Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2021 veröffentlicht: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf?__blob=publicationFile&v=3

Dabei geht das BSI auf aktuelle Sicherheitsbedrohungen ein und welche Relevanz diese für Unternehmen und Behörden in verschiedenen Bereichen haben. Wir möchten hiermit auf Hinweise und wichtige Aussagen des BSI aus dem Bericht eingehen, denn Datenschutz ist nicht ohne IT-Sicherheit möglich.

I. Gefährdungen

Ein wichtiges Instrument für Kriminelle und Hacker sind natürlich Schadprogramme. Das BSI hat festgestellt, dass hier im Berichtszeitraum die Anzahl neuer Schadprogramm-Varianten im Berichtszeitraum um 144 Millionen zugenommen hat. Das sind mehr als 394.000 neue Varianten am Tag.

Weitere wichtige Einfallstore sind nach wie vor Spam- und Phishing Mails. Neuerdings gibt es auch SMS-Phishing. Aber auch Botnetze und die Ausnutzung von Schwachstellen in Software, wie beispielsweise in diesem Jahr bei Microsoft Exchange, sind wichtige Einfallstore und Gefährdungsquellen.

Die Täter versuchen mithilfe dieser Methoden häufig entweder ganze Netzwerke lahmzulegen, um für die Entschlüsselung Lösegeld zu verlangen oder betreiben Identitätsdiebstahl, um an wichtige Informationen heranzukommen, welche wiederum für die Vermögensmehrung genutzt werden können.

Im Rahmen der COVID-19-Pandemie geht das BSI darauf ein, dass es verstärkt Angriffe auf Videokonferenzen gibt. Außerdem boten die plötzlich notwendige Digitalisierung und die Arbeit von Mitarbeitern im Home Office weitere Angriffsflächen für Cyberkriminelle. Das BSI weist daraufhin, dass dabei häufig Unternehmen und Behörden, die bei überstürzten Digitalisierungsprojekten die IT-Sicherheit aus den Augen verloren haben, das Nachsehen hatten, da technische und organisatorische Probleme Sicherheitslücken verursachten.

II. Konkrete Zielgruppen und Erkenntnisse

Das BSI hat zudem Erkenntnisse für konkrete Zielgruppen und Ereignisse dargelegt.

1. Kleine und Mittlere Unternehmen (KMU)

Laut BSI sind 99,4% aller Unternehmen in Deutschland KMU’s (ausgehende von einer Mitarbeiterzahl bis 499 Mitarbeiter). Diese Zahl macht alleine schon die Bedeutung der IT-Sicherheit für die Wirtschaft in Deutschland deutlich. Nach Aussagen des BSI kennzeichnet sich diese Gruppe dadurch, dass häufig keine eigene IT-Abteilung vorhanden ist oder auch die IT nicht selbst betrieben wird. Dies macht ein mangelndes Bewusstsein für IT-Sicherheit deutlich, was in der heutigen Zeit jedoch zu verheerenden wirtschaftlichen Schäden führen kann. Ein Beispiel dafür ist die oben bereits genannte Sicherheitslücke bei Microsoft Exchange.

Das BSI will in seiner Tätigkeit nun die Bemühungen gegenüber der Zielgruppe der KMU verstärken.

2. Home Office

Aufgrund der Pandemie musste häufig sehr kurzfristig auf Home Office umgestellt werden. Das BSI hat deshalb frühzeitig konkrete Maßnahmen zur Sicherheit des Home Office bereitgestellt.

Es bestehen insbesondere Lücken bei den technischen und organisatorischen Maßnahmen im Home Office. Beispielsweise sind die Mitarbeiter nicht bei jedem Unternehmen mittels einer gesicherten Verbindung wie VPN mit den Netzwerken des Arbeitgebers verbunden (Auch zu TOMs im Home Office haben wir bereits informiert). Zu solchen Maßnahmen gehören auch ein zentrales Mobile Device Management und Sensibilisierungen der Mitarbeiter, welche ebenfalls laut BSI noch nicht flächendeckend umgesetzt wurden.

3. Kritische Infrastrukturen

Besonders gefährdet sind im Sinne der IT-Sicherheit laut BSI Organisationen mit kritischen Infrastrukturen und damit besonderer Bedeutung für das Gemeinwesen. Das IT-Sicherheitsgesetz wurden ebensolche Organisationen verpflichtet ausreichende IT-Sicherheitsmaßnahmen vorzuhalten und diese vor dem BSI auch regelmäßig nachzuweisen. Dies soll präventiv Angriffe auf die IT-Sicherheit verhindern, welche uns ggf. alle betreffen könnten. Im letzten Prüfungszyklus von zwei Jahren wurden in den Bereichen Telekommunikation, Finanz- und Versicherungswesen und Wasser und Energie 1805 Sicherheitsmängel gefunden, welche das BSI entsprechenden ausgewertet hat. Hier lässt sich feststellen, dass viele Mängel in der technischen Informationssicherheit sowie beim Informationssicherheitsmanagement aufgetreten sind.

Das BSI tut gut daran, der kritischen Infrastruktur besondere Aufmerksamkeit zu schenken, denn IT-Sicherheitsvorfälle in diesen Bereichen können uns alle sowohl wirtschaftlich als auch ganz persönlich treffen.

III. Fazit des BSI

Abschließend stellt das BSI fest, dass die Bemühungen zur IT-Sicherheit vor allem im Rahmen der Digitalisierung noch nicht ausreichend sind. Cyber-Erpressungen und Schwachstellen in Software stellen derzeit die größten Bedrohungen dar. Die Cyberkriminellen schlafen hier nicht und entwickeln immer neuere Schadsoftware und Methoden und professionalisieren sich dabei immer weiter. Dies bedeutet für Verantwortliche ebenfalls, dass sie sich dauerhaft mit der IT-Sicherheit auseinandersetzen und immer auf dem neuesten Stand bleiben müssen. IT-Sicherheit Made in Germany sollte auch hier zum Standard und zum Verkaufsargument werden.

Das BSI stellt mit einem Blick in die Zukunft fest, dass die Bedrohungen in der IT-Sicherheit nicht weniger werden. Ölpipelines in den USA werden lahmgelegt, Krankenhäuser und Gemeinden werden am Zugriff auf ihre Netze gehindert und das Vertrauen in digitale Technologien wird damit allgemein untergraben. Die IT-Sicherheit wird im Sinne der Digitalisierung für den Erfolg Deutschlands ein nicht zu vernachlässigender Faktor sein. Das BSI will daran mitarbeiten und seine Aufgaben wahrnehmen.

Auch im Sinne des Datenschutzes stellt dieser Bericht ein Signal dar, dass bei jedem Prozess in der Organisation die IT-Sicherheit (ebenso wie der Datenschutz) mitgedacht werden sollte. Sicherheitsvorfälle können jeden zu jederzeit treffen. Dahingehend sollten Vorbereitungen getroffen worden sein.