5810097

Kriminaliät im Internet: „Alarmstufe rot“ bei IT-Sicherheit

Noch nie war die deutsche Cybersicherheit so gefährdet wie 2021, zeigt der aktuelle BSI-Lagebericht. Viele Cyberkriminelle professionalisieren sich.

Ein hangeschriebenes Schild.

Nach einer Cyberattacke: Information am Stadthaus Schwerin am 19. Oktober Foto: Jens Büttner/dpa

BERLIN taz | Die Bedrohung in Deutschland wächst: Immer häufiger legen Cyberkriminelle Unternehmen, Verwaltungen oder gar Krankenhäuser lahm. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor, den BSI-Präsident Arne Schönbohm gemeinsam mit Bundesinnenminister Horst Seehofer am Donnerstag vorgelegt hat. Seehofer bezeichnete die Gefährdungslage aktuell als „sehr hoch“, Schönbohm sprach bei manchen Bereichen sogar von „Alarmstufe Rot“.

Schuld an der dramatischen Einschätzung seien Schönbohm zufolge immer professionellere Cyberkriminelle, eine zunehmende Vernetzung sowie der mangelhafte Umgang mit Schwachstellen. Vor allem das vergangene Jahr, das noch ganz im Zeichen der Covid-Pandemie stand, war laut Bericht geprägt von einer deutlichen Ausweitung cyberkrimineller Aktivitäten.

Unter anderem wurden Angriffswellen beobachtet, in denen Kriminelle mit Ransomware versucht haben, in großem Stil Lösegeld von zahlungskräftigen Opfern zu erpressen. Teilweise nutzten die Tä­te­r*in­nen dazu Angriffsstrategien, die bislang bloß in der Cyberspionage zu finden waren.

Besonders beunruhigend ist vor allem die rasante Entwicklung der Angriffsmethoden: So lag die Zahl neu registrierter Varianten von Schadprogrammen mit 144 Millionen um 22 Prozent über dem Wert des letzten Jahres. Allein im Februar 2021 wurden nach Angaben des Bundesamtes an einem Tag 553.000 Schadprogrammvarianten entdeckt – ein Rekordhoch.

Stromversorgung und Krankenhäuser bleiben gefährdet

Seehofer und Schönbohm betonten, dass auch Ransomware-Angriffe, die zum Beispiel die Stromversorgung oder Krankenhäuser gefährden, bald noch öfter verkommen könnten. Diese bedrohten im schlimmsten Fall Leib und Leben von Menschen, in etwas weniger schlimmen Fällen dürften sensible, medizinische Daten gefährdet sein. Seehofer verwies etwa auf einen Angriff von Cyberkriminellen gegen die Europäische Arzneimittelbehörde (EMA), bei dem Daten über den Impfstoff von Biontech/Pfizer erbeutet wurden.

Seehofer lobte die Arbeit des BSI. Besonders die neue Außenstelle in Sachsen hob der Innenminister hervor – sie sei ein gutes Stück „Strukturpolitik“ für gleichwertige Lebensverhältnisse in Deutschland, sagte Seehofer und beklagte zugleich, dass dies sonst niemanden im Bundestag interessiere. Außerdem wurde das BSI durch das im April verabschiedete IT-Sicherheitsgesetz 2.0 im April mit zusätzlichen Kompetenzen beim Aufdecken von Sicherheitslücken und der Abwehr von Cyber-Angriffen ausgestattet. Unter der nächsten Bundesregierung könnte die Bedeutung des BSI weiter wachsen.

Deutschland als Vorreiter in Sachen Cybersicherheit, das ist zumindest der große Wunsch des scheidenden Bundesinnenministers Seehofer. Ihm zufolge sei Deutschland technisch sehr wohl in der Lage, Angriffe aus dem Internet abzuwehren. „Deutschland kann jegliche Gefährdung vermeiden, man muss die Maßnahmen und das Wissen bloß anwenden“, sagte Seehofer.

