VdZ: Krankenhäuser, Gerichte, Universitäten – immer häufiger ist von Hackerangriffen auf öffentliche Einrichtungen zu hören. Hat die Anzahl der Angriffe zugenommen, sind sie erfolgreicher als früher oder wird einfach mehr darüber berichtet?
Könen: Eine der größten Bedrohungen im Cyber-Raum bleibt die Infektion von IT-Systemen mit Schadprogrammen. Dabei weisen einige Schadprogramme neue Fähigkeiten auf, die bisher vor allem bei Advanced Persistent Threats (APT) eingesetzt wurden – also bei besonders professionellen Cyber-Angriffen. Einen Großteil der Cyber-Angriffe bilden Ransomware-Kampagnen.
Eine der größten Bedrohungen im Cyber-Raum bleibt die Infektion von IT-Systemen mit Schadprogrammen.
Während früher Infektionen mit Schadprogrammen von der Öffentlichkeit weitgehend unbemerkt blieben, führen heutige Angriffe z.B. mit Emotet, WannaCry oder anderer Ransomware immer wieder zu Ausfällen von Dienstleistungen und Produktionen auch in Krankenhäusern, Gerichten und Universitäten. Diese Ausfälle werden öffentlich wahrgenommen und in der Presseberichterstattung aufgegriffen. Darüber hinaus sind Identitätsdiebstähle, bei denen z.B. Nutzername und Passwort missbräuchlich durch Dritte genutzt werden, nach Erkenntnissen des BSI mittlerweile an der Tagesordnung. Dem hingegen nimmt die Zahl von E-Mails, mit denen Schadprogramme verteilt werden (Schadprogramm-Spam) ab. Da aber gleichzeitig deren Qualität steigt, bleibt das Bedrohungspotential auch hier anhaltend hoch. Nicht also die Anzahl der Angriffe ist entscheidend, sondern deren Effektivität.
VdZ: Sind öffentliche Einrichtungen Opfer gezielter Angriffe oder handelt es sich um Zufallstreffer breit angelegter Massenangriffe? Was steckt dahinter?
Könen: In der Praxis ist es eine Mischung aus beidem. Cyber-Angriffe auf die Regierungsnetze, wie die Netze des Bundes (NdB) und das gemeinsame Bund-Länder-Netz, finden täglich statt. Das BSI registriert und wehrt täglich eine Vielzahl von Angriffen ab, darunter viele Zufallstreffer breit angelegter Massenangriffe, aber natürlich auch einige gezielte Angriffe. Die Motivation für diese gezielten Angriffe auf öffentliche Einrichtungen dürften insbesondere Sabotage und Spionage, aber auch Erpressung von Lösegeld sein. Schadsoftware ist inzwischen zudem sehr gut darin, automatisierte aber dennoch individuell personalisierte Angriffe zu erzeugen.
Das BSI registriert und wehrt täglich eine Vielzahl von Angriffen ab.
Zu den häufigsten detektierten Angriffen auf die Bundesverwaltung zählen E-Mails mit Schadprogrammen, weshalb ich hierzu gerne auf Emotet eingehen möchte. Emotet ist deshalb so erfolgreich, weil die Spam-Mails besonders authentisch wirken. Emotet kopiert auf infizierten Rechnern die Postfächer von realen Personen und übermittelt diese an die Täter. Der dann versandte Spam bezieht sich oft sehr authentisch auf ältere Mailhistorien und täuscht einen Absender vor, den der Empfänger bereits kennt.
Viele Betroffene interpretieren Emotet-Spam-Mails daher oft als gezielten Angriff, weil konkrete Mitarbeiter benannt werden und Mail-Signaturen und Mail-Verläufe stimmig sind. Da öffentliche Einrichtungen wie z.B. das Bürgeramt im Alltag kritische Dienstleistungen bereitstellen, sind sie für die Angreifer ein lohnendes Ziel. Die Wiederherstellung der Dienstleistung hat oft hohe Priorität. Die Angreifer erhoffen dadurch, dass die Wahrscheinlichkeit für eine Lösegeldzahlung steigt.
VdZ: Was können kleinere Behörden, Krankenhäuser oder auch mittelständische Unternehmen mit überschaubaren IT-Budgets dagegen tun und haben sie überhaupt eine Chance?
