26.10.2018

Aktueller Lagebericht zur IT-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Auszug:

Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktions-weise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden.

Von den verschiedenen Angriffsarten fanden Malware- Infektionen am häufigsten statt. Knapp 57 Prozent der berichteten Angriffe waren Infektionen, bei denen Schad-programme in betriebliche IT-Systeme eindrangen, um schädliche Operationen auszuführen. Hacking-Angriffe, wie beispielsweise die Sabotage von industriellen Steuerungssystemen, Datendiebstahl oder die Manipulation von Internet-Auftritten, machten 19 Prozent, DDoS-Attacken, die durch Überlastung zum Ausfall von Webseiten und anderen Netzinfrastrukturen führen, machten 18 Prozent der erfolgreichen Angriffe aus.

Produktionssysteme sind im letzten Jahr häufig Opfer von ungezielten Angriffen gewesen. Vielfach wurden Bedienstationen oder andere Steuerungskomponenten von Ransomware befallen. Dies kommt oft vor und ist nicht spezifisch für Industrial Control Systems (ICS), führte aber gleichwohl zu zum Teil mehrwöchigen Ausfällen der entsprechenden Produktionsanlagen. Eintrittsvektor war meistens, wie auch in Office-Umgebungen, eine Phishing-Mail oder ein Wechseldatenträger. Zudem gab es auch Fälle, in denen eine Ausbreitung über fehlerhaft konfigurierte Fernwartungssysteme stattgefunden hat. Die Schadsoftware nutzt bekannte Schwachstellen in veralteter Software und unzureichende Segmentierung zwischen Office-IT und Produktionsnetzen bzw. inner-halb der Produktionsnetze, um sich auszubreiten. Diese Art der Vorkommnisse wird auch in den kommenden Jahren eine erhebliche Gefahr für ICS darstellen.
Der Grund dafür sind die zum Teil sehr alten Systeme, für die es keine Updates mehr gibt oder bei denen für vorhandene Updates keine Freigabe durch den Hersteller oder Integrator/Maschinen-/Anlagenbauer erteilt wurde. Maßnahmen zum Schutz auch von Bestandsanlagen werden in den IT-Grundschutz-Bausteinen für industrielle Systeme und dem ICS-Security-Kompendium gegeben. Konkret werden Hinweise gegeben, wie Systeme zu separieren und das Netzwerk zu segmentieren ist, um unberechtigte Zugriffe zu verhindern.

bsi it sicherheit

 

Gefährdungslage weiterhin hoch

Die Gefährdungen sind im Berichtszeitraum im Vergleich zum vorangegangenen Berichtszeitraum vielfältiger geworden. Ein Beispiel dafür sind die Hardware-Sicherheitslücken wie Spectre/Meltdown und Spectre NG, die zu Beginn dieses Jahres bekannt geworden sind.

Im Jahr 2018 sind neue große Ransomware-Wellen ausgeblieben. Trotzdem muss Ransomware weiterhin als massive Gefährdung eingestuft werden. Dies zeigen die Angriffe in der zweiten Jahreshälfte 2017 mit der Ransomware Petya/ NotPetya: Sie verursachten allein in der deutschen Wirtschaft Schäden in Millionenhöhe. Auch werden immer neue Ransomware- Familien bekannt wie z. B. Bad Rabbit im Oktober 2017. Im Bereich der Ransomware besteht kein Anlass für eine Entwarnung.

Insgesamt ist die Anzahl an Schadprogrammen weiter gestiegen: Es gibt über 800 Millionen bekannte Schadprogramme. Pro Tag kommen rund 390.000 neue Varianten hinzu. Im Mobil-Umfeld gibt es bereits mehr als 27 Millionen Schadprogramme allein für Google Android.

Auch die Wege zur massenhaften Verteilung von Schadsoftware wurden weiterentwickelt. So wurde 2017 in mehreren Vorfällen (z. B. bei NotPetya) Schadsoftware durch die Kompromittierung von Updates, Update-Dateien oder Update-Servern verteilt (Installations- oder Update-Hijacking).

Bekannte Schadsoftware-Familien werden fortlaufend verändert, weiterentwickelt und mit zusätzlichen Schad-funktionen ausgestattet. Seit September 2017 fällt die Malware Emotet durch häufige Attacken in Deutschland auf. Emotet begann 2015 als Banking-Trojaner und wurde inzwischen zu einer vielgestaltigen Malware mit beliebig nachladbaren Modulen für Spam, DDoS, Datenausspähung, Identitätsdiebstahl, Sandbox-Detektion sowie anderen Malware-Komponenten weiterentwickelt.

