Das Bundesamt für Sicherheit in der Informationstechnik (BSI) – die oberste Cybersicherheitsbehörde in Deutschland – hat seinen aktuellen Bericht zur Lage der IT-Sicherheit vorgelegt. Eine Übersicht über die wichtigsten Zahlen, Fakten und Daten gibt es hier:
Der nachfolgende Beitrag stellt einige der wichtigsten Punkte des Berichts vor.
Die Lage im Cyber-Raum bleibt angespannt
Die operativ größte Bedrohung für Unternehmen und Behörden in Deutschland bleibt die Ransomware. Unter dem Begriff Ransomware fassen wir Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt.
Die betroffene Stelle wird bedroht, dass Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird.
Bei Ransomware-Angriffen war schon im letzten Jahr eine Erweiterung der Erpressermethoden zu erkennen, an welche nun nahtlos angeknüpft wird. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Das jedoch nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf die Landkreisverwaltung des Landkreises Anhalt-Bitterfeld: Erstmals wurde im Jahr 2021 wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. Nach der Attacke konnten Elterngeld, Arbeitslosen- und Sozialgeld, Kfz-Zulassungen und andere Leistungen nicht erbracht werden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in einem Beitrag dargestellt. Unter datenschutzrechtlichen Gesichtspunkten kann die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Hierüber haben wir im Rahmen unserer Mitmach-Serie „Datenschutzverletzung und Meldepflicht“ in den Teilen I, II, III und IV berichtet.
Auch beim Phishing ist keine Besserung in Sicht
Laut BSI nehmen Phishing-E-Mails mit rund 90% den größten Anteil im Bereich der Betrugs-E-Mails ein. Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Manipulation von Verhaltensweisen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.
Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt dabei das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Über das Problem mit dem Phishing haben wir uns ebenfalls bereits auseinandergesetzt. Zu unterscheiden sind aktuell Phishing- und Spear-Phishing-Methoden: „Während Angreifer mit Spear-Phishing aufwendig und gezielt gegen einzelne Personen wie zum Beispiel bedeutende Persönlichkeiten in Staat oder Wirtschaft vorgehen, um deren Identitätsdaten zu erbeuten […], richten sich massenhaft und ungezielt verteilte Phishing-Mails gegen die breite Bevölkerung.“
Besonders warnt das BSI vor sogenannten Finance Phishing-E-Mails: „Diese E-Mails sind mittlerweile in der Regel in sehr gutem Deutsch verfasst und so gestaltet, dass sie zum Corporate Design großer Banken in Deutschland passen. Häufig werden Designs verwendet, die denen von Sparkassen, Volksbanken oder der Postbank nachempfunden sind. Die Angreifer suggerieren den Opfern so, eine vermeintlich notwendige Verifizierung durchführen zu müssen, bei der sie ihnen die Zugangsdaten für ihr Online-Banking entlocken. Da Banken in Deutschland ihre Kundinnen und Kunden grundsätzlich nicht per E-Mail zur Eingabe von Zugangsdaten auffordern, sollten Anwenderinnen und Anwender solche E-Mails stets als Phishing-Versuche werten, keinesfalls Zugangsdaten eingeben oder auf enthaltene Links klicken und ihren E-Mail-Provider oder ihr Geldinstitut informieren, damit diese Gegenmaßnahmen ergreifen können.“
DIstributed Denial of Service (DDoS) vor allem in der Vorweihnachtszeit
Aber auch im Bereich der DDoS-Angriffe konnten deutliche Zunahmen im Vergleich zum Vorjahreszeitraum beobachtet werden. Bei einem DDoS-Angriff werden von einer großen Zahl von Endgeräten Anfragen an einen Server oder Dienst gestellt, mit dem Ziel, diesen durch die enorme Anzahl von Anfragen (temporär) zu überlasten und hierdurch lahmzulegen. Aufgrund der Verwendung unterschiedlichster Quellen, kann keine effektive Blockierung eines solchen Angriffs vorgenommen werden, ohne die jeweiligen Server oder Dienste gänzlich vom Netz zu trennen.
Wird beispielsweise ein Onlineshop Ziel eines DDoS-Angriffs, können so insbesondere in regelmäßig umsatzstarken Zeiträumen die wirtschaftlichen Schäden besonders groß sein und dementsprechend die Motivation zur Durchführung derartiger Angriffe zunehmen. So warnt das BSI diesbezüglich: „Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt.“ Zu beobachten ist stets auch eine deutliche Zunahme der Bandbreiten und Anfrageraten: „Microsoft berichtete über einen abgewehrten DDoS-Angriff mit einer Bandbreite von 2,4 Tbps (Terabit per second), der in der letzten Augustwoche 2021 auf einen Azure-Kunden in Europa abzielte. […] Mitte August berichtete Cloudflare über einen DDoS-Angriff, bei dem der Anfrageraten-Rekordwert von 17,2 Mrps (Million requests per second / Millionen Anfragen pro Sekunde) erreicht wurde.“ Die Motivation hinter derartigen DDoS-Angriffen ist oftmals die Möglichkeit zur Erpressung von hohen Schutz- und Lösegeldern.
Fazit
Der aktuelle Bericht zur Lage der IT-Sicherheit des BSI zeigt auch in diesem Jahr wieder eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. So oder so lohnt sich ein Blick in den aktuellen Bericht des BSI allemal.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
