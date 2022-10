Eigentlich hätte der Bericht von BSI-Präsident Arne Schönbohm und Bundesinnenministerin Nancy Faeser (SPD) vorgestellt werden sollen. Doch die ursprünglich geplante Pressekonferenz wurde kurzfristig abgesagt, als Schönbohm in Russlandnäheverdacht geriet und die Innenministerin ihm die Führung der Amtsgeschäfte untersagte. Nun steht nicht Schönbohm, sondern BSI-Vizepräsident Gerhard Schabhüser im Vorwort des Berichts – und der birgt wenig positive Neuigkeiten. Ganz allgemein nimmt die Zahl der Vorfälle zu, ob Spear-Phishing, DDoS-Attacken oder Kryptotrojaner.

Immer wichtiger werde der Angriffsvektor Mensch, notieren die IT-Sicherheitsaufseher aus Bonn. Eine laut BSI zunehmend Verbreitung findende Masche ist dabei die Sextortion: Erpresser behaupten, kompromittierendes Material des Angeschriebenen zu besitzen und fordern hierfür Schweigegeld in Kryptowährung.

Angriffe auf Perimeter-Systeme

Zudem warnt die Bonner Behörde auch in anderen Bereichen vor neuen oder verstärkt genutzten Angriffsmethoden. So berichtet das BSI von vermehrten Angriffen auf Perimeter-Systeme, die "vergleichsweise schlecht geschützt" direkt am Netz hingen. Firewalls und Router etwa würden gezielt von professionellen Angreifern (APT) gescannt und ausgenutzt, um in Netze einzudringen. Für die Perimeter-Systeme lägen oftmals zum Zeitpunkt der Scans noch keine Patches für die Schwachstellen vor, berichtet das BSI. Drei konkrete Tätergruppen nennt das BSI, die bereits heute auf diesem Wege Zugang zu erlangen versuchen.

Besondere Sorgen macht dem BSI aber auch die Anfälligkeit von Systemen in bislang eher nicht als Hochwertziel wahrgenommenen Strukturen: Der Angriff auf die IT des Landkreises Anhalt-Bitterfeld, der ab Anfang Juli 2021 ein halbes Jahr bis Ende Januar 2022 den Katastrophenfall ausrief, um Amtshilfe in Anspruch nehmen zu können, wird vom BSI als mahnendes Beispiel aufgeführt, bei dem das BSI mit einem Mobile Incident Response Team unterstützte. Durch den Angriff mittels der Ransomware Grief konnten wesentliche Behördenleistungen nicht erbracht werden, etwa die Auszahlung von Sozialleistungen.

BSI-Meldesystem für Sicherheitslücken erfolgreich gestartet

Als erfolgreich betrachtet das BSI ein neues Meldeformular für gefundene Schwachstellen: 139 Mal seien 2021 beim BSI über das Coordinated Vulnerability Disclosure (CVD) genannte formalisierte Verfahren Meldungen eingegangen. Entdeckte Lücken können darüber mit dem BSI geteilt werden, anschließend hilft die Behörde beim Einwirken auf den Hersteller. Allerdings hätten viele Softwarehersteller noch nicht die notwendigen Voraussetzungen für das CVD-Verfahren geschaffen.

Die Modularisierung bei der Softwareentwicklung bereitet den BSI-Fachleuten insgesamt Sorgen: Die Vorfälle um Log4Shell hätten eindrücklich gezeigt, dass mit Bibliotheken und Modulen auch Sicherheitslücken mitverwendet würden. Zudem sei die fachgerechte Einbindung anspruchsvoll, um keine Sicherheitslücken entstehen zu lassen. Mit Sorge betrachtet das BSI auch das Cloud-Geschehen. In einem Fall sei ein Cloudanbieter angegriffen worden, der Dienst habe daraufhin Ransomware an die Kundensysteme verteilt und dort installiert.

Eher leise klingt die Kritik, die das BSI an Firmen anbringt, die im Staatsauftrag agieren: "Die Existenz spezialisierter Firmen für Exploit-Entwicklung, Malware-Dienstleistungen und die Durchführung von Cyber-Operationen ermöglicht es auch Akteuren, die bisher wenige offensive Fähigkeiten besitzen, Angriffe durchzuführen", heißt es im Jahresbericht. Gemeint ist damit aber ausdrücklich unter anderem die NSO Group, die Nachrichtendiensten und Strafverfolgungsbehörden unter Ausnutzen von Zero-Day-Exploits den Zugriff auf Ziele ermöglicht. Dadurch, dass derartige Dienstleister für viele gleichzeitig arbeiteten, würde es zudem "schwieriger, Angreifer-Gruppen (bzw. Kunden) voneinander abzugrenzen und deren Beobachtung zu priorisieren", so das BSI. Das trage zur gestiegenen Bedrohungslage bei und mache die Analyse insgesamt schwieriger.

Sorge wegen Ukraine-Krieg

Die Auswirkungen des Großangriffs Russlands auf die Ukraine am 24.02.2022 beschäftigen das BSI in mehrfacher Hinsicht: Zum einen beobachten die IT-Sicherheitsspezialisten des Bundes sehr genau, was in der Ukraine passiert, etwa beim versuchten Angriff per Industroyer2 auf industrielle Steuerungssysteme in Umspannwerken. Dieser und ähnliche Angriffe könnten potenziell auch deutsche Kritische Infrastruktur (KRITIS) betreffen.

Insgesamt 452 Meldungen erhielt das BSI aus den zur Meldung verpflichteten KRITIS-Sektoren zwischen Juni 2021 und Mai 2022. Insbesondere das Informationssicherheits-Management (ISMS) trug hier zum Meldeaufkommen bei. Aber auch der Fall eines Angriffs auf die deutsche Rosneft-Tochter im März 2022, die als Teil einer Kampagne aus dem ukraine-freundlichen Umfeld gesehen wurde, beschäftigt das BSI.

Faeser will Fortschritte

Die Behörde in Bonn steht absehbar vor weiter unruhigen Zeiten. Bundesinnenministerin Faeser lässt sich mit den Worten zitieren, dass sie noch in dieser Legislaturperiode "wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben" wolle. Das BSI solle zur Zentralstelle ausgebaut werden, Ausbau und Erneuerung von Netzen und IT-Systemen der Verwaltung und eine Stärkung der Sicherheitsbehörden zur Verfolgung von Cybercrime seien geplant.

Faeser, die seit einem Jahr als Bundesinnenministerin über das BSI, aber auch das Bundeskriminalamt und den für Spionageabwehr zuständigen Verfassungsschutz residiert, will zudem "Abwehrfähigkeiten gegen Cyber-Angriffe" verbessern. Ob damit auch die umstrittene Hackback-Thematik gemeint ist, führte sie nicht aus. Und auch, ob das BSI einen neuen Präsidenten bekomme, lässt Faeser zum BSI-Lagebericht weiter offen.

(axk)