Bericht zum Digitalen Verbraucherschutz 2020 - BSI
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | VORWORT Vorwort In Deutschland gibt es eine lange Tradition des Verbrau- In diesem Bericht bündeln wir ab sofort jährlich die Ex- cherschutzes: Ernährung, Kosmetik, Konsumprodukte pertise des ganzen BSI, analysieren entlang der integrier- – auf vielen Wegen können sich Verbraucherinnen und ten Wertschöpfungskette im BSI von der Cyberabwehr Verbraucher über Vor- und Nachteile hierzu informieren. bis zum Verbraucherschutz systematisch die Lage im IT-Sicherheit ist hier immer noch ein Nischenthema. Wie Digitalen Verbraucherschutz und verknüpfen dies mit lange wird mein Handy oder mein Smart TV mit Updates einem stets aktuellen Schwerpunktthema. In 2021 ist das versorgt? Gab es früher bei dem Gerät schon Schwach- das Thema “Cyber-Sicherheit im Gesundheitswesen”. stellen? Diese Fragen gehören für uns als BSI mit in das Portfolio an Informationen, die Verbraucherinnen und Für uns als BSI sind Digitalisierung und Informationssi- Verbraucher brauchen, um eine informierte und abge- cherheit die zwei Seiten einer Medaille. Das eine gelingt wogene Entscheidung zu treffen. Deshalb ist es gut und nur mit dem anderen zusammen. In diesem Sinne bauen wichtig, dass das BSI mit dem IT-Sicherheitsgesetz 2.0 wir auf den Austausch und die Kooperation mit bewähr- die gesetzlich verankerte Aufgabe des Digitalen Verbrau- ten und neuen Partnern in Kommunen, Ländern, dem cherschutzes bekommen hat. Bund, der Wirtschaft und Zivilgesellschaft. Es liegt noch einiges an Wegstrecke für einen umfassenden Digitalen Wir bauen dabei auf fast zwanzig Jahre Verbraucher- Verbraucherschutz vor uns. Mit diesem ersten „Bericht information und -beratung auf. Wir arbeiten intensiv zum Digitalen Verbraucherschutz“ ist wieder ein daran, die Informationssicherheit für alle Verbrauche- wichtiger Schritt getan. rinnen und Verbraucher zu gestalten und voranzutrei- ben. Daraus leiten wir eine Vielzahl von strategischen Zielen ab: Künftig sollen so viele Consumer-Produkte wie möglich über ein IT-Sicherheitskennzeichen verfügen. Damit jeder auf einen Blick erkennen kann, über welche Sicherheitseigenschaften ein IT-Gerät verfügt. An unserem Standort in Freital richten wir einen eigenen Fachbereich ein, der sich ausschließlich um die Belange der Verbraucherinnen und Verbraucher kümmern wird. Wir initiieren zudem neue und intensivieren bestehende Informations- und Austauschformate und Kooperatio- nen, haben einen “Beirat Digitaler Verbraucherschutz” gegründet und wenden uns mit der deutschlandweiten Informationskampagne “#einfachaBSIchern” an die Bürgerinnen und Bürger. Mit diesem „Bericht zum Digitalen Verbraucherschutz“ Arne Schönbohm gehen wir einen Schritt weiter. Wir wollen damit insbe- Präsident des Bundesamts für Sicherheit in der sondere jene Zielgruppen erreichen, die Verbraucher- Informationstechnik (BSI) schutz aus professioneller Sicht in Deutschland gestalten. Nur mit ihnen zusammen können wir das Thema IT- Sicherheit in der öffentlichen Wahrnehmung verankern. 3
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | VORWORT Die Vielfalt und Dynamik des digitalen Verbrauchermarktes Schnell noch etwas via App bestellen, der Tochter beim Mit dem „Bericht zum Digitalen Verbraucherschutz“ Einloggen im neuen Schulportal helfen und der liebsten wollen wir Orientierung in einem komplexen Hand- Freundin mit einem Videogruß zum Geburtstag gratu- lungsfeld geben, das von vielen Beteiligten geprägt wird. lieren – die digitalen Möglichkeiten sind nahezu gren- Der Spannungsbogen reicht dabei vom Verbraucher über zenlos. Mit seiner Vielfalt und zugleich dynamischen die Hersteller bzw. Dienstleister bis hin zu staatlichen Entwicklung wird der digitale Verbrauchermarkt jedoch und zivilgesellschaftlichen Akteuren. Dieses Spektrum zusehends zum Spielfeld krimineller Handlungen: Das an Stakeholdern wollen wir mit unserer neuen Publika- Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen tion erreichen und damit auch für aktuelle Themen rund steigt. um die IT-Sicherheit des digitalen Verbrauchermarktes einen aktiven Dialog anregen. Eine Auswahl an Daten und Fakten dazu haben wir in unserem neuen „Bericht zum Digitalen Verbrau- cherschutz” zusammengetragen und aufbereitet – mit informativen Mehrwerten. Er ordnet exemplarische und prägende Vorfälle und Entwicklungen des vorangegan- genen Jahres ein und gibt passende Handlungsempfeh- lungen und Ausblicke. Ein Themenkomplex von beson- derer gesellschaftlicher Relevanz wird einer fokussierten Betrachtung unterzogen. Zudem wird die Zielgruppe der Verbraucherinnen und Verbraucher stärker beleuchtet. Wir wollen so noch besser verstehen, auf welche Art und Weise mit digitalen Produkten, Daten und Dienstleis- tungen umgegangen wird, und daraus ableiten, welche spezifischen Bedarfe und Erwartungen hinsichtlich der IT-Sicherheit im privaten Alltag bestehen – stets mit Blick auf unsere drei Kernziele im Digitalen Verbrau- cherschutz: Nadine Nagel das Risikobewusstsein im digitalen Leiterin der Abteilung WG Raum zu schärfen, „Cyber-Sicherheit für Wirtschaft und Gesellschaft“ die Beurteilungsfähigkeit zu stärken und die Lösungskompetenz zu steigern. 5
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Vorwort 3 2 Einleitung 8 3 Die digitalen Verbraucherinnen und Verbraucher 10 4 Sicherheitsvorfälle auf dem digitalen Verbrauchermarkt 14 5 Schwerpunkt: COVID-19-Pandemie und Gesundheits-Apps 20 6 Gestaltungsräume und Ausblick 24 7 Literaturverzeichnis und weiterführende Links 28 7
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | EINLEITUNG 2 Einleitung Die fortschreitende Digitalisierung unserer Welt zeigt sich Ausgestaltung des digitalen Verbraucherschutzes an diesem in allen Lebensbereichen. Nicht nur in Wirtschaft, Poli- spezifischen Markt werden nachfolgend diskutiert. tik und Wissenschaft - auch in der Gesellschaft steigen Relevanz und Bedeutung von sicheren IT-Diensten und Um das digitale Verbraucherschutzjahr 2020 abzubilden, IT-Produkten. So sind beispielsweise IT-Produkte wie müssen zwei Perspektiven betrachtet werden: Welche Smartphones oder Sprachassistenzsysteme, aber auch Voraussetzung bringt der Markt mit? Ist dieses für Ver- IT-Dienstleistungen wie Onlineshopping fest im Alltag der braucherinnen und Verbraucher nachvollziehbar? Anhand meisten Menschen verankert. von Befragungsdaten zu Erwartungen und Handlungs- weisen von Menschen im digitalen Raum werden die Mit dem Thema „Digitaler Verbraucherschutz" gestaltet Einstellungen, Erfahrungen und Herausforderungen von das Bundesamt für Sicherheit in der Informationstechnik Verbraucherinnen und