Wenn Ihr Sinnesorgan „Hören“ abgeschaltet wird, aufgrund übermäßiger Penetrierung, nehmen Sie auch keine weiteren Informationen mehr wahr.

Im Cyberraum kann es sich um Erpressung handeln, wenn ein Service beeinträchtigt wird. Oder es wird sogar ein direkter Schaden bewirkt, da der Ausfall des Services an sich so hohen Schaden verursacht.

Im Dezember 2022 konnten 50 Webseiten stillgelegt werden, die für gezielte DDoS Angriffe verantwortlich waren, so Europol. Mehrere Admins dieser Seiten wurden festgenommen. Es handelte sich um eine internationale Aktion, also nicht nur um deutsche Ziele.

Schwachstellen

Nicht jede Schwachstelle in Software birgt dasselbe Risiko. Schwachstellen werden in verschiedene Klassen eingeteilt anhand der CWE Klassifizierung (Common Weakness Enumeration). Über das CVSS (Common Vulnerability Scoring System) wird die Kritikalität gemessen.

Mit fast der Hälfte aller Schwachstellen können unautorisierter Code oder Befehle ausgeführt werden. An zweiter Stelle waren schon direkte Applikationsdaten lesbar. Weit vorne liegt noch der Angriff durch Denial of Service. Im Ganzen listet der Bericht 15 Schadwirkungen von Schwachstellen.

KI Sprachmodelle

Im Berichtszeitraum des Lageberichts hatte die Veröffentlichung von ChatGPT eine extrem schnelle Verbreitung hingelegt. Neben dem einfachen Erzeugen von Text können mit Sprachmodellen inzwischen auch weit mehr Funktionen abgebildet werden. Es kann Code erzeugt werden, Präsentationen, Reports und vieles mehr kreiert werden.

Die Chancen sind enorm. Aber wie immer im Leben, stehen große Chancen auch großen Risiken gegenüber.

Neue Bedrohungen aufgrund neuer Werkzeuge (KI Sprachmodelle)

Damit ein KI Sprachmodell lernt, benötigt es große Mengen an Daten. Das sind sogenannte Trainingsdaten. Die Qualität der Trainingsdaten bestimmt die Qualität der späteren Ausgaben. Sind die Trainingsdaten unausgewogen ausgewählt, lernt die KI diesen Schiefstand von Anfang an und gibt in den Ergebnissen diese Schieflage auch wieder.

Geht man soweit, dass sich Modelle direkt aus dem Internet trainieren, birgt das zwei Gefahren. Zum Einen wird immer mehr Content aus KI Ergebnissen erzielt, was nach sich zieht, dass neues Lernen sich aus KI Inhalten speist. Auf der anderen Seite ist Lernen aus einem nicht überwachten Internet natürlich auch eine Gefahr, die dem Sprachmodell Wissen aneignet, welches bewusst gesteuert wird, um später verfälschte Ergebnisse zu generieren.

Neben der Generierung von Wissen werden LLMs auch für Codegenerierung bei der Erstellung von Softwareprogrammen eingesetzt. Ein komplexes Programm wird sicherlich aktuell nicht von einer KI allein erstellt. Trotzdem sind Snippets oder Funktionen vieler Entwicklungen mit KI generiert. Bewusst fehlerhafter Code oder auch falsch gelernter fehlerhafter Code kann sich auf diese Weise in professionelle Softwareprogramme einschleichen.

Ausnutzen dieser Werkzeuge

Alles, was die KI gelernt hat, ist auch im „Bauch“ des Werkzeugs vorhanden und kann mit gezielten Anfragen dem Modell wieder entlockt werden. Sensible Unternehmensdaten in öffentlichen KI Sprachmodellen können schnell als Schwachstelle ausgenutzt werden.

Selbst interne KI Systeme, zu denen die breite Öffentlichkeit keinen Zugriff hat, können Schlussfolgerungen aus einer Menge an Daten generieren, die bisher nicht möglich waren. Je nach Zugriff auf diese Ressourcen können bisher vertrauliche oder nicht vorhandene Daten an Unberechtigte offen gelegt werden.

Mit KI Sprachmodellen wird die technische Hürde, einen Angriff zu planen und durchzuführen, um ein Vielfaches nach unten gesetzt. Auch Personen, die vielleicht minimal technisch versiert sind, haben mit diesen Werkzeugen neue Möglichkeiten, sich durch Prompts oder Prompt Enginieering selbst Tools zu generieren oder Anleitungen zu folgen, um erfolgreiche Attacken durchzuführen.

BSI Lagebericht im Fokus
Pin it on Pinterest!