Offen blieb allerdings die Frage, warum ausgerechnet deutsche Kommunen immer noch besonders „anfällig für gefährliche und folgenschwere Angriffe auf ihre IT-Sicherheit“ sind, wie die netzpolitische Sprecherin der Linksfraktion, Anke Domscheit-Berg, zuletzt monierte. Am vergangenen Wochenende etwa hatten Hacker innerhalb weniger Stunden zunächst den Kommunalservice Mecklenburg attackiert, dann den IT-Dienstleister der Landeshauptstadt Schwerin und des Landkreises Ludwigslust-Parchim angegriffen und zuletzt in Witten große Teile der Stadtverwaltung lahmgelegt.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Bouncereset

    Wer seine IT monokulturell auf einen Anbieter auf Redmond aufbaut, bekommt genau das was er verdient.

  • tomás zerolo

    Achgottchen. Käut doch bitte nicht diesen Mist wieder. Die bösen, hochfortschrittlichen Haxxorz.

    Nicht, dass es die nicht gäbe. Nur, die Systembetreiber*innen sollten zuerst ihre verdammten Hausaufgaben machen, und das nötige Know-How auch bezahlen, um ihre Systeme halbwegs sicher betreiben zu können.

    Das tun die meisten nämlich nicht. Und dass das BSI auf diese Rhetorik einsteigt statt mal zu sagen, was Sache ist, finde ich, ehrlich gesagt, enttäuschend.

  • Hanno Homie

    Hier ein Kommentar zu dem Fall ModernSolution. Das ist auch eine Bedrohung der Sicherheit. Ob sowas auch im BSI-Bericht steht?

    www.heise.de/meinu...-sein-6224293.html

  • nanymouso

    Zum letzen Absatz sei nochmal auf die aktuellen Geschehnisse dieses Sommers verwiesen. Da meldete eine IT-Fachkraft dem BSI und der Partei, welche die Bundeskanzlerin stellte, ein schwerwiegende Lücke in ihrer Wahlkampf-Software. Nach einem ausgeschlagenen Jobangebot bekam die Person Post von der Staatsanwaltschaft wegen Computer-Verbrechen (ich lass' das Wort hier mal so stehen...).

    Da meldete außerdem eine andere IT-Fachkraft einer Softwarefirma, die Warenwirtschaftssysteme für viele deutsche Versandhandelsfirmen anbietet, eine schwerwiegende Lücke in ebendieser Software, welche etwa 700.000 Kunden betrifft... Und erhält nach 2 Monaten(!) eine Hausdurchsuchung mit Beschlagnahme aller relevanten Arbeitsgeräte (auch berufliche).

    Welcher Mensch bei Sinnen sollte einem Staat, insbesondere einem Beamtenapparat, mit so einem beschissenen Rechtsverständnis helfen wollen? Welcher gesunde Mensch ist bereit sich der geballten Inkompetenz, Hybris, Machtgeilheit und Starrsinnigkeit unserer Strafverfolgungsbehörden entgegenzustellen, welche jedes Maß bei ihren Maßnahmen verloren hat? Welcher Richter kommt auf die Idee, dass es verhältnismäßig ist, einem Berufs-IT-ler alle Arbeitsgeräte zu nehmen? Welcher Staatsanwalt kommt auf die Idee nach geschlagenen 2 Monaten so eine Beschlagnahme anzufordern und zu hoffen, noch relevante "Beweismittel" zu finden?

    Allein dieser Sommer hat uns so eine Kafka'esque Darstellung von Wahn und Interessenlosigkeit der beteiligten Beamten vor Augen geführt. Es muss doch auch mal langsam in der desinteressierten Presse angekommen sein, dass unsere Behörden ein Aufmerksamkeitsproblem und eklatantes Bildungsdefizit aufweisen!

