Herausforderungen durch Homeoffice gestiegen

Neuer BSI-Bericht sieht angespannte IT-Sicherheitslage

Die Zahl der Cyber-kriminelle Erpressungen ist stark gestiegen. Der neue BSI-Lagebericht zeigt, welche Gefahren IT-Nutzern und Unternehmen aktuell drohen.

BSI-Lagebericht Cover
Der neue Lagebericht vom Bundesamt für Sicherheit in der Informationstechnik.

Auch in diesem Jahr bleibt die Lage der IT-Sicherheit in Deutschland angespannt. Sie steht - so der jüngste Lagebericht des Bundesamts für Sicherheit in der Informationstechnik - weiter unter dem Eindruck der Corona-Pandemie. Das BSI sieht einen Grund in der enormen Zunahme der Arbeit im Homeoffice, die zu neuen Herausforderungen für die Informationssicherheit geführt hat.

Demnach war das vergangene Jahr geprägt von einer deutlichen Ausweitung cyber-krimineller Erpressungsmethoden. Nicht nur die Anzahl der Schadprogramm-Varianten stieg zeitweise rasant an – mit bis zu 553.000 neuen Varianten pro Tag der höchste jemals gemessene Wert. Auch die Qualität der Angriffe nahm weiterhin beträchtlich zu.

Immer häufiger verschlüsseln Cyber-Kriminelle Daten von Unternehmen und Institutionen in ausgefeilten mehrstufigen Angriffen, um Lösegeld zu erpressen. "Auch wenn es im Januar 2021 gelang, die Infrastruktur der Schadsoftware Emotet zu zerschlagen, ist die Gefahr nicht gebannt", heißt es dazu in der Veröffentlichung. Der Lagebericht zeigt deutlich, wie Cyber-Kriminelle ihre Angriffsmethoden weiterentwickeln und wie schädlich Ransomware-Angriffe für eine betroffene Organisation sein können

Zweithöchste Krisenstufe ausgerufen

Ein besonderer Vorfall im März 2021 sieht der BSI als Sinnbildlich für das Ausmaß der Herausforderung: Damals war eine Lücke in Exchange-Servern von Microsoft geschlossen worden. Direkt nach Bekanntwerden der Lücke wurden großflächige Versuche beobachtet, verwundbare Exchange-Server aufzuspüren und zu kompromittieren. Das BSI hatte in diesem Zusammenhang erst zum dritten Mal in seiner Geschichte die zweithöchste Krisenstufe ausgerufen. Der hohe Anteil verwundbarer Server von 98 Prozent konnte nach zwei Wochen auf unter zehn Prozent gesenkt werden. Jedoch können bestehende Kompromittierungen nach wie vor zu Cyber-Angriffen mit Schadenswirkung führen.

Faktor Mensch bleibt wichtigstes Einfallstor für Angriffe

Die Anwender selbst spielen laut BSI nach wie vor eine wichtige Rolle und werden im Bericht als Einfallstor für Angriffe genannt. So sei die Zahl der Phishing-Angriffe im Berichtszeitraum deutlich angestiegen. Daten-Leaks, Cyber-Angriffe auf Videokonferenzen, schlecht abgesicherte VPN-Server oder der Einsatz privater IT im beruflichen Kontext führten zudem ebenso zu Sicherheitsvorfällen wie langfristig und mit großem Aufwand geplante Angriffe auf einzeln ausgewählte, herausgehobene Ziele (siehe Kapitel Gefährdungen der Cyber-Sicherheit durch die COVID-19-Pandemie, Seite 38). Auch DDoS-Attacken, Schwächen in kryptografischen Verfahren oder hybride Bedrohungen durch fremde Staaten und deren Proxies sorgten für Sicherheitsvorfälle.

"Die Digitalisierung mit all ihren Vorzügen wird weiter voranschreiten. Das ist gut so. Wenn wir aber dabei weiterhin die Informationssicherheit vernachlässigen, werden wir niemals das volle Potenzial der Digitalisierung ausnutzen können. Mehr noch: Im schlimmsten Fall werden viele Digitalisierungsprojekte scheitern", sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Im Bericht "Ransomware muss man nicht erleiden" haben wir zuletzt über Möglichkeiten der Gefahrenabwehr in Unternehmen berichtet.

Kritische Infrastruktur unter Beschuss

Ein besonders sensibler Bereich sind kritische Infrastrukturen: Organisationen mit wichtiger Bedeutung für das Gemeinwesen wie die Versorgung mit Lebensmitteln, Wasser oder Strom. Sie fallen unter die Kritis-Verordnung. Cyber-Angriffe sind für Kritis-Betreiber aller Branchen beinahe an der Tagesordnung.