Verbrauchern im digitalen Markt (BSI) ein neues Handlungsfeld, das sich mit genau diesen analysiert. Weiterführend werden die Bedarfe der Verbrau- Themenfeldern auseinandersetzt. Zweifelsohne bietet die cherinnen und Verbraucher im Umgang mit digitalen Pro- Digitalisierung enorme Chancen für die Verbraucherin- dukten und Dienstleistungen identifiziert und erörtert. Ein nen und Verbraucher. Und doch kann diese nur zu einer starker Fokus liegt dabei auf der Zielsetzung, dass das BSI Erfolgsgeschichte werden, wenn IT-Sicherheit als Grundlage die Verbraucherinnen und Verbraucher zu aktivem Handeln verstanden wird. Damit die Menschen für die damit ver- in der IT-Sicherheit im privaten Kontext befähigen möchte. bundenen Herausforderungen und Risiken gewappnet sind, Auf diesem Weg können Anknüpfungspunkte gefunden treibt das BSI den digitalen Verbraucherschutz weiter voran, werden, um das Risikobewusstsein der Verbraucherinnen um das Thema fest im Bewusstsein von Staat, Wirtschaft und Verbraucher zu erhöhen, ihre Beurteilungsfähigkeit zu und Gesellschaft zu verankern. steigern und ihre Lösungskompetenz zu stärken. Das BSI sammelt und erhebt eine Vielzahl von Daten zur Mit dem Ziel, neue Erkenntnisse zum gesamtgesellschaft- Lage der IT-Sicherheit in Deutschland. Dafür werden vielfäl- lichen Dialog in den Bereichen der Informationssicherheit tige Quellen sowie Meinungen von Expertinnen und Exper- und des Verbraucherschutzes beizutragen, schließt die Pub- ten herangezogen. Mit Fokus auf die Verbraucherinnen und likation mit potentiellen Gestaltungsräumen des digitalen Verbraucher sowie die zugrundeliegenden Märkte werden Verbraucherschutzes für die Zukunft, die von Herstellern, die zentralen Sachverhalte und Gegebenheiten aus dem Jahr Dienstleistern sowie Anwenderinnen und Anwendern 2020 erneut betrachtet und analysiert, um den folgenden wahrgenommen werden können. Hierzu werden zusam- Zielen nachzugehen: menfassend zu unterstützende Handlungsfelder sowie Empfehlungen dargestellt, Die Publikation legt ein Hauptaugenmerk auf die Frage, die sich aus den Erkenntnissen welche Schwerpunktthemen das digitale Verbraucher- des Verbraucherschutzjahres schutzjahr 2020 geprägt haben. Hierzu werden die wesent- 2020 ableiten lassen. lichen Sicherheitsvorfälle am digitalen Verbrauchermarkt dargestellt und dahingehend erörtert, inwiefern insbeson- dere Verbraucherinnen und Verbraucher davon betroffen sein können. Der Fokus dieser ersten Ausgabe des Berichts zum digita- len Verbraucherschutz liegt auf der „Cybersicherheit im Gesundheitswesen“. Da die COVID-19-Pandemie unsere Gesellschaft nachhaltig beeinflusst hat, wird vor diesem Hintergrund der Frage nach den Auswirkungen auf den di- gitalen Verbraucherschutz nachgegangen. Neben möglichen Sicherheitsrisiken durch die Veränderung des Konsumver- haltens der Verbraucherinnen und Verbraucher stellt die Corona-Warn-App ein weiteres Schlaglicht im Jahr 2020 dar. Darüber hinaus hat das BSI eine Untersuchung zum Thema Gesundheits-Apps initiiert. Sowohl die Vorstellung der Studienergebnisse als auch die Frage nach der genauen 9
3 Die digitalen Verbraucherinnen und Verbraucher
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | DIE DIGITALEN VERBRAUCHERINNEN UND VERBRAUCHER 3 Die digitalen Verbraucherinnen und Verbraucher Was sind digitale Verbraucherinnen und Verbraucher? zeichneten sich bereits im Berichtszeitraum 2019/2020 Und wie digital machen diese Bürgerinnen und Bürger ab und wurden, wie im Folgebericht 2020/2021 deutlich Deutschland? Allgemein gültige und eindeutige Anwor- wurde, durch die COVID-19-Pandemie verstärkt. So ten darauf können bisher nicht gegeben werden. Zudem zeigte der Erhebungszeitraum 2019/2020, dass mit 82 unterliegen diese – wie auch die Digitalisierung selbst – Prozent bereits die deutliche Mehrheit der Bevölkerung einem steten Wandel. das Internet für Recherchen mit Suchmaschinen nutzte. Weitere häufige Aktivitäten waren Onlineshopping Das BSI setzt sich mit dem vorliegenden, von nun an mit 71 Prozent und Instant Messaging mit 70 Prozent. jährlich erscheinenden Bericht verstärkt dafür ein, diese Etwas mehr als die Hälfte der Bevölkerung nutzte das Fragen zu beantworten. Denn die Kompetenzen, Erwar- Internet außerdem für Büroanwendungen (60 %), den tungen und Bedürfnisse dieser wichtigen Zielgruppe Online-Kauf von Dienstleistungen (58 %) sowie für On- sind zentrale Bausteine für erfolgreiche Maßnahmen im line-Bezahlverfahren (55 %). digitalen Verbraucherschutz. Die Zahlen machen deutlich, dass die Digitalisierung In diesem Kapitel werden grundlegende Anhaltspunkte in den meisten Haushalten Einzug gehalten hat. Laut vorgestellt, um die genannten Bausteine für die Ziel- D21-Digital-Index gingen bereits im Erhebungszeitraum gruppe der digitalen Verbraucherinnen und Verbrau- 2019/2020 viele Bürgerinnen und Bürger davon aus, cher einzuordnen. Im Rahmen einer Web-Recherche dass die Digitalisierung in den nächsten drei bis fünf wurden Studien und Statistiken zusammengetragen, Jahren weitere Lebensbereiche stark verändern wird. Das die Informationen rund um die digitale Sicherheitslage Gesundheitswesen, E-Commerce und das Bildungswesen der Verbraucherinnen und Verbraucher bieten. Für den können hier als Beispiele benannt werden. Die erwartete Berichtszeitraum vom 01.01.2020 bis zum 31.12.2020 Veränderung wurde dabei von der Mehrheit als (eher) wurden wesentliche Aussagen aus dem Material zur positiv eingeschätzt. Im darauffolgenden Erhebungs- aktuellen Situation und Bedrohungslage am digitalen zeitraum gab die Hälfte der Bürgerinnen und Bürger an, Verbrauchermarkt 2020 erfasst. Gleichermaßen wurden dass sie sich bereits jetzt als Gewinner der Digitalisierung Bedürfnisse sowie Nutzungsverhalten mitbetrachtet, sehen. um Kernaussagen über die digitalen Verbraucherinnen und Verbraucher im Jahr 2020 treffen zu können. Um ein Mit der verstärkten Nutzung von Online-Diensten und möglichst aktuelles Bild von digitalen Verbraucherinnen digitalen Endgeräten geht für die meisten Menschen und Verbrauchern im Erhebungszeitraum 2020 zu erhal- auch der Wunsch nach digitaler Selbstbestimmtheit im ten, wurde die Recherche um neue Veröffentlichungen Umgang mit diesen Dienstleistungen und Produkten der zugrundeliegenden Publikationsreihen aus dem 1. einher. In den D21-Studien aus beiden Erhebungszeit- Quartal 2021 ergänzt. räumen gab die Mehrheit der Befragten an, dass sie bezüglich ihrer Daten im Internet ein Ohnmachtsgefühl empfinden. Zum Beispiel gaben mehr als zwei von fünf Befragten im Erhebungszeitraum 2020/2021 an, dass sie Eine Bestandsaufnahme das Gefühl haben, den Unternehmen nicht trauen zu der digitalen