Cyber-Sicherheit: aktuelle Lage und Herausforderungen

Die IT ist aus unserem Alltag nicht mehr wegzudenken: Sie durchdringt alle Lebensbereiche und ist Bestandteil wesentlicher (Geschäfts-)Prozesse.

Die Durchdringung ist so weit fortgeschritten, dass die administrative Handlungsfähigkeit und die wirtschaftliche Leistungsfähigkeit von einer gut funktionierenden und sicheren IT abhängen. Drei weitere Faktoren haben die Bedeutung der IT-Sicherheit in unserer Gesellschaft maßgeblich gesteigert: Die hohe Komplexität macht für viele Nutzer ihre IT schwerer überschaubar.

Eine fast durchgängige Vernetzung verbindet fast alle IT mit dem Internet.

Angreifer mit krimineller Motivation oder Spionagemotivation haben das Potenzial des Internets und der IT für sich entdeckt.

Aktuelle Lage

Organisierte Kriminelle aber auch Nachrichtendienste führen heute hoch professionelle IT-Angriffe auf Firmen, Behörden und auch auf Privatpersonen durch. Die Attraktivität bzw. Motivation für Cyber-Angriffe lässt sich wie folgt zusammenfassen: Neben einer Vielzahl potenzieller Angriffsziele (alles mit Verbindung zum Internet ist attackierbar) bietet das Internet einen hohen Grad an Anonymität (geringes Ent­deckungsrisiko) sowie Aussicht auf große finanzielle Gewinne bzw. Informationsgewinne.

Längst haben Hacker für ihre Dienste einen Markt etabliert und die „Verdienstmöglichkeiten“ für Internetkriminelle verbessert. Ein Botnetz mit 10.000 Bot-PCs lässt sich beispielsweise für rund 200 US-Dollar pro Tag mieten. Da Botnetze auch aus mehreren Millionen PCs bestehen können, lässt sich das monetäre Potenzial hinter solchen Internetangriffen nur erahnen. Bei den Angriffen lassen sich drei Arten von unterschiedlichem Niveau unterscheiden:

  1. Massenphänomene, die auf Verfügbarkeit und Sabotage zielen und jeden treffen.
  2. Gezielte Angriffe, die auf Vertraulichkeit und ebenfalls Spionage zielen, um Information und Wissen zu erlangen und auf spezielle Gruppen zugeschnitten sind.
  3. Skalpellartige Angriffe, die auf Manipulation zielen, sich gegen individuell ausgesuchte, insbesondere kritische Ziele richten und hochwertig sind.

Ein Beispiel für einen skalpellartigen Angriff ist Stuxnet, eine Schadsoftware, die in einem ausgefeilten System von bisher nicht gekanntem Ausmaß darauf angelegt ist, gezielt Steuerungssoftware in Industrieanlagen zu schädigen. Das im Juli 2010 entdeckte Schadprogramm ist dabei weniger in seiner Eigenschaft als konkrete Schadsoftware an sich alarmierend, sondern vielmehr der Beweis, dass Angriffe solcher Qualität realisiert werden können und dass Täter weder außerordentliche Kosten noch Mühen scheuen, um aus ihrer Sicht wichtige Ziele anzugreifen. Für ihre Attacken nutzen Angreifer derzeit insbesondere Schwachstellen in Betriebssystemen, Sicherheitslücken in Anwendungsprogrammen und Soft­warekomponenten von Drittanbietern aus. Aber auch die Anzahl neuer Schadprogramme nimmt weiterhin sehr stark zu. So lassen sich täglich rund 20.000 infizierte Webseiten, ca. 60.000 neue Schadprogramme und ca. 13 Schwachstellen in Standardprogrammen feststellen.

Herausforderungen

Die Methoden der Angreifer werden immer raffinierter und die Abwehr von Angriffen erfordert einen immer höheren Aufwand, da die Wirksamkeit von Standardsicherheitsmaßnahmen sinkt. Um Informationsinfrastrukturen erfolgreich vor Angriffen schützen zu können, müssen deswegen Prävention, Frühwarnung und Reaktion unmittelbar ineinander übergreifen. Mit der am 23. Februar 2011 beschlossenen Cyber-Sicherheitsstrategie für Deutschland verfolgt die Bundesregierung das Ziel, Cyber-Sicherheit in Deutschland auf einem hohen Niveau zu gewährleisten, ohne dabei die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen. Die Strategie setzt zum einen darauf, bisherige Maßnahmen für Bund, Wirtschaft und Bürger zu stärken und zu intensivieren (z. B. CERT-Bund, Umsetzungsplan KRITIS, BSI für Bürger). Zum anderen gibt sie Impulse für weitere Maßnahmen. Hierzu gehört insbesondere der Aufbau des nationalen Cyber-Abwehrzentrums. Der Aufbau unterstreicht einerseits die Handlungsnotwendigkeit nach dem Vorfall Stuxnet: denn Angriffsmechanismen wie bei Stuxnet orientieren sich nicht an der Aufgabenteilung bzw. an den Zuständigkeiten von Behörden. Andererseits wird auch noch einmal verdeutlicht: es bedarf einer engen Kooperation mit Herstellern, Providern und Anwendern, denn Cybersicherheit ist eine gemeinsame Herausforderung für Staat, Wirtschaft und Bürger. Eine enge Zusammenarbeit gilt es auch bei den weiteren, zunehmenden bzw. künftigen Herausforderungen zu etablieren. Durch die rasche Verbreitung mobiler Kommunikationsmittel wie Smartphones, Netbooks oder Tablet-PCs wird die Angriffsfläche für Cyber-Kriminelle erheblich vergrößert. Unterstellt man Internetangriffen ein finanziell lohnendes Geschäftspotenzial bei vergleichsweise geringem Risiko einer Bestrafung, ist es wahrscheinlich, dass Angriffe künftig noch zunehmen. Auch bei Trends wie Cloud Computing oder Smart Grids/Smart Meter stehen wir vor neuen IT-Sicherheitsherausforderungen, die wir bereits heute angehen müssen, um die Cyber-Sicherheit in Deutschland weiter auf einem hohen Niveau gewährleisten zu können.

Anschrift des Verfassers:

Flätgen_RGB_webHorst Flätgen
Vizepräsident
Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 185 – 189
53175 Bonn
Tel.: 0228 / 99 9582-0
Fax: 0228 / 99 9582-5400
www.bsi.bund.de

 

Horst Flätgen

Seit 16. November 2009: Vizepräsident beim BSI
2004 – 2009: Direktor beim Bundesverwaltungsamt
1999 – 2009: Leiter der Zentralabteilung, zuständig für zentrale Steuerungsaufgaben: Haushalt, Personal, Organisation und Informationstechnik.
1993 – 1999: Referent, Referatsleiter, Referatsgruppenleiter in der Zentralabteilung des Bundesverwaltungsamts in den Bereichen Haushalt, Personal, Organisation, Informationstechnik
1990- 1993: Aufstiegsverfahren in den höheren Dienst
1989 -1990: Sachbearbeiter im Organisationsreferat und Grundsatzreferat für die Aufnahme, Verteilung und Eingliederung von Spätaussiedlern
1982 – 1990: Auslandstätigkeit als Ausbildungsleiter für Verwaltungsleiter an Deutschen Schulen
1978 – 1982: Sachbearbeiter in der Zentralabteilung des Bundesverwaltungsamtes
1975 – 1978: Ausbildung für den gehobenen Dienst