Könen: Wichtig ist es, IT-Sicherheit als unternehmenskritischen Faktor anzuerkennen und in jedem Prozess zu berücksichtigen. Über eine nachhaltige Planung der IT-Infrastruktur und einen Betrieb, der sich konsequent an den Sicherheitsanforderungen ausrichtet, kann somit langfristig das Schutzniveau erhöht werden. Dafür gibt es Maßnahmen und Empfehlungen, die zeitnah umgesetzt werden können und nicht zwangsweise hohe Neuinvestitionen voraussetzen.
Wichtig ist es, IT-Sicherheit als unternehmenskritischen Faktor anzuerkennen.
Aktuell zeigt sich beispielsweise, dass sich die Krankenhäuser aktiv mit dem Thema Cybersicherheit beschäftigen. Dies wird vom BMI begrüßt. Massive Sicherheitsprobleme können wir im Krankenhausbereich nicht erkennen, dies zeigen auch die sehr überschaubaren Zahlen der Sicherheitsvorfälle. Nach den Kenntnissen, die hier über die Struktur und die IT-Sicherheitslage im Krankenhausbereich vorliegen, kann es sein, dass im Bereich der kleineren Krankenhäuser ein Bedarf an einer Verbesserung der IT-Sicherheit besteht. Es wird diesen Kliniken empfohlen, IT-Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen und sich dabei zum Beispiel am IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder an den Empfehlungen zu orientieren, die das BSI im Rahmen der Allianz für Cyber-Sicherheit zur Verfügung stellt. Zudem hat die Deutsche Krankenhausgesellschaft einen branchenspezifischen Sicherheitsstandard („B3S“) erarbeitet, der allen Krankenhäusern zur Verfügung steht. Daran können sich auch die Kliniken orientieren, die nicht unter die gesetzlichen Vorgaben fallen.
Umfangreiche Informationen stellt das BSI zur Verfügung.
VdZ: Was kann der Staat beitragen, um die Gefahren zu reduzieren, oder liegt die Verantwortung allein bei den Einrichtungen selbst?
Könen: Wenn wir die Chancen der Digitalisierung voll ausschöpfen wollen, müssen wir die mit ihr verbundenen Risiken beherrschbar machen. Hier sind Staat, Zivilgesellschaft und Wirtschaft gefragt. Ein risikobewusstes Handeln jedes Einzelnen ist wichtig.
Wenn wir die Chancen der Digitalisierung voll ausschöpfen wollen, müssen wir die mit ihr verbundenen Risiken beherrschbar machen.
Der Bundesregierung kommt dabei eine besondere Verantwortung zu. Wirtschaft und Gesellschaft erwarten von Staat und Politik zu Recht, dass sie Lösungen für diese Herausforderungen der Digitalisierung und damit einhergehend der IT-Sicherheit entwickeln. Die Bundesregierung ist sich ihrer Verantwortung bewusst und arbeitet intensiv an der Umsetzung zentraler Maßnahmen. Hierzu gehört u.a. die personelle Stärkung des BSI, der Ausbau des Nationalen Cyber-Abwehrzentrums sowie der Beschluss für die Gründung einer neuen „Agentur für Innovation in der Cybersicherheit“.
Aber auch der rechtliche Rahmen wurde auf den Prüfstand gestellt. Mit dem ersten IT-Sicherheitsgesetz (IT-SiG) haben wir einen wesentlichen Beitrag zur Verbesserung der IT-Sicherheit bei den Betreibern von Kritischen Infrastrukturen geleistet. Mit dem Gesetzentwurf für ein IT-Sicherheitsgesetz 2.0 passen wir nun die rechtlichen Rahmenbedingungen an die Entwicklungen an. Dies sind insbesondere Verbesserungen für den Schutz der Bundesverwaltung, der Verbraucher, der Kritischen Infrastrukturen sowie weiterer Wirtschaftszweige.
Wirtschaft und Gesellschaft erwarten von Staat und Politik zu Recht, dass sie Lösungen für diese Herausforderungen der Digitalisierung und damit einhergehend der IT-Sicherheit entwickeln.
