Die Lage der IT-Sicherheit in Deutschland 2014
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INHALT
Die Lage der IT-Sicherheit
in Deutschland 2014
1
DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INHALT
Inhaltsverzeichnis
Vorwort 4
1 Informationstechnik: vernetzt, komplex, allgegenwärtig 6
2 Gefährdungslage 10
2.1 Ursachen 11
2.1.1 Angriffsplattform Internet 11
2.1.2 „Digitale Sorglosigkeit“ 12
2.1.3 Schwachstellen 12
2.1.4 Einsatz veralteter Software und ungepatchter Systeme 13
2.1.5 Mobile Endgeräte 14
2.1.6 Unzureichende Absicherung industrieller Steuerungssysteme 14
2.2 Angriffsmittel und -methoden 15
2.2.1 Spam 15
2.2.2 Schadprogramme 16
2.2.3 Drive-by-Exploits und Exploit-Kits 17
2.2.4 Botnetze 18
2.2.5 Social Engineering 19
2.2.6 Identitätsdiebstahl 20
2.2.7 Denial of Service 20
2.2.8 Advanced Persistent Threats (APT) 21
2.2.9 Nachrichtendienstliche Cyber-Angriffe 22
2.3 Angreifer-Typologie 23
2.3.1 Cyber-Kriminelle 23
2.3.2 Nachrichtendienste 24
2.3.3 Hacktivismus und Cyber-Aktivisten 24
2.3.4 Innentäter 25
2.4 Zusammenfassung 25
2
DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INHALT
3 Vorfälle 27
3.1 Vorfälle in der Bundesverwaltung 28
3.2 Vorfälle bei Privatanwendern 29
3.2.1 Millionenfacher Identitätsdiebstahl in Deutschland 29
3.2.2 Schwachstellen in Routern für Heimnetzwerke 29
3.2.3 Online-Banking-Trojaner: von Feodo zu Geodo 30
3.2.4 iBanking: Schadsoftware für Smartphones 30
3.3 Vorfälle in der Wirtschaft 31
3.3.1 APT-Angriff auf Industrieanlagen in Deutschland 31
3.3.2 Heartbleed – Kritische Schwachstelle in weit verbreiteter Softwarebibliothek 31
3.3.3 Dragony – gezielte Angriffe auf Produktionsnetze 32
3.3.4 Operation Windigo – Linux-Schadprogramm Ebury sammelt SSH-Zugangsdaten 32
3.3.5 Großbritannien: Bankrott infolge von Cyber-Erpressung und Sabotage 33
3.3.6 ShellShock – Schwachstelle im Kommandozeileninterpreter Bash 33
3.4 Vorfälle im Bereich Kritischer Infrastrukturen (KRITIS) 34
3.4.1 Social Engineering bei Großkonzernen 34
3.4.2 Österreich: Fehlfunktion in der Steuerung von Energienetzen 34
3.4.3 USA: IT-Manipulation im Hochfrequenzhandel eines US-Hedgefonds 35
4 Lösungsansätze 36
4.1 Kompetenz und Vertrauenswürdigkeit im Bereich IT-Sicherheit fördern 37
4.2 Engagement in Standardisierung und Zertizierung 37
4.3 IT-Sicherheit in der Gesellschaft und breitächige Anwendung sicherer Technologien fördern 38
4.4 Schutz Kritischer Infrastrukturen gewährleisten 39
5 Glossar und Abkürzungsverzeichnis 40
6 Abbildungs- und Tabellenverzeichnis und Fußnoten 43
3
DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | VORWORT
Vorwort
Der Lagebericht zur IT-Sicherheit 2014 informiert damit auch die Veränderung der IT-Landschaften
über die Qualität und Quantität der Gefährdungen in allen industriellen und gesellschaftlichen
sowie über die sich daraus ergebenden Risiken für Bereichen rasant voran. Cloud Computing, mobile
die Informationstechnik (IT) in Deutschland. Systeme, Auswertungsmöglichkeiten von Informa-
In den Lagebericht sind umfangreiche Informa- tionen mittels Big Data schaffen einerseits wirt-
tionen sowohl über Gefährdungen, Schwachstellen schaftliche Prosperität, aber andererseits auch neue
und Verwundbarkeiten in der IT als auch über Verwundbarkeiten für IT-Angriffe, die mit den
akute IT-Angriffe eingeossen, die beim Bundes- konventionellen Lösungsansätzen der IT-Sicher-
amt für Sicherheit in der Informationstechnik (BSI) heit nicht angemessen adressiert werden können.
täglich gesammelt und ausgewertet werden. Innovation in der Informationstechnologie muss
daher mit der Evolution von IT-Sicherheitsmecha-
Die aktuelle Gefährdungslage für die IT bleibt nismen Hand in Hand gehen, damit die Verteidiger
hinsichtlich des zu verzeichnenden Angriffs- gegenüber den Angreifern technologisch nicht
potenzials kritisch. Nicht nur die Anzahl schwerer ins Hintertreffen geraten.
Sicherheitslücken in den meistverbreiteten IT-
Systemen rangierten auf sehr hohem Niveau. Auch Erfolgreiche IT-Sicherheit erfordert eigenverant-
die Werkzeuge zur Ausnutzung dieser Verwund- wortliches und kompetentes Handeln. Die seit
barkeiten stehen einer immer größer werdenden 2013 öffentlich bekannt gewordenen Aktivitäten
Anzahl an Angreifern zur Verfügung, die diese aus ausländischer Nachrichtendienste sowie der
der Anonymität des globalen Cyber-Raums für ihre millionen- und milliardenfache Identitätsdieb-
Zwecke einzusetzen bereit sind. Im Fadenkreuz der stahl haben zu einer Vertrauenskrise im Internet
Angriffe stehen, wenn auch aus unterschiedlichen geführt. Wenngleich dadurch die Sensibilität für
Motiven heraus, Bürgerinnen und Bürger, staat- dieses Thema sprunghaft zunimmt, erleben sich
liche Stellen, Forschungseinrichtungen, Wirt- private Nutzer – aber auch professionelle Anwen-
schaftsunternehmen und auch Betreiber Kritischer der – immer häuger in einer subjektiven Situation
Infrastrukturen (KRITIS) in Deutschland. der Machtlosigkeit gegenüber den anscheinend
übermächtigen Bedrohungen. Mitunter werden
Ohne Frage treibt die durch Informationstechnik dann in resignativer Stimmung nicht einmal
beschleunigte Globalisierung den Wettbewerb mehr die durchaus verfügbaren und leistbaren
um Ressourcen, Märkte und politische Einuss- Sicherheitsmaßnahmen ausgeschöpft, mit denen
bereiche voran. Es wäre naiv anzunehmen, die schon ein beachtliches Schutzniveau zu erreichen
neu gewonnenen digital vernetzten Technologien ist, das bis zu 95 Prozent der gängigen Angriffe
würden nicht auch für Auseinandersetzungen abwehrt. Damit bleiben aber Potenziale ungenutzt
in der Wirtschaft, Gesellschaft und Politik aus- und verschärfen unnötig die IT-Sicherheitslage.
genutzt werden. Im Gegenteil ist zu beobachten,
dass Wirtschaft und Verwaltung zunehmend von Hier droht ein Kreislauf sich selbst erfüllender
sehr versierten IT-Angriffen betroffen sind, die negativer Prophezeiungen zu entstehen, der
mit großem Ressourceneinsatz und großer Profes- durchbrochen werden muss. Um das Vertrauen
sionalität ausgeführt werden. Solche Angriffe sind der Nutzer in die Sicherheit der IT wiederher-
meist nur schwer zu erkennen und abzuwehren. zustellen und auszubauen, kommen der Standar-
Häufig genug öffnet sich zwischen Angriff und disierung, Zertizierung und Transparenz wichtige
Erkennung ein besorgniserregendes Zeitfenster, Funktionen zu. Deutschland ist dabei mit einer
in dem der erfolgreiche Angreifer ungehinderten mittelständisch geprägten IT-Sicherheitswirt-
und unbeobachteten Zugriff auf die IT-Systeme schaft technologisch breit und kompetentbauf-
erhält. gestellt. Diese günstigen Voraussetzungenbgilt
es, bei der anstehenden Digitalisierung aller
Die Innovationsgeschwindigkeit der Informa- Lebens- und Wirtschaftsbereiche zum Vorteil des
tionstechnologie ist sehr hoch. Aufgrund der deutschen Standorts zu nutzen und ein positives
enormen wirtschaftlichen Potenziale treibt sie Klima für IT-Sicherheitsmaßnahmen zu schaffen.
4DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | VORWORT
IT-Sicherheit darf etwas kosten, muss aber im
Markt auch belohnt werden.
Mein Wunsch ist, dass Wirtschaft und Staat
verstärkt weitergehende Sicherheitstechnologien
fordern und ihren Einsatz fördern. Die Bundes-
regierung treibt dazu die Verbreitung von Basis-
Sicherheitsinfrastrukturen beispielsweise mit dem
Identitätsnachweis im Internet auf Grundlage
des neuen Personalausweises, mit De-Mail oder
auch dem Smart-Meter-Prol voran. Wir freuen
uns über vorausschauende Unternehmen, die
darauf auﮓauend smarte und kreative Lösungen
verwirklichen und skalierbare IT-Sicherheits-
maßnahmen in den Anwendungen ergänzen, um
den IT-Risiken in der digitalisierten Welt ange-
messen zu begegnen.
Mit dem angestrebten IT-Sicherheitsgesetz wird Dr. Thomas de Maizière
ein weiterer Baustein zur besseren Absicherung Bundesminister des Innern
von unverzichtbar werdenden IT-Infrastruk-
turen gelegt. Die Aufstellung des BSI als zivile,
technisch-präventive Behörde hat sich in den
vergangenen 20 Jahren bewährt. Daher wird die
Rolle des BSI in der Cyber-Sicherheitsarchitektur
weiter gestärkt werden. Als vertrauenswürdiger
Kompetenzträger wird das BSI bei der Gestal-
tung der IT-Sicherheitsinfrastrukturen in den
Bereichen der Kritischen Infrastrukturen eine
beratende und akkreditierende Funktion erhalten.
Um Reaktionsgeschwindigkeit zu gewinnen,
wird auch der Informationsaustausch über
Gefährdungen und Angriffe auf IT-Systeme
intensiviert. Denn taugliche und angemessene
Sicherheitsmaßnahmen für die Informations-
technik in Deutschland können in Zukunft nur
noch in einem kooperativen und partnerschaftli-
chen Zusammenwirken von Wirtschaft und Staat
gewährleistet werden. Das BSI wird daher neben
seiner fachlichen Expertise auch als koordi-
nierende Stelle im Verbund mit den weiteren
Sicherheitsbehörden des Bundes und der Länder
gefordert sein.
Ich bin überzeugt, dass wir mit der robusten
Aufstellung des BSI trotz der nicht kleiner
werdenden Gefährdungen aus dem Cyber-Raum
eine verbesserte Sicherheitslage schaffen werden.
5DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INFORMATIONSTECHNIK
Informationstechnik:
vernetzt, komplex, allgegenwärtig
6DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INFORMATIONSTECHNIK
1 Informationstechnik:
vernetzt, komplex, allgegenwärtig
Die Digitalisierung prägen drei zentrale Charakteris- anlagen, Enterprise-Resource-Planning(ERP)-
tika, aus denen sich die Herausforderungen für die Systeme, Marketing, Vertrieb und Einkauf. Auch
Informations- und Cyber-Sicherheit ergeben. entlang der Wertschöpfungskette wird die Vernet-
zung der IT-Systeme mit den Lieferanten, Kunden
und Servicepartnern vorangetrieben. Dieser Trend
1 Technologische Durchdringung und
Vernetzung: Alle physischen Systeme
werden von IT erfasst und schrittweise
wird die technologische Entwicklung in Unter-
nehmen weiter maßgeblich gestalten. So werden
bis 2020 in Deutschland im Bereich Industrie 4.0
mit dem Internet verbunden. Investitionen in Höhe von rund 11 Milliarden
Euro erwartet.1 Dieser Entwicklung kann sich
2 Komplexität: Die Komplexität der IT
nimmt durch vertikale und horizontale
Integration in die Wertschöpfungs-
kein Unternehmen entziehen, denn die über
Industrie 4.0 zu erreichenden Efzienz- und
Effektivitätssteigerungen müssen erlöst werden,
prozesse erheblich zu. will das Unternehmen nicht seine Wettbewerbs-
fähigkeit verlieren.
3 Allgegenwärtigkeit: Jedes System ist
praktisch zu jeder Zeit und von jedem
Ort über das Internet erreichbar.
Als Folge der schnell voranschreitenden Digitali-
sierung und Vernetzung ergibt sich, dass der
Schutz der IT-Netze und IT-Systeme an den
Außengrenzen des Unternehmens immer weiter
erodiert und sich neue Angriffsächen eröffnen.
Technologische Durchdringung Auch werden IT-Systeme angreiﮓar, die bislang
und Vernetzung aus dem Internet gar nicht erreichbar waren.
Für die IT-Sicherheit ergibt sich daraus eine sehr
Die heutige Informationstechnik zeichnet sich viel komplexere Risikosituation. Perspektivisch
durch ihre leistungsfähige und Nutzen schaffende vergrößert sich zunehmend auch das Risiko
Fähigkeit zur Integration in praktisch alle techni- existenzgefährdender Situationen durch
schen Systeme aus und treibt damit die Digitali- Ausfall oder Fehlfunktion von Produktions-
sierung unserer Welt voran. Insbesondere durch oder Geschäftsprozessen.
die funktionell und preislich attraktiven Angebote
auch für Privatanwender entwickelt sich ein
Markt. So versprechen beispielsweise mobile
Lösungen und Applikationen in Verbindung mit Komplexität der IT
intuitiv nutzbaren Endgeräten reizvolle Weiterent-
wicklungen auch im professionellen Umfeld. Die oben dargestellte Vernetzung aller Systeme
Die schnelle Adaption solcher Lösungen in Wirt- und Dinge („Internet of Things“) sowie die Digitali-
schaft und Industrie lässt die Grenzen zwischen sierung von physischen Systemen („Cyber-physical
privat und beruich genutzter IT verschwinden. Systems“) steigert die Komplexität der digitalen
Dies führt mittelbar auch dazu, dass die traditionell Infrastrukturen in hohem Maße. Schon heute
stark getrennten IT-Netze von Unternehmen sind viele Haushaltsgeräte, Gebäudesteuerungen,
sich immer mehr zum Internet öffnen. Dies gilt Gefahren- und Brandmeldeanlagen, Verkehrs-
nicht nur für das Bürokommunikationsumfeld, systeme und Automobile vernetzt und mit
sondern auch für Fertigung und Produktion. dem Internet verbunden. In Zukunft wird
absehbar auch die digitale Stadt („Smart City“)
Wie weit die umfassende Vernetzung unterschied- realisiert werden.
