BSI konstatiert für 2015 massiv beeinträchtigte IT-Sicherheit

CyberkriminalitätSicherheit
Bundesamt für Sicherheit in der Informationstechnik (Grafik: BSI)

Der 52 Seiten starke Lagebericht der Bundesbehörde listet zahlreiche Sicherheitslücken und Anfälligkeiten in IT-Systemen. Angriffsmethoden würden demnach immer professioneller. Das BSI nennt hier insbesondere APT-Attacken. Der Bericht kritisiert IT-Hersteller zudem für deren nachlässiges Update-Verhalten.

Auch in diesem Jahr konstatiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierzulande eine massiv beeinträchtigte IT-Sicherheit. Ihr Lagebericht für 2015 (PDF) listet demnach eine hohe Zahl an Sicherheitslücken und Schwachstellen in IT-Systemen auf. Generell sieht er eine sich weiter zuspitzende Gefährdungslage im Cyber-Bereich und registriert zunehmend professionalisierte Angriffsmethoden.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Dem BSi zufolge gilt dies in erster Linie für Angriffe, die als Advanced Persistent Threat (APT) bezeichnet werden und in Form von andauernden komplexen Bedrohungen Unternehmen ebenso betreffen wie Verwaltungen. Zu dieser Kategorie gehörten beispielsweise die Cyberattacken auf den Deutschen Bundestag im Mai sowie den französischen Sender TV5 Monde im April. Insgesamt gelangten jedoch nur wenige APT-Angriffe an die Öffentlichkeit.

Der 52 Seiten starke Bericht wurde von Bundesinnenminister Thomas de Maizière gemeinsam mit dem scheidenden BSI-Präsidenten Michael Hange auf einer Pressekonferenz im Haus der Bundespressekonferenz präsentiert. Er hebt unter anderem hervor, dass manche IT-Hersteller angesichts der hohen Zahl bekannter Schwachstellen dazu neigten, keine Sicherheitsupdates mehr für die ihrer Meinung nach weniger gravierenden Sicherheitslücken zu verteilen. Das verschärfe die Bedrohungslage nur unnötig, kritisiert der Innenminister in seinem Vorwort. Besondere Erwähnung findet das nachlässige Update-Verhalten der Hersteller angesichts der Stagefright-Lücke in Android.

bsi_bedrohungslage (Grafik: BSI)
Zusammenhänge der aktuellen Bedrohungslage (Grafik: BSI)

Der Schutz der zunehmend von IT abhängigen Kritischen Infrastrukturen ist ein weiteres Schwerpunktthema. Viele KRISIS-Branchen sind demzufolge sicherheitstechnisch zwar gut aufgestellt, es gebe aber dennoch Nachholbedarf in einigen Branchen. Wie für andere Unternehmen und Organisationen sei es für Kritische Infrastrukturen essenziell, die IT-Sicherheit als Bestandteil ihres unternehmerischen Risikomanagements anzusehen.

“Alle Unternehmen müssen sich darauf einstellen, dass Cyber-Angriffe durchgeführt werden und auch erfolgreich sind”, sagte BSI-Chef Hange. “Neben der Prävention müssen auch die Säulen der Detektion und Reaktion gestärkt werden, denn dadurch können Folgeschäden erheblich gemindert werden”, führt Hange weiter aus.

In einer Reaktion auf den Lagebericht zur IT-Sicherheit 2015 in Deutschland kritisiert der Sicherheitsanbieter Palo Alto Networks, der BSI fokussiere sich in seiner Analyse zu sehr auf einzelne Malware-Kategorien wie APT- oder DoS-Attacken, Hacking als Dienstleistung oder auch Ransomware. Ihm zufolge ist dies “brandgefährlich”. Durch die Entwicklung spezifischer Lösungen, die sich nur auf das Bekämpfen bestimmter Angriffe richteten, werde die derzeit ohnehin schon bestehende Fragmentierung der IT-Sicherheitssysteme nur noch weiter erhöht und Sicherheitsmaßnahmen dadurch noch komplexer und ineffizienter. Laut Palo Alto Networks werden dafür zu schnell zu viele Varianten der jeweiligen Bedrohungen entwickelt. Stattdessen fordert das Sicherheitsunternehmen eine verhaltensbasierte Analyse der Datennetze in Firmen als Präventionsmaßnahme.

Weiterhin stimmt Palo Alto Networks mit dem BSI darin überein, dass IT-Sicherheit ein iterativer Prozess sei. Konkret meint die Behörde damit einen Vorgang, der mit dem Feststellen einer Attacke beginnt und dem daraus resultierenden schrittweisen Bekämpfen des jeweiligen Schädlings fortgeführt wird. Allerdings dauert dieser Prozess dem Sicherheitsanbieter zufolge noch zu lange. In vielen Unternehmen gebe es dafür überdies nicht einmal Vorgaben. Spätestens jedoch, wenn die EU mit entsprechenden Gesetzesvorgaben erste Standards setze, müsse ein radikales Umdenken bei den betroffenen Unternehmen stattfinden. Bisher seien Sicherheitslösungen nur nach dem Gesichtspunkt angeschafft worden, wie gut sie eine sehr spezifische Aufgabe übernehmen könnten. Effektive Lösungen müssten jedoch vielmehr auf Austausch mit anderen Systemen sowie eine ganzheitliche Betrachtung der Infrastruktur ausgelegt sein.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen