Wie verheerend Cyberangriffe verlaufen können, bekamen erst im September die rund 44000 Einwohner der niedersächsischen Stadt Neustadt am Rübenberge zu spüren. Mit einem Schadprogramm namens Emotet hatten Angreifer mehr als eine Woche lang das gesamte IT-System der Stadtverwaltung lahmgelegt. Die Computer im Rathaus blieben aus, die Kfz-Zulassungsstelle geschlossen. Anfragen wurden von den Mitarbeitern des Bürgerbüros nur noch mündlich beantwortet. Das Landeskriminalamt nahm die Ermittlungen auf - doch wer hinter dem Angriff steckte, ist immer noch unklar.
Fälle wie dieser häufen sich, in den vergangenen Wochen wurden auch Kliniken im Saarland, die Medizinische Hochschule in Hannover und das Kammergericht in Berlin attackiert. Die Quantität und die Qualität der Cyber-Angriffe in Deutschland nehmen zu. Nicht nur Wirtschaftsunternehmen sind betroffen, sondern zunehmend auch öffentliche Einrichtungen, die oft als eine Art Beifang zu Opfern werden. Diese zentralen Erkenntnisse gehen aus dem aktuellen Lagebericht 2019 über die IT-Sicherheit in Deutschland hervor. Der Präsident des zuständigen Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, stellte den Bericht am Donnerstag in Berlin mit Innenminister Horst Seehofer (CSU) vor.
Mit der rasant wachsenden Digitalisierung gehe eine "hoch angespannte Gefährdungslage" einher, betonte Schönbohm. Man müsse die steigenden Risiken kalkulierbar und beherrschbar halten. Innenminister Seehofer wies angesichts der Gefährdungslage daraufhin, dass im laufenden Haushaltsjahr 350 neue Stellen für das BSI bereitgestellt wurden. In Freital in Sachsen werde außerdem eine Außenstelle mit 200 Beschäftigten entstehen.
Mehr als 900 Millionen neue Schadprogramme
BSI-Präsident Schönbohm unterlegte die neue Gefährdungslage mit beunruhigenden Zahlen. Allein im Laufe des Berichtszeitraumes zwischen Juni 2018 und Ende Mai 2019 sind seine Mitarbeiter demnach auf 114 Millionen Varianten von neuen Schadprogrammen gestoßen. Allein in deutschen Regierungsnetzen hätten sie etwa 770 000 Mails mit Schadprogrammen abgefangen. Die Zahl solcher Programme sei inzwischen auf mehr als 900 Millionen gestiegen, allein im September seien pro Tag etwa 450 000 hinzugekommen. Der Großteil basierte demnach auf der Schadsoftware Emotet, die auch schon in Neustadt am Rübenberge zugeschlagen hatte.
Nach Einschätzung des BSI ist Emotet derzeit eine der größten Bedrohungen für die IT-Sicherheit. Auf den infizierten Systemen liest das Schadprogramm mehrere Wochen lang die Kontaktbeziehungen und E-Mail-Inhalte der Postfächer aus, um mit den geklauten Daten durch das sogenannte Outlook-Harvesting neue Spamnachrichten zu verschicken. Wegen der korrekten Namen wirken diese Nachrichten auf viele Nutzer glaubwürdig. Sie öffnen infizierte Anhänge wie Office-Dokumente oder klicken auf schädliche Links. Bei Firmen fordern die Kriminellen anschließend oft ein hohes Lösegeld.
Beschäftigt war das BSI auch mit vorinstallierter Schadsoftware auf Smartphones und Tablets. Schwachstellen wurden zudem bei Softwareprodukten auf iPhones, bei Microsoft Windows und Whatsapp festgestellt. Umfangreiche Identitätsdiebstähle registrierte das BSI bei Facebook, der Hotelkette Marriott und dem großen Datenklau Anfang des Jahres, bei dem ein 20-jähriger Schüler aus Hessen die persönlichen Daten von Hunderten Politikern veröffentlicht hatte.
All die Beispiele zeigten, so Schönbohm, dass Informationssicherheit die Voraussetzung für eine erfolgreiche Digitalisierung sei. "Das müssen wir als Gesellschaft begreifen. Das muss in Fleisch und Blut übergehen." Helfen soll dabei das IT-Sicherheitsgesetz 2.0. Das BSI soll mehr Kompetenzen in der Prävention von Cyber-Kriminalität erhalten, indem es etwa verpflichtende Mindeststandards in der IT-Sicherheit setzen und kontrollieren darf. Ein Kabinettsentwurf ist frühestens im Frühjahr 2020 zu erwarten.