Im Kritis Sektor Wasser ist dem Bericht zufolge ein Drittel aller Cyber-Angriffe dem Bereich ISMS (Information Security Management System) zuzuordnen. Es wird deutlich, dass viele Optimierungspotenziale im Bereich ISMS im Sektor Wasser noch nicht ausgeschöpft sind. In diesem Sektor wird nur jeder zehnte im Rahmen einer Nachweisprüfung gefundene Mangel der Kategorie technische Informationssicherheit zugeordnet, allerdings ist der Sektor auch vergleichsweise gering digitalisiert und damit weniger von IT abhängig.

Im Kritis-Sektor Energie ergibt sich ein ähnliches Bild wie im Sektor Wasser. Rund ein Viertel der im Sektor festgestellten Mängel sind der Kategorie ISMS zugeordnet. Ähnlich wie im Sektor Wasser ist auch im Sektor Energie der Anteil der Mängel im Bereich der technischen Informationssicherheit im Verhältnis zur Gesamtmenge an Mängeln gering. Dieser weitestgehend digitalisierte Sektor ist allerdings im Gegensatz zum Sektor Wasser sehr stark von IT abhängig.

Weiterentwicklung der Cyber-Sicherheit der Kritis-Betreiber

An konzeptionellen und inhaltlichen Fragen wird vor allem in den Themenarbeitskreisen (TAK) des UP Kritis gearbeitet. Neu gegründet wurde der TAK Detektion, da die Detektion von Cyber-Angriffen zunehmend an Bedeutung gewinnt. Der Arbeitskreis entwickelt aktuell unter Beteiligung des BSI Orientierungshilfen zu Fragestellungen der Detektion. Der TAK Operativer Informationsaustausch hat die Risikomatrix des UP Kritis weiterentwickelt. Die Matrix ermöglicht es den Branchen, anhand eines Bedrohungskatalogs branchenspezifische Verwundbarkeiten und Eintrittswahrscheinlichkeiten abzuschätzen. Durch eine regelmäßig wiederholte Risikoanalyse (z. B. im Rahmen der Sitzungen der Branchenarbeitskreise) sollen Risikotrends ermittelt werden.

Den vollständigen BSI-Lagebericht 2021 finden Sie hier.

