Die IT-Sicherheitslage in Deutschland ist von zunehmenden Herausforderungen geprägt, die sowohl Unternehmen als auch öffentliche Einrichtungen betreffen. Cyberkriminalität hat sich in den letzten Jahren stark professionalisiert, wobei Angreifer gezielt auf Schwachstellen in digitalen Infrastrukturen abzielen. Vor diesem Hintergrund ist es unerlässlich, die Cyberresilienz zu stärken und das Bewusstsein für IT-Sicherheitsrisiken zu schärfen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen seiner kontinuierlichen Beobachtung der Cyberbedrohungen die Kampagne "Cybernation Deutschland" initiiert. Diese Initiative zielt darauf ab, praxisnahe Schutzlösungen bereitzustellen und den Markt für Cybersicherheitsprodukte zu fördern. Der vorliegende Bericht analysiert die IT-Sicherheitslage in Deutschland über einen Zeitraum von einem Jahr und beleuchtet die Entwicklungen im Bereich der Cybersicherheit sowie die damit verbundenen Herausforderungen.

Die fortschreitende Digitalisierung bringt nicht nur neue Möglichkeiten, sondern auch eine wachsende Angriffsfläche mit sich. Unternehmen, insbesondere kleine und mittlere Unternehmen (KMUs), sind häufig Ziel von Cyberangriffen, die auf den Diebstahl sensibler Daten oder Erpressung abzielen. Um diesen Bedrohungen entgegenzuwirken, sind umfassende Maßnahmen erforderlich, die sowohl technologische als auch organisatorische Aspekte berücksichtigen.

Cyberresilienz gesellschaftlicher und politischer Großveranstaltungen

Die Cybersicherheit spielt eine zentrale Rolle bei Massenevents und politischen Prozessen. Vor der Fußball-Europameisterschaft 2024 waren sowohl Infrastrukturen als auch einzelne Vereine von Phishing-Kampagnen, DDoS-Angriffen und Ransomware betroffen. Ebenso wird die Demokratie im digitalen Raum bedroht: Parteien und politische Organisationen sind Ziel von Cyberangriffen, die E-Mails und Dokumente entwenden oder Server lahmlegen. Fremde Staaten, insbesondere Russland, verstärken durch gezielte Desinformation und Manipulation mittels Künstlicher Intelligenz ihre Einflussversuche auf die politische Willensbildung.

Cybersicherheit bei Wahlen im Jahr 2024: Im Superwahljahr 2024, mit mehr als 70 Wahlen weltweit, darunter wichtige nationale und europäische Wahlen, stellt die Abhängigkeit von Informationstechnik eine zentrale Sicherheitsherausforderung dar. Das BSI unterscheidet zwischen direkter Einflussnahme auf den Wahlprozess und indirekter Beeinflussung der öffentlichen Meinung. Ziel solcher Angriffe ist es, das Vertrauen der Bürgerinnen und Bürger in demokratische Prozesse zu untergraben. Zu den Bedrohungen zählen:

  • Hack-and-Leak-Kampagnen: Diebstahl und Veröffentlichung von Daten politischer Parteien, teils manipuliert.
  • Falschinformationen: Gezielte Verbreitung von Reizthemen, um gesellschaftliche Spannungen zu schüren.
  • Manipulation durch Künstliche Intelligenz: Erstellung täuschend echter Deepfakes von Bildern, Audio und Video.
  • Social-Media-Angriffe: Übernahme oder Fälschung von Accounts und Webseiten.
  • Desinformation und Reputationsschäden: Diffamierende Inhalte im Namen realer Personen zur Untergrabung des Vertrauens in demokratische Institutionen.

Angesichts dieser Bedrohungen sind umfassende Maßnahmen notwendig, um die Integrität von Wahlen und das Vertrauen in demokratische Prozesse zu gewährleisten.

Cybersicherheit bei Sportereignissen: Die zunehmende Digitalisierung und die gesellschaftliche Bedeutung von Großveranstaltungen machen diese zunehmend zu Zielen von Cyberangriffen. Beispiele der letzten Jahre umfassen Phishing-Kampagnen, Datenleaks, DDoS-Angriffe, Ransomware-Infektionen und gezielte Schadsoftware wie den Olympic Wiper von 2021. Um solchen Bedrohungen entgegenzuwirken, sollten Sicherheitskonzepte von Veranstaltungen eine kontinuierliche Lagebeobachtung, Bedrohungsszenarien und entsprechende Reaktionsmaßnahmen einbeziehen, einschließlich der Übung von Melde- und Eskalationswegen.

Für die Fußball-Europameisterschaft 2024 in Deutschland war das Bundesamt für Sicherheit in der Informationstechnik (BSI) frühzeitig in die Sicherheitsplanung eingebunden. Es arbeitete eng mit der Euro 2024 GmbH, deutschen Sicherheitsbehörden und der UEFA zusammen. Maßnahmen umfassten die Beobachtung der Cyberbedrohungslage, die Sensibilisierung der Austragungsorte sowie die Entsendung einer Verbindungsperson in das International Police Coordination Center (IPCC 2024) in Neuss.

Resilienz in der Cloud

Cloud Computing bietet durch hohe Flexibilität und Verfügbarkeit erhebliche Vorteile und wird daher von über 90% der Unternehmen in Deutschland genutzt, häufig im Rahmen von Cloud-First- oder Cloud-Only-Strategien. Mit der steigenden Nutzung wachsen jedoch auch die Angriffe auf Cloud-Anbieter, die aufgrund der hohen Komplexität der Systeme zudem anfällig für Ausfälle sind, die oft weite Teile der Wirtschaft betreffen.

Verantwortung der Cloud-Anbieter

Cloud-Anbieter tragen eine große Verantwortung, sowohl für ihre eigene Sicherheit als auch für die ihrer Nutzer. Das BSI unterstützt dies durch Maßnahmen wie den Cloud Computing Compliance Criteria Catalogue (BSI C5), der Mindeststandards für Cloud-Dienste definiert. Über 50 Anbieter haben diesen Standard für mehrere hundert Dienste umgesetzt. Der BSI C5 ist eine Grundlage für das kommende EU-Cloud-Sicherheitszertifikat (EUCS).

Zusätzlich pflegt das BSI eine vertrauensvolle Kommunikation mit Cloud-Anbietern, wodurch es Expertise einbringen kann, wie etwa nach dem Angriff auf Microsoft Azure durch Storm-0558. Dabei wurden Details zur Double Key Encryption (DKE) geklärt, was in einem Whitepaper resultierte, das Anwendern eine bessere Bewertung und Nutzung von DKE ermöglicht.

Verantwortung der Cloud-Anwender

Ein wesentlicher Teil der Sicherheitsverantwortung liegt bei den Anwendern. Fehlkonfigurationen oder unsichere Architekturen sind häufige Ursachen für Vorfälle. Anwender sollten geeignete Sicherheitsstrategien entwickeln, etwa nach IT-Grundschutz, und Funktionen wie Multi-Faktor-Authentifizierung, gehärtete Server und „Least Privilege“-Prinzipien nutzen. Automatisierte Sicherheitsnachweise und umfassendes Monitoring, wie Intrusion Detection und DDoS-Mitigation, bieten in der Cloud weitere Vorteile.

Verschlüsselung und Confidential Computing

Die Verschlüsselung gewährleistet die Vertraulichkeit von Daten in der Cloud. Während Verschlüsselung „in transit“ und „at rest“ Standard ist, hängt die Sicherheit maßgeblich von der Kontrolle des Anwenders über das Schlüsselmanagement ab. Verfahren wie DKE erlauben Anwendern, eigene Schlüssel zu verwalten. Confidential Computing bietet zusätzliche Sicherheit durch Verschlüsselung während der Verarbeitung („in use“).

Das BSI unterstützt durch Infrastruktur als Code (Infrastructure as Code), um Cloud-Dienste sicher und effizient bereitzustellen, zu konfigurieren und zu verwalten.