Gesellschaft: können, obwohl sie deren digitale Anwendungen und Der D21-Digital-Index Dienste in Anspruch nehmen. Die Initiative D21 e. V. hat mit dem D21-Digital-Index Erkenntnisse darüber erhoben, wie die Bevölkerung den digitalen Wandel adaptiert. Beim D21-Digital-Index Bedürfnisse der Verbraucherinnen und handelt es sich um eine jährliche Befragung mit dem Verbraucher zum Thema Sicherheit Ziel, das digitale Lagebild in der Gesellschaft zu erhe- ben. Basierend auf einer Zufallsstichprobe wurden im Weitere Erkenntnisse über die Herausforderungen der ersten Schritt Strukturbefragungen (20.322 Befragte IT-Sicherheit für Verbraucherinnen und Verbraucher im Zeitraum 2019/2020, 16.158 Befragte im Zeitraum und den damit verbundenen Bedürfnissen veröffent- 2019/2020) mit anschließenden Vertiefungsbefragungen lichten das Bundesministerium des Innern, für Bau und (2.019 Befragte im Zeitraum 2019/2020, 2.038 Befragte Heimat (BMI) und das BSI zum Safer Internet Day am 1. im Zeitraum 2020/2021) durchgeführt. Digitale Trends Februar 2020. In einer offenen Trendabfrage, umgesetzt 11
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | DIE DIGITALEN VERBRAUCHERINNEN UND VERBRAUCHER als Online-Befragung, mit mehr als 20.000 Teilnehmen- den Sicherheitsvorfällen am digitalen Verbrauchermarkt den zeigte sich, dass sich rund drei Viertel der Befragten weiter veranschaulicht wird, entwickeln sich die ange- mehr Informationen für den Bereich digitale Sicherheit wandten Angriffsmethoden in allen technischen Berei- wünschen. Zu den Bereichen mit dem höchsten Infor- chen weiter und bringen stets neue Sicherheitsrisiken mationsbedarf gehörten dabei Online- und Mobile-Ban- mit sich. Aus diesem Grund sind aktuelle Informationen king mit 35 Prozent sowie der Schutz von digitalen an Verbraucherinnen und Verbraucher über verschiede- Endgeräten mit 24 Prozent. ne Kanäle ein wesentlicher Baustein zur Prävention von Sicherheitsvorfällen im Verbraucherkontext. Bei der Veröffentlichung der Ergebnisse richteten BMI und BSI den Blick auf Themen wie die Nutzung von Smart Home-Technologien, obwohl Verbraucherinnen und Verbraucherinnen hier nur wenig Informations- Schadenslage durch Kriminalität und Schutz- bedarf äußerten. Das gleiche Phänomen zeigt sich maßnahmen im Cyber-Raum bei stets aktuellen Themenfeldern wie beispielsweise Onlineshopping, soziale Netzwerke und Online-Kom- Das Digitalbarometer 2020 mit seiner Bürgerbefragung munikation. Hier wünschten sich weit weniger als ein zum Thema Cybersicherheit von BSI sowie der Polizei- Viertel der Befragten Unterstützung oder äußerten lichen Kriminalprävention der Länder und des Bundes Informationsbedarf. Das BSI machte vor diesem Hinter- (ProPK) umfasst eine Stichprobe von 2.000 Personen aus grund darauf aufmerksam, dass auch diese Bereiche der dem Ipsos Online-Access-Panel. Die als Web-Umfrage digitalen Lebenswelt trotz weniger explizit geäußertem durchgeführte Studie zeigte, dass jede/jeder Vierte zum Informationsbedarf nicht zu unterschätzen sind. Gerade Opfer von Kriminalität im Internet geworden ist. Zu am Beispiel der Smart Home-Technologien wird dies Schaden kamen dabei zirka zwei Drittel der betroffenen deutlich, da in diesem Bereich einheitliche Sicherheits- Personen. Ein besonderes Augenmerk liegt in diesem standards noch keine flächendeckende Anwendung Kontext auf der Vielfalt an Schäden, die den Betroffenen finden, wodurch das Risiko von Sicherheitslücken beson- zugefügt wurden: Neben monetären Schäden (32 %), ders groß ist. Hier gilt es, der Unwissenheit von Verbrau- spielten häufig auch der Verlust von Daten (23 %) und cherinnen und Verbrauchern vorzubeugen und sie über der Schaden durch das Wiederherstellen von Daten (23 die – gegebenenfalls auf den ersten Blick nicht sichtba- %) eine Rolle. Auch emotionale Schäden, beispielsweise ren – Sicherheitsrisiken solcher Endgeräte sowie sich durch Cybermobbing, entstanden in einem Viertel der weiterentwickelnden Angriffsmethoden von Cyberkri- Fälle (25 %). minellen aufzuklären. Wie im anschließenden Kapitel zu Innerhalb Straftaten Straftat der letzten 12 Monate die länger zurückliegen Schadsoftware wie Viren und Trojaner 11 % 25 % Phishing 17 % 15 % Ransomware bzw. Erpressersoftware 6% 10 % Cybermobbing 10 % 6% Betrug beim Onlineshopping 44 % 28 % Problematische Inhalte 8% 6% Fremdzugriff auf einen Online-Account 30 % 23 % Cyberstalking 8% 6% Quelle: Digitalbarometer: Bürgerbefragung zur Cybersicherheit. Kurzbericht zu den Umfrageergebnissen der Polizeilichen Kriminal- prävention der Länder und des Bundes (ProPK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Info: Die unterschiedlichen Schadensfälle zeigen, dass neben der materiellen auch die psychische Sicherheit der Verbraucherinnen und Verbraucher gestärkt werden muss. Selbsthilfeanleitungen sowie Orientierungshilfen tragen in diesem Umfeld zu einem digitalen Basisschutz bei. 12
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | DIE DIGITALEN VERBRAUCHERINNEN UND VERBRAUCHER Ein weiteres Ergebnis der Bürgerbefragung ist, dass zenden einen Musikstreamingdienst in Anspruch nahm sich trotz der Gefahrenlage für Verbraucherinnen und (53 %) oder Online Games spielte (49 %). Etwa jeder dritte Verbraucher jede/jeder Zehnte ohne Schutzmaßnahmen nutzte Streaming-Plattformen (37 %), um Videos oder im digitalen Raum bewegt. Ein aktuelles Virenschutz- Filme anzuschauen. porogramm (57 %), sichere Passwörter (48 %) sowie eine aktuelle Firewall (47 %) waren bei den Personen, die Das Bundeskriminalamt (BKA) wies im Bundeslagebild sich vor Gefahren im Internet schützen wollten, die am 2019 mit ihrer Sonderauswertung „Cybercrime in Zeiten häufigsten angewandten Maßnahmen. Auch die Ver- der Corona-Pandemie“ nach, dass die gesellschaftlichen wendung von Zwei-Faktor-Authentisierung (33 %) und Veränderungen auch angepasste Formate von kriminel- von sicheren Https-Verbindungen bei der Übertragung len Aktivitäten im Internet nach sich zogen. Im Beob- persönlicher Daten (31 %) waren Maßnahmen, die häufig achtungszeitraum von März bis August 2020 wurden zum Schutz ergriffen wurden. zum Beispiel vermehrt gefälschte Webseiten und E-Mails in Umlauf gebracht, die mit einer „Corona-Soforthilfe“ Gleichermaßen konnten im Digitalbarometer Hinweise warben. In weiteren Fällen gaben sich die Betrüger als darauf gefunden werden, dass Verbraucherinnen und Ärzte, Virologen aber auch Dienstleister, wie Paketlie- Verbraucher, die Sicherheitsempfehlungen direkt umset- ferdienste, aus, um das hohe Informationsbedürfnis der zen, seltener Opfer von Kriminalität im Internet werden. Verbraucherinnen und Verbraucher zur Pandemie-Situ- Befragte, die bisher gar