licher Systeme reicht, illustriert ein Blick in die
Fabrik der Zukunft, die unter dem Schlagwort Mit steigender Komplexität der Systeme stoßen
„Industrie 4.0“ rmiert. Mit dem Ziel, möglichst altbekannte konventionelle IT-Sicherheitsmecha-
viele Informationen digital nutzbar zu machen, nismen schnell an ihre Grenzen und vermögen
werden die „digitalertüchtigten“ Systeme des es nicht, Zuverlässigkeit und Beherrschbarkeit
gesamten Unternehmens untereinander sowie im gewohnten Maße zu gewährleisten. Bereits
nach innen und außen vernetzt: Die Maschinen, jetzt ist der Bedarf für innovative Lösungsansätze
Sensoren und Feldgeräte in den Produktions- zur Gewährleistung eines hinreichenden
7DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INFORMATIONSTECHNIK
IT-Sicherheitsniveaus der Gesamtsysteme Eine zentrale Rolle hinsichtlich der IT-Sicherheit
sichtbar und wird in den kommenden Jahren spielt nicht nur das Endgerät, sondern auch das
noch weiter zunehmen. „ökonomische Gesamtsystem“, dem das jeweilige
Smartphone zugeordnet ist. Hierzu zählt das
jeweilige Betriebssystem, aber auch zahlreiche
Hintergrundsysteme wie der App-Store, Down-
Allgegenwärtigkeit durch Smartphones loadplattformen für Inhalte und cloudbasierte
Backupsysteme des jeweiligen Anbieters sind
Die Aspekte Innovation und Veränderung sind relevant. Abgeschlossenheit und zentrale Verwal-
untrennbar mit der modernen Informations- tung dieses „Ecosystem“ bieten zwar eine Grund-
technologie verbunden. Für die Tragweite des sicherheit, die in der traditionell offenen PC-
seit einigen Jahren anhaltenden Smartphone- Welt ohne zusätzliche Schutzmechanismen nicht
Booms gibt es jedoch auch in der IT-Branche erreicht wird, aber sie ist nicht transparent für
bisher kaum vergleichbare Beispiele. Die Zahl den Nutzer, und eine Skalierbarkeit für höheren
der Smartphone- und Tablet-Nutzer wird mittler- Schutzbedarf ist nicht vorgesehen. Als wichtiger
weile in Milliarden gemessen und der Einuss Bestandteil der Gesamtökonomie des Systems
der Geräte auf das tägliche Leben ihrer Besitzer liefert Sicherheit insofern erst die Grundlage
ist enorm. Das Smartphone ist dabei nicht für die gebündelte Vermarktung von Waren und
die kabellose Fortschreibung der etablierten Dienstleistungen und ist damit ein Hauptaugen-
PC-Technologie, vielmehr handelt es sich hier merk der Betreiber.
um ein ganzes Bündel technologischer und
konzeptioneller Aspekte, die in der Summe Unter den Erfolgsfaktoren der Produktkategorie
einen neuen, in sich abgeschlossenen Bereich Smartphone nimmt das Konzept der Apps eine
der Informationstechnologie denieren. Die herausragende Stellung ein. Hier erfolgte der
bisherigen Erkenntnisse und Verfahrensweisen eigentliche Quantensprung, da dem Nutzer mit
zum Thema IT-Sicherheit sind hier nicht unmit- dem Erwerb des Gerätes über Online-Marktplätze
telbar übertragbar und müssen überdacht und wie dem Apple App Store, Google Play oder dem
angepasst werden. Microsoft Windows Phone Store sofort auch der
Zugriff auf Millionen von Anwendungsprogram-
Ein besonderes Merkmal des Smartphones ist men ermöglicht wird.
das „Always-On“, also die ständige breitbandige
Verbindung zum Internet und die fortlaufende Nicht nur die Beschaffung von Software, sondern
Aktivität des Gerätes auch ohne Interaktion auch der Schritt zum Softwareproduzenten sind
des Nutzers. Die meisten Smartphones werden hier so niederschwellig realisiert, dass mittlerweile
zudem von ihrem Besitzer ständig mitgeführt und über 100.000 Anbieter in den unterschiedlichen
protokollieren umfassend Aufenthaltsorte und Online-Marktplätzen vertreten sind. Neben
Kommunikationsvorgänge, die zentral über dieses datenschutzrechtlichen Aspekten besteht auch
eine Gerät abgewickelt werden. Spätestens dann, aus der Perspektive der IT-Sicherheit bei Apps
wenn das Smartphone in Zukunft zur elektroni- das größte Angriffspotenzial. Die Betriebssysteme
schen Geldbörse wird, mit der man im Internet selbst sind vergleichsweise gut gesichert, während
und über eine Funkschnittstelle auch direkt an die Möglichkeiten von Apps im Betriebssystem
Kasse bezahlen kann, stellt sich die Frage nach durch den Nutzer selbst bestätigt werden. Solche
den grundsätzlichen Sicherheitskonzepten dieser Berechtigungsabfragen sind aber weitgehend
mobilen Plattform und deren Wirksamkeit. wirkungslos, weil diese Abfragen in den aller-
In der Regel sind Anwender bei Smartphones meisten Fällen unreektiert durch den Nutzer
darauf angewiesen, dass die Sicherheitsmechanis- bestätigt werden.
men des Betriebssystems greifen. Der Nutzer
selbst kann nur sehr begrenzt individuelle
Härtungsmaßnahmen umsetzen, die sich dann
im Wesentlichen auf die sichere Konguration
der Geräte beschränken.
8DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | INFORMATIONSTECHNIK
Allgegenwärtigkeit durch Clouds Ausblick
Cloud-Services sind zentral über ein Netz und Für viele private Nutzer ist das Smartphone zum
mit standardisierten Schnittstellen bereitgestellte Dreh- und Angelpunkt für den Zugriff auf welt-
Dienste zur Verarbeitung und Speicherung von weite Informationen und Dienste geworden.
Informationen. Sie verlagern Anwendungen, Die Integration von Bezahl- und Gesundheits-
Rechenleistung und Speicherbedarf von (mobilen) funktionen sowie Schnittstellen zur Heimauto-
Endgeräten in Cloud-Rechenzentren. Die wich- mation lässt künftig die Grenze zwischen der
tigsten Vorteile der Cloud-Services sind: Teils physischen und der virtuellen Welt zunehmend
komplexe Funktionen werden wiederverwertbar verschwinden. Fragen nach der Sicherheit mobiler
an zentraler Stelle angeboten, die Pege der Endgeräte und ihrer wirtschaftlichen Ökosysteme
Services ist einfacher und sie können leicht gewinnen somit verstärkt an Relevanz.
skaliert werden, Rechenleistung wird vom End-
gerät ins Rechenzentrum verlagert. All dies kann Im unternehmerischen Kontext sind aus dem
zu erheblichen wirtschaftlichen Vorteilen führen. Blickwinkel der IT-Sicherheit neben der Mobilität
weitere Entwicklungen zu berücksichtigen.
Smartphones, Tablets und Apps bieten heute Die Nutzung von cloudbasierter Informationsver-
vielfältige Schnittstellen zu Cloud-Services des arbeitung verspricht einen Gewinn an Schnellig-
jeweiligen mobilen Systems und von Drittan- keit und Kosteneinsparungen, stößt jedoch aus
bietern. Darüber kann unter anderem auch die organisatorischen, technischen oder sicherheits-
Synchronisierung von Kontakten, Terminen, technischen Gründen häug noch auf Skepsis.
E-Mails, Fotos und Dokumenten mit anderen Unternehmen mit industrieller Steuerungs-
Endgeräten erfolgen. Somit werden auch zum und Automatisierungstechnik sind zudem von
Teil sehr persönliche Informationen in der Cloud der Konvergenz dieser Technik mit klassischer
gespeichert und verarbeitet. Dabei besteht jedoch Informations- und Kommunikationstechnik,
keine Gewissheit, dass die Daten dort vor unbe- einschließlich mobiler Nutzung, betroffen.
rechtigtem Zugriff sicher und zudem dauerhaft Dies bringt neue Herausforderungen hinsichtlich
abruﮓar sind. In der Regel lehnen die Cloud- der IT-Sicherheit mit sich.
Anbieter über ihre allgemeinen Geschäftsbedin-
gungen die Verantwortung für die hinterlegten
Daten weitgehend ab.
Vor der Nutzung von Cloud-Services in Unter-
nehmen sind daher von den Verantwortlichen
einige Fragen zu klären: Welche Informationen
eignen sich für die Verarbeitung und Speicherung
in der Cloud und erlauben dies die Compliance-
Anforderungen, insbesondere hinsichtlich des
Datenschutzes. Immer mehr Cloud-Service-
Provider drängen in den boomenden Markt und
es ist nicht einfach, einen vertrauenswürdigen
Anbieter zu identizieren, der die eigenen Sicher-
heitsanforderungen erfüllt. Der Chance, von
Skaleneffekten zu protieren, steht ein Kontroll-
verlust über die eigenen Informationen gegenüber.
9DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
Gefährdungslage
10DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
2 Gefährdungslage
Mit der zunehmenden Digitalisierung und Vernetzung sich dadurch keinen unmittelbaren Risiken vor
vieler Lebens- und Arbeitsbereiche geht eine Ort aussetzen.
dynamische Gefährdungslage einher. Ursachen von
Cyber-Angriffen, Angriffsmethoden und die Nutzung ∙ Die zunehmende Komplexität der Technik und
der technischen Angriffsmittel entwickeln sich oftmals fehlendes Sicherheitsbewusstsein
täglich weiter, hängen in vielfältiger Weise zusam- führen zu unzureichend abgesicherten Systemen
men und beeinussen sich gegenseitig. und erhöhen damit die Erfolgsaussichten für
Cyber-Angriffe.
