Service

Für Sie zusammengefasst.

©  itcraftsman - Fotolia.com

30.10.2018 (bz) – Der BSI Lagebericht IT-Sicherheit ist zu lang zum Zwischendurchlesen. Und zu interessant, um ihn links liegen zu lassen. Deshalb eine Fünf-Minuten-Zusammenfassung für Sie.

 

 

Der BSI Lagebericht IT-Sicherheit.

Wer nun gar keine Zeit mitbringt, der lese nur das Kapitel 3.

Beim Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Gefährdungslage handelt es sich um ein 100 Seiten starkes Papier mit überwiegend bereits stark verdichtetem Inhalt. Er steht auf www.bsi.bund.de online. Darin stellt das BSI nicht nur die einzelnen Gefährdungslagen im Bereich der IT-Sicherheit dar, sondern auch sich selbst bzw. sein breites Betätigungsfeld. Insofern lohnt es sich doppelt, einmal kurz über die folgende Zusammenfassung zu schauen:

 

VORWORTE

Die Vorworte von Horst Seehofer, Bundesminister des Innern, für Bau und Heimat, und Arne Schönbohm, Präsident des BSI müssen Sie nicht gelesen haben – Ghostwriterallerlei.

 

1. KAPITEL: GEFÄHRDUNGSLAGEN

Das 1. Kapitel gibt Auskunft über die Gefährdungslagen (bis Stand 31. Mai 2018)

  • des Bundes (tägliche Cyber-Angriffe auf die Regierungsnetze)

    • BSI-Empfehlung: mehrstufige Schutzkonzepte

  • der sogenannten KRITIS-Unternehmen (145 Meldungen aus KRITIS-Sektoren, meist Bereiche IT und Telekommunikation)

    • BSI-Empfehlung: sofortige Meldung von Angriffen an das BSI

  • der Wirtschaft (Gefährdungsgrad, z. B. durch WannaCry und NotPetya: 70 Prozent der Unternehmen)

    • BSI-Empfehlung: Vorsicht bei neuer Einbindung von Geräten in Netzwerken

  • und der Gesellschaft (extrem hohes Sicherheitsbedürfnis bei durchwachsenen Vorsorgemaßnahmen).
    • BSI-Empfehlung: Zwei-Faktor-Authentifizierung beim Online-Banking, Vorsicht bei OBS-II-Dongles in der Fahrzeugelektronik, Sicherheitsangebote von Internetanbietern nutzen

     

Auch die Methoden und Mittel der Angreifer werden vorgestellt, nämlich:

  • Advanced Persistent Threats (dauerhafter illegaler Zugriff auf ein Netzwerk)
  • Angriffe auf Industrial Control Systems (Produktionsanlagen)
  • Botnetze
  • DDoS-Angriffe
  • Versagende Kryptografie (Post-Quanten-Kryptografie)
  • Ransomware
  • CEO-Fraud
  • Schadprogramme
  • Schwachstellen in Chips (übrigens auch bei macOS)
  • Schwachstellen in Software und Hardware
  • Spam

Zusammenfassend bietet der Lagebericht auf den Seiten 50 und 51 ein paar Fakten zur Gefährdungslage 2018, z. B.:

  • 390.000 Schadprogramm-Varianten am Tag
  • Deutlich breiterer Fokus der Angriffe (z. B. auch auf Überwachungskameras oder Prozessoren)
  • Erfolg: Die Zahl der befallenen Geräte sank von 11/2017 bis 05/2018 von 6.000 auf 450. Als Ursache werden die 16 Millionen Warn-Mails des BSI bzw. das CERT-Bund an deutsche Netzbetreiber genannt.
  • Mehr als 100.000 Bürger lassen sich vom BSI über Gefahren informieren.

 

2. KAPITEL: MAßNAHMEN DES BSI

Das 2. Kapitel stellt einzelne Lösungen und Angebote des BSI vor: für den Staat und die Verwaltung, die Wirtschaft und die Gesellschaft.

Das erste Unterkapitel beleuchtet den Aufgabenbereich, den das BSI für die Zielgruppe Staat und Verwaltung wahrnimmt. Dieser ist auch im sogenannten BSI-Gesetz festgelegt. Hierzu zählen:

  • CERT-Bund und nationales IT-Lagezentrum
  • Cyber-Abwehrzentrum
  • Detektion
  • Lauschabwehr
  • Ausbau der Zusammenarbeit zwischen Bund und Ländern
  • Umsetzungsplan Bund 2017
  • Informationssicherheitsberatung
  • IT-Konsolidierung des Bundes (Leistungsverbund von IT-Dienstleistern)
  • Absicherung der Bundestagswahl 2017
  • Erarbeiten von Mindeststandards (z. B. sichere Web-Browser)
  • Sichere Mobilkommunikation in der Bundesverwaltung
  • Studie zur sicheren Telefonie mit IOS-basierten Endgeräten
  • Sichere Identitäten im E-Government
  • Smart Borders und hoheitliches Identitätsmanagement
  • Abstrahlsicherheit
  • Maßnahmen zur Prävention von Angriffen auf E-Pässe
  • Zulassung von IT-Sicherheitsprodukten
  • Anforderungsprofile für Verarbeitung, Übertragung und Speicherung von Verschlusssachen (VS)
  • Technische Richtlinien TR-ESOR und TR-RESISCAN (für E-Government-Lösungen)

