BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland

News

Vergangene Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2017 veröffentlicht. Der Bericht wurde von Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Arne Schönbohm in Berlin vorgestellt. Wir werfen einen Blick auf die Kernaussagen des Berichts.

Worum geht es im Lagebericht zur IT-Sicherheit?

Der Lagebericht des BSI erscheint seit einigen Jahren einmal jährlich. Er informiert über die aktuelle IT-Sicherheitslage in Deutschland, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden. Außerdem enthält der Bericht Maßnahmen und Lösungsmöglichkeiten zur Verbesserung der IT-Sicherheit.

Im Lagebericht 2017 wird die Gefährdungslage für folgende Bereiche näher beschrieben:

  • Bundesverwaltung
  • Kritische Infrastrukturen/Wirtschaft
  • Gesellschaft

Wesentliche Ergebnisse des Berichts

Nach dem BSI besteht im Berichtszeitraum Juli 2016 bis Juni 2017 weiterhin eine hohe Gefährdungslage.

Qualitätsmängel in Soft- und Hardware

Auffällig seien, so das BSI, teilweise erhebliche Qualitätsmängel in Software- und Hardwareprodukten. Insbesondere da der Umfang der Codebasis von Softwareprodukten immer weiter zunimmt, müsse bei komplexeren Softwareprodukten mit kritischen Schwachstellen gerechnet werden. Diese Schwachstellen ermöglichen es Angreifern Informationen abfließen zu lassen oder die Kontrolle über diese Systeme zu erlangen.

Als weiteres Einfallstor wird die fehlende Meldung von detektierten Sicherheitslücken genannt. Hersteller würden oft erst verspätet Sicherheitsupdates bereitstellen und – sofern entsprechende Updates bereits verfügbar seien – würden Anwender die Empfehlungen und Updates nicht zeitnah oder nur unvollständig umsetzen.

Weiterhin seien die Fälle von Ransomware deutlich angestiegen. Auf diese Weise werden vom Kriminellen große Geldsummen erpresst. Die anonymen Zahlungsmethoden, wie z.B. Bitcoins, erschweren die Strafverfolgung dieser Cyper-Angriffe erheblich.

„Faktor Mensch“ als Gefahrenquelle

Eine deutliche Zunahme gäbe es insbesondere bei Angriffen über Social Engineering. Durch das Vortäuschen einer persönlichen Beziehung zum Opfer, z.B. ein Gewinnversprechen, würden Opfer dazu bewegt Schadsoftware zu installieren oder sensible Daten herauszugeben. Aus Sicht des BSI ist Social Engineering deshalb eine häufig genutzte Methode der Angreifer, weil es über die „Schwachstelle Mensch“ nicht erforderlich ist, Schwachstellen in Hardware oder Software auszunutzen oder technische Sicherheitsmaßnahmen zu umgehen.

Gefährdung durch das Internet der Dinge

Als eine neuere Gefahrenquelle, die immer mehr an Bedeutung gewinnt, wird auch das Internet der Dinge (IoT) genannt. Unter IoT versteht man die zunehmende Vernetzung von Geräten und Sensoren über das IP-Netz. Problematisch ist aus der Sicht des BSI, dass bisher weder bei der Herstellung noch bei der Kaufentscheidung der Kunden die IT-Sicherheit eine ausreichende Rolle spielt. Für Nutzer seien beim Kauf von IoT-Geräten allein die Funktionalität, der Komfortgewinn und der Kaufpreis von Bedeutung.

Cyper-Angriffe zur politischen Einflussnahme

Als neues Phänomen nennt der Bericht zudem die Einflussnahme politischer Prozesse durch Cyber-Angriffe durch vermutlich staatlich gelenkte Angreifergruppen. Eine mögliche Methode seien Angriffe auf private E-Mail-Accounts um an Information zu gelangen, die später – im Wahlkampf – veröffentlicht wird, um beispielsweise die Reputation eines Kandidaten zu schädigen. Das BSI nimmt in diesem Zusammenhang auf die vergangenen Vorfälle bei Wahlen im In- und Ausland Bezug.

Schlussfolgerung für die deutsche IT-Landschaft

Das BSI will zukünftig mehr Transparenz für Verbraucher und stärkere Verpflichtungen für Unternehmen schaffen um größere Schadensvorfälle, wie zuletzt durch das Schadprogramm „WannaCry“, zukünftig zu verhindern. Insbesondere soll der Aufbau eines „Mobile Incident Response Teams“ (MIRTs) vorangetrieben werden, damit Verfassungsorgane, Bundesbehörden und Betreiber Kritischer Infrastrukuren schnell und adressatengerecht unterstützt werden können. Ein weiteres Vorhaben ist der Ausbau der bilateralen und europäischen Zusammenarbeit in der Prävention und Detektion von Cyper-Angriffen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

4 Kommentare zu diesem Beitrag

  1. Die Zusammenfassung des Berichts ist sehr spannend und informativ zugleich. Die Punkte decken sich auch mit meinem persönlichem Empfinden, was die IT-Sicherheit angeht. Der Aspekt des Social Engineering war mir vorher in diesem Ausmaß nicht bekannt. Er zeigt aber, dass die beste technische Absicherung durch Hard- und Software nichts bringt, wenn der Mensch die Fehlerquelle ist. In diesem Fall sind, denke ich, auch Dienstleister im Bereich IT-Sicherheit relativ machtlos. Auch sie können die Fehlerquelle Mensch nicht abstellen. Mir stellt sich die Frage wo die Anreize für eine solche Handlung liegen. Das IoT ist dann der nächste große Aspekt den es zu berücksichtigen gilt. Hier muss ein Bewusstsein für die neue Technologie und deren Risiken geschaffen werden. Die Vernetzung nimmt immer mehr zu und der Bericht des BSI zeigt genau auf, welche Aspekte und Probleme Dienstleistern und Nutzern erwarten und wo Handlungsbedarf besteht. So wird in meinen Augen das allgemeine Bewusstsein für die Thematik gestärkt.

  2. Ist vielleicht ein wenig OT, aber das muss ich jetzt einfachmal loswerden.
    Mir hat sich der Sinn von IoT sowieso noch nicht wirklich erschlossen. Wozu muss ich meine Waschmaschine mit dem Smartphone einschalten, wenn ich doch schon davor sitze und sie einräumen muss, kann ich sie auch gleich einschalten. (wahrscheinlich gibt es fürs Ein- und Ausräumen und Aufhängen schon eine App und ich Unwissender weiß noch nix davon).
    Oder wozu muss ein Kühlschrank am Netz hängen oder meine Beleuchtung und Heizung? Sind wir alle zu faul geworden unseren Hintern hochzuheben und selber zum Kühlschrank oder Lichtschalter zu gehen???
    Vielleicht bin ich auch zu alt, um den Sinn darin zu verstehen.

    • Sehe das genau so wie Sie. Ich kann das auch nicht nachvollziehen. Nur weil es möglich ist etwas zu tun, wie hier z.B. das Steuern des Haushalts per App, muss es nicht sinnvoll sein. Kann dem ganzen auch nichts abgewinnen. Würd mich nicht wundern wenn wir bald den ersten Fall erleben in dem jemand nicht zu Hause reinkam weil der Bewohner aufgrund einer fehlenden Internetverbindung oder eines leeren Smartphone-Akkus nicht in seine Wohnung kommt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.