nicht oder nur einmalig Opfer ation auszunutzen. So gingen laut Bericht allein bis Mitte wurden, gaben häufiger an, die Empfehlungen direkt September 2020 in Nordrhein-Westfalen mehr als 1.200 umzusetzen (40 %). Strafanzeigen zu diesen Sachverhalten ein. Gestalterisch wurden die gefälschten Inhalte an Internetpräsenzen und Nachrichten staatlicher Stellen sowie wirtschaftli- cher Akteure angelehnt. Zum Beispiel wurden Seiten- Digitale Bedrohungen für Verbraucherinnen layouts von großen Banken nachgeahmt, um Seriosität und Verbraucher durch COVID-19 bei Empfängerinnen und Empfängern der Nachrichten und Besucherinnen und Besuchern der Webseiten zu Im Verlauf der COVID-19-Pandemie wurden einige ana- erwecken. Sofern betroffene Personen auf den Webseiten loge Angebote des Alltags, wie das Treffen mit Freunden, Schaltflächen betätigten oder Anhänge von E-Mails öff- der Besuch von Veranstaltungen oder auch Shopping, neten, führte dies zu einer Infektion ihres technischen durch digitale Formate ersetzt. Wie der Branchen- Endgeräts mit Malware. verband Bitkom e. V. festgestellt hat, hielten seit dem Ausbruch der Pandemie digitale Freizeitangebote wie Die COVID-19-Pandemie zeigt, wie schnell und flexibel Onlineshopping, Videokonferenzen mit Freunden oder Cyberkriminelle agieren können. Die vielfältige Anwen- Musik- und Videostreaming-Dienste vermehrt Einzug dung von Angriffswerkzeugen, darunter Phishing-Mails in die Privathaushalte. Durch die telefonische Befragung oder DDoS-Attacken auf digitale Angebote, bieten einen von 1.003 Personen im April 2020 konnte Bitkom ermit- beispielhaften Einblick in die Gefahrenlage von Verbrau- teln, dass etwa die Hälfte der interviewten Internetnut- cherinnen und Verbrauchern im virtuellen Raum. 13
4 Sicherheitsvorfälle auf dem digitalen Verbrauchermarkt
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SICHERHEITSVORFÄLLE AUF DEM DIGITALEN VERBRAUCHERMARKT 4 Sicherheitsvorfälle auf dem digitalen Verbrauchermarkt Das Jahr 2020 ist ohne Zweifel von der COVID-19-Pan- dass im Bereich der IoT-Anwendungen gehäuft über re- demie und den damit einhergehenden Veränderungen, levante Vorfälle berichtet wurde. Über Sicherheitslücken Einschränkungen und Vorfällen geprägt. Doch auch in konkreten Produkten hinaus wurden Schwachstellen abseits der Pandemie beobachtete das BSI zahlreiche in der zentralen Sicherheitsarchitektur von IoT-Geräten Entwicklungen und Ereignisse im Bereich des digitalen und Hardware im Allgemeinen entdeckt. An dieser Stelle Verbraucherschutzes, die bedeutende Auswirkungen auf wird bereits deutlich, welche Bedeutung dem Grundsatz die IT-Sicherheit von Verbraucherinnen und Verbrau- „Security by Design" auch im digitalen Verbraucher- chern hatten. Der digitale Verbrauchermarkt stellt sich schutz zukommt. dabei als durchweg komplex und hoch dynamisch dar. Stetiges Wachstum und eine kontinuierlich zunehmende Die unter den Namen „Ripple20" und „Amnesia33" Vernetzung prägen diese Entwicklung, die den digitalen bekannt gewordenen Sammlungen von Sicherheits- Verbraucherschutz vor besondere Herausforderungen lücken in TCP/IP-Stacks stellen für Verbraucherinnen stellt: Zum einen gilt es, die zahlreichen Produkte und und Verbraucher eine besondere Herausforderung dar: Dienstleistungen, die von Verbraucherinnen und Ver- Einerseits ist die technische Komplexität sehr hoch, was brauchern unmittelbar in Anspruch genommen werden, auch dazu führt, dass die eigene Betroffenheit selbst für sicher zu gestalten. Desweiteren darf nicht übersehen versierte Nutzerinnen und Nutzer kaum erkennbar ist. werden, auch lediglich mittelbar dem digitalen Verbrau- Andererseits ist für viele der betroffenen Geräte nicht chermarkt zuzuordnende Produkte und Dienstleistun- klar, wie diese das notwendige Update zur Schließung gen abzusichern, wie beispielsweise die sogenannten der Sicherheitslücken erhalten können. Hier liegt folglich „Kundendatenbanken". Nur eine derart integrierte Be- ein schwerwiegendes Versäumnis im Sicherheitsdesign trachtung aller relevanten Produkte und Dienstleistun- der Produkte vor, das Verbraucherinnen und Verbrau- gen kann zu einer erfolgreichen Gestaltung des digitalen cher letztendlich vor die Wahl zwischen der Nutzung Verbraucherschutzes führen. unsicherer IoT-Geräte oder einem Neukauf potentiell sichererer Geräte stellt. Es erfordert nur minimalen Rechercheaufwand, um hinsichtlich der Bedrohungslage für Verbraucherinnen Ebenso stellt sich die Reaktionsbereitschaft der betrof- und Verbraucher im digitalen Raum im Jahr 2020 fündig fenen Anbieter als problematisch dar: Im Dezember zu werden. Zu zahlreich waren die Vorfälle, die sich 2020 musste das BSI feststellen, dass sich von den 31 im mittel- und unmittelbar auswirkten, wobei es starke September kontaktierten Unternehmen im Rahmen des Unterschiede in der Komplexität der Ursachen gab, Coordinated Vulnerability Disclosure (CVD)-Prozesses jedoch fast immer schwerwiegende Folgen zu verzeich- eine gewisse Anzahl gar nicht zurückgemeldet hat. Da nen waren. Auf der einen Seite konnten, allein aufgrund nicht nur Verbraucherinnen und Verbraucher, sondern vergleichsweise banaler Konfigurationsfehler am Server, auch Unternehmen und kritische Infrastrukturen von online erreichbare Kundendatenbanken mit Millionen den Sicherheitslücken betroffen waren, ist die mangeln- von Datensätzen ohne großen Aufwand abgerufen wer- de Kooperations- und Reaktionsbereitschaft hier von be- den. Auf der anderen Seite befanden sich hoch komplexe sonderer Tragweite. Nichtsdestotrotz zeigte der Vorfall, Schwachstellen in Softwares, die einen Schaden für die dass ein verantwortungsvoller Umgang mit Schwach- Gesellschaft verursachten. Verbraucherinnen und Ver- stellen auch über Landesgrenzen hinweg funktionieren braucher waren diesen Vorfällen oftmals hilflos ausgelie- kann. Das BSI war dabei die federführende Behörde im fert, zumal aufgrund der technischen und teils komple- europäischen Raum und konnte durch die vertrauens- xen Gegebenheiten keine Nachvollziehbarkeit erreicht volle Zusammenarbeit zwischen Staat und Wirtschaft werden konnte. Es ist folglich unerlässlich, Verbrauche- in der Mehrzahl der Fälle den CVD-Prozess erfolgreich rinnen und Verbrauchern eine mögliche Betroffenheit gestalten. Dieser Art von Kooperation bedarf es auch bei derartigen Sicherheitsvorfällen verständlich darzule- zukünftig, um Cybersicherheit und Verbraucherschutz gen und zu erklären. in einem komplexen System wie dem europäischen Bin- nenmarkt wirksam umsetzen zu können. Neben den im Jahr 2020 ohnehin im Fokus stehenden Themen der digitalen Gesundheitsversorgung, die im nächsten Kapitel betrachtet werden sollen, gab es etliche Entwicklungen und Ereignisse auf dem digitalen Verbrauchermarkt. Zunächst konnte festgestellt werden, 15
