Lagebericht zur IT-Sicherheit "Besorgniseregende" Bedrohungslage im Internet
Immer aggressiver greifen Hacker die IT-Infrastruktur an. Oft sind die Attacken politisch motiviert, warnt die Cyberbehörde des Bundes in ihrem neuen Bericht. Auch Erpressungen mit gestohlenen Daten nehmen zu.
Am 19. Juli 2024 kann in Krankenhäusern nicht operiert werden, an Flughäfen bleiben die Maschinen auf dem Boden, Lebensmittelläden müssen schließen. Der Grund ist ein fehlerhaftes Software-Update der IT-Sicherheitsfirma Crowdstrike. Die Folgen sind weltweit zu spüren.
"Es handelte sich dabei nicht um einen Cyberangriff, sondern 'nur' um einen operativen Fehler", erinnert die Präsidentin des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, in ihrem diesjährigen Lagebericht zur IT-Sicherheit.
Zu solchem menschlichen Versagen kommen Angriffe unterschiedlicher Akteure hinzu. Auf Letztere konzentriert sich das BSI in seinem Bericht und spart dabei nicht mit Adjektiven: Die Bedrohungslage sei "besorgniserregend", entwickle sich "rasant". Die Folgen seien "gravierend", die Schäden "beträchtlich". Die Zahl der Angriffe steige "immens".
Es zeige sich, dass geopolitische und zwischenstaatliche Konflikte wie der russische Krieg gegen die Ukraine und der Gaza-Krieg mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen.
Spionage und Sabotage
Im Berichtszeitraum hat das BSI 22 aktive APT-Gruppen in Deutschland erfasst. Die Abkürzung APT steht für "Advanced Persistent Threat" - gut ausgebildete, typischerweise staatlich gesteuerte Akteure greifen zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg gezielt ein Netz oder System an.
In ihrem Fokus: Behörden der auswärtigen Angelegenheiten, der Verteidigung und der öffentlichen Sicherheit und Ordnung. Auch Unternehmen aus diesem Bereich.
Eine solche Gruppe schrieben Deutschland und europäische Partner im Mai dem russischen Staat zu. Demnach war die Gruppe APT28 verantwortlich für einen Hackerangriff auf E-Mailkonten der SPD-Parteizentrale und Unternehmen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt und IT-Dienstleister.
In anderen europäischen Ländern waren auch Betreiber kritischer Infrastruktur, wie zum Beispiel Energieversorger, betroffen. APT28 wird dem russischen Militärgeheimdienst zugeordnet. Die Sicherheitsbehörden zählen die Hackergruppe zu den "aktivsten und gefährlichsten weltweit".
Kurz darauf wurde ein Cyberangriff auf das Netzwerk der CDU öffentlich. Es war nach den Worten von Parteichef Friedrich Merz "der schwerste Angriff auf eine IT-Struktur, die jemals eine politische Partei in Deutschland erlebt hat". Die Sicherheitsbehörden konnten bislang nicht eindeutig zuordnen, wer dahinter steckt.
Angriffe auf politische Akteure
"Gezielte Cyberattacken gegen staatliche wie politische Institutionen und KI-geboostete Desinformationskampagnen werten wir als Angriffe auf unsere Demokratie", sagt Plattner.
Bereits mit Blick auf die Europa-, Landtags- und Kommunalwahlen 2024 warnte das BSI vor Einflussnahme auf den Wahlprozess und auf die öffentliche Meinungsbildung. Dabei gehe es darum, gezielt die Legitimität der Wahlen in Zweifel zu ziehen und das Vertrauen in den demokratischen Prozess und die Institutionen zu schwächen.
Etwa mit sogenannten "Hack-and-Leak"-Kampagnen gegen Parteien. Dabei werden E-Mails und Dokumente gestohlen und dann - teilweise manipuliert - veröffentlicht. Hinzu kämen Angriffsversuche auf Webseiten und Server, auf denen Wählerdaten liegen.
