IT-Sicherheit : Alarmstufe rot
Die Gefährdungslage ist »angespannt bis kritisch«, schreiben die IT-Experten des Bundes in ihrem Lagebericht.
In den frühen Morgenstunden an einem Donnerstag, dem 10. September vergangenen Jahres, geht am Düsseldorfer Uniklinikum nichts mehr. Ein Großteil der Computersysteme fällt aus. Server sind plötzlich verschlüsselt. Nur hat keiner in der nordrhein-westfälischen Landeshauptstadt den Schlüssel zum Entschlüsseln. Den haben mutmaßlich russische Hacker, die die IT-Systeme attackieren, um Lösegeld abzugreifen. Die Folgen vor Ort sind gravierend: Die Erreichbarkeit per Mail und Telefon ist eingeschränkt. Die Behandlung bereits aufgenommener Patienten kann zwar fortgesetzt werden, neue werden aber nicht mehr aufgenommen. Planbare und ambulante Behandlungen werden abgesagt oder verschoben. Das Klinikum meldet sich für 13 Tage von der Notfallversorgung ab. Glück im Unglück: Als die Polizei die Erpresser darauf hinweist, dass sie ein Krankenhaus erwischt haben, rücken die Hacker den Schlüssel zum Entschlüsseln raus. Offenbar wollten sie die Universität selbst treffen.
Bundesamt für Sicherheit in der Informationstechnik spricht von angespannter Lage
Das Beispiel des Düsseldorfer Universitätskrankenhauses ist eines von vielen, welches das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Jahresbericht zur Lage der IT-Sicherheit ausführt. Darin zeichnen die Experten ein teils dramatisches Lagebild: Die Gefährdungslage im Berichtszeitraum sei "angespannt bis kritisch", heißt es. "Im Bereich der Informationssicherheit haben wir, zumindest in Teilbereichen, Alarmstufe rot", sagte BSI-Präsident Arne Schönbohm bei der Vorstellung der Publikation. Bundesinnenminister Horst Seehofer (CSU) warnte, dass man davon ausgehen müsse, "dass dies auch dauerhaft so bleibt und sogar zunehmen wird".
Bereits im Sommer hatte der Branchenverband Bitkom die Alarmglocke schrillen lassen: Der deutschen Wirtschaft entstehen durch Cyberattacken laut einer Bitkom-Studie Schäden von mehr als 220 Milliarden Euro jährlich, doppelt so viel wie noch in den Jahren 2018/2019. Neun von zehn befragten Unternehmen waren danach 2020 und 2021 von Angriffen betroffen.
BSI: Homeoffice bietet Cyberkriminellen mehr Angriffsfläche
Die Folgen der Corona-Pandemie sind mitverantwortlich für die sich zuspitzende Lage. Viele Unternehmen und Institutionen setzen nun auf Home-Office, Videokonferenz und Co.. Das bietet Cyberkriminellen laut BSI mehr Angriffsfläche. Die Hacker rüsten ihre Arsenale zudem kräftig auf. Die Anzahl der neuen Schadprogramme hat laut Bericht vergangenes Jahr um rund 144 Millionen zugenommen. Im Schnitt waren das pro Tag 394.000 neue Varianten, eine Steigerung von 22 Prozent gegenüber dem vorherigen Berichtszeitraum. Der cyberkriminelle Untergrund organisiert sich dabei arbeitsteilig. Potenzielle Erpresser benötigen nicht unbedingt das technische Know-how, um komplexe Schadprogramme zu schreiben. Sie können entsprechende Softwarelösungen bei Dienstleistern einkaufen oder Teile der Angriffe outsourcen.
Ein Schwerpunkt der Cyberkriminalität liegt auf Erpressung in diversen Varianten. Im Fall des Düsseldorfer Krankenhauses kam Ransomware genannte Schadsoftware zum Einsatz. Diese verschlüsselt gezielt Daten des Opfers. Für eine Entschlüsselung wollen die Erpresser meist in Kryptowährungen wie Bitcoin entlohnt werden. Allerdings beobachten die BSI-Experten neue Strategien. Weil Unternehmen und Institutionen zunehmend auf Backups setzen, um Verschlüsselungsangriffen die unmittelbare Schlagkraft zu nehmen, und - auch auf Raten des BSI - auf Lösegeldzahlungen verzichten, versuchen die Erpresser zunehmend, die Daten nicht nur lokal zu verschlüsseln, sondern aus dem System auszuleiten. Dann wird mit der Veröffentlichung der erbeuteten Daten gedroht, also quasi Schweigegeld erpresst. Auch wird mit massiven Angriffen auf Webseiten und andere Dienste gedroht, um den Druck zu erhöhen.