Europäisierung der Cybersicherheit

Cybersicherheit erfordert grenzüberschreitende Zusammenarbeit. Die EU stärkt durch gesetzliche Vorgaben ein einheitliches Sicherheitsniveau und verbessert so die Resilienz ihrer Mitgliedsstaaten. Ein wichtiger Meilenstein ist der Cyber Resilience Act (CRA), der im März 2024 vom Europäischen Parlament verabschiedet und im Oktober 2024 endgültig beschlossen wurde. Diese Verordnung legt erstmals umfassende, produktkategorienübergreifende Cybersicherheitsanforderungen fest, die den gesamten Lebenszyklus digitaler Produkte abdecken.

Neue Maßstäbe für Informationssicherheit

Der CRA gilt für fast alle vernetzten oder vernetzbaren Produkte, von Haushaltsgeräten wie Saugrobotern bis hin zu Software und kritischen Infrastrukturkomponenten. Hersteller müssen nun nicht nur die Betriebssicherheit (safety), sondern auch die Informationssicherheit (security) gewährleisten – und das über die gesamte Nutzungsdauer eines Produkts. Der CRA erweitert zudem die Anforderungen für das CE-Kennzeichen und definiert Zugangsvoraussetzungen für den EU-Binnenmarkt.

Kernanforderungen

Der CRA verpflichtet Hersteller und andere Marktakteure wie Importeure und Händler zu umfassenden Sicherheitsmaßnahmen:

  • Design und Sicherheit: Produkte müssen Security by Design und Security by Default umsetzen und die Vertraulichkeit sowie Integrität verarbeiteter Daten gewährleisten.
  • Umgang mit Schwachstellen: Hersteller sind verpflichtet, Schwachstellen zu melden, Sicherheitsupdates bereitzustellen und eine Software Bill of Materials (SBOM) zu führen.
  • Transparenz für Anwender: Anwender müssen über bekannte Schwachstellen, verfügbare Updates und den sicheren Einsatz der Produkte informiert werden.

Marktüberwachungsbehörden in den EU-Mitgliedsstaaten kontrollieren die Einhaltung. Verstöße können mit hohen finanziellen Strafen geahndet werden; nicht konforme Produkte dürfen aus dem Verkehr gezogen werden.

Abgestufte Prüfverfahren für Produktklassen

Die Anforderungen unterscheiden sich nach Produktklasse:

  1. Unkritische Produkte: Eine Selbstbewertung des Herstellers genügt.
  2. Wichtige Produkte der Klasse I (z. B. Passwort-Manager, Router): Diese benötigen eine Selbstbewertung nach einem harmonisierten Standard oder, bei dessen Fehlen, eine Prüfung durch eine notifizierte Drittstelle.
  3. Wichtige Produkte der Klasse II (z. B. Firewalls): Eine Konformitätsbewertung durch eine Drittstelle ist verpflichtend.
  4. Kritische Produkte (z. B. Smart Meter): Diese erfordern eine Zertifizierung gemäß den Vorgaben des Cybersecurity Acts (CSA).

Bedeutung des CRA

Der CRA ist ein entscheidender Schritt für mehr Cybersicherheit in der EU. Er verpflichtet Hersteller zu langfristiger Verantwortung für die Sicherheit ihrer Produkte und sorgt für einheitliche Standards, die das Vertrauen in digitale Technologien stärken.

NIS-2-Richtlinie

Die NIS-2-Richtlinie, eine europäische Vorgabe für Cybersicherheit, wird bis Oktober 2024 in nationales Recht überführt. Sie zielt auf ein einheitliches Sicherheitsniveau für kritische Anlagen und deren Informationssicherheit ab. Die Richtlinie verpflichtet Mitgliedsstaaten, ein Computer Security Incident Response Team (CSIRT) einzurichten, das für die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) verantwortlich ist. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Funktion.

Wesentliche Neuerungen

  • Erweiterung der Aufsichtsfunktion des BSI: Durch die Umsetzung der Richtlinie wird das BSI zur nationalen Aufsichtsbehörde für IT-Sicherheitsmaßnahmen bei rund 29.000 weiteren Einrichtungen, die als „besonders wichtig“ oder „wichtig“ klassifiziert sind. Dies schließt erstmals Registrierungs-, Nachweis- und Meldepflichten ein.
  • Verpflichtungen für Betreiber kritischer Anlagen (KRITIS): Die Richtlinie betrifft Betreiber essenzieller gesellschaftlicher Funktionen, die in Deutschland bereits durch das IT-Sicherheitsgesetz (IT-SiG) geregelt sind. Für bestehende KRITIS-Betreiber bleibt der Anpassungsbedarf gering, da viele Anforderungen bereits umgesetzt sind.

