Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cybersicherheitsbehörde des Bundes veröffentlicht jährlich in seinem Bericht zur Lage der IT-Sicherheit in Deutschland einen umfassenden Überblick über Bedrohungen im Cyberspace. Der diesjährige Report bewertet auch den Stand der IT-Sicherheit im Kontext des russischen Angriffskriegs in der Ukraine.

“Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.”
Dr. Gerhard Schabhüser, Vize-Präsident des Bundesamts für Sicherheit in der Informationstechnik.

Insgesamt hat sich die ohnehin angespannte Lage im Berichtszeitraum noch verschärft: Cyberspace-Risiken waren noch nie so hoch. Ransomware blieb weiterhin eine der größten Gefahren, insbesondere für Unternehmen. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit Russlands Angriffskrieg in der Ukraine. Beispielsweise durch Hacktivismus, insbesondere mittels Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) und Kollateralschäden bei Cyber-Sabotage-Angriffen im Rahmen des Krieges.

Die Widerstandsfähigkeit gegenüber Cyberangriffen und technologischen Störungen zu erhöhen ist daher eine wichtige Aufgabe für alle Beteiligten in Staat, Wirtschaft und Gesellschaft. Weitere wichtige Erkenntnisse im Berichtszeitraum im Überblick:

  • Erster digitaler Katastrophenfall in Deutschland: 207 Tage Ausnahmezustand und Ausfall von Zahlungen sowie Dienstleistungen
  • Anzahl der Schadprogramm-Varianten ist im Berichtszeitraum um rund 116,6 Millionen gestiegen
  • Im Jahr 2021 wurden 20.174 Schwachstellen in Software-Produkten bekannt: ein Zuwachs von 10%
  • 15 Millionen Meldungen zu Schadprogramm-Infektionen wurden vom BSI an deutsche Netzbetreiber gemeldet
  • 69% aller Spam-Mails im Berichtszeitraum waren Cyber-Angriffe wie z.B. Phishing-Mails


Russlands Angriffskrieg gegen die Ukraine

Bisher gab es in Deutschland eine Reihe kleinerer Vorfälle und hacktivistischer Kampagnen im Zusammenhang mit Russlands Angriffskrieg gegen die Ukraine. So kam es mit dem Ausfall der satellitengestützten Kommunikation zur Fernwartung von Windenergieanlagen zu Kollateralschäden in Teilen Europas. Auch waren Betreiber Kritischer Infrastrukturen Angriffsziele von Hacktivisten.

Eine umfassende Angriffskampagne gegen deutsche Ziele war nicht erkennbar. Im Gegensatz dazu ist die Cyberspace-Lage der NATO-Partner teilweise angespannt und existenzbedrohend kritisch in der Ukraine.

Kollateralschaden
Hacktivismus im Kontext des russischen Krieges


Bereits im vorangegangenen Berichtszeitraum verstärkte sich die Aufmerksamkeit der Öffentlichkeit auf Vorfälle im Gesundheitssystem durch die COVID-19-Pandemie. Durch den russischen Angriffskrieg gegen die Ukraine rückte die Sicherheit der Kritischen Infrastrukturen in Deutschland nun noch stärker in den Fokus der Öffentlichkeit. Schon vor Beginn des russischen Überfalls auf die Ukraine aktivierte das BSI das Nationale IT-Krisenreaktionszentrum und rief unter anderem Betreiber Kritischer Infrastrukturen zu erhöhter Wachsamkeit und Reaktionsbereitschaft auf.

Ransomware

Ransomware-Angriffe stellen eine der größten Cyber-Bedrohungen für Staat, Wirtschaft und Gesellschaft dar. Ransomware ist Malware, die den Zugriff auf Daten oder Systeme lokal oder in einem Netzwerk verhindert. Sie verschlüsseln häufig Benutzerdaten wie Office-, Bild- und Videodateien oder ganze Dateninfrastrukturen wie Datenbanken und Serversysteme. Der Angreifer hinterlässt dann eine Erpressernachricht. Die Daten können nur mit spezifischen Tools für die verwendete Ransomware entschlüsselt werden.

Neue Malware-Varianten

Angreifer drohen, dieses Schlüsselmaterial im Rahmen der Erpressung zu zerstören. Darüber hinaus stehlen sie sensible Daten, bevor diese verschlüsselt werden, und drohen, sie offenzulegen, um den Druck der Forderungen zu erhöhen (double extortion).

