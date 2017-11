Von Stefan Lange

BERLIN (Dow Jones)--Die Abwehrmaßnahmen der deutschen Wirtschaft gegen kriminelle Angriffe auf ihre IT-Systeme sind nach Einschätzung der Cyber-Sicherheitsbehörden weiter mangelhaft. Das Bewusstsein für IT-Sicherheit sei in der Bevölkerung und in der Wirtschaft noch nicht ausreichend verankert, erklärte Bundesinnenminister Thomas de Maiziere am Mittwoch in Berlin bei der Vorlage des Berichts zur aktuellen Lage der IT-Sicherheit in Deutschland. Der CDU-Politiker sprach sich dafür aus, das IT-Sicherheitsgesetz auf weitere Bereiche auch in den Unternehmen ausdehnen.

Man müsse den Kreis "der kritischen Infrastrukturen weiter ziehen", sagte de Maiziere. Dies betreffe zum Beispiel Krankenhäuser, erklärte der CDU-Politiker. Aber auch im weiteren Wirtschaftsbereich müsse überlegt werden, neue Sektoren in das IT-Gesetz aufzunehmen beziehungsweise die bestehenden Sektoren zu erweitern. Die Wirtschaft hatte sich bislang gegen allzu detaillierte Formulierungen im IT-Sicherheitsgesetz und damit verbundene, kostenintensive Eingriffe in ihre Unternehmensnetzwerke gewehrt.

Mangelnde Produktpflege

De Maiziere erklärte, die Anzahl von Verwundbarkeiten in IT-Systemen liege nach wie vor auf einem hohen Niveau. Ein ernstes Problem seien die IT-Systeme an sich. Darüber hinaus seien die IT-Hersteller beim Verkauf neuer Produkte zwar sehr produktiv, "bei der Produktpflege aber eher zurückhaltend", kritisierte der Minister.

Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, schlug ebenfalls Alarm. Festzustellen sei, dass die Gefährdungslage "weiter auf einem sehr hohen Niveau und angespannt ist". Die Anzahl der weltweiten Schadprogramme sei gestiegen. Derzeit seien mehr als 600 Millionen Schadprogramme bekannt, täglich kämen etwa 280.000 neue dazu. Besonders stark steige der Bereich der Ransomware, das sind Erpressungstrojaner, mit deren Hilfe Computer lahmgelegt und nur nach Zahlung eines Lösegeldes wieder freigegeben werden.

"Lohnendes Ziel"

Dem Bericht zufolge stehen die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) - dazu gehören die Sektoren Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit, Staat und Verwaltung, Wasser, Medien und Kultur sowie Ernährung - im Fokus von Angreifern mit politischer Motivation, zum Beispiel "Hacktivisten" und anderen staatlich geduldeten Akteuren.

"Da ein erfolgreicher Angriff öffentlichkeitswirksam die Wirtschaft oder das tägliche Leben der Bevölkerung beeinträchtigen würde, bleiben die Kritischen Infrastrukturen ein lohnendes Ziel für diese Angreifergruppierungen", heiß es in dem Bericht weiter, der auf der Internetseite des BSI ( bsi.bund.de ) zu finden ist. Unternehmen seien grundsätzlich den gleichen Gefahren ausgesetzt wie jeder andere Nutzer von IT und Internet. Zusätzlich gebe es aber Angriffe, die im privaten Umfeld nicht vorkämen.

Cyber-Spionage legt wieder zu

Als Beispiel wird der "CEO-Betrug" genannt, bei dem Angestellte von Unternehmen dazu verleitet werden sollen, große Geldbeträge auf Konten zu überweisen, die der Kontrolle der Angreifer unterliegen. Bei Ransomware-Angriffen ist dem Bericht zufolge zu beobachten, dass von Unternehmen mehr Lösegeld gefordert wird als von privaten Anwendern.

Ende 2015 und Anfang 2016 ließ die Zahl der beobachteten Cyber-Spionage-Angriffe gegen Wirtschaftsunternehmen weltweit und auch in Deutschland zwar stark nach. Doch der Trend dreht sich: "Mittlerweile steigt die Zahl der beobachteten Angriffe jedoch wieder an, seit Sommer 2016 werden wieder neue Angriffe auf deutsche Unternehmen beobachtet."

Alle Standorte gleich sichern

Der Bericht wartet auch mit Lösungsvorschlägen auf. "Da die initialen Angriffe sehr oft in den weniger abgesicherten Netzwerken von Auslandsstandorten oder zugekauften Tochterunternehmen ihren Ursprung nehmen, sollte der Fokus darauf liegen, unternehmensweit ein einheitliches IT-Sicherheitsniveau zu erlangen", heißt es unter anderem. Da in vielen Unternehmen die IT-Netze zu wenig voneinander getrennt seien, gelinge es Angreifern sonst zu leicht, sich weltweit im Unternehmensnetz auszubreiten.

Wenn Standard-Sicherheitsmaßnahmen unternehmensweit etabliert worden seien, sollten laut BSI-Empfehlung in der Folge Prozesse für das Netzwerk-Monitoring erarbeitet und eingeführt werden. "Wenn diese Infrastrukturen und geschultes Personal existieren, kann zusätzlich über den gezielten Einkauf von Threat Intelligence nachgedacht werden."

November 08, 2017

