Wie verheerend Cyberangriffe verlaufen können, bekamen erst im September die 44000 Einwohner der niedersächsischen Stadt Neustadt am Rübenberge zu spüren. Mit einem Schadprogramm namens Emotet hatten Angreifer mehr als eine Woche das gesamte IT-System der Stadtverwaltung lahmgelegt. Die Computer im Rathaus blieben aus, die Kfz-Zulassungsstelle geschlossen. Die Mitarbeiter des Bürgerbüros konnten Anfragen nur mehr mündlich beantworten. Das Landeskriminalamt nahm die Ermittlungen auf - wer hinter dem Angriff steckte, ist jedoch immer noch unklar.
Fälle wie dieser häufen sich. Die Quantität und die Qualität der Cyber-Angriffe in Deutschland nehmen deutlich zu. Dabei sind nicht nur Wirtschaftsunternehmen betroffen, sondern zunehmend auch öffentliche Einrichtungen, die oft zufällig zum Beifang der Angreifer werden. Diese zentralen Erkenntnisse gehen aus dem aktuellen Lagebericht 2019 über die IT-Sicherheit in Deutschland hervor. Der Präsident des zuständigen Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, stellte den 78 Seiten langen Bericht am Donnerstag in Berlin zusammen mit Bundesinnenminister Horst Seehofer (CSU) vor. Mit der rasant wachsenden Digitalisierung gehe eine "hoch angespannte Gefährdungslage" für Privatpersonen, Wirtschaftsunternehmen und öffentliche Einrichtungen einher, betonte Schönbohm. Es gelte für das BSI, die steigenden Risiken "kalkulierbar und beherrschbar" zu halten. Deutschland müsse auch in Hinsicht auf die IT-Sicherheit ein Vorreiter in Europa sein.
Neue Stellen für die Cyberverteidiger
Innenminister Seehofer verwies auf die große Bedeutung der Behörde für die IT-Sicherheit im Land. "Wir stärken diese Behörde wo immer wir können", sagte er mit dem Hinweis, dass im Haushalt 2019 insgesamt 350 neue Stellen für das BSI bewilligt wurden. Außerdem arbeite man gerade mit Nachdruck daran, eine Außenstelle mit 200 Beschäftigten in Freital bei Dresden zu errichten.
BSI-Präsident Schönbohm unterlegte die neue Gefährdungslage sogleich mit beunruhigende Zahlen aus dem Lagebericht. Allein im Laufe des Berichtszeitraumes zwischen Juni 2018 und Ende Mai 2019 sind die Mitarbeiter des BSI demnach auf 114 Millionen neue Schadprogramm- Varianten gestoßen. Allein in deutschen Regierungsnetzen fingen sie etwa 770 000 schädliche E-Mails ab.
Außerdem übermittelte die Behörde 11,5 Millionen Meldungen zu Infektionen an verschiedene deutsche Netzbetreiber. Die Zahl der Schadprogramme ist Schönbohm zufolge auf mehr als 900 Millionen gestiegen, jeden Tag kommen etwa 300 000 hinzu, im vergangenen September seien es täglich gar 450 000 gewesen. Der Großteil habe, auf der Schadsoftware Emotet basiert, die auch schon im niedersächsischen Neustadt am Rübenberge zugeschlagen hatte.
Emotet verbreitet sich rasant und kann verschiedene Module nachladen
Nach Einschätzung des BSI ist Emotet derzeit eine der gefährlichsten und raffiniertesten Bedrohungen für die IT-Sicherheit. In den vergangenen Wochen ist es auch zu Angriffen auf die Medizinische Hochschule in Hannover und das Kammergericht in Berlin gekommen, dessen IT wegen des Angriffs seit Wochen lahmgelegt ist. Wie das funktioniert? Auf den infizierten Systemen liest das Schadprogramm mehrere Wochen lang die Kontaktbeziehungen und E-Mail-Inhalte der Postfächer aus, um mit den geklauten Daten durch das sogenannte Outlook-Harvesting neue Spamnachrichten zu verschicken.
Wegen der korrekten Namen wirken diese Nachrichten auf viele Nutzer glaubwürdig. Sie öffnen infizierte Anhänge wie Office-Dokumente oder klicken auf schädliche Links. Laut BSI lädt Emotet auch Module zum Manipulieren von Online-Banking herunter. Bei Firmen fordern die Kriminellen oft ein hohes Lösegeld. Dem BSI seien mehrere Fälle bekannt, in denen Ransomware nachgeladen wurde, sogenannte Erpressungstrojaner. Erst am Sonntag wurde bekannt, dass das Automatisierungsunternehmen Pilz Opfer eines gezielten Angriffs durch eine solche Schadsoftware wurde. Das BSI hatte bereits am 23. September eine Cyber-Sicherheitswarnung für Emotet an Unternehmen, Bundesverwaltung und Betreiber kritischer Infrastrukturen herausgegeben.
Beschäftigt war das BSI außerdem mit vorinstallierter Schadsoftware auf Smartphones und Tablets. Beim Kauf bekomme der Verbraucher dabei sozusagen die Schadsoftware gratis mit dazu, so Schönbohm. Es sei in Zusammenarbeit mit den Händlern gelungen, zahlreiche dieser Geräte aus dem Verkehr zu ziehen. Schwachstellen seien auch bei Softwareprodukten auf iPhones, bei Microsoft Windows, Facebook und Whatsapp aufgetreten. Umfangreiche Identitätsdiebstähle registrierte das BSI bei Facebook, der Hotelkette Marriott oder der Veröffentlichung persönlicher Daten von Hunderten Politikern, die Anfang des Jahres bekannt wurde. Die Polizei hatte anschließend einen 20-jährigen Schüler aus Mittelhessen festgenommen, der den Datenklau gestand.
IT-Sicherheitsgesetz 2.0 kommt erst 2020
All diese Beispiele zeigten, so Schönbohm, dass Informationssicherheit die Voraussetzung für eine erfolgreiche Digitalisierung sei. "Das müssen wir als Gesellschaft begreifen. Das muss in Fleisch und Blut übergehen." Das Schadenspotenzial bei Produktionsausfällen und die Kosten für die Wiederherstellung von Systemen gehe teilweise in die Millionen, betonte der BSI-Präsident.
Mit Instrumenten wie der Allianz für Cyber-Sicherheit, der sich inzwischen fast 4000 Unternehmen angeschlossen haben, oder dem neuen IT-Sicherheitsgesetz 2.0 sei man insgesamt aber gut für die Zukunft aufgestellt, ist Schönbohm überzeugt. Das BSI soll mit dem neuen Gesetz mehr Kompetenzen in der Prävention von Cyber-Kriminalität bekommen. Die Behörde soll etwa verpflichtende Mindeststandards in der IT-Sicherheit setzen und kontrollieren dürfen. Ein Kabinettsentwurf des Gesetzes ist frühestens im Frühjahr 2020 zu erwarten.
