BSI Jahresbericht 2022: IT-Sicherheitsbedrohungen durch Ukrainekonflikt gestiegen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Jahresbericht 2022 für den Zeitraum 1. Juni 2021 bis zum 31. Mai 2022 veröffentlich. Wegen der Querelen um den BSI-Präsidenten Arne Schönbohm etwas verzögert und mit ausgetauschtem Vorwort. Die Kurzfassung: Die Cyberbedrohungen für IT-Systeme ist in Deutschland seit dem Beginn des Ukrainekonflikts deutlich gestiegen.

Mit seinem Bericht zur Lage der IT-Sicherheit 2022 in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor. In diesem Jahr bewertet der Bericht auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. Ich bin über nachfolgenden Tweet auf diesen Sachverhalt gestoßen – der Bericht lässt sich als PDF-Dokument herunterladen.

Ukrainekonflikt erhöht Bedrohung

Laut BSI spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie zuvor. Im Berichtszeitraum wurde – wie schon im Vorjahr 2021 – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. Das BSI unterteilt folgende Kategorien an den Bedrohungen:

• Gesellschaft: Identitätsdiebstahl, Sextortion und Fake-Shops im Internet
• Wirtschaft: Ransomware, Schwachstellen, online erreichbare, fehlkonfigurierte Server, IT-Supply-Chain samt Sicherheitsbbhängigkeiten
• Staat und Verwaltung: Ransomware, APT, Schwachstellen, online erreichbare, fehlkonfigurierte Server

Bislang gab es in Deutschland in Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen, so das BSI. Beispiele hierfür waren der Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation (siehe folgende Blog-Beiträge):

• Windräder ohne Satellitenzugang Kollateralschaden des Ukraine-Kriegs: Gezielter Hack des Viasat-Satellitennetzwerks
• Deutsche Windräder, der Krieg in der Ukraine und der Ausfall der Satellitenverbindung
• Cyberangriffe auf Nordex und die Windkraft AG

sowie den Hacktivismus-Angriff auf deutsche Mineralölhändler mit russischem Mutterkonzern (siehe Anonymous hackt Rosneft Deutschland, 20 Terabyte Daten abgezogen). Eine übergreifende Angriffskampagne gegen deutsche Ziele war, laut BSI, nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch, heißt es im Jahresbericht.

Ransomware bleibt größte Bedrohung

Ransomware blieb die Hauptbedrohung besonders für Unternehmen, so das BSI – was sich auch hier im Blog in Beiträgen niederschlägt. Eigentlich gibt es fast täglich solche Vorfälle, die Firmen und Behörden treffen. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, habe weiter zugenommen, so das BSI. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Das BSI erwähnt explizit den Fall des Ransomware-Angriffs auf eine Landkreisverwaltung in Sachsen-Anhalt. Damit ist der Angriff auf Anhalt-Bitterfeld gemeint (siehe Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld). Auf Grund des folgenschweren Angriffs wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen (Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld). Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar, so das BSI.

Mehr Schwachstellen, mehr Angriffe

Weiterhin konstatiert das BSI eine Zunahme der Schwachstellen in Produkten sowie eine Steigerung der DDoS-Angriffe und Advanced Persistent Threats (APT). Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen.

Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.

Auch die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigationsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 einen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt.

Spiegel Online berichtet, dass laut eigenen Quellen der Jahresbericht sich wohl verzögerte, weil durch die Querelen um die Abberufung von BSI-Präsident Arne Schönbohm das Vorwort ausgetauscht werden musste. Im Bericht findet sich aber noch ein Beispiel einer Faceswap-Desinformation, bei dem das Gesicht von Schönbohm mit einem Mitarbeiter des BSI getauscht wurde.

Das Fazit des BSI-Jahresberichts: Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. Bleibt zu hoffen, dass die Verantwortlichen das auch gehört haben und entsprechend handeln – wir werden in einem Jahr sehen, was daraus geworden ist.