Neue Mindeststandards und Hilfestellungen

Die Richtlinie fordert ein Informationssicherheitsmanagementsystem (ISMS) für betroffene Einrichtungen, das auf Risikoanalysen und geeigneten Sicherheitsmaßnahmen basiert. Der IT-Grundschutz des BSI bietet hierfür eine bewährte Grundlage, die die meisten Anforderungen der NIS-2-Richtlinie erfüllt.

Das BSI unterstützt die Wirtschaft und Verwaltung mit:

  • Der NIS-2-Betroffenheitsprüfung, einem Tool zur Identifizierung betroffener Unternehmen.
  • NIS-2-FAQs mit Antworten auf häufig gestellte Fragen.
  • Der Seite „NIS-2 – Was tun?“, die konkrete Handlungsempfehlungen für betroffene Einrichtungen bietet.

Bedeutung für Cybersicherheit in Deutschland

Die Umsetzung der NIS-2-Richtlinie stärkt die Resilienz gegenüber Bedrohungen im Cyberraum. Das BSI setzt sich für verbindliche Sicherheitsstandards ein, insbesondere in der Bundesverwaltung, und arbeitet an der kontinuierlichen Aktualisierung von Hilfestellungen. Ziel ist es, ein angemessenes Sicherheitsniveau sicherzustellen und Bedrohungen effektiv zu begegnen.

Die Meldung von Sicherheitsvorfällen ermöglicht zudem eine schnelle Reaktion und die Erstellung eines detaillierten Lagebildes, das die Zusammenarbeit und Cybersicherheit in Deutschland und der EU verbessert.

Cybersecurity Act (CSA)

Der Cybersecurity Act (CSA) ist seit dem 27. Juni 2019 in Kraft und bildet die Grundlage für ein einheitliches europäisches Cybersicherheitszertifizierungssystem. Mit dem CSA erhielt die europäische Cybersicherheitsagentur ENISA ein unbefristetes Mandat sowie erweiterte Aufgaben und Ressourcen, insbesondere im operativen Bereich. Ziel ist es, die Resilienz von Informations- und Kommunikationstechnologie (IKT)-Produkten, -Dienstleistungen und -Prozessen gegenüber Cyberangriffen zu stärken. Gleichzeitig setzt der CSA hohe Standards für Vertrauenswürdigkeit und Schutz in der digitalen Infrastruktur der EU.

Zertifizierung: Rolle des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) agiert als Nationale Behörde für Cybersicherheitszertifizierung (NCCA) in Deutschland. In dieser Funktion:

  • Autorisiert und überwacht das BSI Konformitätsbewertungsstellen.
  • Bewertet das BSI IKT-Produkte, Dienstleistungen und Prozesse mit hohen Vertrauensanforderungen.
  • Gewährleistet das BSI die Bereitstellung der erforderlichen Infrastruktur für Zertifizierungen.

Im Jahr 2024 trat das Europäische Common-Criteria-Schema (EUCC) als erstes Zertifizierungsschema des CSA in Kraft. Weitere Schemata befinden sich in der Entwicklung.

Erste Evaluierung des CSA im Jahr 2024

Die erste umfassende Evaluierung des CSA, die alle fünf Jahre wiederholt wird, fand 2024 statt. Diese beinhaltete:

  • Interviews und Workshops mit verschiedenen Stakeholdern zur Sammlung von Erfahrungen und Perspektiven.
  • Die Erstellung einer Folgenabschätzung durch die Europäische Kommission, die Optionen für die Weiterentwicklung des CSA darlegt.

Die Ergebnisse der Evaluierung werden die Grundlage für die zukünftige Cybersicherheitsstrategie der EU bilden und deren Anpassung an die fortschreitende digitale Transformation unterstützen.

