Cybersicherheit und BSI auf dem Tiefpunkt

Die größte Neuigkeit steht nicht im BSI Lagebericht 2022. Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist selbst in die Schlagzeilen geraten, nachdem Innenministerin Nancy Faeser dem bisherigen Präsidenten Schönbohm die Fortführung der Amtsgeschäfte untersagte, wogegen dieser nun gerichtlich vorgeht. Eine juristische Auseinandersetzung zwischen dem Ex-Chef einer Sicherheitsbehörde und dem Bundesinnenministerium (BMI ) ist in Deutschland bislang ohne Beispiel. Für die extrem ungewöhnliche Entscheidung wurde keine exakte Begründung kommuniziert. Vorausgegangen war ein Bericht einer ZDF Satiresendung. Hier wurden Verbindungen Schönbohms zu einem privaten Lobby-Verein enthüllt.

Der ganze Vorgang ist wenig geeignet, jenes Vertrauen zu erzeugen, ohne das sinnvolle Arbeit zum Wohle der IT-Sicherheit schlicht nicht möglich ist. Im BSI wertet man den Vorgang als Schlag gegen die im Koalitionsvertrag vereinbarte größere Unabhängigkeit des BSI vom Innenministerium. Bislang ist das BSI formal eine nachgeordnete Behörde des Bundesinnenministeriums (BMI). Es handelt somit weisungsgebunden. Dabei soll es nach dem Willen der SPD auch bleiben. Der SPD-Innenpolitiker Sebastian Hartmann stellt die im Koalitionsvertrag vereinbarte stärkere Unabhängigkeit des BSI in Frage. Nicht der geschasste Präsident Schönbohm, sondern BSI-Vizepräsident Gerhard Schabhüser durfte nun das Vorwort des Berichts verfassen. Schönbohm ist im Bericht trotzdem vertreten. Er tauscht mit einem BSI Mitarbeiter seine Gesichtszüge. Ein Beispiel für die zunehmende Bedrohung durch Faceswap-Apps. So können Menschen durch gefälschte Bilder oder Videos erpresst oder lächerlich gemacht werden.

Schönbohm wird auch erwähnt, wie er einem Geschäftsführer das IT-Sicherheitskennzeichen überreicht. Neben dem Aufbau von neuen BSI Standorten und größeren Personalressourcen, war das Sicherheitskennzeichen ein Herzensanliegen des Ex-Präsidenten. Das Kennzeichen soll Verbraucher informieren und zum Erwerb sicherer Software animieren. Die Kombination aus Nachrichtendienst, der gleichzeitig die Opfer der Cyberangriffen berät und unterstützt, zudem Vorschläge für bessere Software und sichere Verschlüsselung erarbeitet und gleichzeitig den Endverbraucher berät, weckte allerdings auch Neider.  

Wenig verwunderlich steigt die Bedrohungslage weiter an, denn alle „alten“ Bedrohungen, wie jahrzehntealte Viren und Würmer, finden auch heute noch ungeschützte Opfer. Doch diese Art von Malware ist aus der Mode gekommen. Die Angreifer suchen den direkten Weg in die Firmennetze. Das BSI beobachtet verstärkt Angriffe auf Router sowie deren Firewalls. Diese sollten externe Angriffe eigentlich blockieren. Versuche, diese elektronischen Burgmauern zu durchbrechen, sind fast so alt wie die Firewall selbst. Nun scheinen aber finanziell gut ausgestattete Angreifer lohnende Ziele über diesen Zugang anzugreifen.

Aber auch zunächst wenig attraktiv erscheinende Ziele wurden im letzten Jahr Opfer von Angriffen. So war der Landkreise Anhalt-Bitterfeld  ein halbes Jahr lang nicht in der Lage, seinen Aufgaben nachzukommen. Es wurde der Katastrophenfall ausgerufen. Ein in Deutschland beispielloser Vorgang. Vorausgegangen war ein Angriff mittels der Erpressersoftware Grief Das BSI schickte seine Spezialisten zur Hilfe. Eine wirkliche Abwehr gegen Ransomware existiert bislang aber nicht.

Der Trend, verstärkt Cloudanbieter als Rechenzentrum zu nutzen bringt zusätzliche Gefahren mit sich. So berichtet das BSI über einen Fall, bei dem ein kompromittierter Cloudanbieter Ransomware an die Kundensysteme verteilte und sie auf deren Systemen installiert habe. In einem anderen Fall wurden Zugangsberechtigungen unter den Kunden vertauscht. Eine deutliche Mahnung, welche Risiken die „preiswerte“ Cloud bieten kann. In einem anderen Fall brannte ein Cloudanbieter ab. Gleich mehrere Kunden verloren nicht nur ihr Rechenzentrum, sondern auch ihre Daten. Ähnlich wie viele Kommunen verfügt auch die mittelständische Wirtschaft oft nicht über erprobte Strategien für den Fall eines Totalausfalls seiner Rechenzentren.

