Cybersecurity: Lage der IT-Sicherheit 2019

Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben.

Es lässt sich wenig überraschend festhalten, dass gerade mit zunehmender und beschleunigter Digitalisierung die IT-Sicherheit an Bedeutung gewinnt. Dabei mehrt sich jedenfalls bei mir der Eindruck, dass der Staat ebenso blindwütig wie mit erheblichen finanziellen Mitteln auf der einen Seite die Digitalisierung vorantreibt – auf der anderen Seite gleichwohl aber die Förderung der IT-Sicherheit im (praktischen) Alltag vernachlässigt. Die so entstehende Schere gefährdet Unternehmen genauso wi Behörden.

BSI zur Lage der IT-Sicherheit in Deutschland 2019

Einen erheblichen Schwerpunkt der Cyber-Angriffe sieht das BSI weiterhin und steigend im Bereich des Cybercrime, wobei es hervorhebt: „Wie bereits in den Vorjahren sind Infektionen durch Schadprogramme eine der größten IT-Bedrohungen für Privatanwender, Unternehmen und Behörden.“ Das deckt sich mit meinen Eindrücken, wobei hier schlecht geschulte bzw. zu wenig sensibilisierte Mitarbeiter und schlecht gesicherte IT-Infrastruktur Hand in Hand gehen. Das BSI hebt hervor:

  • Eine im Berichtszeitraum besonders relevante Malware ist Emotet.
  • Darüber hinaus sind Identitätsdiebstähle an der Tagesord- nung, bei denen personenbezogene Daten in hoher Anzahl missbräuchlich durch Dritte genutzt werden.
  • Die Bedrohungslage durch Botnetze ist wie in den Vorjahren anhaltend hoch. Wie die aktuellen Entwicklungen zeigen, ist das Risiko, Teil eines Botnetzes zu werden, vor allem bei mobilen Endgeräten und IoT-Systemen hoch.
  • DDoS-Angriffsbandbreiten überschreiten immer wieder die Marke von 150 Gbit/s und erreichen Werte von bis zu 300 Gbit/s. Generell führt eine stetige Spezialisierung durch Anwendung neuer Angriffsvektoren, zielgerichtete Zusammensetzung von DDoS-Angriffen (Multivektor-Attacken), Einsatz neuer Angriffswerkzeuge (DDoS aus der Cloud) sowie von DDoS-Booterdiensten zu einer konstant angespannten DDoS-Bedrohungslage.
  • Interessant ist die Entwicklung bei Schadprogramm-Spam. Obwohl die Zahl derartiger E-Mails stark abnimmt, ver- bleibt das Bedrohungspotenzial nach wie vor auf einem hohen Niveau. Die Qualität und somit die Effektivität von Schadprogramm-Spam steigt weiterhin.

Es zeigt sich insgesamt ein Bild, in dem erkannt wurde, dass auf mangelnde IT-Sicherheit ausgerichteter Cybercrime ein Wirtschaftsfaktor ist – so lässt sich auch erklären, warum sich Gruppen mit Schadsoftware, Phishing und CEO-Fraud darauf konzentrieren, mehr personellen Aufwand zu betreiben, um nicht mehr durch Masse sondern durch Effizienz „zu überzeugen“. Während die Kriminellen längst wissen, wie viel Geld hier zu verdienen ist, haben weder Staat noch Wirtschaft verstanden, dass hier ein Wirtschaftsfaktor besteht, der erheblichen Schaden verursachen kann und angegangen werden muss.

Quelle: BSI Lagebericht 2019

Meine Einschätzung, auch unter Berücksichtigung der letzten Lagebrichte Cybercrime & Cybersecurity (die ich immer konstant mitliest) ist, dass wir noch lange nicht den Höhepunkt erreicht haben, sondern vielmehr im Aufsteigenden Bereich der statistischen Kurve sind.

Blick der Wirtschaft auf die IT-Sicherheit im Jahr 2019

Es gab zwei Beachtenswerte Umfragen im Umfeld der Privatwirtschaft im Jahr 2019 – einmal durch den BITKOM und dann durch die TÜV-Gruppe. Beides lässt tief blicken und verdeutlicht meine eigene Einschätzung weiter oben:

  • Bedrohungslage: Wenn man den Angriffsvektor weit bestimmt und auch den sachlichen Diebstahl (etwa von Hardware) mit einbezieht, kommt der BITKOM zu dem Ergebnis, dass 3 von 4 Unternehmen Opfer von Sabotage, Datendiebstahl oder Spionage wurden. Beim Bitkom kommt man schon jetzt auf eine Schadenssumme in Höhe von 102,9 Milliarden Euro – analoge und digitale Angriffe dabei zusammengenommen. Hier sieht man eine annähernde Verdopplung des Schadens in gerade einmal zwei Jahren, was man wohl als düsteren Ausblick verstehen darf, wenn nicht endlich mehr geschieht. Dabei müssen Unternehmen die (ehemaligen) Mitarbeiter als echte Gefahrenquelle einstufen und dieses Risiko berücksichtigen.
  • Notwendiges Umdenken: Beide, TÜV und BITKOM, äussern sich zum Status der IT-SIcherheit und kommen zu wenig überraschenden aber wichtigen Erkenntnissen – Mitarbeiter sind von umkomfortablen Maßnahmen genervt (wie etwa erzwungene Passwortwechsel in Zeitabständen), bei IT-Sicherheit muss die Benutzerfreundlichkeit berücksichtigt werden (TÜV). Die Wirtschaft ruft dabei einmal nach mehr staatliche Unterstützung (TÜV), etwa bei Zertifikaten – andererseits nach verbesserter Zusammenarbeit und Informationsaustausch (BITKOM).
QUELLE: Infografik des BITKOM, siehe https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-100-Milliarden-Euro-Schaden-pro-Jahr

Auch wenn grössere Unternehmen häufiger als kleinere Unternehmen angegriffen werden, so sollten auch kleinere Unternehmen nicht glauben, dass Sie ohne Maßnahmen auf der sicheren Seite stehen: Dringend notwendig sind wenigstens Basis-Absicherungen und Schulungen der Mitarbeiter. Gerade kleine Unternehmen bieten sich immer wieder für Angriffe an, da hier weniger Schutz besteht und erhebliche Wirtschaftliche Interessen im Hintergrund stehen. Dabei zeigt sich, das insgesamt und international der Einzelhandel immer stärker in den Fokus der Cyberkriminellen gerät.

Blick der Bürger auf die IT-Sicherheit im Jahr 2019

Auch was die Bürger angeht, zeigt sich ein klares Bild: Bereits jeder Vierte (24 %) in Deutschland war bereits Opfer von Kriminalität im Internet. Das ergab die Umfrage „Digitalbarometer 2019“ des BSI und der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Es handelte sich um die erste Erhebung dieser Art, die offenbart, wie gefährdet auch der Private Nutzer ist – der durchaus auch die Bedrohungslage wahrnimmt. Das erschreckende ist, dass gerade junge Menschen häufiger Opfer sind:

Das Informationsverhalten der Nutzerinnen und Nutzer kann das Risiko erhöhen, Opfer von Betrug und anderen Straftaten im Internet zu werden. Nur ein Drittel (31 %) informiert sich regelmäßig über Internetsicherheit, die meisten hingegen nur im Problemfall. Dies ist oft auch eine Altersfrage: Fast die Hälfte aller 60- bis 66-Jährigen setzt Empfehlungen sofort um (49 %), während es bei den 16- bis 29-Jährigen etwa jeder Vierte (26 %) ist. Das führt dazu, dass jüngere Befragte häufiger mehrfach Opfer von Kriminalität im Zusammenhang mit dem Internet wurden.

PM des BSI zum Digitalbarometer 2019
Quelle: BSI zum Digitalbarometer 2019

Fazit zur Cybersecurity-Lage 2019

Ich sehe einen sehr düsteren Ausblick: Der Staat verschläft seit Jahren wichtige Schritte im Bereich der Schaffung von Standards und Förderung von Maßnahmen. Gleichzeitig übersehen Unternehmen mit abnehmender Grösse die Bedeutung der IT-Sicherheit – sowohl was die eigene wirtschaftliche Existenz, aber eben auch eigene Haftung gegenüber Vertragspartnern und Endabnehmern angeht. Es mangelt aus meiner Sicht einmal an Schulungen von Mitarbeitern in Unternehmen und Behörden selbst bei Basics wie dem Umgang mit Mail-Anhängen, Downloads und externen Datenträgern; andererseits mangelt es an der Erkenntnis der Notwendigkeit eines IT-Sicherheitskonzepts auch für kleine KMU, die teilweise ohne Sicherheitskonzept die gesamte interne Netzwerk-Infrastruktur ans Internet hängen.

Die Digitalisierung schreitet dabei voran, bereits 19% der Unternehmen erklären, Cloud-Dienste zu nutzen, wobei sich die Frage aufdrängt, wie viele Unternehmen dies tun ohne es zu wissen. Da seit Jahren eine zunehmende und sich im Jahr 2019 wohl weiter verschärfende Bedrohungslage ergibt, dürfte man damit rechnen müssen, dass in den nächsten Jahren eine weitere Verschärfung entsteht – wir stehen vor der Zuspitzung der Problematik und noch lange nicht im Bereich einer Entspannung. Uns stehen harte Jahre sicherlich noch bevor.

Fachanwalt für IT-Recht Jens Ferner