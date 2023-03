"Die Phishing-Mails sind teilweise so gut, dass ich sie nicht mehr von meinen eigenen unterscheiden würde", gesteht der derzeit die Geschäfte des BSI führende Vizepräsident Gerhard Schabhüser ein. "Die konstant angespannte Sicherheitslage in Deutschland trifft leider auch zu, wenn wir uns die Lage von Verbraucherinnen und Verbrauchern ansehen", sagte er in Berlin. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist nicht nur für die Sicherheit der Bundesbehörden zuständig. Zu seinen Aufgaben zählt seit einigen Jahren auch ein Teilbereich des digitalen Verbraucherschutzes. Das BSI hat nun gemeinsam mit dem Verbraucherschutzministerium seinen Jahresbericht dazu vorgestellt; dabei ging es auch um eine geplante EU-Verordnung.

Phishing-Angriffe würden unverschämter, berichtete Schabhüser. Die Täter passten ihre Mails dem jeweils aktuellen medialen Hype an, derzeit beispielsweise den Kontext des Erdbebens in der Türkei und Nordsyriens. Auch indirekt wären Verbraucher immer stärker betroffen – etwa durch Attacken gegen Unternehmen und Behörden. Das betreffe unter anderem Datenabfluss oder die damit verbundene Einschränkung der Arbeitsfähigkeit von Kommunalverwaltungen, aber auch den Ausfall von Zahlungsdienstleistern oder von Krankenhaus-IT. Schabhüser fordert von Anbietern und Verantwortlichen, ihren IT-Sicherheitspflichten nachzukommen.

Emotionen sind Achillesferse

"Es wird immer mehr ausgenutzt, dass Menschen in unsicheren Situationen emotional handeln", sagte Christiane Rohleder (Grüne), Staatssekretärin im Bundesministerium für Umwelt und Verbraucherschutz. So nutzten Kriminelle Kriegsängste und Finanznöte aus. Auch Betrug rund um angebliche Wohltätigkeit sei verbreitet. Als weiteres Problem hebt der BSI-Bericht Fake-Shops hervor, die nach Zahlung nichts oder nur wertlose Sachen liefern.

Derzeit nutzen Betreiber von Fake-Shops speziell im Brennstoffhandel die Nöte der Menschen aus, in mehreren Bundesländern hat die Polizei vor Online-Betrügereien mit Brennholz und Pellets gewarnt. Mit besonders niedrigen Preisen und seriös anmutenden Seitenlayouts werden Opfer in Versuchung gebracht, eine vermeintlich günstige Alternative für den Heizbedarf zu wählen. "Der Bundesverband Brennholz musste zudem feststellen, dass sich die Täter nicht selten der Identitäten von real existierenden, seriösen Händlern bedienten. Der Bundesverband Brennholz hat zur Betrugsvermeidung eine Liste seiner Mitglieder online gestellt.

BSI prüft IoT-Geräte

Unternehmen müssten ihrer Verantwortung gerecht werden, sagte Verbraucherstaatssekretärin Rohleder, und Security by Design und by Default berücksichtigen, um Probleme zu verhindern und im Schadensfall die Auswirkungen zu minimieren. BSI-Vize Gerhard Schabhüser hob dabei die Erarbeitung einer DIN-Spezifikation hervor, die Ende März erscheinen und Kleinst- und Kleinunternehmen bei der Selbsteinschätzung und nötigen Schritten helfen soll.

Seit Mitte 2021 hat das BSI auch den Auftrag, Verbraucherprodukte auf ihre IT-Sicherheit hin zu prüfen und ihnen dann gegebenenfalls ein IT-Sicherheitskennzeichen zu verleihen, wenn Hersteller dies beantragen. Bis Jahresende 2022 hat das BSI 37 entsprechende Siegel vergeben; zu Beginn legte die Behörde ihren Fokus auf populäre E-Mail-Angebote und Heimrouter. Letztere habe man gewählt, da sich im Heimnetz vor allem "Consumergeräte mit Unsicherheitsstatus" tummelten und die Router somit besonders sicherheitsrelevant für Verbraucher wären, erläuterte Schabhüser. Später folgten dann unter anderem vernetzte Putz- und Gartengeräte.

Derzeit schaut sich das BSI besonders Geräte aus dem Internet der Dinge (IoT) an. Schabhüser hofft, dass das IT-Sicherheitskennzeichen starken Werbeeffekt habe. Allerdings brauche es aus seiner Sicht mehr: "Es ist falsch, da nur auf Freiwilligkeit zu setzen. Wir brauchen Mindestanforderungen für den Marktzugang."

Rohleder fordert lebenslange Sicherheitsupdates

Die Bedrohungen nehmen laut BSI zu. Für Verbraucherstaatssekretärin Rohleder ist die geplante EU-Verordnung namens Cyber Resilience Act (CRA) ein Meilenstein, wenn es um die IT-Sicherheit vernetzter Produkte geht. In diesen Verhandlungen setzten sich BMUV und BSI gemeinsam für ein hohes Schutzniveau ein. Mit dem CRA würden Meldepflichten und der Nachweis von Mindestanforderungen verpflichtend, die derzeit noch freiwillig sind.

In einigen Punkten sei der CRA dennoch verbesserungswürdig, so BSI-Vizepräsident Schabhüser. Die deutsche Position zum Cyber Resilience Act ist politisch noch nicht abgestimmt. Rohleder möchte, "dass Sicherheitsupdates für die gesamte Lebensdauer eines Produktes zur Verfügung gestellt werden und nicht nur für fünf Jahre." Außerdem sollten insbesondere Produkte für Kinder und Wearables stärker im CRA berücksichtigt werden. Der Koalitionsvertrag sehe zudem vor, die behördliche Durchsetzung zu stärken – das könnte mit dem CRA auch Aufgabe des BSI werden. Derzeit kann die Bundesnetzagentur in bestimmten Fällen unsichere Geräte aus dem Verkehr ziehen.

(ds)