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SICHERHEITSVORFÄLLE AUF DEM DIGITALEN VERBRAUCHERMARKT Hintergrund: Ripple20 und Amnesia33 Experten der israelischen Sicherheitsfirma JSOF veröffentlichten im Juni 2020 gleich 19 Sicherheitslücken in der Imple- mentierung eines Netzwerk- bzw. TCP/IP-Stacks, die sie unter dem Titel „Ripple20" zusammenfassten. Die Lücken konnten von Angreifern missbraucht werden, um Schadcode in die Geräte einzuschleusen und auszuführen oder um kritische Daten auszulesen. Im Dezember 2020 veröffentlichte das Security-Unternehmen Forescout die Untersuchung „AMNESIA:33", die 33 Schwachstellen in vier verschiedenen Open Source Netzwerk-Stacks beinhaltete. In beiden Fällen vermuteten die Entdecker die Betroffenheit von Millionen Geräten. Die betroffenen Anwendungen kommen in einer Vielzahl von Geräten wie Routern, Druckern oder Smart Home-Systemen bei zahlreichen namhaften Herstellern zum Einsatz. Im Bereich der IoT-Geräte konnten im Jahr 2020 zahl- Zwecke nutzen, wobei das Spielzeug am häufigsten in der reiche weitere Vorfälle beobachtet werden. Regelmäßig jüngsten Altersgruppe von 10 bis 15 Jahren genutzt wird. fanden Expertinnen und Experten Sicherheitslücken in Hier liegt der Anteil bei vier Prozent aller Befragten die- beispielsweise vernetzen Türklingeln oder in sogenann- ser Altersgruppe. Das Statistische Bundesamt betrachtete tem „smartem" (vernetztem) Spielzeug. So berichtete mit dem Internet verbundene Spielekonsolen separat eine auf Sicherheitsanalysen von IoT spezialisierte Firma von den oben genannten Spielzeugen. Hier gaben 22 in der Vorweihnachtszeit von über 7.000 Schwachstellen Prozent der Internetnutzenden an, dass sie diese zuhause in gerade einmal sechs zufällig ausgewählten Produk- nutzen. Neben jungen Erwachsenen zählen auch hier ten, darunter auch Kinderspielzeug. Es waren hierbei Kinder und Jugendliche zur stärksten Verbraucherziel- sowohl die Intim- bzw. Privatsphäre als Ganzes (Beispiel: gruppe. Eine mit dem Internet verbundene Spielekonsole eigene Wohnung), als auch vulnerable Gruppen (Beispiel: wird demnach von 52 Prozent der Befragten im Alter Kinder) von flächendeckenden IT-Sicherheitsmängeln im von 10 bis 15 Jahren genutzt. In der Altersgruppe der 16 IoT-Bereich betroffen. bis 24-Jährigen gaben 49 Prozent der Befragten an, eine solche Konsole zu nutzen. In Anbetracht der jungen Die IKT-Erhebung „Private Haushalte in der Infor- Zielgruppe für vernetztes Spielzeug und Spielekonsolen mationsgesellschaft" des Statistischen Bundesamtes handelt es sich hier um eine überwiegend vulnerable (Destatis) aus dem Jahr 2020 stützte diese Annahme. So Gruppe von Verbraucherinnen und Verbrauchern. Diese gaben zwei Prozent der Internetnutzenden an, dass sie müssen hinsichtlich der IT-Sicherheit von internetfähi- mit dem Internet verbundenes Spielzeug (zum Beispiel gen Spielwaren unterstützt werden. Roboterspielzeug oder intelligente Puppen) für private Altersgruppe Mit dem Internet (von ... bis ... Jahren) verbundene Spielekonsole 10 - 15 % 52 % 16 - 24 % 49 % 25 - 44 % 31 % 45 - 64 % 8% 65 Jahre und älter 2% Quelle: Statistisches Bundesamt, 2021: Wirtschaftsrechnungen 2020. Private Haushalte in der Informationsgesellschaft – Nutzung von Informations- und Kommunikationstechnologien. 16
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SICHERHEITSVORFÄLLE AUF DEM DIGITALEN VERBRAUCHERMARKT Über 7.000 Schwachstellen in nur sechs Produkten Die auf die Sicherheit von IoT-Geräten spezialisierte IoT Inspector GmbH berichtete im Dezember 2020 von 7.339 Schwach- stellen in einem Smart Speaker, einem Messenger für Kinder, einer Drohne, einem Smart Home-Kamerasystem, einer Haustier-Überwachungskamera sowie einem Streaming-Gerät für Kinder. Durch veraltete Software mit bekannten Sicher- heitslücken, unsichere Fernwartungszugänge und mangelhafte Verschlüsselung wurden laut IoT Inspector „nicht einmal grundlegende Sicherheitseigenschaften" erfüllt. Unabhängig von der persönlichen Betroffenheit der Verbraucherinnen und Verbraucher stellen unsichere IoT-Geräte durch die Einbindung in Botnetze eine zusätzliche Gefährdung der öffentlichen Sicherheit dar. Doch auch häufig nicht im unmittelbaren Fokus der Ver- Internet und andererseits die zentralen Verteilplattformen braucherinnen und Verbraucher stehende Produkte, wie zu den netzinternen Endgeräten dar und sind damit das WLAN-Router, fielen durch Mängel in der IT-Sicherheit wichtigste Nadelöhrfür den gesamten Datenverkehr eines auf. Die Stiftung Warentest stellte im März 2020 fest, dass digitalen Haushalts. Es wäre folglich unsinnig, die Sicher- knapp die Hälfte der von ihr untersuchten Router dahin- heit von IoT-Geräten isoliert zu verbessern und den Router gehende Mängel aufwiesen. Diese Einschätzung wurde außer Acht zu lassen. Dieses Umstandes ist sich das BSI vom Fraunhofer-Institut für Kommunikation, Informati- bewusst und veröffentlichte im Juli 2020 die Prüfspezifika- onsverarbeitung und Ergonomie (FKIE) im „Home Router tion zur Technischen Richtlinie für Breitband-Router. Mit Security Report 2020" bestätigt. In allen 127 untersuchten der Fertigstellung der Prüfspezifikation sind alle formellen Geräten konnte das FKIE Fehler finden. Einige Router Voraussetzungen für die Zertifizierung von Routern gemäß wiesen über 100 Schwachstellen auf. 46 Router hatten seit der Ende 2018 veröffentlichten Technischen Richtlinie er- mindestens einem Jahr keine Sicherheits-Updates mehr er- füllt. Daneben haben auch Hersteller die Möglichkeit, ihre halten. In einem Extremfall fanden die Forscherinnen und eigenen Produkte strukturiert auf die Konformität zu den Forscher seit fast fünfeinhalb Jahren kein Update, obwohl Anforderungen der Technischen Richtlinie zu überprü- die betrachteten Geräte zum Zeitpunkt des Reports noch fen und in Verbindung mit einer Herstellererklärung das im Handel erhältlich waren. geplante IT-Sicherheitskennzeichen zu nutzen. Auf diese Weise können die komplexen Sicherheitsanforderungen Als Herzstück eines jeden vernetzen Haushalts kommt den für Verbraucherinnen und Verbraucher transparent und Routern eine besondere Bedeutung für die IT-Sicherheit sichtbar gemacht werden, so dass IT-Sicherheit eine gleich- zu. Sie stellen einerseits die zentralen Zugangspunkte zum berechtigte Rolle beim Kauf eines Produktes spielen kann. Home Router Security Report 2020 Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) hat in 127 getesteten Routern für Privatnutzer von sieben großen Herstellern Sicherheitsmängel festgestellt. Nach Angaben der