Betreiber Kritischer Infrastrukturen haben bereits mit dem ersten IT-SiG die Pflicht zur Einhaltung von Mindeststandards und Meldepflichten bei erheblichen IT-Sicherheitsvorfällen erhalten. Eine Ausweitung auf weitere Bereiche ist notwendig. Hier sehen wir u.a. Unternehmen, bei denen ein besonderes öffentliches Interesse besteht, weil sie von besonderer volkswirtschaftlicher Bedeutung sind. Außerdem wird der Verbraucherschutz dem BSI als explizite Aufgabe zugewiesen. In diesem Zusammenhang soll ein einheitliches und freiwilliges IT-Sicherheitskennzeichen eingeführt werden. Dieses Kennzeichen macht die IT-Sicherheit von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger transparent und nachvollziehbar.
Hierzu werden wir mit dem BSI, der Wirtschaft und Verbrauchervertretern gemeinsam transparente Mindestanforderungen zu IT-Sicherheitseigenschaften für vernetzte Produkte definieren. Grundlage der IT-Sicherheitsanforderungen bilden zunächst Technische Richtlinien (TR) des BSI. Die erste TR wurde für den Breitband-Router erstellt. Das IT-Sicherheitskennzeichen wird dynamisch gestaltet. Auf diese Weise können aktuelle IT-Sicherheits-Informationen über den Lebenszyklus abgerufen werden, z.B. über einen QR-Code. Das IT- Sicherheitskennzeichen fungiert dabei wie ein elektronischer „Beipackzettel“.
Nach derzeitigem Stand werden mit Inkrafttreten des IT-SiG 2.0 die ersten Router und ggf. weitere Smart-Home Produkte mit dem IT-Sicherheitskennzeichen ausgestattet sein. Wir streben natürlich eine verpflichtende, europäische Lösung an. Die Grundlage hierfür ist der im Juni 2019 in Kraft getretene „Cybersecurity Act“, mit dem ein EU-weiter Zertifizierungsrahmen etabliert wurde.
Wie eingangs erwähnt: Auch jeder einzelne Bürger und jedes Unternehmen ist gefragt, wenn es um IT-Sicherheit geht, bspw. beim Einspielen von Software-Updates. Aber auch hier unterstützt das BSI mit seinen Empfehlungen.
VdZ: Wie kann man der Problematik die nötige Aufmerksamkeit verleihen, damit sie bei den Entscheidern den Stellenwert bekommt, den sie erfordert?
Cyber-Sicherheit ist eine gesamtgesellschaftliche Aufgabe.
Könen: Cyber-Sicherheit ist eine gesamtgesellschaftliche Aufgabe und beginnt bei einer stärkeren Sensibilisierung zu einer selbstbestimmten und sicheren Nutzung des Internets. Wichtig ist, nicht die Augen vor einem möglichen Angriff zu verschließen, sondern ein stetes ernstzunehmendes Risiko anzuerkennen. Gerade bei kleinen und mittleren Unternehmen kann ein länger andauernder Produktionsausfall durch Ransomware schnell existenzbedrohend sein. Über die tatsächlichen Folgen eines Angriffs herrscht oftmals Unkenntnis, obwohl eine funktionierende IT in unserer hochvernetzten Gesellschaft einen Dreh- und Angelpunkt darstellt.
Mit der Allianz für Cybersicherheit, dem UP BUND und dem UP KRITIS wurden Austauschplattformen nicht nur für IT-Expertise und branchenweite Standards geschaffen, sondern auch für einen umfangreichen Erfahrungsaustausch. Im Rahmen seiner Zuständigkeit stellt das BSI konkrete Informationen, beispielsweise aktuelle Lageentwicklungen im KRITIS-Umfeld bereit und berät im Bedarfsfall.
Unter https://www.bsi-fuer-buerger.de bietet das BSI ein speziell für die Bürgerinnen und Bürger zugeschnittenes Internetangebot für einen sicheren Umgang mit Informationstechnologie, mobilen Kommunikationsmitteln und Internet. Auf der Webseite werden die vielfältigen Themen und Informationen rund um das Thema IT- und Internet-Sicherheit so behandelt, dass sie auch für technische Laien verständlich sind. Noch in diesem Jahr werden BMI und BSI zudem eine gemeinsame bundesweite Informations- und Sensibilisierungskampagne (Safer Internet Day) starten, um Bürgerinnen und Bürger weiter zu sensibilisieren.
Darüber hinaus werden die Fraktionen des Deutschen Bundestags und die Bundestagsverwaltung durch das BSI über das allgemeine Bedrohungsszenario durch Cyber-Angriffe informiert. Das BSI gibt ihnen allgemeingültige IT-Sicherheitsempfehlungen und berät bei entsprechendem Bedarf.
