Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Bericht zur Lage der IT-Sicherheit in Deutschland 2015 veröffentlicht. Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Michael Hange stellten den Bericht in Berlin der Öffentlichkeit vor. Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland.
Schwachstellen und Verwundbarkeiten
Der Lagebericht verdeutlicht, dass die Anzahl der Schwachstellen und Verwundbarkeiten in IT-Systemen weiterhin auf einem hohen Niveau liegt und sich die asymmetrische Bedrohungslage im Cyber-Raum weiter zuspitzt. Das Jahr 2015 ist geprägt durch eine Reihe von IT-Sicherheitsvorfällen, die eine fortschreitende Professionalisierung der Angriffsmittel und -methoden verdeutlichen. Dies gilt insbesondere für die Angriffe, die als Advanced Persistent Threat (APT) bezeichnet werden. Diese sind aktuell und zukünftig eine große Bedrohung für Unternehmen und Verwaltungseinrichtungen. Nur wenige APT-Angriffe werden öffentlich bekannt. 2015 zählten der Cyber-Angriff auf den Deutschen Bundestag im Mai sowie der Cyber-Angriff auf den französischen Fernsehsender TV5 Monde im April zu dieser Kategorie.
Die aktuelle IT-Sicherheitslage ist beeinflusst durch die ungebrochen hohe Innovationsgeschwindigkeit und Komplexität der Informationstechnik sowie den Wettbewerbsdruck auf dem globalen IT-Markt. Die fortschreitende Digitalisierung wird in globaler Sicht hauptsächlich durch funktionale und ökonomische Faktoren bestimmt. Aspekte der IT-Sicherheit werden von Anbietern und Nutzern aus unterschiedlichen Gründen nicht gleichrangig mitbetrachtet.
Schwerpunkt: Schutz Kritischer Infrastrukturen
Ein Schwerpunktthema des BSI-Lageberichts 2015 ist der Schutz Kritischer Infrastrukturen, deren Funktionieren immer mehr von IT abhängt. Der Lagebericht zeigt, dass viele KRITIS-Branchen in Bezug auf ihre IT-Sicherheit gut aufgestellt sind, es in einigen Branchen jedoch Nachholbedarf gibt.
Angesichts der dynamischen Gefährdungslage ist es für Kritische Infrastrukturen ebenso wie für andere Unternehmen und Institutionen essenziell, IT-Sicherheit als Teil des unternehmerischen Risikomanagements zu betrachten.
BSI-Präsident Michael Hange: »Alle Unternehmen müssen sich darauf einstellen, dass Cyber-Angriffe durchgeführt werden und auch erfolgreich sind. Neben der Prävention müssen auch die Säulen der Detektion und Reaktion gestärkt werden, denn dadurch können Folgeschäden erheblich gemindert werden.« Mehr Informationen zur IT-Sicherheitslage in Deutschland sind im Bericht zur Lage der IT-Sicherheit 2015 verfügbar, der auf der Webseite des BSI zum Download zur Verfügung steht.
Internet: www.bsi.bund.de, www.bsi-fuer-buerger.de
Erläuterungen des BSI-Berichts zur Lage der IT-Sicherheit in Deutschland – Experten warnen vor Fokussierung auf einzelne Bedrohungstypen
Eine umfangreiche Beschreibung der aktuellen Bedrohungslage in Sachen Cyberkriminalität liefert das BSI (Bundesamt für Sicherheit in der Informationstechnik) mit seinem »Bericht zur Lage der IT-Sicherheit in Deutschland 2015«. Die Analyse des Status Quo wurde am 19.11.2015 in Berlin vorgestellt. Der rund 50-seitige Report liefert unter anderem Einblicke in Software-Schwachstellen, Angriffsmethoden und -mittel, die Motivation und Ziele von Cyberangriffen sowie die Bedrohungslage kritischer Infrastrukturen.
Greg Day, Vice President und CSO in der Region EMEA bei Palo Alto Networks, nimmt aus Sicht eines Praktikers einige Erkenntnisse des Reports unter die Lupe:
Komplexität reduzieren
»Der Bericht des BSI weist darauf hin, dass viele Unternehmen das Patch-Management vernachlässigen. Dies gilt sowohl für Standard-Software als auch für die Steuerungssysteme von Industrieanlagen. Es wäre aber zu einfach hier den Unternehmen den Schwarzen Peter zuzuschieben. Man muss verstehen, dass die IT-Team heutzutage mit einer täglich mit Vielzahl an neuen Informationen umgehen müssen – auch aus dem Bereich der Sicherheit, die sie einfach überfordert. Außerdem haben viele das Problem, dass ihre Infrastrukturen wilde Flickenteppiche sind, die auf konventionelle Art und Weise nur schwer zu überblicken und zu schützen sind. Aufgrund dieses Wirrwarrs fällt es vielen schwer selbst die Grundlagen der Sicherheit zu beachten. An dieser Stelle muss es das oberste Ziel sein die Komplexität zu reduzieren.
ATPs (Advanced Persitent Threats)
Der Leiter des BSI sowie der Bundesinnenminister sind im Zuge der Pressekonferenz mehrfach auf die wachsende Bedeutung von ATPs (Advanced Persitent Threats) eingegangen. Diese werden heute nicht mehr nur von Geheimdiensten, sondern auch von Terroristen und Cyberkriminellen genutzt. Diesen Trend sehen wir auch. Deshalb können wir nicht länger Angreifer isoliert betrachten, sondern müssen den Fokus auf ganze Industrien und Regionen erweitern. Sprich, wir müssen Fragen stellen wie »Mit welchen Angriffen müssen aktuell vor allem Banken rechnen oder wie gehen Kriminelle am ehesten gegen Kraftwerke vor?«. Es muss also deutlich mehr Wissen über die Attacken zusammengetragen und ausgewertet werden. Dazu müssen auch die Anbieter von IT-Sicherheitstechnik enger zusammenarbeiten und Erkenntnisse austauschen.
