Das ist ein Fazit des Bundesamtes für Sicherheit in der Informationstechnik – der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland hat es in sich.
Hackerangriffe und Cyberattacken nehmen massiv zu. Zu den jüngsten (bekannten) Beispielen in der Schweiz gehört der Cyberangriff auf Comparis im Sommer, der mit einer Lösegeldzahlung des Vergleichsportals an die Angreifer endete. Zu den beliebten Zielen von Hackern gehören seit einiger Zeit vermehrt Gemeinden, unter anderen sind 2021 die IT-Systeme der Gemeinden Bottmingen, Rolle und Montreux gehackt worden, zum Teil mit gravierenden Auswirkungen.
Gestern hat das Seco (Staatssekretariat für Wirtschaft) einen Cyberangriff auf EasyGov gemeldet, nach aktuellem Stand haben Hacker eine Liste von bis zu 130'000 Unternehmen gestohlen, welche einen Covid-19-Kredit beantragt hatten.
Die weitergedachte Bilanz sieht düster aus
Die genannten Beispiele dürften nur die Spitze eines Eisberges sein – die gemeldeten Fälle von Cyberangriffen nehmen zu und erfahrungsgemäss liegt die Dunkelziffer der nicht gemeldeten Angriffe deutlich höher.
Zudem mehren sich weltweit Angriffe auf kommunale Ziele wie zum Beispiel Wasserversorgung, Stromversorgung, Gesundheitseinrichtungen und andere Anlagen, die als Lebensnerv von Kommunen, Regionen und Gesellschaften bezeichnet werden können. Die bisher bekannten und erfolgreich abgewehrten Attacken bieten keinerlei Gewähr, dass es Angreifern über kurz oder lang nicht gelingen könnte, digitale Schwachstellen zu finden, zu nutzen und in lebenswichtigen Systemen massiven Schaden anzurichten.
BSI: IT-Sicherheitslage bleibt angespannt bis kritisch
"Angespannt bis kritisch" klingt nach einer Vorstufe zur Entwarnung und lässt zumindest hoffen. Führt man sich den aktuellen Bericht zur "Lage der IT-Sicherheit in Deutschland 2021" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) etwas vertiefter zu Gemüte, verfliegen die Hoffnungen ganz schnell wieder.
Auf fast hundert Seiten fasst der Bericht des BSI die aktuelle Lage zusammen, benennt bestehende und neue Schadprogramme, Angriffs-Typen und Bedrohungen, IT-Schwachstellen, Angriffs-Ziele, erfolgreich durchgeführte Hacker-Attacken, deren Auswirkungen und mehr.
Damit der Schwindelanfall beim Lesen des Berichts nicht vorschnell nachlässt, liefert das BSI auch konkrete Zahlen zur Entwicklung, als Auszug zum Beispiel die folgenden:
Schwachstellen in IT-Produkten ermöglichen neue Angriffswege überhaupt erst
Diese alarmierende Aussage im Bericht des BSI bestätigt die ernüchternde Analyse von Christoph Jaggi. Unter dem Titel "Warum die meistverbreiteten Produkt-Zertifizierungen keine Sicherheit gewähren", hat Jaggi in seinem Artikel klar, verständlich und ausführlich dargelegt, warum zahlreiche IT-Produkte in keiner Weise halten, was sie versprechen – obwohl Millionen von Anwendern glauben, genau das erwarten zu dürfen. Die Story ist vor wenigen Tagen auf MoneyToday.ch erschienen, hier nachzulesen. Die Geschichte belegt Versäumnisse von Produkt-Herstellern und Institutionen, die in der Auswirkung zur existenziellen Bedrohung für Kommunen, Einrichtungen und Gesellschaften werden können.
Zu welchem Schluss das BSI kommt, im Folgenden in einem zusammenfassenden Zitat.
Schwachstellen sind Ausdruck einer mangelhaften Produktqualität
"Es ist nicht nur die Anzahl von Sicherheitsvorfällen, die besorgniserregend ist, es ist auch die rasante Entwicklung neuer und angepasster Angriffsmethoden, die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen und die teilweise gravierenden Folgen, die erfolgreiche Cyber-Angriffe auslösen. Zwar ist mit der Zerschlagung des Emotet-Netzwerkes der „König der Schadsoftware“ zunächst von der Bildfläche verschwunden, doch gibt es längst neue Angriffsmittel und Methoden.
Schwachstellen in IT-Produkten ermöglichen diese neuen Angriffswege überhaupt erst. Dies ist gravierend, wenn Produkte mit grosser Verbreitung und hoher Marktdurchdringung betroffen sind. Schwachstellen sind Ausdruck einer mangelhaften Produktqualität. Die Hersteller sollten daher in ihrem eigenen Interesse daran (mit)arbeiten, diese Mängel schnellstmöglich und konsequent zu beheben. Aber es muss auch den Anwenderinnen und Anwendern bewusst sein, dass sie ihre Netzwerke und Systeme jeden Tag aktiv schützen müssen. Wer dies nicht tut, geht enorme Risiken ein."
Arne Schönbohm, der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, bringt eine zusätzliche und übergeordnete Dimension in die Diskussion ein, die weitreichende Folgen haben kann, Schönbohm sagt:
Die Digitalisierung mit all ihren Vorzügen wird weiter voranschreiten. Das ist gut so. Wenn wir aber dabei weiterhin die Informationssicherheit vernachlässigen, werden wir niemals das volle Potenzial der Digitalisierung ausnutzen können. Mehr noch: Im schlimmsten Fall werden viele Digitalisierungsprojekte scheitern.
Der Bericht des Bundesamtes für Sicherheit in der Informationstechnik
Im Bericht des BSI steht Deutschland im Fokus, die Erkenntnisse können jedoch mit minimalen Abweichungen auf jedes andere westliche Land übertragen werden. Der Bericht zur Lage der IT-Sicherheit in Deutschland 2021 umfasst nahezu hundert Seiten und liefert fundierte Informationen zu Bedrohungen sowie zur aktuellen Lage und Entwicklung von Cyberattacken. Empfehlungen und Gedankenanstösse inklusive, wie die IT-Sicherheit von Kommunen, Institutionen und Unternehmen optimiert werden kann. Immer vorausgesetzt, IT-Produkte-Hersteller erkennen die Zeichen der Zeit, setzen sich mit ins Boot und konzipieren ihre Produkte so, dass sie neu halten, was sie versprechen.
Der Bericht kann als PDF kostenlos direkt beim BSI runtergeladen oder auch als Druckausgabe bestellt werden, über die Links gleich unten.