Die Kombination dieser beiden Methoden (Lösegeld- und Schweigegelderpressung) ist im Berichtszeitraum zur Norm für Ransomware-Angriffe geworden. Die Lösegeldzahlung wird in der Regel in digitaler Währung verlangt. Dies erschwert die Strafverfolgung, da solche Zahlungen nicht immer konkret einer Person zugeordnet werden können.

In den letzten Jahren hat sich im Bereich der Cyberkriminalität eine Art Arbeitsteilung entwickelt. Die Cyberangriffskomponente wird an spezialisierte Angriffsgruppen ausgelagert. Dieses Phänomen kann mit dem Outsourcing von Dienstleistungen in der Privatwirtschaft verglichen werden. Dies wird als Cybercrime-as-a-Service (CCaaS) bezeichnet. Mit CCaaS können Angreifer fast jeden Schritt eines Angriffs als Service erhalten - oder zumindest die erforderliche Malware von anderen Cyberkriminellen. Das BSI sieht darin die treibende Kraft hinter der Zunahme von Cyberbedrohungen.

Empfehlung des BSI im Umgang mit Ransomware-Angriffen

Die wichtigste Voraussetzung für die Wiederherstellung der Betriebsfähigkeit nach einem Ransomware-Angriff ist eine klare Backup-Strategie. Dazu gehört die Verfügbarkeit funktionierender und aktueller Sicherungen. Die Funktionsfähigkeit dieser Backups MUSS regelmäßig überprüft werden. Bei aktuellen Malware-Infektionen ist es üblich, dass Angreifer mit zuvor erlangten Administratorrechten alle Backups durchsuchen und verschlüsseln. Daher sollte mindestens eine Kopie offline gehalten werden. Nach erfolgtem Backup sind diese Kopien von den übrigen Systemen der Einrichtung isoliert und somit vor Remote-Angriffen geschützt.

Um der zunehmenden Datenabzweigung und der Drohung einer Datenveröffentlichung wirksam entgegenzuwirken, ist eine systematische, regelbasierte Überwachung der Datenübertragung erforderlich. So lässt sich beispielsweise eine Exfiltration ungewöhnlich großer Datenmengen erkennen und verhindern.

Entwicklung der Bedrohungslage

Betriebssystem-, Server- und Anwendungssoftware-Updates sollten regelmäßig und zeitnah durchgeführt werden. Um die Angriffsfläche zu minimieren, sollte auch die Anzahl der von außen zugänglichen Systeme gering gehalten werden, was deren Nutzung für Unbefugte erschwert (z.B. durch Multi-Faktor-Authentifizierung, Nutzung virtueller privater Netzwerke (VPN), Verwendung strikter Passwortvorgaben). Eine ordnungsgemäße interne Segmentierung des IT-Netzwerks und begrenzte administrative Rechte können den Schadensumfang im Falle eines erfolgreichen Angriffs eingrenzen.

Eine umfassende und kontinuierliche Schulung (Sensibilisierung) aller Mitarbeiter zur Informationssicherheit und die Beschränkung des administrativen Zugriffs auf Systeme auf möglichst wenige Personen sollte für alle Institutionen selbstverständlich sein. Diese und ähnliche Maßnahmen tragen dazu bei, die von der IT unterstützten geschäftskritischen Prozesse möglichst resilient und damit widerstandsfähiger gegen Cyberangriffe zu machen.

Den Auswirkungen eines kurzfristigen Ausfalls von IT-gestützten Prozessen kann zudem mit der Etablierung von alternativen oder auch redundanten digitalen Diensten begegnet werden (zum Beispiel Content Delivery Networks (CDN) für Web-Präsenz, von einem Dienstleister bereitgestellte E-Mail-Services). Die Möglichkeit zur zeitnahen Wiederherstellung solcher Prozesse dient dazu, den gegebenenfalls aus einem Ausfall resultierenden Schaden so gering wie möglich zu halten. Entscheidend ist hierbei, Maßnahmen für den Fall zu berücksichtigen, dass ein IT-gestützter Prozess beispielsweise durch Ransomware längerfristig nicht regulär wiederhergestellt werden kann.