Ist die Lage der IT-Sicherheit in Zeiten von Ransomware schon angespannt genug, wurde sie seit Anfang des Jahres noch prekärer. Der Krieg in der Ukraine hat auch Auswirkungen auf das Sicherheitsgeschehen in Deutschland. Dort versuchten Angreifer industrielle Steuersysteme von Umspannwerken durch das Angriffswerkzeug  Industroyer2 zu schädigen, um so das Stromnetz kollabieren zu lassen. Solche Angriffe könnten sich nach Meinung des BSI  auch gegen deutsche Kritische Infrastruktur (KRITIS) richten. Die Geschichte von Stuxnet, einst entwickelt um das Iranische Atomprogramm zu sabotieren, beweist, dass Malware sich immer neue Opfer sucht, wenn sie einmal in Umlauf gebracht wurde.  Da das ukrainische Stromnetz seit März 2022 an das europäische Stromnetz angeschlossen ist, wären auch weitere Staaten betroffen gewesen, wäre der Schädling nicht rechtzeitig entdeckt worden. Über Schäden wurde nichts bekannt. Ganz anders in Costa Rica. Im Mai wurde erstmals ein ganzer Staat Opfer eines Cyberangriffs. Ausgerechnet beim Amtsantritt des neuen Präsidenten musste der Staat den Notstand ausrufen, weil die IT zusammengebrochen war. Ob es sich dabei um eine Demonstration von Fähigkeiten oder einen Erpressungsversuch handelte, lässt das BSI offen. Pro-russische Hacker haben mehrfach versucht, zu Gunsten Russlands in die IT anderer Staaten einzugreifen, teilweise auch zum Zwecke der Machtdemonstration.

Russischen Hackern wird ein Angriff auf das KA-SAT-Satellitennetzwerks zugeschrieben.  Es dient unter anderem zur Kommunikation mit industriellen Anlagen. Nach einem Angriff auf die VPN-Verbindung gelang es laut BSI den Angreifern, die Modems der Empfangsanlagen zu stören und teilweise unbrauchbar zu machen. 5800 Windenergieanlagen konnten anschließend nicht mehr per Satellit gewartet werden. Das BSI wertet den Vorgang als ersten Kollateralschaden des Krieges in Deutschland. Ein weiterer Angriff richtete sich gegen die Mineralölversorgung deutscher Tankstellen. Opfer war diesmal allerdings mit Rosnef ein Tochterunternehmen eines russischen Staatskonzerns. Die vermutlich mit der Ukraine sympathisierenden Angreifer kompromittierten die gesamte IT des Unternehmens, das über längere Zeit nur im Notbetrieb arbeiten konnte. Auf Grund der Sanktionen konnten externe Dienstleister erst mit Verzögerung und nach Klärung der Rechtslage helfen.

Unternehmen der kritischen Infrastruktur sind zur Meldung von IT-Problemen verpflichtet. Insgesamt 452 solcher Meldungen erhielt das BSI von zur Meldung verpflichteten Unternehmen zwischen Juni 2021 und Mai 2022. Darunter alleine 82 im sensiblen Bereich Energie. Oft verursacht durch Mängel der dort installierten Informationssicherheits-Management (ISMS) Systeme.

Im Juli 2021 gelang es Angreifern in mehreren Staaten die Lieferketten über mehrere Tage zu stören. Die betroffenen Unternehmen verwendeten einen beliebten Virtual System Administrator (VSA) als Rückgrat ihrer Warenwirtschaftssysteme. Als der VSA mit der Ransomware Revil infiziert wurde, führte dies zu tagelangen Verzögerungen in den Lieferketten der betroffenen Unternehmen. Das BSI beobachte die Situation “intensiv”. Eine umfassende Lösung existiert bis heute nicht. 

Inzwischen liegen erste Erfahrungen mit dem Meldeformular für gefundene Schwachstellen ”Coordinated Vulnerability Disclosure (CVD)” vor.  Das formalisierte Meldeverfahren wurde 2021 allerdings nur 139 Mal genutzt. Angesichts der vermutlich deutlich höheren Anzahl von Schwachstellen, existiert hier bei der Akzeptanz der Nutzer noch Luft nach oben. 

Nancy Faeser, die seit einem Jahr als Bundesinnenministerin über das BSI, aber auch das Bundeskriminalamt und den für Spionageabwehr zuständigen Verfassungsschutz wacht, will die "Abwehrfähigkeiten gegen Cyber-Angriffe" verbessern. Offen bleibt, wie dieser Wunsch  technisch umzusetzen ist. Der Lagebericht war erst wenige Tage alt, als in Großbritannien ein möglicher Skandal über das gehackte Iphone der kurzzeitigen Premierministerin Liz Truss die Runde machte. Sensible Daten sollen abgeflossen sein. Ein Mobiltelefon ist eben kein abhörsicherer Raum, sondern eher ein Informant mit langem Gedächtnis.

Bernd Schöne, freier Mitarbeiter PROTECTOR