∙ Der sorglose Informationsaustausch über das
2.1 Ursachen Internet und der „Always-On“-Status mobiler
Systeme erleichtern den Zugriff auf schützens-
Cyber-Angriffe auf Unternehmen, Verwaltungen werte Informationen.
und Privatnutzer kommen jeden Tag vor. Viele
Angriffe verlaufen erfolgreich, weil die Angreifer ∙ Das dezentral und offen gestaltete Internet bietet
zum einen immer professioneller werden und für Angreifer vielfältige Tarnungsmöglichkeiten, die
zum anderen auf Rahmenbedingungen treffen, das Risiko, entdeckt zu werden, minimieren.
die sie zu ihrem Vorteil zu nutzen wissen.
∙ Unterschiede in nationalen Regularien erschweren
Maßnahmen der Strafverfolgung.
2.1.1 Angriffsplattform Internet Die Professionalisierung und Separierung unter-
schiedlicher Aufgaben im Bereich der Cyber-
Die offene Struktur, die technischen Möglichkeiten Kriminalität nimmt weiter zu. Ein Cyber-Angriff
und die Anonymität sind Ursachen dafür, dass das kann so arbeitsteilig von verschiedenen Personen
Internet als Angriffsplattform missbraucht wird. oder Gruppen, die sich auf einzelne Schwerpunkte
Dies spiegelt sich auch in der Masse der heutigen spezialisiert haben, unabhängig voneinander
Cyber-Angriffe wider. Für erfolgreiche Cyber- realisiert werden. So gibt es beispielsweise:
Angriffe braucht man heute vielfach nicht mehr
als einen PC und einen Internetanschluss. Diesen ∙ Hacker, die neue Schwachstellen in weitverbrei-
eher kleinen Investitionen stehen die vielfältigen teten Software-Produkten suchen und diese zum
Möglichkeiten gegenüber, durch kriminelle Verkauf anbieten.
Handlungen Geld zu verdienen, vertrauliche
Informationen zu erlangen oder Sabotageakte ∙ Entwickler, die zu diesen Schwachstellen passende
durchzuführen. Entsprechende Angriffswerkzeuge Schadsoftware oder Werkzeuge zur Generierung
und -methoden sind einfach und kostengünstig von Schadsoftware entwickeln und anpassen.
verfügbar. Es existiert ein funktionierender globaler
Markt, auf dem Angriffswerkzeuge, Schwachstellen, ∙ Angreifer, die diese Schadsoftware einsetzen,
Schadsoftware oder sogar Webseiten-Trafc ein- um Informationen auszuspionieren.
gekauft oder als Dienstleistung beauftragt werden
können („Malware-as-a-Service“). Auch die illegal ∙ Kriminelle, die die gestohlenen Informationen
erlangten Daten wie Nutzer-Accounts und Kredit- kaufen, ausnutzen und zu Geld machen.
karteninformationen werden dort gehandelt.
Es sind sowohl gut organisierte Gruppen als So kann selbst ein unerfahrener Angreifer ohne
auch Einzelpersonen, die auf diesen kriminellen technisches Know-how professionelle Angriffe
Online-Marktplätzen ihre Fähigkeiten und auf gewünschte Ziele durchführen oder durch-
Dienstleistungen anbieten. Die Attraktivität des führen lassen, ohne sich mit technischen Details
Internets als Angriffsplattform zeigt sich anhand und der Ausführung befassen zu müssen.
der folgenden Randbedingungen, die die Angreifer
für ihre Zwecke ausnutzen:
∙ Die zunehmende Vernetzung von Informations-
technik ermöglicht Angriffe aus der Distanz von
nahezu jedem Ort der Welt und zu jedem Zeit-
punkt auf immer mehr Ziele. Ein Angreifer muss
11DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
2.1.2 „Digitale Sorglosigkeit“ einfache Angriffe nur unzulänglich geschützt sind.
Das Niveau der Abwehr- und Schutzmaßnahmen
Im Zuge der Medienberichte über die Snowden- der Netze und der zugehörigen Infrastrukturen in
Enthüllungen, über Cyber-Angriffe auf bekannte Deutschland ist allerdings unterschiedlich aus-
Wirtschaftsunternehmen und den damit verbun- geprägt: Die Netze einzelner Großunternehmen
denen Abuss von Kundendaten sowie über die unterliegen in der Regel angemessenen Schutz-
Vorfälle von großächigem Identitätsdiebstahl maßnahmen. Unternehmen sehen laut einer
ist das Vertrauen vieler Anwender in die Infor- Umfrage der Allianz für Cyber-Sicherheit6 jedoch
mationstechnik erheblich erschüttert. Die Nutzer eine wachsende Gefahr durch Datenklauattacken
scheinen zunehmend für Themen der IT-Sicher- und gezielte Angriffe durch Cyber-Kriminalität
heit sensibilisiert. So ermittelte eine Studie des sowie staatliche Angreifer. Als Hauptursache für
Deutschen Instituts für Vertrauen und Sicherheit erfolgreiche Angriffe werden Softwareschwach-
im Internet (DIVSI),2 dass sich das Sicherheits- stellen genannt. Ein Patch-Management ist jedoch
gefühl der Deutschen im Internet signikant nur bei knapp drei Vierteln der befragten Institu-
verschlechtert hat. Dieser Besorgnis steht ein tionen etabliert. Mehr als die Hälfte der befragten
weiterhin zu beobachtendes von scheinbarer Unternehmen gaben an, dass ihre Maßnahmen
Sorglosigkeit geprägtes Handeln gegenüber. zum Schutz vor Cyber-Angriffen aktuell nicht
Dies gilt sowohl in der geschäftlichen als auch ausreichen und mittelfristig zusätzliche Maßnah-
in der privaten IT-Nutzung: Trotz erhöhter men geplant sind. Bedenklich ist, dass der Großteil
Sensibilisierung und schlechterem Sicherheits- der befragten Unternehmen der Umfrage zufolge
gefühl werden konkrete Schutzmaßnahmen in weniger als fünf Prozent des gesamten IT-Budgets
der Praxis nur geringfügig häuger umgesetzt. in die IT-Sicherheit investiert.
So ist beispielsweise die Verbreitung von E-Mail-
Verschlüsselung nach wie vor gering.3 Lösungen Neben allen technischen Schutzmaßnahmen
sind verfügbar, entsprechen jedoch häug nicht ist auch das Verhalten des Anwenders mit ent-
den Anforderungen der Anwender an Komfort, scheidend für einen hohen Grad an Sicherheit im
Intuitivität und Bedienbarkeit. Diese sind jedoch Internet. Durch die zunehmende Komplexität und
in vielen Fällen wesentliche Entscheidungsfaktoren Mobilität der Informationstechnik wird es für
für den Einsatz solcher Lösungen. Anwender wie auch für Hersteller und Dienst-
leister zunehmend wichtiger, die „digitale Sorg-
Komfort bzw. ein vorgeblich versprochener losigkeit“ abzulegen und sich frühzeitig und
Nutzen sind auch die Anreize, die dazu führen, dass verantwortungsvoll mit Fragen der IT-Sicherheit
der Anwender selbst – durch Social Engineering zu befassen und entsprechende Lösungen im
getäuscht – persönliche Informationen preisgibt praktischen Handeln umzusetzen.
oder Schadsoftware ausführt. Täglich gibt es
professionell gemachte Spam-Wellen und Versuche,
über gefälschte Webseiten, E-Mails oder Kurz-
nachrichten an persönliche Daten zu gelangen. 2.1.3 Schwachstellen
Dabei werden häug bekannte Unternehmen
oder Institutionen als Absender missbraucht, um Schwachstellen sind Grundlage für die Entwick-
den Empfänger dazu zu bringen, auf einen Link lung von Cyber-Angriffsmitteln und Ursache für
oder einen Dateianhang zu klicken und so den erfolgreiche Cyber-Angriffe. Wie bereits in den
Rechner mit Schadsoftware zu inzieren. Auch Vorjahren war die Anzahl kritischer Schwachstellen
im Bereich der mobilen Kommunikation steht oft in Standard-IT-Produkten auch in den Jahren 2013
der Komfort im Vordergrund, wenn Anwender und 2014 hoch. Allein in 13 Softwareprodukten,
Smartphone-Apps ohne Überprüfung der Aus- die weit verbreitet genutzt werden (Tabelle 1),
wirkungen installieren und nutzen. Weiterhin traten 705 kritische Schwachstellen im Jahr 2013
sind auch Basis-Sicherheitsmaßnahmen wie ein auf. Für 2014 rechnet das BSI mit mehr als
wirksames Patch-Management, mit dem verfüg- 700 kritischen Schwachstellen (Abbildung 1).