Reaktionsszenarien sollten für den Fall eines Angriffs schriftlich dokumentiert werden. Dies umfasst alle beschriebenen Aspekte des Angriffs, wie z.B. Schäden an Produktionsanlagen, Einsatz von Personal und Sicherheitsunternehmen, alternative Geschäftsprozesse oder Reputationsschäden.
Das BSI rät generell davon ab, Lösegeldforderungen nachzukommen, zumal es keine Garantie dafür gibt, dass die Angreifer die erforderlichen Schlüssel tatsächlich freigeben.

Fazit: Zeitenwende für Cyber-Sicherheit made in Germany

Die bereits im vorangegangenen Berichtszeitraum zu beobachtende Ausweitung von Cyber-Erpressungstechniken setzt sich im aktuellen Berichtszeitraum fort. Insbesondere die Bedrohungen gegen ertragsstarke Unternehmen nehmen zu. Auch die Zahl der von IT-Sicherheitsdienstleistern gemeldeten Lösegeld- und Schweigegeldzahlungen und Anzahl der Opfer nimmt weiter zu.

Dass nicht nur hochprofitable Unternehmen Ziel von Ransomware-Angriffen werden können, verdeutlichen die Auswirkungen in mehreren betroffenen Kommunen, in denen Verwaltungsprozesse teilweise monatelang unterbrochen wurden - mit enormen Auswirkungen auf die Bürger (weitere Informationen zu diesem Angriff finden Sie hier).

“Ich bin froh, mit dem BSI und anderen Sicherheitsbehörden starke und zuverlässige Partner an unserer Seite zu haben, die jeden Tag ihr Möglichstes leisten, um uns - Bürgerinnen und Bürger, Wirtschaft und Verwaltung - vor den Gefahren aus dem digitalen Raum zu schützen.” Nancy Faeser, Bundesministerin des Innern und für Heimat

Schon bevor die Corona-Pandemie den Digitalisierungsschub verstärkte und noch bevor neue Bedrohungen durch Russlands Angriffskrieg in der Ukraine auftauchten, war Cyber Security ein entscheidender Erfolgsfaktor für unsere zunehmend digital vernetzte Gesellschaft und Wirtschaft. Doch die zunehmende Digitalisierung in allen Bereichen des täglichen Lebens, von den Lieferketten internationaler Konzerne und den Geschäftsprozessen kleiner und mittelständischer Unternehmen, über die Dienstleistungen öffentlicher Einrichtungen bis hin zu den digitalen Anwendungen, die von nahezu jedem Bürger genutzt werden macht auch bei der Cyber-Sicherheit made in Germany eine Zeitenwende notwendig.

Das Wohlergehen der Bevölkerung hängt mehr denn je direkt und stark davon ab, ob es gelingt, die digitale Resilienz der Gesellschaft aufzubauen. Dies bedeutet nicht nur Widerstandsfähigkeit gegenüber Angriffen von Cyberkriminellen, Software-/Hardwareausfällen oder Konfigurationsfehlern, die die Verfügbarkeit vertrauter, alltäglicher Dienste gefährden können. Im vergangenen Jahr haben wir erfahren müssen, dass unerwartete Ereignisse die Bedrohungslandschaft auf ein neues Level heben können und dass Kollateralschäden durch Cyberangriffe in Nachbarländern auch Deutschland und Europa direkt treffen könnten.

Die Rolle des Backup im Kampf gegen Ransomware

Ein Backup dient der Absicherung gegen Datenverlust. Geht ein Original verloren, hat man noch eine Kopie als Absicherung, als “Backup”. Die richtige Backup-Strategie ist im Kampf gegen Cyberangriffe unerlässlich. Durch Ransomware ist menschliches Versagen nicht mehr der Hauptgrund für Datenverlust. Und Datenverlust wiederum ist auch nicht mehr der Hauptgrund für die Notwendigkeit der Wiederherstellung. Aber warum ist Backup eigentlich so kompliziert? Eine ausführliche Antwort darauf lesen Sie in unserem White Paper.

Hier finden Sie einen weiteren detaillierten Bericht zum Thema Ransomware und welche Kosten hierdurch für Unternehmen entstehen. Hintergrundinformationen zu Ransomware im Gesundheitswesen haben wir hier für Sie zusammengefasst.

Quellen:

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.htmlhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2022.pdf?__blob=publicationFile&v=5