Den Kampf um IT-Sicherheit muss man sich wohl wirklich wie den legendären Wettlauf zwischen dem Hasen und dem Igel vorstellen, den das Langohr nur mit Zähigkeit und unendlicher Kondition durchstehen kann. Ist das eine Problem einigermaßen im Griff, warten die Kriminellen aus einer neuen Ecke mit perfiden Manövern auf. Der neue Lagebericht des Bundesamtes für Sicherheit und Informationstechnik (BSI) bestätigt das sozusagen offiziell. Bestätigt wird beispielsweise, wie bereits zu lesen, dass das Spam-Aufkommen im vergangenen Jahr tatsächlich auf ein bemerkenswert niedriges Niveau gefallen ist. Weniger Spam also, der dafür heimtückischer als bisher formuliert ist. Und mit Cloud Computing, Smart Grid und Mobility warten bereits die nächsten ungelösten Herausforderungen für die Zukunft.
„Seit dem letzten Lagebericht 2009 hat sich die Situation nochmals verschärft“, sagt Michael Hange, Präsident des BSI. „Wir können grundsätzlich differenzieren zwischen Angriffen auf die breite Masse der IT-Nutzer, für die vor allem Standardschwachstellen ausgenutzt werden, und gezielten Cyber-Attacken. Für diese werden bislang unentdeckte Schwachstellen eingesetzt, wie es zum Beispiel bei der Schadsoftware Stuxnet der Fall war.“
Einige wenige gute Nachrichten lassen sich dennoch herausfiltern. Im Vergleich zu weiten Teilen des Jahres 2010 ist das Spam-Aufkommen in der Bundesrepublik mittlerweile recht stabil um 75 Prozent gesunken. Das BSI macht dafür insbesondere die Abschaltung der Steuerrechner des Rustock-Botnetzes in den USA verantwortlich.
Obwohl mittlerweile deutlich weniger unerwünschte E-Mails als im Rekordjahr 2008 verschickt werden, warnt das BSI. Der Spam-Anteil von über 96 Prozent an allen Mails sei 2010 immer noch beträchtlich gewesen. Zugleich erfolge der Versand gezielter. „So wächst beispielsweise jener Anteil von Spam-E-Mails, die von internationalen Botnetzen in deutscher Sprache speziell an deutsche E-Mail-Empfänger versendet werden“, heißt es in der Studie. 5,77 Prozent des Spams wurden 2010 aus der Bundesrepublik selbst verschickt – Platz Vier hinter den USA, Brasilien und Indien.
Das „Geschäftsmodell“ Botnetze – also Bedrohung durch infizierte PCs von Privatnutzern – habe sich aus Sicht der Hacker bewährt, unkt das BSI. Der Anti-Botnetz-Initiative von Internetwirtschaft und Bundesregierung attestiert das Bundesamt zwar nachhaltige Erfolge. Zugleich würden Botnetze mittlerweile professionell vermietet, um beispielsweise Wettbewerbern zu schaden oder Rache zu üben. Firmen müssen auch mit einem neuen Phänomen namens „Hacktivismus“ rechnen: Angriffe mit der Zielsetzung, politische Ansichten zu verbreiten.
BSI fordert zeitnahe Updates
Wegen der zunehmenden Nutzung von Breitband-Internet steige zudem die Intensität von Cyber-Angriffen, so das BSI. Im vergangenen Jahr wuchsen beispielsweise DDoS-Attacken auf 100 Gigabyte pro Sekunde an – eine Verzehnfachung gegenüber 2005. Die Intensität der Angriffe überschreite bereits jetzt die Bandbreite einzelner Provider, was zu Netzausfällen führen könne, urteilt das BSI.
Sicherheitslücken in Betriebssystemen verlieren aus Sicht der Angreifer laut BSI zunehmend an Bedeutung. Allerdings rücken Schwachstellen in Anwendungsprogrammen und Softwarekomponenten von Drittanbietern in den Fokus. Diese Entwicklung sei insbesondere kritisch in Anbetracht des hohen Verbreitungsgrades solcher Anwendungen, so das Amt. Ein Rechenbeispiel: Der Mozilla-Firefox-Browser habe 2010 ganze 107 Schwachstellen aufgewiesen, der Adobe Flash Player 60. „Die potenzielle Angriffsfläche steigt folglich mit jeder genutzten Anwendung weiter an“, heißt es im Lagebericht.