Forscherinnen und Forscher waren diese teilweise sehr erheblich und reichten von fehlenden Sicherheits-Updates, über einfach zu entschlüsselnde, hart- kodierte Passwörter bis hin zu bereits bekannten Schwachstellen, die eigentlich längst behoben sein müssten. Eine weitere im Jahr 2020 betrachtete IoT-Produktkate- ler vor allem nach dem Verkauf des Produktes aktiv mit gorie waren die Smart-TVs. Das Bundeskartellamt (BKar- Sicherheitsmängeln umgeht. Deutlich weniger Hersteller tA) veröffentlichte im Juli eine Sektoruntersuchung, die sorgen vor und setzen bereits in der Produktentwicklung insbesondere die Datennutzung und -verarbeitung bei an, um Sicherheitsmängel zu verhindern. Umfassende vernetzten Fernsehgeräten ins Auge fasste. Doch auch die Qualitätssicherungssysteme über alle Marktstufen sind Sicherheitseigenschaften waren Teil der Publikation. So die Ausnahme und die Maßnahmen der Hersteller zur Ge- fand das BKartA heraus, dass die Mehrheit der Herstel- währleistung der IT-Sicherheit – was Aufwand, Intensität 17
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SICHERHEITSVORFÄLLE AUF DEM DIGITALEN VERBRAUCHERMARKT und Regelmäßigkeit angeht – sehr unterschiedlich. Ferner Laut IKT-Erhebung des Statistischen Bundesamtes (Desta- fand das BKartA heraus, dass bei einem neu auf den Markt tis) nutzten im Jahr 2020 mehr als die Hälfte der Verbrau- kommenden Smart-TV für ca. 27 Monate mit Sicher- cherinnen und Verbraucher mit Internetanschluss Smart- heits-Updates gerechnet werden kann. Folglich wäre ein TVs im privaten Kontext (52 Prozent). Auffällig ist, dass TV-Modell des vorletzten Jahres bereits beim Kauf nach die Produktkategorie unabhängig von Alter, Geschlecht einer verhältnismäßig kurzen Zeit unsicher. Hinsichtlich und Bildungsstand in nahezu allen Bevölkerungsgruppen der Verfügbarkeit von Updates soll die Umsetzung der vertreten ist. Befragte im Alter über 65 Jahre machen mit Warenkaufrichtlinie zukünftig für einen besseren Ver- rund einem Viertel die kleinste Gruppe der Nutzerinnen braucherschutz sorgen. Nichtsdestotrotz bleibt der vom und Nutzer von Smart-TVs aus. Die Ergebnisse zeigen BKartA festgestellte Sachverhalt, dass IT-Sicherheit im jedoch, dass die Geräte bereits tief in der privaten Nutzung Entwicklungsprozess häufig keine oder nur eine nachge- verankert sind, wodurch der dringende Bedarf an IT-Si- ordnete Rolle spielt, eine große Herausforderung für den cherheitsmaßnahmen zum Schutz dieser vergleichsweise digitalen Verbraucherschutz. großen Zielgruppe deutlich wird. Altersgruppe Mit dem Internet verbundene Fernsehgeräte (von ... bis ... Jahren) (Smart-TV) für private Zwecke zuhause genutzt 10 - 15 % 60 % 16 - 24 % 63 % 25 - 44 % 64 % 45 - 64 % 47 % 65 Jahre und älter 28 % Quelle: Statistisches Bundesamt, 2021: Wirtschaftsrechnungen 2020. Private Haushalte in der Informationsgesellschaft – Nutzung von Informations- und Kommunikationstechnologien. Die unzureichende Bedeutung von „Security by Design" ist, dass mehr als 8 Prozent der eingesetzten Windows-Be- zieht sich wie ein roter Faden durch das Themengebiet triebssysteme in Deutschland Ende 2020 noch „Windows 7" IoT, aber auch durch andere Gebiete der Informations- verwenden. Dies entspricht in etwa 4 Millionen Syste- technik. Die schiere Masse an gefundenen Sicherheitslü- men, die seit dem 14. Januar 2020 nicht mehr kostenfrei cken zeigt, dass die IT-Sicherheit im Entwicklungsprozess mit Sicherheits- oder Feature-Updates versorgt werden keinesfalls die Berücksichtigung gefunden hat, die für und somit fortschreitend verwundbarer werden, sofern ein ganzheitlich sicheres Produkt notwendig wäre. Damit dieser Support nicht zugekauft wird. wird auf der Anbieterseite ein grundlegender Mangel an Anreiz offenbar, einen durchgehenden IT-Sicherheitsas- Ein in Teilen ebenfalls nachlässiger Umgang mit IT-Si- pekt im Produkt-Lebenszyklus systematisch zu veran- cherheit lässt sich im zweiten großen Bereich feststellen, kern. Mitunter sind die Motive und Kompetenzen der der im Jahr 2020 den digitalen Verbrauchermarkt geprägt Anbieter im Einzelnen intransparent oder schlichtweg hat: Kundendatenbanken. Eine Vielzahl von Vorfällen nicht nachvollziehbar (Herstellungs- und Betriebskosten, über alle Branchen hinweg sorgte für die millionenfache geltende Haftungs- und Sanktionsregime, Wissen u. v. Veröffentlichung und Verbreitung von persönlichen oder m.). Dies zeigen besonders profane Beispiele, in denen personenbeziehbaren Daten, die gerade durch deren Ver- einfachste und aufwandsarme Maßnahmen vernach- knüpfbarkeit über mehrere Datenquellen ein kaum kal- lässigt wurden. So fand die Stiftung Warentest bei einer kulierbares Schadensfeld aufspannen. Diese Datenban- Untersuchung der Software von Fotobuchanbietern ken liegen in der Regel außerhalb des Einflussbereiches heraus, dass in mehreren Fällen ein einziges Zeichen als der Verbraucherinnen und Verbraucher, so dass diese den Passwort akzeptiert wurde. Mit Blick auf die Sensibilität Anbietern und deren nicht regelmäßig nachprüfbaren von privaten Fotoaufnahmen erscheint dieser Umstand Sicherheitsversprechen faktisch ausgeliefert sind, sobald untragbar, zeigt jedoch die digitale Sorglosigkeit, die sie eine Dienstleistung in Anspruch nehmen. Praktisch an vielen Stellen noch vorherrscht. Diese Sorglosigkeit alle digitalen Dienstleistungen für eine größere Ziel- erstreckt sich sowohl auf Anbieter als auch Verbrauche- gruppe von Verbraucherinnen und Verbrauchern kom- rinnen und Verbraucher. Ein weiteres Beispiel hierfür men nicht ohne Kundendatenbanken aus. Eben jene sind 18
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SICHERHEITSVORFÄLLE AUF DEM DIGITALEN VERBRAUCHERMARKT jedoch häufig entweder per se mangelhaft oder aufgrund einsehbar - ein Vorfall, der mit der gebotenen Sorgfalt vergleichsweise einfacher Konfigurationsfehler angreif- nicht hätte stattfinden müssen. Zu den Betroffenen bar. Besonders problematisch ist hierbei die hohe Anzahl zählten unter anderem zahlreiche Persönlichkeiten aus an Betroffenen durch einzelne Fehler: Während bei ei- Politik und Verwaltung, so auch der Präsident des BSI, nem Angriff auf ein unsicheres IoT-Gerät i. d. R. einzelne Arne Schönbohm. Anwenderinnen und Anwender das Ziel sind und so der Schaden begrenzt wird, führt ein erfolgreicher Angriff BSI-Präsident Arne Schönbohm zum Vorfall bei einer auf eine Kundendatenbank zu teilweise millionenfacher Autovermietung gegenüber der Wochenzeitung "Die ZEIT": Betroffenheit. Ferner ist die Art des Schadens zu unter- scheiden, denn einmal entwendete Daten gelten quasi als Der Fall zeigt leider, dass auch sehr sensible, personen- dauerhaft und weltweit veröffentlicht