Schutzmaßnahmen, damit Sie Ihre Cybersicherheit verbessern

95% der befragten Unternehmen in einer TÜV-Umfrage gaben an, dass Cybersicherheit ein Muss für den Schutz der Unternehmensdaten ist. Für 80% ist sie Grundvoraussetzung für eine reibungslosen Geschäftsablauf. Das ist ein guter Ansatz, um besser zu werden. Der geschätzte Schaden im Jahr 2022 aus Cyberangriffen lag nämlich bei 203 Milliarden Euro. Falls Sie noch nicht mittendrin sind in der Umsetzung von Schutzmaßnahmen für IT-Sicherheit, sollten Sie bald damit starten.

Der BSI Lagebericht IT-Sicherheit 2023 geht noch einmal besonders auf allgemeine Schutzmaßnahmen ein, die eigentlich nicht zur Diskussion stehen. Die folgende Tabelle zeigt dazu einen Überblick.

Maleware / Spam– Ansicht der E-Mails im Programm als „nur Text“ oder zumindest Deaktivierung der Ausführung aktiver Inhalte
– Awareness der Mitarbeiter im Umgang mit E-Mails (Schulungen, Awarenessaktionen…)
Patches und Updates– Status der Schwachstellen Ihrer Systeme analysieren
– Prozess für Updates und Patchmanagement etablieren und durchführen (Beachtung der Kritinalität von Schwachstellen)
Authentifizierung– Starke Passwörter sollten selbstverständlich sein
– Ein Passworttresor ist leider noch nicht selbstverständlich in den Unternehmen, aber dringend notwendig!
– Multi-Faktor-Authentifizierung z.B. per Handy App oder SMS oder einen anderen 2. Faktor bei der Anmeldung an kritischen Systemen sollte Standard sein
Admin-Accounts– Trennung von Administrator-Rechten und Benutzer-Rechten
– Besondere Richtlinien für Admin-Zugänge (z.B. Zwingend 2FA)
– Personalisierte Accounts auch für Admin-Zugänge
Zugriff im Netzwerk– Netzwerksegmentierung, um sicherzustellen, dass sich Daten nur in einem Netzwerksegment übertragen lassen ohne besonderes Routing
Auffälligkeiten entdecken– Monitoring verschiedener Services und Auffälligkeiten, z.B. zur Erkennung von Anomalien (höherer Netzwerkverkehr als „normal“)
– Auswertung von Logfiles nach ungewöhnlichen Ereignissen
Sicherung– Backup entsprechend der Anforderungen des Business Services
– Wiederanlaufpläne
Worst Case Senzario– Wenn die Standardmaßnahmen ausgereizt wurden und es trotzdem zum Vorfall kommt, den Sie nicht im Rahmen des Regelbetriebs beheben können, müssen Sie einen Plan B haben, also einen IT-Notfallplan.

Bei den Maßnahmen handelt es sich natürlich nicht um die Eine Wahrheit. Die genannten Maßnahmen decken meist die wichtigsten Punkte ab. Im Detail müssen Sie Ihre Risiken kennen und auch entsprechend absichern.

Natürlich sind wir auch immer für Sie da, wenn Sie Ihre Cybersicherheit unter die Lupe nehmen möchten. Wo stehen Sie, wo sind Ihre größten Risiken? Aber auch die Frage nach den Zielen Ihrer IT-Sicherheit beantworten wir gerne mit Ihnen.

Verbessern Sie Ihre Cybersecurity mit unserer Hilfe

Kleinstunternehmen

Mit den Anforderungen der DIN SPEC 27076, bei der ich im DIN Konsortium mitgearbeitet habe, decken Sie die Minimalanforderungen der IT-Sicherheit ab. Der Standard spricht selbst davon, dass die Maßnahmen noch kein gutes Niveau der IT-Sicherheit darstellen, aber immerhin ein Minimum abbilden. Dieser Standard ist tatsächlich nur für die ganz, ganz kleinen Unternehmen sinnvoll anzuwenden.

Anforderungen an den Mittelstand und große Unternehmen

Das Spektrum geht von organisierter Informationssicherheit im Rahmen eines ISMS bis zu technischen Services, um Ihre IT-Sicherheit im Griff zu behalten. Wir können Sie in vielen Bereichen unterstützen.

  • Etablierung eines ISMS nach ISO 27001 oder VDA ISA TISAX®
  • Umsetzung der Anforderungen aus der NIS 2 Richtlinie
  • Kontinuierliche Begleitung Ihrer Informationssicherheit als Informationssicherheitsbeauftragter
  • Erstellung von IT-Sicherheitsrichtlinie und IT-Notfallhandbuch
  • Technische Schwachstellenscans Ihrer IT-Infrastruktur (einmalig oder als kontinuierlicher managed service)
  • Backup Ihrer Microsoft 365 Umgebung

Um gezielt Ihre Anforderungen abzustimmen, vereinbaren Sie gerne ein unverbindliches Erstgespräch mit uns. Wir freuen uns darauf, mit Ihnen ins Gespräch zu kommen.

Diesen Beitrag teilen