bare Sicherheitsaktualisierungen von Program- Schwachstellen sind immanenter Bestandteil
men möglichst schnell eingespielt werden, noch heutiger Software. Die Entwicklung fehlerfreier
immer nicht selbstverständlich. Software ist faktisch nicht oder nur in sehr ein-
geschränkten Spezialbereichen möglich. Allein
Selbst wenn die Sensibilität für Gefährdungen für die Gruppe der weit verbreitet genutzten
vorhanden ist, werden angemessene Sicherheits- Produkte muss mit einer Erkennung von durch-
maßnahmen nicht konsequent umgesetzt. schnittlich zwei kritischen Schwachstellen pro
Dies gilt außer für Privatanwender auch für kleine Tag gerechnet werden.
und mittelständische Unternehmen (KMU).
So zeigt es sich, dass die Systeme der KMU4 – wie Aufgrund der Masse an Schwachstellen ist das
die Systeme der Bürger5 – häug selbst gegen Patch-Verhalten der Hersteller von besonderer
12DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
Bedeutung. Diese sind zunehmend gezwungen, Ungepatchte Systeme sind nicht nur im Desktop-
eine Priorisierung bei der Beseitigung von bereich ein Problem, sondern betreffen in gleicher
Schwachstellen vorzunehmen und sich auf Weise auch den Server- und Mobilbereich:
kritische Schwachstellen zu konzentrieren. So gab es im Februar 2014 weltweit sechs Millio-
nen Webseiten,8 die die veraltete, leicht angreiﮓare
Details zu Schwachstellen werden häug erst nach Version 1.3 der Serversoftware Apache verwen-
Herausgabe eines Sicherheitsupdates („Patch“) deten. Im Mobilbereich sind insbesondere auf
durch den Softwarehersteller bekannt. Daher ist Android-Geräten häug veraltete Betriebssystem-
eine rasche Einspielung dieser Softwareaktualisie- versionen anzutreffen.9 Viele Hersteller von End-
rungen zwingend erforderlich. Falls Details oder geräten stellen die Aktualisierungen nur für eine
gar Exploits, die eine bestimmte Schwachstelle kurze Zeitspanne bereit. Spätestens mit Erschei-
ausnutzen, vor dem Patch des Softwareherstellers nen des jährlichen Nachfolgemodells wird die
an die Öffentlichkeit gelangen (Zero-Day-Exploits), Unterstützung älterer Versionen eingestellt. Neu
ist bei einem Einsatz der betroffenen Software entdeckte Sicherheitslücken werden dann nicht
höchste Vorsicht geboten. 2014 gab es bis Ende mehr gepatcht und stellen somit eine Gefahr für
Juli fünf öffentlich bekannte Vorfälle dieser Art. ältere Geräte dar.
Generell gilt: Softwareprodukte, bei denen der
Softwareprodukte Produktsupport ausgelaufen ist, sollten nicht
∙ Adobe Flash Player ∙ Microsoft Internet Explorer mehr betrieben werden, da für diese Produkte in
∙ Adobe Reader ∙ Microsoft Ofce der Regel auch keine Sicherheitsaktualisierungen
∙ Apple OS X ∙ Microsoft Windows mehr erfolgen. Aktuelles Beispiel ist Microsoft
∙ Apple Quicktime ∙ Mozilla Firefox Windows XP, dessen erweiterter Produktsupport
∙ Apple Safari ∙ Mozilla Thunderbird im April 2014 endete. Seit diesem Zeitpunkt gibt
∙ Google Chrome ∙ Oracle Java/JRE es für Windows XP weder funktionelle noch
∙ Linux Kernel Sicherheitsupdates. Dennoch lag der Marktanteil
von Windows XP in Deutschland Mitte des Jahres
Tabelle 1: Auswahl von Softwareprodukten mit hoher Relevanz noch bei über acht Prozent, weltweit bei mehr als
15 Prozent.10
2.1.4 Einsatz veralteter Software und
ungepatchter Systeme 1.200
1.000
Das Einspielen von Softwareaktualisierungen ist
eine Grundvoraussetzung für ein sicheres IT-
System. Veraltete Patchstände von Betriebssyste-
men und Applikationen sind dennoch eines der
Hauptprobleme, die bei Audits und Penetrati-
onstests des BSI in Behörden festgestellt werden.
Auch viele Systeme von Privatanwendern sind
nicht immer auf dem aktuellen Stand.
Trotz der gängigen Empfehlung, Auto-Update- 2010 2011 2012 2013 2014*
Funktionalitäten zu nutzen, haben in Deutsch-
land nach Erkenntnissen von IT-Experten Schwachstellen Davon kritisch
mindestens zehn Prozent aller eingesetzten
Windows-Betriebssysteme und anderer gängiger Abbildung 1: Anzahl aller Schwachstellen der gelisteten Softwareprodukte
Softwareprodukte veraltete Patchstände.7 *Die Werte für das Jahr 2014 wurden auf Basis der ermittelten Anzahl der
Diese Zahl ist als untere Grenze anzusehen. Schwachstellen bis September hochgerechnet.
13DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
Gerade bei der Nutzung mobiler Endgeräte möchte
Typische Sicherheitsmängel man jederzeit und an jedem Ort auf seine Daten
zugreifen können. Somit werden auch teils sehr per-
Das BSI führt regelmäßig Sicherheitsprüfungen wie Penetrations- sönliche Informationen in einer Cloud gespeichert.
tests oder IS-Revisionen bei Behörden durch. Zu den im Rahmen Falls der Zugriff auf die Cloud nicht ausreichend ge-
der Überprüfungen am häugsten auftretenden Sicherheits- schützt ist, sind diese Informationen stark gefährdet.
mängeln gehören: Dies zeigt unter anderem ein aktueller Vorfall, bei
dem intime Fotos von Prominenten aus der iCloud
» Patchstände von Betriebssystemen und Applikationen sind entwendet und im Internet veröffentlicht wurden.
veraltet und verfügbare Sicherheitsmechanismen deaktiviert.
» Passwörter sind – auch bei kritischen Anwendungen – leicht
zu ermitteln. Nicht selten werden Standardpasswörter, leere
oder andere schwache Passwörter verwendet. Die Bedrohung mobiler Geräte nimmt ständig zu
» Maßnahmen zu Netzwerkmanagement und -überwachung
sind nicht oder lediglich als Insellösungen existent, Logdaten Die Anzahl der Schadprogramme für mobile Endgeräte steigt nach
werden lediglich lokal auf den Komponenten selbst vorgehalten Berichten aller Hersteller von Antivirensoftware kontinuierlich an.
und nur anlassbezogen manuell ausgewertet. Zusätzlich zu etablierten Angriffsmethoden, die auch im PC-Be-
» Eine Netzwerkzugangskontrolle (auch für Wartungszugänge reich Anwendung nden, eröffnen die mobilen Geräte durch ihre
und -verbindungen), die ausschließlich autorisierten dienst- „Always-On“-Eigenschaft weitere Angriffsmöglichkeiten:
lichen Endgeräten den Zugang zum internen Netzwerk
ermöglicht, wird oftmals nicht genutzt. » Infektion mit Schadprogrammen durch Apps
» Es existiert keine Schnittstellenkontrolle für mobile Daten- Apps können neben vorgeblich nützlichen Funktionen auch
träger und mobile Endgeräte werden nicht verschlüsselt. Schadfunktionen enthalten. So gibt es Trojaner, die sich als
» Änderungen an Anwendungen und Betriebssystemen werden nützliche Apps tarnen, im Hintergrund jedoch Informationen
ohne angemessenes Änderungs- und Versionsmanagement in ausspionieren oder auf Kosten des Besitzers teure SMS-
den Produktivbetrieb eingestellt und größtenteils nicht Nachrichten versenden bzw. unerwünschte Anrufe tätigen.