und können nicht bezogene Daten immer wieder nur unzureichend mehr in den vorherigen, geschützten Zustand überführt geschützt werden. Egal ob ich – wie in diesem Fall – werden, so wie es durch die Bereinigung eines infizierten persönlich betroffen bin oder nicht, solche Fälle Systems ggf. möglich ist. ärgern mich sehr, weil sie vermeidbar wären. Die besondere Tragweite dieser Schadensart machen sich Ein Vorfall mit vergleichbarer Ursache wurde fast die Täter zunutze. Die Technischen Werke einer Stadt in zeitgleich im Januar 2020 bekannt und zeigte, dass Rheinland-Pfalz waren im April und Mai 2020 von einem auch bei IT-affinen Unternehmen Nachlässigkeiten in Angriff betroffen, dem eine Forderung der mutmaßli- der Konfiguration von Servern möglich sind. So waren chen Urheber im zweistelligen Millionenbereich folgte, im Dezember 2019 circa 250 Millionen Datensätze aus ansonsten drohe eine Veröffentlichung der entwendeten dem Supportbereich eines der weltweit größten Soft- Daten. Betroffen waren Kundinnen und Kunden sowie warekonzerne im Internet einsehbar. Im November des geschäftliche Kontakte der Stadtwerke in Form von Jahres war es dann ein auf IT-Sicherheit spezialisiertes personenbezogenen Daten (Namen, Adressen, Kontakt- Unternehmen in Großbritannien, das versehentlich daten). Es handelte sich demnach um einen gezielten Kundendaten preisgab. Vorkommnisse wie diese stellen Angriff, der trotz vorhandener Sicherheitsmaßnahmen grundsätzlich das Vertrauen von Verbraucherinnen zum Erfolg führte. Eine solche Vorgehensweise kann und Verbrauchern gegenüber den Unternehmen in nie gänzlich ausgeschlossen werden, doch kann durch Frage. Doch für die Erbringung von erwarteten und umfassende und ganzheitliche Sicherheitsmaßnahmen im Verbrauchermarkt nachgefragten digitalen Dienst- eine deutliche Risikominimierung auf ein vertretbares leistungen ist eine vollständige Vermeidung sensibler Maß erfolgen. Kundendatenbanken nicht möglich. Das Gebot der Datensparsamkeit und Zweckgebundenheit der Daten- Weitaus vermeidbarer waren hingegen andere Vorfälle verarbeitung bleibt davon unbenommen. Folglich ist die im Bereich der Kundendatenbanken. Durch einen falsch Absicherung von Kundendatenbanken ein integraler konfigurierten Server waren im Januar 2020 ca. 3 Milli- Bestandteil des Erfolgs von digitalem Verbraucherschutz. onen Kundendaten einer Autovermietung im Internet 19
5 Schwerpunkt: COVID-19-Pandemie und Gesundheits-Apps
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SCHWERPUNKT: COVID-19-PANDEMIE UND GESUNDHEITS-APPS 5 Schwerpunkt: COVID-19-Pandemie und Gesundheits-Apps Zum Jahreswechsel 2018/2019 wurde ein finnisches und Betrugsversuche mit IT-Mitteln, auch allgemein Psychotherapiezentrum Opfer eines Cyberangriffs durch Scam genannt. Die von Ängsten, Sorgen und Unsicherheit Unbekannte. Dieser Vorfall wurde erst im Oktober 2020 geprägte Stimmung in weiten Teilen der Bevölkerung hätte publik, als erste Datensätze von Patientinnen und Patienten die Erfolgsaussichten solcher Angriffe zwar begünstigen veröffentlicht wurden. Die Täter wendeten sich mit einem können, unerwartet große Häufungen traten jedoch nicht Erpresserschreiben sowohl an das Zentrum, als auch an auf. Gleichzeitig sorgte der mit der Pandemie einherge- die Patientinnen und Patienten. Sollten die finanziellen hende Digitalisierungsschub für größere Angriffsflächen. Forderungen nicht erfüllt werden, drohten sie mit der Ver- Ausgangsbeschränkungen, Schul- und Geschäftsschlie- öffentlichung weiterer hochsensibler Daten, unter anderem ßungen, Abstandsregeln – die politischen Maßnahmen Kontaktinformationen, Diagnosen und Tagebücher. Unter gegen die COVID-19-Pandemie führten zu weitreichenden den Betroffenen waren auch Minderjährige. Einschränkungen der alltäglichen Lebensführung der Verbraucherinnen und Verbraucher. In vielen Fällen waren Fälle wie dieser stehen exemplarisch für die Gefahren, digitale Lösungen das Mittel der Wahl, um elementare die mit unsicheren IT-Systemen im Gesundheitsbereich Geschäftsprozesse und zwischenmenschliche Beziehungen einhergehen. Anders als bei Vorfällen wie zum Beispiel im aufrecht zu erhalten. Arbeiten im Home-Office, Online-Un- Finanzsektor können entstandene Schäden nicht einfach terricht, Einkaufen im Internet und Video-Chats mit ersetzt werden. Die Daten werden unter Umständen durch sozialen Kontakten führten zu einer beispiellosen Welle Dritte unkontrolliert weiterverbreitet und können für der Digitalisierung vieler Lebensbereiche. Die umfassen- weitere Straftaten verwendet werden. Häufig handelt es de und plötzliche Mehrnutzung von digitalen Produkten sich dabei um mehr als lediglich Kontaktinformationen und Diensten eröffnete Angreifern eine stark vergrößerte – nämlich um persönliche Informationen aus der medizi- Angriffsfläche für ihre kriminellen Aktivitäten (siehe auch nischen und gesundheitlichen Intimsphäre der betroffenen die BSI-Publikation „Die Lage der IT-Sicherheit in Deutsch- Menschen. land 2020"). Doch wie überall in der IT-Sicherheit ist nicht nur die Deutlich wurden an dieser Stelle nochmals die hohe Dy- Vertraulichkeit ein Schutzziel der besonders schützenswer- namik der Digitalisierung und auch die sich kontinuierlich ten Daten und Dienste im Gesundheitsbereich, auch die und schnell verändernden Anforderungen an den digitalen Integrität und Verfügbarkeit spielen eine besondere Rolle. Verbraucherschutz. Wie bereits benannt, sind es oftmals Allein die Vorstellung, gesundheitliche oder medizinische längst bekannte Probleme, die nur unter anderen Rahmen- Daten würden durch äußere Einflussnahme verfälscht oder bedingungen erneut auftreten. So zum Beispiel unzurei- stünden im entscheidenden Moment nicht zur Verfügung, chend gesicherte Kundendatenbanken zur Kontaktnach- hebt die Bedeutung dieser Schutzziele der IT-Sicherheit verfolgung in Gastronomiebetrieben, die durch den Chaos hervor. Leider wurde diese Vorstellung im Berichtsjahr Computer Club (CCC) entdeckt wurden. 2020 realisiert, so zum Beispiel bei der durch einen Cyber- Hier zeigte sich erneut die angriff eingeschränkten Arbeitsfähigkeit des Universitäts- unbestreitbare Notwendigkeit klinikums Düsseldorf im September 2020. von Informationssicherheit in der Digitalisierung – Die Relevanz verlässlicher und sicherer Informations- auch in Krisenzeiten. technik im Gesundheitswesen und der medizinischen Infrastruktur dürfte auch vor der COVID-19-Pandemie unbestritten gewesen sein. Jedoch boten die mit der Pandemie einhergehenden Unsicherheiten und Verände- rungen ein Einfallstor für Cyberangriffe und -kriminalität in zahlreiche Lebensbereiche der Verbraucherinnen und Verbraucher. Das BSI beobachtete im Zuge der COVID-19-Pandemie unterschiedliche Kampagnen mit cyberkriminellem Hin- tergrund, die sich die komplexe Gesamtsituation rund um COVID-19 zunutze machten. Hierzu zählen beispielsweise Phishing- und Schadprogramm-Kampagnen, CEO-Fraud 21