„Die Bedrohung durch Schwachstellen in Software-Produkten befindet sich auf einem sehr hohen Niveau und steigt weiter“, so das BSI weiter. Diese Situation werde verschärft durch lange Zeiträume, in denen keine Patches für öffentlich bekannte und teilweise kritische Schwachstellen verfügbar sind. „Zeitnahe Updates, die zentral und automatisch eingespielt werden können, sind daher unbedingt erforderlich“, fordert das Bundesamt. Die im Vergleich zur Vergangenheit größeren Bemühungen der Hersteller um Abhilfe werden indes ebenfalls gewürdigt.
Die größte Gefahr für die Ausnutzung von Sicherheitslücken in Anwendungssoftware besteht laut Bericht durch so genannte Drive-By-Exploits. Dabei reicht der Besuch einer manipulierten Internetseite aus, um den eigenen Rechner mit Schadsoftware zu infizieren. Mittlerweile sei dafür die Manipulation auch seriöser Webseiten gängige Praxis, so das BSI. Für den Besucher sei dabei nicht erkennbar, ob eine Webseite infiziert ist. Die Installation von Schadsoftware auf dem PC könne unbemerkt und ohne weitere Nutzerinteraktion erfolgen. Das Bundesamt empfiehlt dringend die zeitnahe Installation aller verfügbaren Sicherheitsupdates für Betriebssystem und alle Anwendungen. Ein Virenschutzprogramm alleine biete heute keinen ausreichenden Schutz mehr.
Identitätsdiebstahl- und Missbrauch bleibe ein reges Betätigungsfeld von Kriminellen. Diese setzten dabei aber immer weniger auf klassisches Phishing und fast ausschließlich auf Trojaner. Zugangsdaten zu Handelsplattformen und zu Webmail-Diensten werden besonders häufig geklaut. Weiter steigend ist die Anzahl an Schadprogrammen – und das bleibt nach Prognose des BSI auch so. Exploit-Kits und Virenbaukästen seien mittlerweile für jeden verfügbar, zudem betrage die Einsatzdauer eines schädlichen Programms heute meist nur noch wenige Tage.
Unsichere GSM-Schnittstellen
In Anbetracht der raschen Verbreitung von Smartphones, Tablet PCs und Netbooks rechnet das BSI mit einer Zunahme von Angriffen gegen mobile Endgeräte. „Gefahr besteht in der Mobilkommunikation unter anderem durch die Unsicherheit der GSM-Schnittstelle“, so das Amt. Beispielsweise könnten Daten mitgeschnitten werden, da die Verschlüsselung gemäß GSM-Standard nicht mehr auf dem Stand der Zeit ist und Werkzeuge zum Abhören längst verfügbar sind.
Für den besseren Schutz bei der Anwendung von mobilen Endgeräten empfiehlt das BSI, keine Software aus unbekannten Quellen zu installieren und nur tatsächlich benötigte Applikationen zu installieren beziehungsweise zu aktivieren. Außerdem sollten Mobiltelefone zur Verbesserung der IT-Sicherheit „minimal offen“ konfiguriert werden – beispielsweise Funkschnittstellen wie WLAN oder Bluetooth. „Für den Austausch von Informationen mit Schutzbedarf sollten immer kryptographische Lösungen eingesetzt werden, die mit einem Hardware-Sicherheitsanker (Krypto-Smartcard beziehungsweise Krypto-Modul) ausgestattet sind“, heißt es in der Studie.
Neben Smart-Grids macht das BSI auch Cloud Computing als die Zukunft prägendes Risiko aus. Davon, dass sich die Auslagerung in die Wolke als Schlüsseltechnologie weiter durchsetzt, geht das Amt aus. „Bereits heute werden Cloud-Computing-Plattformen zum Aufbau von Botnetzen, zur Ablage von Schadprogrammen, zum Versenden von Spam oder zur Durchführung von Brute-Force-Angriffen auf Passwörter missbraucht“, heißt es in der Studie. Darüber hinaus seien einige Fälle bekannt geworden, bei denen Cloud Computing-Plattformen Ziel von DDoS-Angriffen wurden. Das BSI setzt sich als Gegenmaßnahme für internationale Standards ein, die die Überprüfung und Zertifizierung von Cloud-Plattformen ermöglichen sollen.
Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2011“ kann auf der Website des BSI herunter geladen werden. Künftig soll es den Bericht jedes Jahr statt alle zwei Jahre geben.