Das generelle Verhalten von Software analysieren
Im Zusammenhang mit der schwindenden Fähigkeit sich zu schützen stellt der Report auch fest, dass klassische Antivirus-Lösungen zu langsam aktualisiert werden um effektiven Schutz zu bieten. Das liegt auf der Hand, denn neue Malware entsteht so rasch in so hoher Zahl, dass der konventionelle Ansatz nicht mehr funktionieren kann. Heutige Angriffe bestehen aus so vielen Elementen (Attack Lifecycle), die einfach verändert werden können, so dass Unmengen an individueller Malware binnen Minuten verbreitet werden kann. Deswegen muss hier ein Umdenken stattfinden – weg von der Betrachtung der einzelnen Schadsoftware als einzelne Bedrohung und hin zu einem Vorgehen, in dem das generelle Verhalten von Software analysiert wird, um brandneue Malware schon an ihrem Verhalten zu erkennen.
Fragmentierung der IT-Sicherheit
Als zentrale Trends nennt das BSI unter anderem neben den APTs, DoS, Hacking als Dienstleistung auch Ransomware – also Erpressersoftware. Auch wenn dies sicher zutreffen mag, so ist eine Fokussierung auf diese einzelnen Kategorien brandgefährlich. Wenn nun wieder speziell Lösungen gegen solche Attacken entwickelt werden, so wird die Fragmentierung der IT-Sicherheit nur noch komplexer und ineffizienter. Dadurch werden nur unnötig Ressourcen vergeudet. Es werden einfach zu schnell zu viele Varianten der jeweiligen Bedrohungen entwickelt, so dass die Fokussierung die genau falsche Strategie wäre. Auch aus diesem Grund ist eine verhaltensbasiert Analyse der Vorgänge in den Datennetzen die einzig sinnvolle Präventionsmaßnahme.
400 Millionen Varianten
Wenig überraschend ist die geradezu explosionsartige Vermehrung der gefundenen Malware von 250 Millionen auf über 400 Millionen Varianten binnen eines Jahres. Die Zahl alleine sagt aber nicht viel über die tatsächliche Bedrohungslage aus. Es müssen bessere Wege gefunden werden, die Gefährdungssituation einzustufen. Da für viele Unternehmen der Cyberspace zum Geschäftsfeld geworden ist und die IT für fast alle Unternehmen der Geschäftserfolg maßgeblich beeinflusst muss eine neue Metrik entwickelt werden um Sicherheitsprobleme zu erfassen und den Erfolg im Umgang mit ihnen zu messen.
Handlungsempfehlung: Dreiklang aus Prävention, Detektion und Reaktion
Neben der Problembeschreibung liefert das BSI aber auch Handlungsempfehlung. So fordern die Experten einen Dreiklang aus Prävention, Detektion und Reaktion wenn es um Cybersicherheit geht. Nun kann eine Behörde das natürlich leicht als »Best Practise« kommunizieren, nur die Unternehmen stehen eben vor der Herausforderung dies auch umzusetzen. Hier besteht die große Kunst darin, die richtige Balance zwischen Investment und Risiko zu finden. Mir scheint leider bei vielen Unternehmen die Resignation eingesetzt zu haben, so dass mehr in das Beseitigen von Schäden investiert wird, als in die Prävention. Dieser Ansatz käme dem Eingestehen einer Niederlage gleich. Dabei ist die Lösung nicht so schwer, denn viele Attacken werden ja frühzeitig entdeckt – nur dann kommt leider noch zu oft der »Faktor Mensch« ins Spiel, der oft nicht weiß, wie er mit den Infos umgehen soll, die ihm die Sicherheitslösungen liefern. Deshalb rate ich dringend dazu, die Analyse von Angriffsdaten zu automatisieren und die Auswertung von Sicherheitsinformationen auch über Big-Data-Tools zu unterstützen. Nur mit automatisierter Sicherheit kann man sich gegen automatisierte Attacken schützen.
Cybersicherheit als iterativer Prozess
Als letzten Punkt beschreibt das BSI – völlig zu recht – die Cybersicherheit als iterativen Prozess. Soll heißen: Eine Attacke wird festgestellt und die Unternehmen beginnen schrittweise mit dem Bekämpfen des Schädlings. Allerdings dauert dies oft noch viel zu lange. In vielen Unternehmen gibt es dafür euch nicht einmal Vorgaben. Hier wird die EU mit ihren Gesetzesvorgaben erste Standards setzen. Spätestens dann erwarte ich bei den betroffenen Unternehmen ein radikales Umdenken. Bisher wurden Sicherheitslösungen danach angeschafft, wie gut sie eine sehr spezifische Aufgabe übernehmen. Es ging also mehr um theoretische Leistungsfähigkeit als um praktische Anwendbarkeit. Diese, dann in Summe sehr komplexen Systeme, nehmen viel menschliche. »analoge« Arbeitskraft in Anspruch, die sich dabei immer wieder als Bremsblock entpuppt. Effektive Lösungen müssen vielmehr auf Austausch mit anderen Systemen und eine ganzheitliche Betrachtung der Infrastruktur ausgelegt sein. Zusammengefasst kann man wohl sagen, dass wir für die digitale Herausforderung »Cybersicherheit« auch digitale Antworten brauchen.«