Maßnahmen des BSI für die Zielgruppe Wirtschaft stellen sich in aller Kürze wie folgt dar:

  • Allianz für Cyber-Sicherheit (praxisnahe Hilfestellungen)
  • Austausch der Cybersicherheits-Initiativen in Deutschland
  • IT-Grundschutz
  • Praktische Empfehlungen für mehr Informationssicherheit
  • Unterstützung bei IT-Grundschutz-Profilen
  • Umsetzung des IT-Sicherheitsgesetzes
  • Anschluss der Betreiber Kritischer Infrastrukturen an die Warn- und Meldestrukturen des BSI
  • Prüfung von branchenspezifischen Sicherheitsstandards
  • Unterstützung des Nachweisprozesses für KRITIS-Betreiber
  • Deutsches Umsetzungsgesetz zur europäischen NIS-Richtlinie (Gewährleistung einer hohen Netzwerk- und Informationssicherheit)
  • Mobile Incident Response Team (Vor-Ort-Unterstützung von Betroffenen
  • IT-Sicherheitszertifizierung durch das BSI
  • Konformitätsprüfungen und Zertifizierung von IT-Sicherheitskomponenten und –Dienstleistungen
  • Investitionskontrolle (wenn ausländische Investoren in inländische Unternehmen investieren)
  • Ausfuhrkontrolle
  • Absicherung von Ad-Servern
  • Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue

Auch für die IT-Sicherheit von Bürgerinnen und Bürger sieht sich das BSI zuständig. Im Unterkapitel "Zielgruppe Gesellschaft" führt es folgende Maßnahmen auf:

  • Bürgerservices www.bsi-fuer-buerger.de, Informationsdienst Bürger-CERT, Service-Center des BSI unter 0800 2741000 oder per E-Mail unter mail@bsi-fuer-buerger.de
  • Verbraucherschutz (Resilienz gegen Cybergefahren)
  • Digitalisierungsprojekte (z. B. eID-Ausweisfunktion oder autonomes Fahren)
  • Europäischer Monat der Cyber-Sicherheit
  • Kooperation mit dem Programm Polizeiliche Kriminalprävention (ProPK)
  • Gesellschaftlicher Dialog (diverse Angebote)
  • Energiewende/Smart Meter (Entwicklung von Standards)
  • Autonomes Fahren
  • Europaweite Anerkennung der Onlne-Ausweisfunktion (eID)
  • Zwei-Faktor-Authentisierung
  • Sicherheitseinrichtung für elektronische Aufzeichnungssysteme (z. B. Registrierkassen)
  • Elektronischer Reisepass
  • Gütesiegel/IT-Sicherheitskennzeichen
  • Biometrie-Evaluations-Zentrum
  • Eckpunktepapier Blockchain
  • Sicherer E-Mail-Transport
  • Sicherheitsstandard für Breitband-Router
  • Zusammenarbeit mit der Wissenschaft
  • Soziale Netzwerke

Wohlgemerkt, der Titel der Veröffentlichung, die wir hier zusammengefasst vorstellen, lautet "IT-Sicherheit in Deutschland". Nichtsdestotrotz darf das BSI auch auf seine Zusammenarbeit mit internationalen Partnern verweisen – hier: Europäische Union und NATO – bzw. auf den Austausch mit diesen, z. B. in Sachen internationale Standardisierung auf dem Gebiet der Kryptografie. Nicht ohne Stolz nennt das BSI darüber hinaus seine erfolgreichen Bemühungen in Zeiten des Fachkräftemangels, im Jahr 2017 180 neue Stellen für IT-Fachkräfte geschaffen zu haben.

 

3. KAPITEL: GESAMTBEWERTUNG UND FAZIT

Die wichtigste Aussage im 3. Kapitel lautet erwartungsgemäß:

"Die Gefährdungen sind im Berichtszeitraum ( … ) vielfältiger geworden."

Zu den Gefährdungen im Einzelnen:

  • Ransomware (zwar keine neuen großen Wellen, aber immer neue Ransomware-Familien)
  • Schadprogramme in steigender Anzahl (z. B. 27 Millionen allein für Google Android)
  • Neue Verteilwege für Schadprogramme (z. B. über Update-Dateien)
  • Fortlaufende Weiterentwicklung von Schadsoftware-Familien
  • Fortlaufende Weiterentwicklung von Botnetzen
  • Keine Veränderungen bei kritischen Software-Schwachstellen
  • Keine Entspannung bei Spam und Phishing
  • Immer mehr Identitätsdiebstähle
  • Nach wie vor hohe Bedrohung bei DDoS-Angriffen
  • Schwerwiegende Sicherheitslücken in der Hardware-Architektur von Prozessoren
  • Bestimmte Schwachstellen in Hardware ohne einen Austausch der Hardwre nicht schließbar
  • Neu hinzugekommen ist illegales Krypto-Mining 

 

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)