BSI-Lagebericht zur IT-Sicherheit Die zwei wichtigsten Warnungen der deutschen Cyberabwehr

Wenig Erfreuliches steht im Lagebericht des BSI zur IT-Sicherheit.

(Foto: dpa)
  • Weltweit wird wieder häufiger digital spioniert. Das geht hervor aus dem Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik.
  • Über diplomatische Kanäle versuchten Regierungen, diese Art von Angriffen zu unterbinden.
  • Im Lagebericht finden sich auch Tipps für private Internetnutzer. Gewarnt wird zum Beispiele vor der unbedachten Weitergabe von Nutzerdaten.
Von Hakan Tanriverdi

Diplomatie allein reicht offensichtlich nicht aus, um Hacker zu stoppen. Das ist eines der Ergebnisse, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem am Mittwoch vorgestellten Lagebericht präsentiert.

Jedes Jahr veröffentlicht das BSI ein Update zur Gefahrensituation im Netz. Im aktuellen Bericht teilt die Behörde die Angriffsziele in drei Gruppen ein: Bundesverwaltung, Wirtschaft und Gesellschaft.

Das Warten auf ein Wlan-Update wird in vielen Fällen vergeblich bleiben

Seit sieben Wochen kennen Hersteller die Wlan-Sicherheitslücke. Trotzdem haben viele noch kein Update bereitgestellt. Warum? Von Hakan Tanriverdi mehr ...

Eines der Ergebnisse betrifft internationale Spionage-Kampagnen. "Einem weltweiten Trend folgend hatte Ende 2015 und Anfang 2016 die Zahl der beobachteten Cyber-Spionage-Angriffe gegen Wirtschaftsunternehmen auch in Deutschland stark nachgelassen", steht im BSI-Bericht. Im Oktober 2015 hatte sich diesbezüglich der damalige US-Präsident Barack Obama mit dem Präsidenten Chinas, Xi Jinping, geeinigt. Die Zahl der erkannten Angriffe nahm ab.

Angriff auf Thyssenkrupp

Auch Deutschland führte solche Gespräche mit China. Für einen kurzen Augenblick herrschte in Fachkreisen die Hoffnung, dass sich Industrienationen über diplomatische Kanäle einigen könnten, wenn es um gegenseitiges Hacking geht. Mittlerweile steige die Zahl der Angriffe aber wieder an, schreibt das BSI. Woher die Angriffe kamen und kommen, lässt die Behörde offen. Bekannt ist aber, dass Hacker Mitte 2016 in das Netz von Thyssenkrupp und weiterer Unternehmen eindringen konnten.

Das BSI veröffentlichte erstmals eine Liste besonders clever agierender Hackergruppen, die weltweit spionieren. Die Gruppen werden danach unterteilt, welche Branchen sie ins Visier nehmen - zum Beispiel die jeweilige Opposition im eigenen Land. Die in Deutschland beobachtete Gruppe APT28 - mutmaßlich Hacker, die im Auftrag des Kreml agieren - zielt auf Regierungseinrichtungen und das Militär ab. "Bemerkenswert ist, dass bei Angriffen auf deutsche Unternehmen die Gruppen APT28 und APT29 kaum in Erscheinung traten", schreibt das BSI.

Im Lagebericht des BSI wird auch aufgeführt, wie besonders clevere Hackergruppen (APT genannt) vorgehen und welche Branchen sie ins Visier nehmen.

(Foto: Screenshot)

Für private Internetnutzer dürften vor allem zwei Warnungen interessant sein.

1.) Gefährdung durch das Internet der Dinge

Überwachungskameras, die aus dem Internet erreichbar sind, Toaster und Wasserkocher, alles steuerbar per App. Vernetzte Alltagsgeräte können das Leben durchaus angenehmer machen - sie gefährden allerdings auch die Privatsphäre der Nutzer, weil viele von ihnen schlecht gegen digitale Angriffe gesichert sind. (Mehr dazu in dieser SZ-Recherche.)

Entsprechend harsch lautet das Urteil des BSI: "Die IT-Sicherheit spielt bei IoT-Geräten (IoT = Internet of Things, Internet der Dinge; Anm. d. Red.) bisher keine oder nur eine untergeordnete Rolle."

Kriminelle haben erkannt, dass sich einige dieser Geräte bestens eignen, um Botnetz-Angriffe durchzuführen. Die Geräte werden dabei aus der Ferne dirigiert, um Webseiten in die Knie zu zwingen.