Komplexe Angriffe auf Software-Lieferketten
Neben klassischen Kriminellen sind auch staatliche Akteure aktiv. Die Motive reichen dabei von der Spionage bis hin zur Sabotage. Teils werden sehr komplexe Attacken auf die Software-Lieferketten gefahren, um von vielen Unternehmen und Institutionen genutzte Programme schon beim Hersteller zu kompromittieren. So wurde 2020 bekannt, dass ein Programm zur Überwachung von Netzwerken der Firma Orion mit einem Trojaner versehen wurde, um heimlichen Zugriff auf die infizierten Systeme zu ermöglichen. 18.000 Nutzer, darunter zahlreiche US-Behörden, luden die manipulierte Software unwissentlich in ihre Systeme. Zahlreiche Daten sollen aus den Regierungsstellen abgeflossen sein. Die US-Regierung machte Russland verantwortlich. Microsoft warnte vergangene Woche, dass die dahinterstehende Gruppe wieder aktiv geworden sei.
„Der deutschen Wirtschaft entstehen durch Cyberattacken laut einer Bitkom-Studie Schäden von mehr als 220 Milliarden Euro jährlich.“
Auch die deutsche Politik ist Ziel von Angriffen: Vor der Bundestagswahl hatte das BSI zum Beispiel vor konkreten Angriffen auf E-Mail-Konten von Bundestagsabgeordneten gewarnt, die Bundesregierung machte dafür ebenfalls Russland verantwortlich. Genutzt werden könnten so erbeutete Daten etwa für Erpressung oder Desinformationskampagnen. Das geschah beispielsweise mit Daten, die bei einem Angriff auf die Europäische Arzneimittelagentur erbeutet worden waren und später in manipulierter Form veröffentlicht wurden. Hinter der Attacken werden russische und chinesische Spione vermutet.
Seehofer bringt "aktive Cyberabwehr im Ausland" ins Gespräch
Die Frage, wie man auf solche Attacken reagieren sollte, ist in Deutschland umstritten. Seehofer will vor allem auf Diplomatie setzen und sieht insbesondere die Europäische Union in der Pflicht, auf Länder wie Russland einzuwirken. Nach dem Willen des scheidenden Innenministers sollte es aber auch die Möglichkeit für eine "aktive Cyberabwehr im Ausland" geben. Pläne dafür habe das Innenministerium ausgearbeitet, in der scheidenden Koalition sei dies aber nicht durchsetzbar gewesen, rügte Seehofer.
In der Debatte, ob staatliche Stellen wie Geheimdienste oder die Bundeswehr "zurückhacken" dürfen sollten, wird von Kritikern regelmäßig auf einen Zielkonflikt verwiesen. Während es Behörden wie dem BSI darum geht, unbekannte und kritische Sicherheitslücken möglichst schnell zu schließen, ist es für staatliche Hackbacks nützlich, solche Schwächen zu kennen und auszunutzen oder Werkzeuge einzukaufen, die genau darauf basieren. Anke Domscheit-Berg, netzpolitische Sprecherin der Fraktion Die Linke, forderte deshalb, das BSI unabhängig vom Innenministerium anzusiedeln, "um nicht in Interessenskonflikte mit Geheimdiensten zu geraten, die Sicherheitslücken offenhalten wollen".
Ähnliche Forderungen kommen von Grünen und FDP. Der digitalpolitische Sprecher der FDP-Fraktion, Manuel Höferlin, schlug jüngst vor, das BSI einem neu zu schaffenden Digitalministerium zu unterstellen. Ob ein solches Ministerium überhaupt kommt, werden die Koalitionsverhandlungen zeigen.