Suchen

Corona verschärft Cyber-Gefährdungslage 320.000 neue Schadprogramme pro Tag

Autor: Susanne Ehneß

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen diesjährigen Bericht zur „Lage der IT-Sicherheit in Deutschland 2020“ veröffentlicht. Der Public Sector ist nach wie vor ein attraktives Ziel für Cyberattacken.

Firma zum Thema

Gebäudeeingang des BSI in Bonn
Gebäudeeingang des BSI in Bonn
(© BSI)

„Als Cyber-Sicherheitsbehörde des Bundes übernimmt das BSI Verantwortung, indem wir uns mit den Risiken der Digitalisierung auseinandersetzen und aufzeigen, wie wir diesen wirksam begegnen können", so BSI-Präsident Arne Schönbohm. Mit dem aktuellen Lagebericht zur IT-Sicherheit in Deutschland legt seine Behörde erneut den Finger in die Wunde und zeigt Schwachstellen auf.

Wie das BSI mitteilt, sind Cyber-Angriffe mit Schadsoftware nach wie vor am häufigsten; diese Methode entwickelt sich durch immer neue Varianten zudem stetig weiter. „Die Zahl der Schadprogramme übersteigt inzwischen die Milliardengrenze“, so das BSI. Allein im Berichtszeitraum seien 117,4 Millionen neue Varianten hinzugekommen, also etwa 320.000 neue Schadprogramme pro Tag. Weiterhin dominant ist die Schadsoftware Emotet, die das BSI schon vor rund zwei Jahren als gefährlichste Schadsoftware der Welt bezeichnet hatte. „Sie bietet Angreifern zahlreiche fortschrittliche Angriffsmöglichkeiten. Daten werden immer öfter nicht nur verschlüsselt, sondern von Cyber-Kriminellen kopiert und ausgeleitet. Die Angreifer drohen zusätzlich damit, die Daten an Interessenten zu verkaufen oder zu veröffentlichen. Damit erhöhen die Angreifer den Druck auf das Opfer, der Lösegeldforderung nachzukommen“, erläutert das BSI.

Quer durch alle Branchen

Die Bedrohung durch Cyber-Angriffe zieht sich durch alle Branchen und Unternehmensgrößen. Automobilhersteller und ihre Zulieferer wurden ebenso angegriffen wie Flughäfen und mittelständische Unternehmen sowie kommunale Verwaltungen, Krankenhäuser und Hochschulen.

„Bemerkenswert ist die Bedrohung durch Daten-Leaks, das heißt den Diebstahl oder die unbeabsichtigte Offenlegung personenbezogener Datensätze, zum Beispiel Kundendaten oder Patientendaten“, ergänzt das BSI. So seien in einem Fall allein in Deutschland im Zeitraum von Juli bis September 2019 etwa 15.000 Patientendatensätze mit mehreren Millionen medizinischen Bildern öffentlich ohne Passwortschutz zugänglich. Die Informationen seien dabei auf sogenannten PACS-Servern (Picture Archiving and Communication Systems) gelegen, die im Gesundheitswesen zur Bildarchivierung genutzt werden. Das BSI habe sowohl die betroffenen medizinischen Einrichtungen in Deutschland als auch 46 internationale Partner informiert.

Bundesverwaltung

Bei Angriffen auf die Öffentliche Verwaltung gibt es neben ungezielten Massenangriffen auch gezielte Kampagnen gegen die Regierungsnetze. Im Berichtszeitraum wurde die Bundesverwaltung laut BSI verstärkt mit Links in eMails, Social-Media-Accounts und auf Webseiten angegriffen. Mithilfe von Webfiltern versucht das BSI, die Netze des Bundes vor Angriffen zu schützen. Im Berichtszeitraum mussten rund 52.000 zusätzliche Webseiten gesperrt werden – ein Plus von rund 46 Prozent gegenüber dem Lagebericht zuvor. Wie das BSI ausführt, waren zu Beginn des vierten Quartals 2019 und insbesondere zum Jahresende 2019 auffällig viele neue Sperrungen nötig. Im Dezember 2019 habe der Index der Webseiten-Sperrungen einen Spitzenwert von 230 Punkten erreicht und lag damit mehr als doppelt so hoch wie noch im Jahresdurchschnitt 2018.