dokumentiert. » Nutzung öffentlicher Hotspots
» Schulungen und Sensibilisierungsmaßnahmen nden ins- Die meisten öffentlichen Hotspots bieten keine Verschlüsselung.
besondere für die Zielgruppe der Anwender nicht oder nur in Die Daten werden offen übertragen und können somit von
geringfügigem Umfang statt. unbefugten Dritten mitgelesen werden. Insbesondere betroffen
» Die Verantwortlichkeit für Informationssicherheit durch die hiervon können Online-Banking oder die Übertragung
Unternehmens- oder Behördenleitung bzw. das Management vertraulicher Informationen sein.
ist oftmals nicht klar geregelt. » Überwachung und Datenabuss
» Sicherheitskonzepte sind unvollständig und inkonsistent. Der Aufenthaltsort von Mobilfunkgeräten – und damit auch
ihrer Besitzer – kann von den Betreibern der Funknetzwerke,
von den App-Anbietern, aber auch von Cyber-Kriminellen,
die Zugriff auf das Gerät haben, jederzeit ermittelt werden.
Durch die Überwachung der Smartphones und den Diebstahl
2.1.5 Mobile Endgeräte von Informationen wie Passwörtern, Bildern, Logdateien oder
GPS-Koordinaten kann ein umfassendes Prol der Opfer
Klassische Desktop- und Laptop-Rechner werden erstellt werden.
zunehmend durch Smartphones und Tablets » Abhören von Telefonaten
ergänzt und ersetzt. Mobile Endgeräte stellen ein Das Telefonieren über GSM (Standard zur mobilen Sprach- und
lohnendes Angriffsziel dar, da sie üblicherweise Datenübertragung) ist nicht abhörsicher. Schützenswerte oder
das komplette „digitale Leben“ des Besitzers wider- geheime Informationen können hierdurch an Dritte abießen.
spiegeln – von E-Mails über Social Media bis hin
zu Flugtickets, Online-Banking oder Standort-
informationen. Neben den Gefahren durch Verlust
und Diebstahl gibt es besondere Herausforderun-
gen bezüglich der IT-Sicherheit in Bezug auf 2.1.6 Unzureichende Absicherung
Betriebssystemaktualisierungen und Apps. Bedingt industrieller Steuerungssysteme
durch eine rasante Entwicklung im Hardwarebe-
reich werden die Aktualisierungen von Software Systeme zur Fertigungs- und Prozessautomatisie-
oftmals nur für eine kurze Zeitspanne bereitge- rung – zusammengefasst unter dem Begriff Indus-
stellt, sodass Sicherheitslücken nicht mehr be- trial Control Systems (ICS) – werden in nahezu allen
hoben werden. Eine weitere Gefahr besteht in der Infrastrukturen eingesetzt, die physische Prozesse
unüberschaubaren Masse von verfügbaren Apps, abwickeln. Ein Trend im Zuge der Entwicklung zu
die nicht selten Schad- und Spionagefunktionen Industrie 4.0 ist die erweiterte Vernetzung dieser
enthalten. Hiervon ist Android, bedingt durch industriellen Steuerungssysteme über die inter-
seinen offenen Ansatz, vermehrt betroffen. nen Netze eines Unternehmens hinweg. Dadurch
14DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
halten IT-Komponenten immer stärker Einzug in 2.2 Angriffsmittel und -methoden
die eigentlichen Produktionsnetze, um so industri-
elle Abläufe im globalen Ausmaß efzienter und Die Mittel und Methoden für Cyber-Angriffe sind
effektiver zu gestalten. Viele dieser Systeme wurden heute sehr vielfältig. Sie werden in unterschiedli-
jedoch nicht im Hinblick auf mögliche Angriffe cher Art und Weise eingesetzt und kombiniert, um
konzipiert. Cyber-Angriffe sowohl in der Breite als auch für
zielgerichtete Angriffe gegen Einzelpersonen oder
Institutionen einzusetzen. Das vorliegende Kapitel
liefert einen Einblick in die heute genutzten
Bedrohungen für Steuerungskomponenten in Angriffsmethoden und enthält Lageinformationen
Industrie und produzierendem Gewerbe und Bewertungen.
Systeme zur Fertigungs- und Prozessautomatisierung sind
zunehmend Cyber-Angriffen ausgesetzt. Die Betreiber müssen
das Risiko und Schadenspotenzial sowohl von nichtzielgerichteter 2.2.1 Spam
Schadsoftware als auch von gezielten, qualitativ hochwertigen
und mit signikantem Aufwand durchgeführten Angriffen gegen Als Spam bezeichnet man unerwünschte Nach-
ICS-Infrastrukturen berücksichtigen. richten, die massenhaft und ungezielt per E-Mail
oder über andere Kommunikationsdienste versen-
Die zentralen Bedrohungen, denen ICS derzeit ausgesetzt sind:11 det werden. In der harmlosen Variante enthalten
Spam-Nachrichten meist unerwünschte Werbung.
Häug enthält Spam jedoch auch Schadprogramme
1 Infektion von Steuerungskomponenten mit
Schadsoftware über Büronetze
im Anhang, Links zu Webseiten mit Drive-by-
Exploits oder wird für Phishing-Angriffe genutzt.
Für den Versand von Spam-Nachrichten sind
2 Einschleusen von Schadsoftware über Wechseldaten-
träger und externe Hardware
umfangreiche Ressourcen wie Botnetze oder
kompromittierte Server notwendig.
3 Social Engineering Lage
∙ Im Jahr 2014 zeichnet sich mit dem deutlichen
4 Menschliches Fehlverhalten und Sabotage Zuwachs von ca. 80 Prozent im Vergleich zum
Vorjahr eine Trendwende bei den seit Jahren
stagnierenden Spam-Zahlen ab (siehe Abb. 2).
5 Einbruch über Fernwartungszugänge
∙ Deutschland liegt in den weltweiten Top Ten der
Spam-Versender im Mittelfeld.
∙ 2014 ist im Vergleich zum Vorjahr ein Anstieg
von E-Mails mit Schadsoftware im Anhang um
Neben Angriffen, die durch Fehler bei der Soft- 36 Prozent zu verzeichnen.
wareimplementierung zum Erfolg führen, spielt
das Social Engineering eine immer größer wer- ∙ Seit Anfang 2014 ist ein Trend zur pseudozufälligen
dende Rolle. Bei dieser Methode führen meist Generierung von Varianten der Schadsoftware
nichttechnische Handlungen zu unberechtigtem während des Versands zu beobachten.
Zugang zu Informationen oder IT-Systemen.
Dabei werden menschliche Eigenschaften wie ∙ Kriminelle versenden zunehmend Ofce-
Hilfsbereitschaft, Neugier, Vertrauen oder Angst Dokumente als Anhang, über deren Makros
ausgenutzt. Daher sind Maßnahmen wie Sensibi- Schadprogramme nachgeladen werden.
lisierung und Schulung auch im Bereich von ICS
ein wesentlicher Baustein für mehr Sicherheit. ∙ Als Folge von Identitätsdiebstahl erfolgt Spam-
Versand vermehrt über kompromittierte Nutzer-
Bei der Betrachtung der wichtigsten Bedrohungen konten etablierter E-Mail-Dienste.
im Kontext industrieller Steuerungssysteme wird
zudem deutlich, dass zu den zentralen Erfolgs-
faktoren und Rahmenbedingungen für die
Realisierung und die Akzeptanz von Industrie 4.0
die Entwicklung von IT-Sicherheitskonzepten,
-architekturen und -standards gehören.
15DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
Bewertung ∙ Die häugsten Verbreitungswege von Schad-
programmen sind Drive-by-Exploits, Anhänge in
Als lange bekanntes Phänomen lässt sich die Spam-Mails sowie Botnetze.