BSI: Treiber und Gestalter des CSA

Das BSI spielt eine aktive Rolle in der Weiterentwicklung des CSA:

  • Es arbeitet eng mit der ENISA zusammen und ist in Führungspositionen, wie dem Verwaltungs- und Exekutivrat, vertreten. Seit Kurzem stellt das BSI den Vorsitz des Verwaltungsrats.
  • Mitarbeitende des BSI beteiligen sich an ENISA-Arbeitsgruppen, Studien, Konferenzen und Publikationen und unterstützen durch Entsendungen in operative Bereiche der ENISA.
  • Das BSI bringt seine Expertise gezielt ein, um das Zertifizierungsframework weiterzuentwickeln.

Fazit

Die IT-Sicherheitslage in Deutschland bleibt besorgniserregend und entwickelt sich angesichts wachsender digitaler Angriffsflächen und professionellerer Angreifer dynamisch. Dennoch ist Schutz möglich: Ziel ist es, die Resilienz Deutschlands gegenüber Cyberbedrohungen entscheidend zu stärken. Das BSI trägt durch umfassende Lagebeobachtung und präventive Maßnahmen wesentlich dazu bei.

1. Bedrohungen

  • Cyberspionage: Zielgruppen wie Behörden (insbesondere auswärtige Angelegenheiten, Verteidigung, öffentliche Sicherheit) sowie Unternehmen wurden von APT-Gruppen angegriffen.
  • Cyberkriminelle Innovation: Professionalisierung der Schattenwirtschaft (Access Broker, Zero-Day-Schwachstellen, Erpressung ohne Ransomware).
  • Menschliches Versagen: Fehlfunktionen wie beim CrowdStrike-Vorfall zeigen weitere Schwachstellen.

2. Angriffsfläche

  • Digitalisierung und Schwachstellen: Zunahme komplexer Systeme erhöht Verwundbarkeit, besonders in Perimetersystemen (Firewalls, VPNs) und veralteten Android-Versionen.
  • Steigende Angriffe: Vermehrte Attacken auf Perimetersysteme und kritische Schwachstellen.

3. Gefährdungen

  • Angriffsarten: Hochvolumige DDoS-Angriffe, Ransomware-Attacken (u. a. auf KMUs und Kommunen) und Angriffe auf Public-Cloud-Infrastrukturen.
  • Konkrete Vorfälle: Angriff auf 72 kommunale IT-Kunden (Oktober 2023) und kompromittierte E-Mail-Verschlüsselung durch Storm-0558.

4. Schadwirkungen

  • Kosten und Schäden: Ransomware forderte weltweit 1,1 Milliarden USD Lösegeld, Datenleaks betrafen Millionen Identitäten, und lange Ausfallzeiten lähmten Kommunen.
  • Steigende Datenleaks: Opferzahlen von Datenleaks verdoppelten sich zeitweise gegenüber 2021.

Fokus auf Resilienz

Resilienz wirkt den Bedrohungen, Gefährdungen und Schadwirkungen entgegen. Das BSI unterstützt durch:

  • Frühwarnsysteme: Botnetze wurden durch Sinkholing enttarnt, wodurch Strafverfolgung und Takedowns ermöglicht wurden.
  • Standards: Förderung von Business-Continuity-Management-Systemen (BCM) und Umsetzung des IT-Grundschutzes für bessere Reaktionsfähigkeit.

Gemeinschaftsaufgabe Resilienz

  • Hersteller: Entwicklung sicherer Produkte nach Security by Design und Security by Default.
  • Betreiber: Umsetzung strukturierten IT-Sicherheitsmanagements (ISMS).
  • Staatliche Akteure: Unterstützung durch Regularien wie NIS-2.
  • Verbraucher: Aufbau von Cybersicherheitskompetenzen.

Die Transformation zu einer resilienten Cybernation Deutschland erfordert langfristiges Engagement von allen Beteiligten.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI). (2024). Lagebericht zur IT-Sicherheitslage in Deutschland 2023/2024. Abgerufen am 11. Dezember 2024 von https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html