    Was wir hier sehen ist die Banalität des Bösen. Die Beamten tun, was sie tun, weil sie in dem System sind, in dem sie nunmal sind. Das macht ihr Handeln aber weder richtig noch gut (wie Gerichtsurteile über rechtsmissbräuchliche Hausdurchsuchungen immer wieder zeigen).

    Wir fordern immer von Politikern aber nie von Beamten...

  • Hanno Homie

    Ey, liebe Taz, Ihr könnt doch nicht einen Artikel zu dem Thema machen der dann fast ausschließlich aus Zitaten von fatal Seehofer und Schönbohm und Namedropping für Anke Domscheit-Berg besteht ...

    Es ist wichtig an dieser Stelle anzumerken, dass der deutsche Staat die IT-Unsicherheit wesentlich mit produziert!

    Zwei Beispiele dazu:

    1. Der Einsatz des Bundestrojaners: Wenn der Staat Trojaner einsetzen will ist er auf Sicherheitslücken in IT-Geräten angewiesen. Mit allen Konsequenzen: Dem Interesse staatlicher Stellen an der Existenz von solchen Sicherheitslücken, der staatlichen Finanzierung eines (Schwarz-)Marktes für 0days, der Erschaffung und Alimentierung eines verdeckten Ökosystems aus zwielichtigen Firmen und Akteuren, die das Wissen über Sicherheitslücken und deren Ausnutzung erzeugen zirkulieren und gegen Gegenleistungen weiter geben. All das passiert auch schon längst: s. z.B. Pegasus.

    2. Der sog. "Hackerparagraph" § 202 StGB: Mit der Einführung dieses Paragraphen hat die Bundesregierung (in Gestalt der notorischen CDU/CSU/SPD) im Jahr 2006 gegen allen Menschen- & Sachverstand und gegen alle Warnungen die öffentliche, zivile IT-Sicherheitsforschung in Deutschland in einen Graubereich verschoben und kriminalisiert.

    Man kann das gegenwärtig immer wieder sehr gut beobachten: Menschen, die IT-Sicherheitslücken aufdecken und die damit sehr verantwortungsbewusst umgehen (responsible disclosure), werden angezeigt, polizeilich und juristisch verfolgt und in ihrer Existenz bedroht, statt z.B. belohnt zu werden. Jüngste Beispiele: Lilith Wittmann oder der Fall Modern Solution.

    Wir haben damit im IT-Produkte-Bereich in Deutschland eine Situation, die in anderen Bereichen als absurd gelten würde. Man muss sich das mal z.B. für Autos oder Fahrräder vorstellen: Ich finde im Bremssystem eines Fahrzeugmodells einen fatalen Designfehler. Ich melde das an den Hersteller. Und statt den Fehler zu beseitigen, zeigt der mich an und die Polizei beschlagnahmt meine Werkstatt?

  • Bolzkopf

    Maßgeblich wird das Problem von zwei Faktoren potenziert: Die Uniformität der Systeme und die vom Gesetzgeber offenbar so gewollte fehlende Gewährleistung bzw. Produkthaftung bei Software.

    Beispiel: Wenn ich einen Parkautomaten überliste wird das sicher bei allen baugleichen Automaten auch klappen. Anders bei "menschlichen" Parkplatzwärtern. Der Kollege an einem anderen Parkplatz wird mir vllt auf die Schliche kommen ...

    Zockt mich jemand im Internet ab weil die entsprechende Handy App fehlerhaft ist bin ich der gelackmeierte - nicht der Softwareanbieter.

  • flip flop

    Monokultur in der Infrastruktur und auf den Desktops.

    Mangelhafte Schulung und Weiterbildung.

    Unprofessionelles Management.

    Ignoranz.

    Und als Sahnehäubchen ein verdrehtes Rechtssystem, das zuletzt bei CDU-App und Modern Solutions demonstriert hat, dass IT-Sicherheit zuallererst Sicherheit vor Konsequenzen aus den obigen Punkten ist, Stichwort "Hackerparagraph".