Bildergalerie

Auch bei Angriffen mit Schadprogrammen via eMail war um den Jahreswechsel eine Angriffswelle zu beobachten. Mittels automatisierter Antivirus-Schutzmaßnahmen fing das BSI pro Monat durchschnittlich rund 35.000 solcher eMails ab, bevor sie die Postfächer

der Empfänger erreichten.

Neben Virenscannern und Webfiltern werden die Netze des Bundes auch zentral vor unerwünschten Spam-eMails geschützt. Das betrifft nicht nur unerwünschte Werbe-Mails, sondern auch Phishing-Mails, Malware-Spam oder Massenviren. Die Spam-Welle endete laut BSI Anfang Februar abrupt und hat sich seitdem auf niedrigerem Niveau stabilisiert.

BSOC

Zum Schutz der Regierungsnetze und IT-Systeme des Bundes betreibt das BSI das „Bundes Security Operations Center“ (BSOC). Dessen Ziel sei es, durch eine größtmögliche Automatisierung unter Nutzung aktueller Standardprodukte, Eigenentwicklungen und künstlicher Intelligenz „ausreichend Freiräume für die unverzichtbaren manuellen Analysen von Angriffen und Schadsoftware durch Expertinnen und Experten des BSI zu schaffen“. Die Aufgaben des BSOC umfassen unter anderem Dienstleistungen zur Erfassung und Auswertung von Protokollierungs- und Sensordaten sowie zur Erkennung und Abwehr von Schadsoftware in eMails und im Web. Hierfür hat das BSI nach eigenen Angaben verschiedene Systeme entwickelt, die unter anderem durch eigene Antivirus-Signaturen, Detektoren und technische Plattformen kontinuierlich an die Bedrohungslage angepasst werden.

Einfluss durch Corona

Natürlich hat auch die grassierende Corona-Pandemie Einfluss. „Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt“, heißt es vonseiten des BSI. Homeoffice, Bring-your-own-Device, Videokonferenzen und Home-Schooling mit Laptop und Webcam – viele dieser Maßnahmen sind spontan umgesetzt worden. IT- und Datensicherheit spielten dabei laut BSI oft eine untergeordnete Rolle.

„In der akuten Situation habe ich durchaus Verständnis dafür“, kommentiert BSI-Präsident Arne Schönbohm. Jetzt aber sei es wichtig, dieses „neue Normal“ nachhaltig und sicher zu gestalten. „Tun wir dies nicht, dann werden wir die Folgen in einigen Wochen oder Monaten spüren. Wenn wir weiterhin von der Digitalisierung profitieren wollen, dann dürfen wir es Angreifern nicht zu leicht machen“, mahnt Schönbohm. „Die positiven Entwicklungen und Prozesse, den Entwicklungsschub, den die Digitalisierung in Deutschland durch Corona erfahren hat, gilt es, in die Nach-Corona-Zeit mitzunehmen und weiter nachhaltig auszubauen. Dies wird nur gelingen, wenn wir weiterhin die Risiken von vornherein mitdenken und möglichst ausschließen.“

Bundesinnenminister Horst Seehofer unterstützt dieses Anliegen: „Die Corona-Pandemie hat uns nochmals deutlich vor Augen geführt, welche Bedeutung funktionierende und sichere IT-Infrastrukturen haben. IT-Sicherheit muss deshalb bei allen Digitalisierungsvorhaben einen Schwerpunkt bilden und von Anfang an mitgedacht und umgesetzt werden.“

Ergebnisse

Folgende Entwicklungen und Bedrohungen listet das BSI in seinem Lagebericht zusammenfassend auf:

Neue Schadprogramm-Welle im Herbst und Winter: Emotet dominiert die Lage

Dominiert wurde die Lage durch das Schadprogramm Emotet, das sich schon im vergangenen Berichtszeitraum als besonders gefährlich erwiesen hatte. Es ermöglicht eine Kaskade weiterer Schadsoftware-Angriffe bis hin zu gezielten Ransomware-Angriffen auf ausgewählte, zahlungskräftige Opfer. Insgesamt war das Aufkommen neuer Schadprogramm-Varianten im Herbst und Winter überdurchschnittlich hoch (der Tageszuwachs lag zeitweise bei knapp 470.000 Varianten).

