Dr. Sebastian Kraska

80331, München
19.11.2015

Datenschutz: BSI-Bericht zur IT-Sicherheit in Deutschland 2015

IITR Information[IITR – 19.11.15] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2015 veröffentlicht. Die Gefährdungslage der IT-Sicherheit in Deutschland 2015 wird dabei in vielen Bereichen als hoch bewertet.

Als zentrale Punkte für die Gefährdung der IT-Sicherheit listet der Report (PDF) dabei auf:

  • „Ein unzureichendes Patch-Management und somit die Nutzung veralteter Software auf Rechnern, Mobilgeräten oder zentralen Server-Systemen bleibt eine große technische Herausforderung für die Anwender und ist Ursache vieler erfolgreicher Angriffe. Gerade die vielen im Jahr 2015 bekannt gewordenen Zero-Day-Schwachstellen sowie die schnelle Nutzung neuer Schwachstellen zum Beispiel in Exploit-Kits verdeutlichen die Notwendigkeit, ein durchgängiges und schnelles Patch-Management aufzusetzen, das Grundlage einer nachhaltigen Informationssicherheit ist.
  • Es fehlt vielfach an Bewusstsein der Anwender für Social Engineering und Manipulationsversuche, die viele Cyber-Angriffe begleiten. Im privaten wie auch im geschäftlichen Kontext ist ein gesundes Misstrauen gegenüber unerwarteten Kontaktaufnahmen notwendig, sei es in Bezug auf angebliche Telefonrechnungen, ungefragte Support-Angebote am Telefon oder angebliche Geheimprojekte in Unternehmen, die zur Weitergabe vertraulicher Informationen oder sogar zu Finanztransaktionen führen.
  • Hersteller und Diensteanbieter tragen Verantwortung für ihre Produkte und Dienstleistungen. Nach Meldung oder Bekanntwerden einer Schwachstelle sind sie in der Pflicht, diese schnellstmöglich zu schließen und die Anwender mit Sicherheitsupdates zu versorgen. Zum Schutz von Unternehmens- und Kundendaten sollten Diensteanbieter aus eigenem Selbstverständnis ein hohes Interesse an einem verlässlichen Sicherheitsniveau haben.
  • APT-Angriffe sind aktuell und zukünftig eine große Bedrohung für Unternehmen und Verwaltungseinrichtungen. APT-Angriffe zum Zweck der Wirtschaftsspionage oder Konkurrenzausspähung werden auch in Zukunft von verschiedenen Gruppen durchgeführt werden. Insbesondere Unternehmen, die international aktiv und sichtbar sind, sollten APT-Angriffe in ihr unternehmerisches Risikomanagement einbeziehen und IT-Sicherheitsmaßnahmen im Bereich Detektion und Monitoring sowie im Bereich der Vorfallsbearbeitung umsetzen.
  • IT im industriellen Umfeld sowie die Vernetzung industrieller Steuerungssysteme bleiben über das Jahr 2015 hinaus eine große Herausforderung, gerade auch im Bereich der Kritischen Infrastrukturen. Eine hinreichende Segmentierung der Netze ist derzeit nicht gegeben, sodass auch Angriffe auf Büronetze Auswirkungen auf Steuerung und Fertigung haben können.
  • Die Anzahl der detektierten Schadprogramme steigt sowohl für stationäre als auch insbesondere für mobile Plattformen weiter an. In Verbindung mit den kürzer werdenden Verteilzyklen der Angreifer setzt dies den signaturbasierten Ansatz von Schutzkomponenten weiter unter Druck. Spamnachrichten bleiben dabei eine Hauptquelle von Schadprogramminfektionen.
  • Für das Management einer Organisation stellt sich zunehmend die Frage, welche wirtschaftlichen Folgen ein erfolgreicher Cyber-Angriff für die betroffene Organisation selbst (interne Kosten) oder aber für Kunden, Dienstleister und Lieferanten (externe Kosten) nach sich ziehen kann. Produktions- bzw. Betriebsausfälle sowie der oft erhebliche finanzielle und personelle Aufwand zur Wiederherstellung betroffener Systeme und zur Aufklärung der Vorfälle zählen nach der CyberSicherheitsumfrage 201526 in der Allianz für Cyber-Sicherheit zu den häufigsten Schäden nach erfolgreichen Angriffen.
  • Die technische Fortentwicklung der Gefährdungslage spricht auch für eine weiter fortschreitende Professionalisierung der Angreifer, egal ob bei Angriffen gegen den Staat, die Wirtschaft, die Wissenschaft oder Bürger und Gesellschaft. Die Verfügbarkeit von Werkzeugen sowie das Angebot von Dienstleistungen und kompletten Infrastrukturen zur Durchführung von Cyber-Angriffen sorgen dafür, dass das Einstiegsniveau zu deren Durchführung weiter sinkt und gleichzeitig neuen Akteuren zur Verfügung steht.
  • Angesichts der Schwierigkeiten bei der Verfolgung von Straftaten (Attribuierung und Anonymisierung) ergibt sich daraus ein lukratives Geschäftsmodell und eine damit einhergehende zusätzliche Gefährdung für die IT-Sicherheit.
  • Die praktischen Auswirkungen zeigen sich in den im vorliegenden Lagebericht dargestellten Vorfällen, von denen alle Anwendergruppen in Deutschland betroffen sind. Auch hier sind es nicht isolierte Einzelaspekte, sondern ein Zusammenwirken verschiedener Merkmale, die einen Angriff erfolgreich machen.“

Vertiefende Informationen:

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.