Auch die Evolution von IoT-Botnetzen geht weiter; neue Botnetze wie Hajime und IoT_reaper/IoTroop haben nicht die Bedeutung des Mirai-Botnetzes erlangt. Wegen des schnellen Zuwachses an verwundbaren IoT-Geräten und Mobilgeräten sind allerdings neue große Botnetze für wirkungsvolle Angriffe (Spam, DDoS usw.) zu erwarten. Als Erfolg konnte im Dezember 2017 verzeichnet werden, dass unter Mitwirkung des BSI das globale Andromeda-Botnetz vom Netz genommen wurde. Es hatte zuvor Schadsoftware wie Banking-Trojaner auf Millionen von Rechnern verteilt.

Bei der Anzahl der offenen kritischen Software-Schwachstellen gab es im Vergleich zum vorangegangenen Berichtszeitraum nur geringe Veränderungen.

Aufgrund des Umfangs der Credential-Leaks und der Gefährdungen durch fehlkonfigurierte Cloud-Dienste gibt es auch bei Spam und Phishing keine Entspannung der Sicherheitslage. Die Masse der verfügbaren Credentials erlaubt gezieltere und personalisierte IT-Angriffe.

Die bekannt gewordenen Identitätsdiebstähle erreichen quantitativ immer neue Größenordnungen. Auf dem IT-Schwarzmarkt werden zunehmend Datenkollektionen gehandelt, es handelt sich um Milliarden erbeuteter digitaler Identitäten.

Obgleich es wirkungsvolle Techniken am Markt gibt, DDoS-Angriffe abzuwehren, ist die Bedrohungslage aufgrund der hohen Mitigationskosten und neuen Angriffstechniken („memcached Amplification“) nach wie vor hoch. Im zweiten Halbjahr 2017 gab es zunächst jedoch keine signifikante Erhöhung der eingesetzten Angriffskapazitäten, typisch waren Spitzenwerte von 50 bis 60 Gbit/s. Im ersten Quartal 2018 wurden jedoch DDoS-Angriffe mit bis zu 190 Gbit/s in Deutschland detektiert. Ein Zusammenhang mit dem Missbrauch der Server-Software memcached als DDoS-Reflection-Vektor ist sehr wahrscheinlich.

Anfang Januar 2018 wurden schwerwiegende und grundlegende Sicherheitslücken in der Hardware-Architektur bei fast allen Prozessoren von Intel, ARM, AMD entdeckt. Es handelt sich hier um eine neue Klasse von Schwachstellen (Meltdown/Spectre) aufgrund von Design-Fehlern in der Prozessor-Architektur. Die Sicherheitslücken können durch Updates nicht vollständig geschlossen werden. Ein Austausch aller betroffenen Prozessoren ist ebenfalls nicht realistisch. Für einen nicht einzugrenzenden Zeitraum verbleibt deshalb ein Restrisiko, dass die Schwachstellen ausgenutzt werden. Es handelt sich hierbei um eine neue Gefährdung für virtuelle Strukturen, z. B. bei Cloud-Angeboten.

Auch illegales Krypto-Mining ist neu hinzugekommen. Aufgrund der hohen finanziellen Attraktivität und der Unauffälligkeit der Infektionen ist es als signifikant zunehmendes Cyber-Risiko zu bewerten. Die registrierten Vorfälle haben ab dem zweiten Halbjahr 2017 sowohl an Zahl als auch an Intensität zugenommen. In mehreren Fällen ist zu beobachten, dass die Verwendung von derzeit bekannten Infrastrukturen(z.B. Botnetze und Exploit-Kits) auf die Distribution von Krypto-Currency- Mining-Malware erweitert wird.

Der zusammenfassende Überblick zeigt, dass die Gefährdung im Vergleich zum vorangegangenen Berichtszeitraum keinesfalls zurückgegangen ist, sondern sogar etwas zugenommen hat. Sie ist vielschichtiger geworden, was den Aufwand für den Schutz erhöht. Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen, was hohe Aufmerksamkeit und Flexibilität zur Gewährleistung der Informationssicherheit erfordert. Und es gibt eine neue Qualität von Schwachstellen in Hardware, die ohne einen Austausch der Hardware nicht vollständig geschlossen werden können.

Quellen:

www.bsi.bund.de

(https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaehrdungslage/cs_Gefaehrdungslage_node.html)

:: zurück zu den News::

Kontakt

Aktuelles

Zum Seitenanfang