Vermehrte DDoS-Angriffe
Die Strategie des BSI gegen solche Angriffe: Die Technik sicher machen, die Nutzung von Multi-Faktor-Authentifizierung, aber auch Wahlbehörden, Parteien, Kandidaten und Mandatsträger sensibilisieren.
Alarmiert zeigt sich das BSI auch wegen einer Zunahme von DDoS-Angriffen (Distributed Denial of Service). Dabei werden Systeme mutwillig überlastet, sodass sie nicht mehr zu erreichen sind. Im ersten Halbjahr 2024 hätten Qualität und Häufigkeit solcher Angriffe deutlich zugenommen.
Solche Überlastangriffe würden insbesondere von Unterstützern des russischen Angriffskrieges genutzt, um Propagandaeffekte zu erzielen, sagt BSI-Präsidentin Plattner.
Erpressung wird zum Massengeschäft
Neben politisch motivierten Angriffen entwickle sich die klassische Erpressung mit gestohlenen Daten zu einem Massengeschäft. Cyberkriminelle professionalisierten ihre Arbeitsweise, heißt es in dem Bericht. Sie seien technisch auf dem neusten Stand und agierten aggressiv.
Neben umsatzstarken Großunternehmen würden zunehmend kleine und mittlere Unternehmen zu Opfern. Im Fokus stünden IT-Dienstleister, aber auch Kommunen, Universitäten und Forschungseinrichtungen. Kriminelle suchten sich tendenziell die Opfer aus, die am einfachsten anzugreifen seien.
Die Höhe der erpressten Lösegelder sei weiter gestiegen - auf weltweit 1,1 Milliarden US-Dollar. Wobei die Behörden davon ausgehen, dass die Dunkelziffer sehr viel höher ist.
Hinzukommen teils monatelange Ausfallzeiten. Bei Kommunen führt das etwa dazu, dass Bürger- und Elterngeld nicht ausgezahlt werden können, Kfz-Zulassungen nicht möglich sind, Melde- oder Bauämter nur eingeschränkt arbeiten können. "Es ist unabdingbar, dass wir uns, dass Kommunen und Unternehmen sich selbst besser schützen", so Plattner.
Strengere Regeln für Cybersicherheit auf der Kippe
Betreiber kritischer Infrastrukturen sind bereits gesetzlich dazu verpflichtet, bestimmte Maßnahmen zur Prävention und Bewältigung von Cyberangriffen zu treffen. Ihre Resilienz bewege sich mittlerweile auf einem mittleren Niveau - ein "leicht positiver Trend".
Eigentlich sollten diese Pflichten auf weitere Unternehmen ausgeweitet werden. Im Vorwort des Lageberichts schreibt Bundesinnenministerin Nancy Faeser: "Im Jahr 2024 wurde das deutsche IT-Sicherheitsrecht umfassend modernisiert und neu strukturiert." Doch die SPD-Politikerin ist der Realität damit voraus.
Die nämlich sieht so aus: Die geplanten strengeren Regeln für mehr Cybersicherheit in Unternehmen und Institutionen, das sogenannte NIS2-Umsetzungsgesetz, haben es zwar noch durch die erste Lesung im Bundestag und in den Innenausschuss geschafft. Wie es nach dem Aus der Ampel-Regierung nun damit weitergeht, ob der Bundestag das Gesetz endgültig beschließen wird, ist aber unklar.
Gar nicht erst so weit gekommen ist das Vorhaben, das BSI zu einer Zentralstelle nach dem Vorbild des Bundeskriminalamts auszubauen. BSI-Präsidentin wie Bundesinnenministerin hatten bei jeder Gelegenheit betont, wie wichtig das sei, um im Fall von Cyberangriffen, die gleichzeitig bundesweit an unterschiedlichen Orten auftreten, sofort handeln zu können, ohne über Zuständigkeiten diskutieren zu müssen.
Doch dafür hätte es einer Grundgesetzänderung bedurft, also Zweidrittelmehrheiten in Bundestag und Bundesrat. Dass das klappen könnte, danach sah es auch schon vor der Regierungskrise nicht aus. Insbesondere einige größere, unionsgeführte Bundesländer waren dagegen, weil sie einen Kompetenzverlust befürchteten.