Masse an Spam-Nachrichten heute mit Gegen-
maßnahmen wie Spam-Filtern oder Greylisting ∙ Die am häugsten detektierten Schadprogramm-
grundsätzlich reduzieren. Aus betrieblicher Sicht typen sind Adware und Trojaner.
ist Spam daher heute weitestgehend unproble-
matisch. Qualität und Quantität von Schadpro- ∙ Mit etwa 95 Prozent ist vorwiegend das Betriebs-
gramm-Spam steigen jedoch weiter an. Einmal system Microsoft Windows von Schadprogrammen
verwendete Varianten von Schadcodes erhöhen betroffen.
den Aufwand in der Analyse und verlangsamen
die Bereitstellung passender Abwehrmaßnahmen ∙ Mobile Plattformen: Die Gesamtzahl der Schadpro-
wie Signaturen für Virenschutzprogramme. gramme für mobile Geräte wie Smartphones und
Tablets liegt bei mindestens drei Millionen. 98 Pro-
zent davon betreffen das Betriebssystem Android.
2.2.2 Schadprogramme ∙ Schadprogramme für mobile Plattformen werden
meist als legitime App getarnt. Sie werden in
Schadprogramme sind Werkzeuge, über die ein der Regel nicht über ofzielle App-Stores wie
Angreifer Kontrolle über ein inziertes System Google Play, sondern vorwiegend über alternative
ausüben kann. Es gibt verschiedene Typen von App-Stores oder Webseiten verbreitet oder vom
Schadprogrammen, bspw. Viren, Trojanische Nutzer selbst unwissentlich installiert.
Pferde (Trojaner), Bots oder Rootkits. Dabei sind
Schadprogramme heute vielfach nicht mehr ∙ Die Angreifer professionalisieren den Einsatz
eindeutig zu kategorisieren, da sie modular auf- von Schadprogrammen, etwa durch verbesserte
gebaut sind und eine Vielzahl unterschiedlicher Methoden, um Steuerungsserver zu verstecken,
Schadfunktionen mitbringen oder auch nachladen durch die Nutzung von Twitter-Kanälen oder
können. Neben der klassischen PC/Notebook- Google-Docs als Command-and-Control(C&C)-
Plattform sind heute zunehmend auch Mobil- Server sowie durch den Einsatz aktueller Ver-
plattformen wie Smartphones und Tablets von schlüsselungsverfahren (beispielsweise Elliptische-
Schadprogrammen betroffen. Kurven-Kryptographie) zur Absicherung der
Kommunikation.
Lage
∙ Neben den klassischen Schadprogrammen,
∙ Schätzungen zufolge übersteigt die Gesamtzahl über die Daten abießen oder Online-Banking
der PC-basierten Schadprogrammvarianten manipuliert wird, ist auch die „Ransomware“, die
inzwischen die 250-Millionen-Marke. Zugriff auf Systeme blockiert oder Nutzerdaten
verschlüsselt, um so ein Lösegeld zu erpressen,
∙ In Deutschland gibt es jeden Monat mindestens ein alltäglich von Cyber-Kriminellen eingesetztes
eine Million Infektionen durch Schadprogramme. Mittel geworden.
∙ Die Zahl der Schadprogrammvarianten steigt
täglich um rund 300.000.
Apr. 2012 Okt. 2012 Apr. 2013 Okt. 2013 Apr. 2014
Jan. 2012 Jul. 2012 Jan. 2013 Jul. 2013 Jan. 2014 Jul. 2014
Abbildung 2: Qualitativer Spam-Verlauf pro Woche in Deutschland seit Januar 2012
16DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
Bewertung 2.2.3 Drive-by-Exploits und Exploit-Kits
Aufgrund der Masse und Komplexität von neuen Der Begriff Drive-by-Exploit bezeichnet die
Schadprogrammen reicht die Zeitspanne, bis neue automatisierte Ausnutzung von Sicherheits-
Schadprogramme von Virenschutzprogrammen lücken durch den Besuch einer präparierten
erkannt werden, von einigen Stunden bis hin zu Webseite. Dabei werden ohne Benutzerinter-
mehreren Tagen. In diesem Zeitraum ist ein System aktion Schwachstellen im Browser, in Plug-ins
ggf. ungeschützt. Klassische signaturbasierte oder im Betriebssystem ausgenutzt, um Schad-
Komponenten von Virenschutzprogrammen programme unbemerkt auf dem System des
stoßen dadurch zunehmend an die Grenzen ihrer Webseitenbesuchers zu installieren. Besonders
Wirksamkeit, wodurch eine Fortentwicklung der efzient arbeiten Drive-by-Exploits in soge-
Schutzmaßnahmen notwendig wird. Weiterhin nannten Exploit-Kits: Statt eines einzelnen
betreiben die Entwickler der Schadprogramme Exploits kommen darin mehrere Exploits zum
viel Aufwand, um mit immer neuen Methoden Einsatz, die automatisiert versuchen, eine
eine manuelle Analyse von Schadprogrammen Schwachstelle im Browser oder in dessen Plug-ins
und Vorfällen durch Analysten und Forensiker zu nden und zur Installation von Schadpro-
zu erschweren. grammen zu verwenden. In sogenannten
Watering-Hole-Angriffen werden Drive-by-
Exploits für gezielte Angriffe verwendet.
300 Mio.
Lage
250 Mio.
200 Mio. ∙ Drive-by-Exploits werden auf massenhaft oder
150 Mio.
gezielt kompromittierten verwundbaren Webseiten
platziert.
100 Mio.
50 Mio. ∙ Laut einer Auswertung der Google Safe-Brow-
sing-Daten12 lag der Anteil von Webseiten mit
Drive-by-Exploits oder anderer Verbreitung von
Abbildung 3: Anzahl Windows-Schadsoftwarevarianten Schadsoftware in den letzten zwölf Monaten in
Deutschland bei vier Prozent.
∙ Die Angriffe durch Exploit-Kits richteten sich in
den letzten Monaten am häugsten gegen Schwach-
stellen im Internet Explorer. Auch Oracle Java ist
weiterhin ein beliebtes Angriffsziel, wenn auch
nicht mehr so im Fokus wie noch 2013.
Aufruf einer infizierten Seite Infizierte Webseite
(Landing Page)
Code-Einbettung einer Exploit-Webseite
Opfersystem Aufruf einer Exploit-Website über beliebig viele Umleitungen
Exploit-Webseite
Auslieferung von Exploit-Code, Ausnutzung einer Schwachstelle,
Befehl zur Installation eines „Dropper“-Schadprogramms
Nachladen des „Dropper“-Schadprogramms über beliebig viele Weiterleitungen
Nachlade-Webseite
für Schadprogramme
Auslieferung des „Dropper“-Schadprogramms, das von diesem
oder anderen Servern die eigentlichen Schadprogramme nachlädt
Abbildung 4: Beispiel einer Schadprogramminfektion per Drive-by-Exploit
17DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
Bewertung 2.2.4 Botnetze
Exploit-Kits spielen eine zentrale Rolle bei Als Botnetz wird ein Verbund von Systemen
Cyber-Angriffen mit kriminellem Hintergrund. bezeichnet, die von einer fernsteuerbaren Schad-
Ein Exploit-Kit, das in eine beliebte Webseite programmvariante (einem sogenannten Bot)
eingebunden ist, inziert in kürzester Zeit eine befallen sind. Die betroffenen Systeme werden
Vielzahl verwundbarer Systeme ohne Kenntnis vom Botnetz-Betreiber mittels eines Command-
oder Mitwirken des Benutzers. Bei dieser breiten and-Control-Servers (C&C-Server) kontrolliert
bzw. ungezielten Angriffsmethode werden die und gesteuert. Botnetze werden von Kriminellen
Opfersysteme mit unterschiedlichen Schadpro- genutzt, um im großen Stil Informationsdiebstahl
grammen inziert, beispielsweise Ransomware und Online-Banking-Betrug zu begehen, um
zum Erpressen von Geld, Trojanische Pferde zum Angriffe auf die Verfügbarkeit von Computer-
Identitätsdiebstahl und -missbrauch sowie Bots systemen durchzuführen (DDoS-Angriffe) oder
zum Aufbau einer Infrastruktur für den Versand um massenhaft Spam- und Phishing-Mails oder
von Spam oder für DDoS-Angriffe. Aktuell existiert E-Mails mit weiteren Schadprogrammen im
für jede in Exploit-Kits genutzte Schwachstelle Anhang zu versenden.
ein Sicherheitsupdate des jeweiligen Herstellers,
weshalb sich Angriffe mittels Exploit-Kits durch Lage
ein effektives Patch-Management verhindern
ließen. Die Verwendung von Zero-Day-Exploits ∙ Nach Schätzungen sind allein in Deutschland
im Zusammenhang mit Exploit-Kits ist selten. mehr als eine Million Internetrechner Teil eines
Botnetzes.