Cyber-Kriminelle kommunizieren verschlüsselt

Das Hypertext Transfer Protocol Secure (HTTPS) steht für sichere, verschlüsselte Datenübertragung im Internet. Im Berichtszeitraum hat sich jedoch der Trend zur Nutzung von HTTPS-Seiten durch Cyber-Kriminelle verstärkt. Wie das BSI in Zusammenarbeit mit der Verbraucherzentrale NRW herausfand, führt inzwischen mehr als jeder zweite Link in einer Phishing-Mail auf eine HTTPS-Webseite (60 %), die im Gegensatz zu einfachen HTTP-Webseiten besonders seriös und sicher erscheinen, tatsächlich aber betrügerischen Zwecken dienen.

Millionen Patientendaten im Internet öffentlich zugänglich

Meldungen zu Diebstählen von Kundendaten wurden im Berichtszeitraum erneut regelmäßig beobachtet. Aber nicht nur Diebstahl führte zum Datenabfluss. Im Berichtszeitraum wurden auch Datenbanken mit hochsensiblen medizinischen Daten frei zugänglich im Internet entdeckt. Anders als bei Datendiebstählen war hier also kein technisch aufwendiger Angriff notwendig, sondern unzureichend gesicherte oder falsch konfigurierten Datenbanken waren die Ursache für den Datenabfluss. Allein in Deutschland waren zwischen Juli und September 2019 etwa 15.000 Datensätze von Bundesbürgern mit insgesamt mehreren Millionen Bildern frei im Internet verfügbar.

Kritische Schwachstellen in Remote-Zugängen

Mehrere kritische Schwachstellen sind aufgetreten. Die neuen Schwachstellen BlueKeep und DejaBlue in Windows' Remote Desktop Protocol machen viele Windows-Systeme bis hin zu Windows 10 angreifbar. Durch die Schwachstellen können Angreifer einen beliebigen Code – auch Schadprogramme – auf den angreifbaren Systemen ausführen. Die Schwachstellen ermöglichen Schadprogrammen außerdem, sich automatisiert weiterzuverbreiten, und werden daher auch als „wurmfähig“ bezeichnet. Microsoft hat Sicherheitsupdates für alle betroffenen Systeme bereitgestellt.

Neue APT-Gruppen

Im Zusammenhang mit Advanced Persistent Threats (APT) waren im Berichtszeitraum in Deutschland etwas mehr als ein Dutzend Gruppen aktiv. Weltweit lag die Anzahl im dreistelligen Bereich. Immer mehr Staaten haben inzwischen öffentlich bekannt gegeben, Cyber-Fähigkeiten zu entwickeln, sodass die Zahl der aktiven APT-Gruppen weltweit künftig weiter ansteigen dürfte. Im Gegensatz zu anderen Angreifern verfolgen APT-Gruppen in der Regel keine cyberkriminellen Ziele, sondern taktische und strategische Absichten wie Spionage oder Sabotage.

DDoS-Angriffe

Distributed-Denial-of-Service (DDoS)-Angreifer setzten im Berichtszeitraum vermehrt auf technisch hoch entwickelte und strategisch intelligente Angriffe. So konnte insbesondere beobachtet werden, dass Angreifer öffentlich verfügbare Informationen, wie etwa Störungsmeldungen, nutzten, um während eines Angriffs die Abwehrmaßnahmen des Opfers zu beobachten und ihre Angriffsstrategien ad hoc flexibel anzupassen.

Social-Engineering-Angriffe unter Ausnutzung der Covid-19-Pandemie

Cyber-Kriminelle, die sich auf Betrug im Internet spezialisiert haben, reagieren in der Regel schnell auf gesellschaftlich relevante Themen und Trends, um diese für Kampagnen auszunutzen. Im Zuge der COVID-19-Pandemie wurden beispielsweise Phishing-Kampagnen, CEO-Fraud und Betrugsversuche mit IT-Mitteln beobachtet. So gelang es Betrügern beispielsweise, Soforthilfe-Maßnahmen zu missbrauchen, indem sie die Antragswebseiten amtlicher Stellen täuschend echt nachahmten. Die unternehmensbezogenen Daten, die die Antragsteller auf den gefälschten Seiten eingegeben hatten, nutzten die Cyber-Kriminellen anschließend, um sich als Antragsteller auszugeben und Hilfsgelder missbräuchlich zu beantragen.

Den kompletten Lagebericht des BSI gibt es online als PDF.

(ID:46944339)