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SCHWERPUNKT: COVID-19-PANDEMIE UND GESUNDHEITS-APPS CCC entdeckt Sicherheitslücken in digitalen Corona-Listen Mitglieder des Chaos Computer Club (CCC) entdeckten im August gravierende Sicherheitslücken in einem Cloud-System, das zur Kontaktnachverfolgung während der COVID-19-Pandemie in gastronomischen Betrieben genutzt wurde. Der Zugriff auf die Datenbank erlaubte das Auslesen von Datensätzen zu 4,8 Millionen Personen und 5,4 Millionen Reservie- rungen, ferner Informationen zu Umsätzen und Bestellungen. Der Datenbestand reichte nach Angaben des CCC bis zu zehn Jahre zurück. In der jüngsten Vergangenheit konnten 87.313 COVID-19-Kontakterhebungen von 180 Restaurants gefunden werden. Ursächlich für die Sicherheitslücken waren ein mangelndes Rechtemanagement sowie unzureichend geschützte Passwörter, so der CCC. Eine weitere Herausforderung für das BSI stellte die Ent- Zentrale Erkenntnisse waren dabei verschiedene Definiti- wicklung der Corona-Warn-App dar. Die Behörde beglei- onsversuche der Gesundheits-Apps aus unterschiedlichen tete die Entwicklung der App von Beginn an in beratender Marktperspektiven und eine funktionale Marktsegmentie- Funktion und führte unter anderem Code Reviews und rung. Insgesamt konnte festgestellt werden, dass der Markt Penetrationstests des zur Verfügung gestellten Codes von in diesem Bereich eine hohe Intransparenz und Dynamik Frontend und Backend durch. Die Umsetzung von „Secu- aufweist. Stetige Veränderungen sowie Weiterentwick- rity by Design“ erhielt so, basierend auf der Technischen lungen von Angeboten gehen mit einer unklaren Lage Richtlinie „Sicherheitsanforderungen an digitale Gesund- für Verbraucherinnen und Verbraucher einher, wie es um heitsanwendungen" (BSI TR-03161), höchste Priorität. IT-Sicherheit und auch Datenschutz bestellt ist. Ursächlich Die TR-03161 wurde bereits im April 2020 veröffentlicht dafür dürften die hohen Potenziale des Marktes in Verbin- und bildet die Grundlage für eine sichere Verarbeitung dung mit geringen Markteintrittshürden sein. Gleichzeitig sensibler und besonders schützenswerter Daten in mobilen kann jedoch ein kontinuierliches Wachstum des Marktes Anwendungen. Die Technische Richtlinie kann seit der beobachtet werden, ebenso wie die stetige Erweiterung Veröffentlichung genutzt werden, um die entsprechenden der Funktionen von Anwendungen. Diese technologische Anforderungen des Zulassungsverfahrens des Bundes- Entwicklung wird durch datengetriebene Lösungen und instituts für Arzneimittel und Medizinprodukte (BfArM) Künstliche Intelligenz weiter vorangetrieben. durch eine Selbsterklärung der Entwicklerinnen und Entwickler zu erfüllen. Im Anschluss an diese Analyse folgte eine IT-sicher- heitstechnische Betrachtung von konkreten Gesund- Dass Gesundheits-Apps im Allgemeinen einen erhöhten heits-Apps. Dazu wurden insgesamt 84 Anbieter zwischen Schutzbedarf haben, dürfte unbestritten sein. Aus diesem Ende 2020 und Anfang 2021 online befragt sowie eine Grund untersuchte das BSI im Rahmen der Marktbeobach- technische Untersuchung von sieben ausgewählten Apps tung jene Art von Apps, die keiner besonderen Regulierung durchgeführt. unterliegen, also kein Medizinprodukt sind bzw. nicht im DiGA-Verzeichnis gelistet werden. Ziel der Studie war es, Inhalt der Befragung waren die Maßnahmen, die seitens einen Überblick über den Markt der Gesundheits-Apps zu der Anbieter zur Gewährleistung der IT-Sicherheit ihrer erhalten sowie mögliche Trends zu identifizieren. Darüber Anwendungen durchgeführt wurden. Dabei konnte festge- hinaus sollten potentielle IT-sicherheitstechnische Risiken stellt werden, dass der Grundsatz „Security by Design“ nur für Verbraucherinnen und Verbraucher aufgezeigt und in Teilen Einzug in den Entwicklungsprozess der betrach- darauf basierend Handlungsbedarfe und -empfehlungen teten Gesundheits-Apps gefunden hat. Fehlende Prozesse für Staat, Wirtschaft und Gesellschaft abgeleitet werden. für Updates und den Umgang mit Schwachstellen gingen einher mit einer unzureichenden Umsetzung technischer Die hohe Dynamik des Digitalmarktes erforderte dabei zu- und organisatorischer Maßnahmen. Zwar gaben alle nächst eine genaue Marktanalyse, da es beispielsweise kei- Befragten an, gewisse grundlegende Maßnahmen der ne einheitliche Definition gibt, welche Anwendungen zu IT-Sicherheit umzusetzen, in Anbetracht der Kritikalität den Gesundheits-Apps zählen. Dazu analysierte das BSI in der verarbeiteten Daten in Gesundheits-Apps muss aber Zusammenarbeit mit der Cassini Consulting AG zunächst davon ausgegangen werden, dass im Regelfall kein ganz- verschiedene Marktdaten sowie bereits veröffentlichte heitlicher und somit angemessener Schutz gewährleistet Studien und führte Interviews mit Branchenexpertinnen werden kann. und Branchenexperten. 22
BERICHT ZUM DIGITALEN VERBRAUCHERSCHUTZ 2020 | SCHWERPUNKT: COVID-19-PANDEMIE UND GESUNDHEITS-APPS Diese Annahme wurde in der technischen Untersuchung markt: Fokus Gesundheits-Apps“ auf der Webseite des von sieben ausgewählten Apps bestätigt. Obwohl nur BSI nachzulesen. eine oberflächliche Prüfung der Sicherheitseigenschaf- ten vorgenommen wurde, konnten die Anbieter lediglich Zusammenfassend lässt sich feststellen, dass trotz der eine Auswahl grundsätzlicher Anforderungen erfüllen. hohen Schutzbedürftigkeit sensibler Daten im Gesund- Sie deckten diese somit in keinem der Fälle in einer Art heitsbereich an zahlreichen Stellen noch Nachholbedarf und Weise ab, wie es nach dem Stand der Technik zu in Fragen der IT-Sicherheit besteht. Es muss an dieser erwarten gewesen wäre. So wurden beispielsweise bei Stelle Anliegen von Staat, Wirtschaft und Gesellschaft sechs der Anwendungen die Passwörter nicht in gehash- sein, diese Missstände zu beseitigen. Der Ansatz von ter Form, sondern als Klartext übertragen. Auch „Man „Security by Design“ stellt dabei eine der zentralen Kom- in the Middle-Angriffe“ waren durch in fast allen Fällen ponenten zur erfolgreichen Digitalisierung des Gesund- fehlendes „Certificate Pinning“ möglich, was das Abfan- heitsbereichs dar, da nur so ganzheitliche IT-Sicherheit gen, Auslesen und Manipulieren der Kommunikation gewährleistet werden kann. zwischen App und dem Cloud Backend ermöglichte. Die vollständigen Analysen und Ergebnisse sind in der Studie „IT-Sicherheit auf dem digitalen Verbraucher- 23
Sie können auch lesen