∙ Aufgrund der Professionalisierung und Kommer-
Manipulierte Werbebanner zialisierung der Aktivitäten im Bereich Cybercrime
ist der Aufbau und Betrieb eines Botnetzes auch
2013 wurden vom BSI über 350 in Deutschland gehostete für technische Laien vergleichsweise einfach und
kompromittierte OpenX-Server identiziert, von denen schädliche kostengünstig.
Werbebanner auf Webseiten eingeblendet wurden. Der mit den
Werbebannern ausgelieferte schädliche Code verwies auf Drive- ∙ Informationsdiebstahl ist eines der größten Probleme
by-Exploits. Potenziell gefährdet waren Besucher, die nicht die im Zusammenhang mit Botnetzen. Neben klassi-
aktuellen Sicherheitsupdates für das Windows-Betriebssystem schen Endnutzersystemen werden vermehrt auch
sowie Software wie Oracle Java, Adobe Reader oder Flash Player internetfähige Geräte angegriffen, die Informationen
installiert hatten. Die Infektionen erfolgen beim Aufruf der Web- wie beispielsweise Zahlungsdaten verarbeiten.
seite unbemerkt und ohne Zutun des Benutzers – ein Anklicken
des schädlichen Banners war nicht erforderlich. ∙ Zunehmend werden auch Webserver kompromit-
tiert und zu Botnetzen zusammengeschlossen.
Einige der OpenX-Server wurden von Medienagenturen betrieben, Aufgrund ihrer breitbandigen Netzanbindung und
wodurch schädliche Banner auch auf populären Webseiten mit hoher Verfügbarkeit eignen sich diese Systeme zum
täglich vielen tausend Besuchern eingeblendet wurden. Das Beispiel zur Ausführung von DDoS-Angriffen.
BSI hat die Betreiber der Webseiten bzw. der OpenX-Server
sowie die zuständigen Provider über die Kompromittierungen Bewertung
informiert.13 Zum Teil war das mehrfach notwendig, da Betreiber
zunächst nicht reagierten oder die Server nach Bereinigung erneut Wie aktuelle Meldungen zu Informationsdieb-
kompromittiert wurden. stählen und Online-Banking-Betrugsfällen durch
Botnetze zeigen, ist die Lage als kritisch zu
Neben der Notwendigkeit einer raschen Installation von Sicher- bewerten. Botnetz-Infrastrukturen bieten
heitsupdates verdeutlicht dies erneut, dass die Gefahr von Infek- Internetkriminellen immense Ressourcen an
tionen mit Schadprogrammen über Werbebanner nicht nur in den Rechnerkapazität und Bandbreite, die sie für ihre
Graubereichen des Internets geschehen kann, sondern auch auf kriminellen Handlungen einsetzen können. Heute
populären, seriösen Webseiten. sind überwiegend Windows-Systeme Teil eines
Botnetzes. Aber auch Mac OS X und Android-
Geräte rücken als Zielplattform für Botnetze
zunehmend in den Fokus der Cyber-Kriminellen.
Auch andere internetfähige Geräte wie DSL-Router
oder Smart-TVs werden zum Ziel von Angriffen
und Infektionen. Ein Grund hierfür sind die schwä-
cheren Schutzmechanismen dieser Geräte. Vor dem
Hintergrund des Trends zum Internet der Dinge
wird dieser Aspekt an Bedeutung gewinnen.
18DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2014 | GEFÄHRDUNGSLAGE
2.2.5 Social Engineering gefälschte Web-Formulare einzutragen oder
angebliche Sicherheits-Apps zu installieren, hinter
Bei Angriffen mittels Social Engineering versuchen denen sich Schadprogramme verbergen. Die vor-
Kriminelle, ihre Opfer dazu zu verleiten, eigen- geblichen Webseiten der Banken sind inzwischen
ständig Daten preiszugeben, Schutzmaßnahmen kaum mehr als Nachbildung zu erkennen.
zu umgehen oder selbstständig Schadcode auf
ihren Systemen zu installieren. Sowohl im Bereich ∙ Social Engineering ist elementarer Bestandteil
der Cyber-Kriminalität als auch bei der Spionage gezielter Angriffe.
gehen die Täter geschickt vor, um menschliche
Schwächen wie Neugier auszunutzen und so Bewertung
Zugriff auf sensitive Daten und Informationen
zu erhalten. Technische Maßnahmen erhöhen das IT-Sicher-
heitsniveau, können aber allein keinen voll-
Lage ständigen Schutz gewährleisten. Dies zeigt sich
besonders deutlich bei Angriffen mittels Social
∙ Der Trend, persönliche Daten und Informationen Engineering. Solange Anwender unbedarft private
mittels eines Sozialen Netzwerks oder einer priva- Informationen preisgeben oder unbedarft eine
ten Webseite verstärkt einer breiten Öffentlichkeit E-Mail mit einem vermeintlich verlockenden kom-
zugänglich zu machen, erleichtert es den Kriminel- merziellen Angebot anklicken, werden Kriminelle
len, diese Informationen zur Vorbereitung von Social Social Engineering nutzen, um mit den gewonnenen
Engineering bei gezielten Angriffen zu verwenden. Daten einen nanziellen Gewinn zu erzielen. Da
Social Engineering auch häug Einfallstor für
∙ Kriminelle nutzen regelmäßig die menschliche Neu- gezielte Angriffe auf Unternehmen und Behörden
gier auf interessante Informationen, das Interesse ist, sind Sensibilisierung und Schulungen der
an Schnäppchen, die Vorsicht oder das schlechte Mitarbeiter unerlässlich. Das Beispiel Phishing
Gewissen bei behördlichen Benachrichtigungen verdeutlicht, wie wichtig ein umsichtiger Nutzer
oder strafrechtlichen Androhungen sowie die für die Datensicherheit ist.
erhöhte Aufmerksamkeit bei Großereignissen wie
der Fußball-WM, zu Feiertagen oder bei aktuellen
wirtschaftlichen oder gesellschaftlichen Themen
(zum Beispiel SEPA-Umstellung) aus.
∙ Phishing-Angriffe, bei denen E-Mails mit gefälsch-
tem Absender verschickt und Nutzer dadurch zur
Preisgabe ihrer persönlichen Informationen ver-
leitet werden sollen, gibt es weiterhin in großer
Anzahl. Die vorgeblichen Absender sind bekannte
Unternehmen und Organisationen, Finanzdienst-
leister sowie bekannte Online-Shops, E-Mail- oder
Kommunikationsanbieter. Mit ktiven Bestellungen, Abbildung 5: Beispiel einer Phishing-Mail –
Rechnungen, Mahnungen oder auch Sicherheits- erkennbar an der gefälschten Absenderadresse
hinweisen werden Nutzer auf gefälschte Webseiten
verwiesen, um dort Zugangsdaten, Kontoinforma-
tionen oder sonstige Kundendaten zu aktualisieren
oder zu bestätigen.
∙ Bei einem besonders aufwendigen Angriff auf
deutsche Konzerne erhielten Mitarbeiter E-Mails,
die angeblich von Mitarbeitern der Personalabtei-
lung stammen sollten. Mit aufwendig gefälschten
Mailhistorien und angeblichen Vorstandsentschei-
dungen wurden die Empfänger aufgefordert, ihre
Stamm- und Kontodaten u. ä. zu schicken. Mit den
Daten nahmen die Täter Kontoauösungen oder
Neubestellungen von EC-Karten vor.
∙ Beim Online-Banking werden Nutzer mit mani- Abbildung 6: Beispiel einer Phishing-Webseite – erkennbar an der gefälschten URL
pulierten Testüberweisungen oder Nutzerveri-
kationen (TAN, mTAN) dazu gebracht, Daten in
19Sie können auch lesen
