Die IT-Sicherheitslage in Deutschland bleibt auf angespanntem Niveau. Dies belegt der Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der Cybersicherheitsbehörde des Landes. Warum ist das der Fall – und welche Folgen hat dies für Userinnen und User sowie Unternehmen?
Der aktuelle Sicherheitsbericht des BSI fokussiert sich auf den Zeitraum von Sommer 2024 bis Sommer 2025. Die Ergebnisse fallen ernüchternd aus: Viele Behörden, Unternehmen und andere Organisationen machten es Angreifer:innen aus der digitalen Sphäre nach wie vor zu leicht, sodass diese mit vergleichsweise geringem Aufwand und einfachen Mitteln weiterhin großen Schaden anrichten konnten. Denn die Angreifenden gingen vermehrt den Weg des geringsten Widerstandes und suchten sich jene Ziele aus, die am leichtesten angreifbar waren, das heißt, deren Angriffsflächen das niedrigste Schutzniveau aufwiesen. Das betraf insbesondere kleine und mittlere Unternehmen sowie Institutionen des politischen und vorpolitischen Raums, deren Web-Angriffsflächen nicht ausreichend geschützt waren.
Das ist deshalb bedenklich, weil gemäß BSI-Bericht das Kosten-Nutzen-Kalkül cyberkrimineller Angreifer:innen keine per se »uninteressanten« Ziele mehr kennt, bei denen vermeintlich »nichts zu holen« wäre. Vielmehr sei jede im Internet erreichbare Institution oder Person prinzipiell bedroht, jede und jeder stelle ein interessantes Ziel dar. Im aktuellen Berichtszeitraum führte dies unter anderem dazu, dass Schwachstellen zunehmend ausgenutzt (Exploitation) und mehr Daten exfiltriert und veröffentlicht wurden (Datenleaks). Eine gesamtgesellschaftliche Steigerung der Präventionsfähigkeiten durch ein wirksames Angriffsflächenmanagement aufseiten der Verteidiger ist daher das Gebot der Stunde.
Die Resilienz der kritischen Infrastrukturen wächst langsam, aber stetig.
Bedrohungslage: Stabilisierung auf hohem Niveau
Im Cybercrime-Bereich führten internationale Strafverfolgungsmaßnahmen zu einer Stabilisierung der Bedrohungslage. Zwei vormals sehr aktive Angreifergruppen haben ihre Aktivitäten nahezu vollständig eingestellt. Demgegenüber war im Kontext geopolitischer Konflikte eine Zunahme an Aktivitäten in den betreffenden Regionen zu verzeichnen. Zudem wurden im aktuellen Berichtszeitraum neue Angriffsinfrastrukturen bekannt. Insbesondere zwei neue, große IoT-Botnetze fielen durch Schadsoftware auf, die bereits im Produktionsprozess auf die Geräte gelangt war. Da die Geräte bereits vorinfiziert in den Handel kamen und auch nicht nachträglich bereinigt werden konnten, gab es für Nutzende keine wirksamen Gegenmaßnahmen. Betroffen waren rund 40 000 IoT-Geräte.
Mehr Daten geleakt
Die Zahl der angezeigten Ransomware-Angriffe blieb nach Erkenntnissen des Bundeskriminalamts mit 950 weitgehend unverändert. Cyberkriminelle setzten dabei erfolgreiche Angriffsstrategien der letzten Jahre fort. So wurden nicht nur immer mehr kleine und mittlere Unternehmen angegriffen (80 Prozent der angezeigten Angriffe). Die Angriffe führten in den meisten Fällen auch zu Datenleaks (bzw. deren Androhung), gegen die es aufseiten der Geschädigten keine Bewältigungsstrategien gibt. Back-ups bleiben essenziell gegen Ransomware, helfen aber nicht gegen Datenleaks. Zudem erpressen Angreifer:innen auch immer häufiger mit Daten, die sie aus unzureichend gesicherten Datenbanken oder aus schwachstellenbehafteten Systemen im Internet exfiltrieren. Auch hier helfen nur wirksame Präventivmaßnahmen im Rahmen eines strukturierten Angriffsflächenmanagements. Angriffe per E-Mail gingen hingegen spürbar zurück. Hintergrund dürfte unter anderem die weitere Verlagerung von digitaler Kommunikation auf andere Kanäle wie etwa Social Media oder Messenger sein, die Angreifer:innen ebenfalls seit Jahren zunehmend für die Verteilung von Malware- oder Phishingmails nutzen. Das Angriffsflächenmanagement vielfältiger digitaler Kommunikationswege stellt eine besondere Herausforderung dar.
Vielen mangelt es nicht nur an Wissen und Fähigkeiten zur IT-Sicherheit, sondern bereits an der grundlegenden Einsicht, dass sie sehr wohl ein lohnendes Ziel für Cyberangriffe darstellen.
Digitale Sorglosigkeit verbreitet sich
»Passwort« oder »123456«. Wer heutzutage noch mit solchen Passwörtern den Zutritt zum eigenen System »schützt«, sollte schnell umdenken. Wie der BSI-Bericht leider aufzeigt, sind die Verwendung und das Management von sicheren Passwörtern in Deutschland noch immer verbesserungsfähig. Um dieser Entwicklung entgegenzuwirken, empfiehlt das BSI den Einsatz von Passkeys, sprich »kryptografischen Schlüsselpaaren«, die zum Beispiel unkompliziert mittels Fingerabdrucks freigegeben werden können.
Immerhin: Die Resilienz der kritischen Infrastrukturen wächst langsam, aber stetig. Immer mehr Betreiber erfüllen inzwischen die Mindestanforderungen (Reifegrad 3), es zeigen sich jedoch noch deutliche Abstufungen zwischen den Präventions-, Verteidigungs- und Bewältigungsfähigkeiten. Während rund 80 Prozent der Betreiber bereits ein Informationssicherheitsmanagementsystem (ISMS) mit einem Reifegrad von mindestens 3 führten, lag der Anteil bei Business-Continuity-Management-Systemen mit knapp zwei Dritteln deutlich darunter.
Viele KMU nicht ausreichend sicher
Gemäß BSI bleibt vor allem die flächendeckende Resilienz der kleinen und mittleren Unternehmen (KMU) in Deutschland eine große Herausforderung. Vielen mangelt es nicht nur an Wissen und Fähigkeiten zur IT-Sicherheit, sondern bereits an der grundlegenden Einsicht, dass sie sehr wohl ein lohnendes Ziel für Cyberangriffe darstellen. Hintergrund dürfte eine grundlegende Fehleinschätzung der Bedrohungs- und Gefährdungslage sein: Für cyberkriminelle Angreifer:innen sind weder Umsatz noch Branche ausschlaggebende Kriterien der Zielauswahl, sondern der Aufwand für den Angriff muss in einem günstigen Verhältnis zum erwarteten Nutzen stehen. Und dieser Aufwand steigt, je besser potenzielle Ziele geschützt sind. Angreifer:innen suchen daher gezielt nach den verwundbarsten Angriffsflächen, denn auch Angriffe gerade auf kleine und Kleinstunternehmen lohnen sich, wenn der Aufwand vergleichsweise gering ist. Ziel für alle KMU muss es also sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Einen Einstieg in die Verbesserung der Cyberresilienz für KMU bietet der CyberRisikoCheck auf Basis der eigens entwickelten DIN SPEC 27076.
Schreibe einen Kommentar