Bilderstrecke: Das sind die beliebtesten Passwörter der Deutschen

Netzwerkkabel mit Kondom
Wie sichern die Deutschen die Zugänge zu ihren Computersystemen und -netzwerken ab? Dieser Frage geht das Hasso Plattner-Institut jährlich mit dem Ranking "Top 10 deutscher Passwörter" nach. Datengrundlage sind dieses Jahr 1,8 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2021 geleakt wurden.
Frau mit Smartphone entspannt
Das Leben ist ein ewiger Kampf gegen die Entropie: Denn bekanntlich strebt die Welt ja stetig dem Zustand maximaler Unordnung zu. Sich dem entgegen zu stellen, bedeutet Anstrengung. So auch beim Absichern von Computersystemen. Dass die Deutschen hier oft die Mühe scheuen, zeigt die jährlich vom Hasso Plattner Institut veröffentlichte Liste der beliebtesten Passwörter, die wir Ihnen hier präsentieren.
Zahlenkolonnen
Unter den Top 10 - soviel sei bereits mit Platz 10 verraten - finden sich auch diesmal wieder erstaunlich viele Zahlenreihen. Und zwar sauber sortiert in aufsteigender Reihung. Zunächst einmal "12345678" - damit zwar um 3 Stellen sicherer, als noch 2020 - aber für Hacker trotzdem kein Problem.
Brandenburger Tor in Berlin
Berlin ist arm, aber sexy - sagte einst der ehemalige Bürgermeister Klaus Wowereit. Als Passwort ist "berlin" armselig und uncool. Trotzdem nutzen so viele Computeranwender den 6-Zeichen-Stummel und wundern sich, wenn sie dann dereinst ein Bitcoin-Vermögen berappen müssen. Schamvoller Platz 9.
Basteln
Der Spieltrieb steckt nicht nur im Manne sondern dürfte geschlechtsübergreifend gleichverteilt sein. Wie "basteln" auf Platz 8 der beliebtesten Passwörter landen konnte, ist uns Redakteuren trotzdem schleierhaft. Wir wären ja eher für "grillen" zu haben...
Schatzkiste am Strand
Platz 7 ist etwas mehrdeutig: "schatz" könnte einerseits ein geliebter Mensch sein, oder aber der schnöde Mammon eines bärtigen Piraten. Wir haben uns für Letzteren entschieden, denn das ist es schließlich, worum es bei Ransomware-Angriffen geht.
QWERTZ Tastatur
Ok, jetzt kommt der Auftritt für alle Computer-Nutzer, die mehr als das Adler-Suchsystem beherrschen: Die 10-Finger-Schreibweise führt unweigerlich zum Passwort "qwertz" - Platz 6 der aktuellen Passwort-Charts!
Alter Computer mit Tastatur
Nicht einmal alphanumerisch ist das Passwort auf Platz 5 der Liste: "123456789" hat zwar eine Stelle mehr, als Platz 10, aber trotzdem kein wirksamer Schutz vor Hackern.
grüßende Frau in grünem Kleid
In 2020 noch auf Platz 15 jetzt bereits vorgerückt auf Platz 4: Zu den beliebtesten Passwörter der Deutschen gehört auch ein freundliches "hallo". Schließlich sollen sich Computer, User und auch Angreifer willkommen fühlen.
Leitrechner in einer Anlage
Ob "12345" ein gutes Passwort für industrielle Steuerungssysteme ist? Eher nein. Unter den 1,8 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers landete der Zahlenstring in 2021 auf Platz 3 - und dürfte deshalb auch den Zugriff auf den einen oder andreren Leitrechner ermöglichen.
Tastatur mit Passwort
Das naheliegende "passwort" hat es in diesem Jahr wieder auf Platz 2 geschafft - und zementiert in der aktuellen Top 10 des HPI eine besorgniserregende Entwicklung: Für die sowieso schon schlechten Kennwörter machen sich die User weder die Mühe, alphanumerische Kombinationen zu verwenden, noch Groß-klein-Schrift. Sicher geht anders.
Sträfling mit Zahlencode
And the winner is... "123456" - die lediglich sechsstellige Zahlenreihenfolge war 2021 und auch schon im Jahr davor das beliebteste Passwort der Deutschen. Solch sträflicher Leichtsinn erinnert an eine Ereigniskarte im Monopoly-Spiel: "Gehe in das Gefängnis, gehe direkt dorthin, gehe nicht über Los". Weitersagen!
Digitale Zahlen
Ok, damit wäre unsere Top 10 eigentlich zu Ende. Aber wie in jedem guten oder zumindest amüsanten Film wollen wir Ihnen auch hier die "Outtakes" nicht vorenthalten. Schließlich soll unsere Bildergalerie ja auch abschreckede Wirkung zeigen:
Mann mit Pflaster am Kopf
Unter die Top 10 hat es der "daniel" im Jahr 2021 nicht mehr geschafft - deshalb bleibt er diesmal außer Konkurrenz. Doch als Passwort wird er wohl immer noch genutzt werden - und das kann ins Auge gehen!
Mann schlafend vor PC
Ok, so wenig Phantasie wie bei der Verwendung von "Passwort" als Passwort lässt schon fast einen User im komatösen Zustand vermuten. Der Cyberkriminelle freut sich, dass er sich 2020 bereits beim 18. Versuch nach Zugang verschaffen konnte.
Muskelbepackter Mann
"alexander" ist nicht nur der Vorname eines antiken Herrschers, sondern war 2020 auch ein beliebtes Passwort (Platz 17). Allerdings kein besonders starkes.
Frau mit sonnen-förmiger Beleuchtung
Insgesamt offenbarte die Top 20-Liste der beliebtesten Passwörter eine durchaus optimistische Grundhaltung. So schafft es "sonnenschein" auf Platz 16.
sich spiegelndes Frauengesichtg
Wir wissen zwar nicht, wie "michelle" tatsächlich aussieht - und wahrscheinlich denken die Nutzer dieses Passworts an unterschiedliche Frauen oder den Beatles-Song, aber als sicheres Passwort taugt der Vorname nun wirklich nicht.
Totenschädel mit Still-Aufforderung
"killer" hatte es in 2020 auf den 13. Platz des HPI-Rankings geschafft. Dabei ist der Zugangsschutz alles andere als ein Mörder-Passwort.
Mann vor Tastatur mit fragendem Gesichtsausdruck
Ach ja, der Deutsche Michel - oder als Passwort "michael" - hatte es 2020 natürlich auch in die Liste geschafft: auf Platz 12.
Hochzeit
Auf Platz 6 war es 2020 romantisch: Ist es nicht wunderbar, wenn Menschen im Homeoffice jeden Morgen ihren Firmenserver via VPN-Tunnel mit "ichliebedich" kontaktieren?
Zahlenreihen mit Stift
Deutlich nüchterner zeigte sich in 2020 dagegen wiederum Platz 5: 12345678.
Frau grüßt
Huhu, hier bin ich nochmal, diesmal aber supersicher als "hallo123" - die Alphanumerik sollte es 2020 auf Platz 4 richten. Nicht wirklich!
Mann vor Bildschirmen nach Ransomware-Attacke
Wenn nur ein MItarbeiter seinen Firmen-Login mit "123456789"absichert, ist die Tür für einen Ransomware-Angriff sperrangelweit offen. Wobei an der Stelle natürlich die Frage ist, ob es nicht auch ein Verschulden der IT wäre, wenn sie so simple Zugangscodes zulässt.

Unternehmen

it sicherheit anlagentechnik automation digitalisierung cybersecurity software

Auch interessant