2.) Mobile Kommunikation

Smartphones sind digitale Speicher. Fotos, Passwörter und Zugänge in soziale Netzwerke werden alle auf diesen Geräten abgelegt. Auch tauchen Apps auf, die nicht nur kostenlos sind, sondern auch Schadsoftware im Gepäck haben, um zum Beispiel an Kontodaten der arglosen Nutzer zu kommen, die die Apps herunterladen. Den Angreifern gelingt es immer wieder, die Kontrollen der Konzerne zu umgehen, vor allem im Play Store von Google.

Das BSI bemängelt auch in diesem Fall, dass sich Nutzer oft nur an Preisen orientieren und zu leichtfertig mit ihren Daten umgehen. Gerade wenn sie über öffentliche Hotspots ins Internet gehen - also Wlan-Netze, in die man sich ohne Passwort einwählen kann - sollten sie bedenken, dass die Daten von Dritten mitgelesen werden könnten. Zumindest dann, wenn die Verbindung zur Webseite nicht durch eine HTTPS-Verbindung abgesichert wird.

Das BSI lässt wichtige Punkte unerwähnt

Viele Seiten, zum Beispiel Facebook, Twitter und Netflix, kommen den Nutzern entgegen und sichern die Verbindungen ab. Darauf geht das BSI nicht ein. Ebenfalls unerwähnt bleibt, dass Nutzer auf viele der Entscheidungen, die zu ihrem Nachteil sind, keinen Einfluss nehmen können. So ist etwa Whatsapp eine App, die viele Rechte auf dem Smartphone einfordert. Datenschutztechnisch gibt es bessere Alternativen. Aber der Verzicht auf Whatsapp würde auch bedeuten, auf einen der einfachsten, dank guter Verschlüsselung sichersten und am weitesten verbreiteten Wege zu verzichten, über den heute mit Freunden kommuniziert wird. Für private Nutzer wäre eine Abwägung wichtig. Sie wollen erfahren, wie sie solche Apps nutzen können und dennoch ihre Daten sicher aufbewahren - so gut das eben geht.

Das BSI mischt sich immer öfter offensiv in die Diskussion um Nutzer-Sicherheit ein. Deutlich wird das vor allem im Bereich der Software-Schwachstellen und Updates. Im Lagebericht bemängelt das BSI, dass "im aktuellen Berichtszeitraum viele Mobilgeräte insbesondere mit dem Betriebssystem Android auf einem sicherheitskritischen Softwarestand" sind. Das heißt: Viele Nutzer vertrauen wichtige Informationen einem Gerät an, das angreifbar ist, Sicherheitslücken, die teils seit Monaten bekannt sind.

Bericht wirkt teils veraltet

Um den Verkauf solcher Geräte zu verhindern, hat das BSI die Verbraucherzentrale Nordrhein-Westfalen bei einer Klage gegen Media Markt technisch unterstützt. Die Behörde hat sich damit in eine Diskussion eingemischt, die Bürger nicht beeinflussen können, da sie geführt wird zwischen Herstellern von Smartphones, Entwicklern von Betriebssystemen und den Läden, in denen die Telefone verkauft werden. Sollte der Klage stattgegeben werden, wäre das ein Gewinn für Nutzer. Die wüssten dann - anhand der Informationspflicht der Verkäufer - wenn ihnen unsichere Smartphones zum Verkauf angeboten werden.

An einigen Stellen wirkt der Bericht des BSI veraltet. In Bezug auf die Bundestagswahl heißt es: "Auch in Deutschland besteht die Möglichkeit, dass Täter versuchen werden, die digitalen Medien zur Beeinflussung der öffentlichen Meinungsbildung vor der Bundestagswahl 2017 zu nutzen." Doch das ist nicht passiert. Das BSI spricht im Fazit von einer "rasanten Technologieentwicklung" - also auch einer Gefahrenlage, die sich stetig weiterentwickelt. Aussagen wie die zur Bundestagswahl wirken auf den Leser verwirrend, als ob da jemand nicht auf dem aktuellsten Stand ist.

Ein Handy für 99 Euro, Sicherheitslücken inklusive

Ein Media-Markt in Köln verkaufte Smartphones voller Software-Lücken. Nun klagt die Verbraucherzentrale. Von Hakan Tanriverdi mehr...